CKS 문제 21
시뮬레이션
네임스페이스에서 권한 있는 포드 생성을 방지하는 PSP를 생성합니다.
권한 있는 포드 생성을 방지하는 prevent-privileged-policy라는 새 PodSecurityPolicy를 생성합니다.
네임스페이스 기본값에 psp-sa라는 새 ServiceAccount를 만듭니다.
새로 생성된 Pod 보안 정책 prevent-privileged-policy를 사용하는 prevent-role이라는 새 ClusterRole을 생성합니다.
생성된 ClusterRole prevent-role을 생성된 SA psp-sa에 바인딩하는 prevent-role-binding이라는 새 ClusterRoleBinding을 생성합니다.
또한 권한 있는 팟(Pod) 생성을 시도하여 구성이 작동하는지 확인하십시오. 실패해야 합니다.
네임스페이스에서 권한 있는 포드 생성을 방지하는 PSP를 생성합니다.
권한 있는 포드 생성을 방지하는 prevent-privileged-policy라는 새 PodSecurityPolicy를 생성합니다.
네임스페이스 기본값에 psp-sa라는 새 ServiceAccount를 만듭니다.
새로 생성된 Pod 보안 정책 prevent-privileged-policy를 사용하는 prevent-role이라는 새 ClusterRole을 생성합니다.
생성된 ClusterRole prevent-role을 생성된 SA psp-sa에 바인딩하는 prevent-role-binding이라는 새 ClusterRoleBinding을 생성합니다.
또한 권한 있는 팟(Pod) 생성을 시도하여 구성이 작동하는지 확인하십시오. 실패해야 합니다.
CKS 문제 22
시뮬레이션
서비스는 시스템 내부의 포트 389에서 실행 중이며 프로세스의 프로세스 ID를 찾아 /candidate/KH77539/files.txt에 열려 있는 모든 파일의 이름을 저장하고 바이너리도 삭제합니다.
서비스는 시스템 내부의 포트 389에서 실행 중이며 프로세스의 프로세스 ID를 찾아 /candidate/KH77539/files.txt에 열려 있는 모든 파일의 이름을 저장하고 바이너리도 삭제합니다.
CKS 문제 23
클러스터 작업자 노드에서 준비된 AppArmor 프로필을 적용합니다.
#include <조정 가능/전역>
프로필 nginx-deny flags=(attach_disconnected) {
#include <추상화/기본>
파일,
# 모든 파일 쓰기를 거부합니다.
거부 /** w,
}
EOF'
#include <조정 가능/전역>
프로필 nginx-deny flags=(attach_disconnected) {
#include <추상화/기본>
파일,
# 모든 파일 쓰기를 거부합니다.
거부 /** w,
}
EOF'
CKS 문제 24
시뮬레이션
컨테이너 이미지 스캐너가 클러스터에 설정됩니다.
디렉토리에 불완전한 구성이 주어졌을 때
/etc/kubernetes/confcontrol 및 HTTPS 끝점 https://test-server.local.8081/image_policy가 있는 기능적 컨테이너 이미지 스캐너
1. 승인 플러그인을 활성화합니다.
2. 제어 구성을 확인하고 암시적 거부로 변경합니다.
마지막으로 이미지 태그가 최신인 포드를 배포하여 구성을 테스트합니다.
컨테이너 이미지 스캐너가 클러스터에 설정됩니다.
디렉토리에 불완전한 구성이 주어졌을 때
/etc/kubernetes/confcontrol 및 HTTPS 끝점 https://test-server.local.8081/image_policy가 있는 기능적 컨테이너 이미지 스캐너
1. 승인 플러그인을 활성화합니다.
2. 제어 구성을 확인하고 암시적 거부로 변경합니다.
마지막으로 이미지 태그가 최신인 포드를 배포하여 구성을 테스트합니다.