CIS基准测试工具kube-bench使用

CIS基准测试工具kube-bench使用

• ​​CIS安全基准​​
• ​​CIS基准测试工具kube-bench​​
• ​​kube-bench基本使用​​
• ​​测试项目配置文件​​

• ​​测试master​​
• ​​测试node​​
• ​​测试ETCD​​

CIS安全基准

CIS官网: ​​https://www.cisecurity.org/​​​ K8S CIS基准: ​​https://www.cisecurity.org/benchmark/kubernetes​​

CIS基准测试工具kube-bench

项目地址: ​​https://github.com/aquasecurity/kube-bench​​

kube-bench基本使用

# 查看kube-bech的使用参数
kube-bench --help

测试项目配置文件

​​/etc/kube-bench/cfg/​​是kube-bench的项目测试配置文件的目录.

测试master

​​kube-apiserver配置​​​参考地址: ​​https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/​​​​kube-apiserver​​配置文件:​​/etc/kubernetes/manifests/kube-apiserver.yaml​​

# 对master进行测试
kube-bench run -s master

# 对master进行测试并只显示FAIL
kube-bench run -s master|grep FAIL

测试node

​​Kubelet配置​​​参考地址: ​​https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kubelet/​​

​​Kubelet​​​配置文件:​​/etc/kubernetes/kubelet.conf​​

# 对node进行测试
kube-bench run -s node

修改完​​Kubelet​​​配置文件后,需要重启​​kubelet​​服务

# 重载服务
systemctl daemon-reload

# 重启kubelet服务
systemctl restart kubelet

测试ETCD

​​ETCD​​​配置文件:​​/etc/kubernetes/manifests/etcd.yaml​​

# 对etcd进行测试
kube-bench run -s etcd