해결책(단계별) :
1. 제한된 권한이 있는 서비스 계정 만들기:
- 최소한의 권한으로 새로운 ServiceAccount를 만듭니다.

2. 제한된 권한이 있는 역할 만들기: - 포드에 필요한 권한만 부여하는 역할을 만듭니다.

3. 역할을 서비스 계정에 바인딩합니다. - 역할을 서비스 계정에 바인딩합니다.

4. 서비스 계정을 사용하도록 PodS 구성 - 서비스 계정을 사용하도록 배포 YAML을 업데이트합니다.

해결책(단계별) :
1. 서비스 계정 생성
- 구성 파일에 액세스해야 하는 애플리케이션에 대한 서비스 계정을 만듭니다.
- 예:

2. 역할 생성: - 구성 파일에 대한 읽기 전용 액세스 권한을 부여하는 역할을 생성합니다. - 예:

3. 서비스 계정에 역할 바인딩: - 액세스 권한을 부여하려면 서비스 계정에 역할을 바인딩합니다. - 예:

4. 배포 업데이트: - 서비스 계정을 사용하고 볼륨 마운트를 지정하도록 배포 YAML을 업데이트합니다. - 예:

5. 변경 사항 적용: - 'kubectl apply -f' 명령을 사용하여 서비스 계정, 역할, 역할 바인딩 및 업데이트된 배포를 적용합니다.

API 서버:
--authorization-mode 인수에 RBAC가 포함되어 있는지 확인하세요.
역할 기반 액세스 제어를 활성화하세요. 역할 기반 액세스 제어(RBAC)를 사용하면 여러 엔터티가 클러스터의 여러 객체에 대해 수행할 수 있는 작업을 세부적으로 제어할 수 있습니다. RBAC 권한 부여 모드를 사용하는 것이 좋습니다.
수정 - 빌드타임
쿠버네티스
api 버전: v1
종류: 포드
메타데이터:
creationTimestamp: null
라벨:
구성 요소: kube-apiserver
계층: 제어 평면
이름: kube-apiserver
네임스페이스: kube-system
투기:
컨테이너:
- 명령:
+ - kube-apiserver
+ - --authorization-mode=RBAC,노드
이미지: gcr.io/google_containers/kube-apiserver-amd64:v1.6.0
라이브니스 프로브:
실패 임계값: 8
httpGet:
호스트: 127.0.0.1
경로: /healthz
포트: 6443
스키마: HTTPS
초기 지연 초: 15
시간 초과 초: 15
이름: kube-apiserver-should-pass
자원:
요청:
CPU: 250m
볼륨마운트:
- 마운트 경로: /etc/kubernetes/
이름: k8s
읽기 전용: 참
- 마운트 경로: /etc/ssl/certs
이름: 인증서
- mountPath: /etc/pki
이름: pki
호스트 네트워크: true
볼륨:
- 호스트 경로:
경로: /etc/kubernetes
이름: k8s
- 호스트 경로:
경로: /etc/ssl/certs
이름: 인증서
- 호스트 경로:
경로: /etc/pki
이름: pki
--authorization-mode 인수에 Node가 포함되어 있는지 확인하세요.
수정: 마스터 노드에서 API 서버 포드 사양 파일 /etc/kubernetes/manifests/kube-apiserver.yaml을 편집하고 --authorization-mode 매개변수를 Node.js를 포함하는 값으로 설정합니다.
--authorization-mode=노드, RBAC
심사:
/bin/ps -ef | grep kube-apiserver | grep -v grep
기대 결과:
'Node, RBAC'에는 'Node'가 있습니다.
--profiling 인수가 false로 설정되어 있는지 확인하세요.
해결 방법: 마스터 노드에서 API 서버 Pod 사양 파일 /etc/kubernetes/manifests/kube-apiserver.yaml을 편집하고 아래 매개변수를 설정합니다.
--프로파일링=거짓
심사:
/bin/ps -ef | grep kube-apiserver | grep -v grep
기대 결과:
'false'는 'false'와 같습니다.
Kubelet에서 발견된 다음 위반 사항을 모두 수정하세요. --anonymous-auth 인수가 false로 설정되어 있는지 확인하세요.
해결 방법: Kubelet 구성 파일을 사용하는 경우, 해당 파일을 편집하여 authentication: anonymous: enabled를 false로 설정합니다. 실행 가능한 인수를 사용하는 경우, 각 워커 노드의 Kubelet 서비스 파일 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf를 편집하고 KUBELET_SYSTEM_PODS_ARGS 변수에 아래 매개변수를 설정합니다.
--익명-인증=거짓
시스템에 따라 kubelet 서비스를 다시 시작하세요. 예:
systemctl 데몬 다시 로드
systemctl 재시작 kubelet.service
심사:
/bin/ps -fC 쿠벨렛
감사 구성:
/bin/cat /var/lib/kubelet/config.yaml
기대 결과:
'false'는 'false'와 같습니다.
2) --authorization-mode 인수가 Webhook으로 설정되어 있는지 확인하세요.
심사
docker inspect kubelet | jq -e '.[0].Args[] | match("--authorization-mode=Webhook").string' 반환 값: --authorization-mode=Webhook ETCD에서 발견된 다음 모든 위반 사항을 수정하십시오. a. --auto-tls 인수가 true로 설정되어 있지 않은지 확인하십시오. TLS에 자체 서명된 인증서를 사용하지 마십시오. etcd는 Kubernetes 배포에서 모든 REST API 객체를 영구적으로 저장하는 데 사용되는 고가용성 키 값 저장소입니다. 이러한 객체는 본질적으로 민감하므로 인증되지 않은 클라이언트가 사용할 수 없어야 합니다. etcd 서비스에 대한 액세스를 보호하려면 유효한 인증서를 통해 클라이언트 인증을 활성화해야 합니다.
수정 - 빌드타임
쿠버네티스
api 버전: v1
종류: 포드
메타데이터:
주석:
스케줄러.알파.쿠버네티스.io/크리티컬-포드: ""
creationTimestamp: null
라벨:
구성 요소: etcd
계층: 제어 평면
이름: etcd
네임스페이스: kube-system
투기:
컨테이너:
- 명령:
+ - 등
+ - --자동-tls=참
이미지: k8s.gcr.io/etcd-amd64:3.2.18
imagePullPolicy: IfNotPresent
라이브니스 프로브:
임원:
명령:
- /bin/sh
- -ec
- ETCDCTL_API=3 etcdctl --엔드포인트=https://[192.168.22.9]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt
--cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt --key=/etc/kubernetes/pki/etcd/healthcheck-client.key get foo failureThreshold: 8 initialDelaySeconds: 15 timeoutSeconds: 15 name: etcd-should-fail resources: {} volumeMounts:
- 마운트 경로: /var/lib/etcd
이름: etcd-data
- mountPath: /etc/kubernetes/pki/etcd
이름: etcd-certs
호스트 네트워크: true
priorityClassName: 시스템 클러스터 중요
볼륨:
- 호스트 경로:
경로: /var/lib/etcd
유형: DirectoryOrCreate
이름: etcd-data
- 호스트 경로:
경로: /etc/kubernetes/pki/etcd
유형: DirectoryOrCreate
이름: etcd-certs
상태: {}

해결책(단계별) :
1. 컨테이너 패치 도구 사용:
- 'kpatch' 또는 'image-patcher'와 같은 컨테이너 패치 도구를 사용하면 컨테이너 이미지를 다시 빌드하지 않고도 보안 패치를 적용할 수 있습니다. 이러한 도구를 사용하면 컨테이너 이미지의 파일 시스템을 수정하고 라이브러리를 직접 업데이트할 수 있습니다.
2. 취약한 라이브러리 식별:
- Trivy와 같은 취약성 스캐너를 사용하여 컨테이너 이미지 내에서 특정 취약한 라이브러리를 식별합니다.
3. 패치를 적용하세요:
- 컨테이너 패치 도구를 사용하여 컨테이너 이미지 내의 취약한 라이브러리에 보안 패치를 적용합니다. 이 작업에는 패치 다운로드, 컨테이너 이미지의 파일 시스템 수정, 관련 라이브러리 파일 업데이트가 포함됩니다.
4. 패치된 이미지 만들기:
- 컨테이너 패치 도구는 일반적으로 패치된 새 컨테이너 이미지를 생성합니다. 이 패치된 이미지에는 보안 수정 사항이 적용된 업데이트된 라이브러리가 포함됩니다.
5. 패치된 이미지를 레지스트리에 푸시합니다.
- 배포에 사용할 패치된 이미지를 개인 컨테이너 레지스트리로 푸시합니다.
6. 배포 업데이트
- 개인 레지스트리에서 새로 만든 패치 이미지를 사용하도록 "my-app" 배포 구성을 업데이트합니다.
7. 패치 검증:
- 배포를 업데이트한 후 실행 중인 컨테이너에서 취약성 검사를 실행하여 패치가 성공적으로 적용되었는지 확인합니다.

$vim /etc/falco/falco_rules.local.yaml
- 규칙: 컨테이너 드리프트 감지됨(열기+생성)
설명: open+create로 인해 컨테이너에 새로운 실행 파일이 생성됨
상태: >
evt.type에 (open, openat, creat)를 입력하고
evt.is_open_exec=true 및
컨테이너 및
runc_writing_exec_fifo가 아니고
runc_writing_var_lib_docker가 아니고
user_known_container_drift_activities가 아니며
이벤트.원시>=0
출력: >
%evt.time,%user.uid,%proc.name # 이것을 추가하세요/falco 문서를 참조하세요
우선순위: 오류
$kill -1 <Falco의 PID>
설명
[desk@cli] $ ssh node01 [node01@cli] $ vim /etc/falco/falco_rules.yaml 컨테이너 드리프트가 감지되었는지 검색하여 falco_rules.local.yaml에 붙여넣습니다. [node01@cli] $ vim /etc/falco/falco_rules.local.yaml
- 규칙: 컨테이너 드리프트 감지됨(열기+생성)
설명: open+create로 인해 컨테이너에 새로운 실행 파일이 생성됨
상태: >
evt.type에 (open, openat, creat)를 입력하고
evt.is_open_exec=true 및
컨테이너 및
runc_writing_exec_fifo가 아니고
runc_writing_var_lib_docker가 아니고
user_known_container_drift_activities가 아니며
이벤트.원시>=0
출력: >
%evt.time,%user.uid,%proc.name # 이것을 추가하세요/falco 문서를 참조하세요
우선순위: 오류
[node01@cli] $ vim /etc/falco/falco.yaml