Kube-Bench:Kubernete的安全检测工具,基于Go开发的应用程序,可以帮助研究人员在已部署的Kubernete上执行安全检测。
摘要:Kube-Bench是Kubernete的安全检测工具。本质上,Kube-Bench是基于Go开发的应用程序。它可以帮助研究人员在已部署的Kubernete上执行安全检测。 安全检测原理遵循CIS Kubernetes基准测试。
Kube-Bench是Kubernete的安全检测工具。本质上,Kube-Bench是基于Go开发的应用程序。它可以帮助研究人员在已部署的Kubernete上执行安全检测。 安全检测原理遵循CIS Kubernetes基准测试。
测试规则需要通过YAML文件进行配置,因此我们可以轻松地更新该工具的测试规则。
注意
Kube-Bench尽可能实施CIS Kubernetes Benchmark。
Kubernete版本和CIS基准版本之间没有一对一的映射。请参考CIS Kubernetes基准支持,以了解基准测试的不同版本中包含哪些Kubernetes版本。
Kube-Bench无法检查受管群集的主节点,例如GKE,EKS和AKS,因为Kube-Bench无法访问这些节点。但是,Kube-Bench仍可以在这些环境中检查worker节点配置。
CIS Kubernetes Benchmark支持
CIS Kubernetes基准中定义了Kube-Bench支持的Kubernete测试规则:
在默认配置中,Kube-Bench将根据目标设备上运行的Kubernete的版本来确定要运行的测试集,但是请注意,Kube-Bench不会自动检测OpenShift和GKE。
工具下载
研究人员可以直接使用以下命令在本地托管项目源代码:
git clone https://github.com/aquasecurity/kube-bench.git
可以选择在容器中运行Kube-Bench(与主机共享PID名称空间);
在主机上安装了Kube-Bench的情况下运行容器,然后直接在主机上运行Kube-Bench。
访问项目Releases页面以下载并安装最新版本的源代码,不要忘记在cfg目录中下载配置文件和测试文件;
从源代码编译;
工具安装
安装在容器中
以下命令将帮助我们在Docker容器中安装Kube-Bench源代码和配置文件(源代码编译仅适用于Linux x86-x64,不能在macOS或Windows上运行):
docker run --rm -v `pwd`:/host aquasec/kube-bench:latest install ./kube-bench [master|node]
源码安装
首先在设备上安装和配置Go环境,然后运行以下命令:
go get github.com/aquasecurity/kube-bench cd $GOPATH/src/github.com/aquasecurity/kube-bench go build -o kube-bench . # See all supported options ./kube-bench --help # Run all checks ./kube-bench
在容器中运行
可以直接通过主机PID命名空间在容器中安装和运行Kube-Bench,并加载配置文件所在的目录,例如“ /etc”或“ /var”:
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest [master|node] --version 1.13
如果不想使用“ /opt/kube-bench/cfg/”下的默认配置,也可以通过加载自定义配置文件来使用它们:
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t -v path/to/my-config.yaml:/opt/kube-bench/cfg/config.yam -v $(which kubectl):/usr/local/mount-from-host/bin/kubectl -v ~/.kube:/.kube -e KUBECONFIG=/.kube/config aquasec/kube-bench:latest [master|node]
运行 Kube-Bench
如果要直接通过命令行工具运行Kube-Bench,则还需要root/sudo权限才能访问所有配置文件。
Kube-Bench将基于检测到的节点类型和Kubernete运行的集群版本自动选择要使用的“controls”。可以通过定义master或node子命令以及“ --version”命令行参数来修改此行为。
也可以通过环境变量“ KUBE_BENCH_VERSION”设置Kube-Bench版本。 “ --version”参数将优先生效于“ KUBE_BENCH_VERSION”环境变量。
例如,我们可以使用Kube-Bench在主机上执行自动版本检测:
kube-bench master
或者,使用Kube-Bench针对Kubernete v1.13执行worker节点测试:
kube-bench node --version 1.13
kube-bench将根据相应的CIS Benchmark版本映射“ --version”。如果指定“ --version 1.13”,则映射的CIS Benchmark版本为“ cis-1.14”。
换句话说,还可以指定“ --benchmark”来运行指定的CIS Benchmark版本:
kube-bench node --benchmark cis-1.4
如果要指定CIS Benchmark的target,例如主服务器,节点等,则可以运行“ run --targets”子命令:
kube-bench --benchmark cis-1.4 run --targets master,node
或
kube-bench --benchmark cis-1.5 run --targets master,node,etcd,policies
下表显示了与不同CIS Benchmark版本相对应的有效目标:
如果未指定目标,则Kube-Bench将根据CIS Benchmark版本自动检测合适的目标。可以在“ cfg/”目录中找到不同CIS Benchmark版本的“控件”,例如“ cfg / cis-1.4”。
相关热词搜索:Kube-Bench Kubernete Go 安全检测
上一篇:入侵检测工具snort基于Kali的配置和入侵检测测试
下一篇:Chrome识别阻断插件:帮助红色自动识别WEB蜜罐,重置jsonp接口
人机验证(Captcha)绕过方法:使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑,以实现Captcha绕过
牛创网络: " 人机身份验证(Captcha)通常显示在网站的注册,登录名和密码重置页面上。 以下是目标网站在登录页面中排列的验证码机制。 从上图可以
2020-01-26 12:44:09 )8884( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
牛创网络: "自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )6290( 亮了
Grafana CVE-2020-13379漏洞分析:重定向和URL参数注入漏洞的综合利用可以在任何Grafana产品实例中实现未经授权的服务器端请求伪造攻击SSRF
牛创网络: "在Grafana产品实例中,综合利用重定向和URL参数注入漏洞可以实现未经授权的服务器端请求伪造攻击(SSRF)。该漏洞影响Grafana 3 0 1至7 0 1版本。
2020-08-12 14:26:44 )4310( 亮了
Nginx反向代理配置及反向代理泛目录,目录,全站方法
牛创网络: "使用nginx代理dan(sui)是http响应消息写入服务地址或Web绝对路径的情况。 写一个死的服务地址是很少见的,但它偶尔也会发生。 最棘手的是写入web绝对路径,特别是如果绝对路径没有公共前缀
2019-06-17 10:08:58 )3860( 亮了
fortify sca自定义代码安全扫描工具扫描规则(源代码编写、规则定义和扫描结果展示)
牛创网络: "一般安全问题(例如代码注入漏洞),当前fortify sca规则具有很多误报,可通过规则优化来减少误报。自带的扫描规则不能检测到这些问题。 需要自定义扫描规则,合规性角度展示安全风险。
2020-02-12 10:49:07 )3511( 亮了
整理几款2020年流行的漏洞扫描工具
牛创网络: "漏洞扫描器就是确保可以及时准确地检测信息平台基础架构的安全性,确保业务的平稳发展,业务的高效快速发展以及公司,企业和国家 地区的所有信息资产的维护安全。
2020-08-05 14:36:26 )2537( 亮了
微擎安装使用技巧-微擎安装的时候页面显示空白是怎么回事?
牛创网络: "我们在公众号开发中,有时候会用到微擎,那我们来看一下微擎安装的时候页面显示空白是怎么回事吧
2019-06-08 15:34:16 )2262( 亮了
渗透测试:利用前端断点拦截和JS脚本替换对前端加密数据的修改
牛创网络: " 本文介绍的两种方法,虽然断点调试比JS脚本代码替换更容易,但是JS脚本代码替换方法可以实现更强大的功能,测试人员可以根据实际需要选择适当的测试方法
2020-01-07 09:34:42 )2003( 亮了
从工业界到学界盘点SAS与R优缺点比较
牛创网络: "虽然它在业界仍然由SAS主导,但R在学术界广泛使用,因为它的免费开源属性允许用户编写和共享他们自己的应用程序 然而,由于缺乏SAS经验,许多获得数据分析学位的学生很难找到工作。
2019-07-13 22:25:29 )1843( 亮了
41款APP侵犯用户隐私权:QQ,小米,搜狐,新浪,人人均被通报
牛创网络: "随着互联网的不断发展,我们进入了一个时代,每个人都离不开手机。 但是,APP越来越侵犯了用户隐私权。12月19日,工业和信息化部发布了《关于侵犯用户权益的APP(第一批)》的通知。
2019-12-20 11:28:14 )1776( 亮了