最小化主机操作系统的占用空间(减少攻击面)
翻译
原文:https://devopscube.com/cks-exam-guide-tips/#minimize-host-os-footprint-reduce-attack-surface
- name: 翻译
desc: 原文:https://devopscube.com/cks-exam-guide-tips/#minimize-host-os-footprint-reduce-attack-surface
bgColor: '#F0DFB1'
textColor: 'green'
1
2
3
4
2
3
4
# 最小化主机操作系统的占用空间(减少攻击面)
- 删除对集群操作不必要的二进制文件和服务。
- 添加正确的防火墙规则,限制对主机上的开放端口访问。
- 容器 (opens new window)在主机操作系统上的权限应该最小。以非 root 用户身份运行容器。
限制内核模块 | 防止容器加载不需要的内核模块 (opens new window) |
(((译者加:通过配置文件/etc/modprobe.d/kubernetes-blacklist.conf
来限制容器可加载的内核模块。)))
译者加
查找某个进程的二进制文件路径:
# 假设:发现某个程序监听了 1234 端口,PID 为 36987
netstat -tnlp
# 方式一:筛选 PID 为 36987 的进程,然后即可看到对应的二进制文件
ps -aux | grep 1234
# 方式二
### 先列出监听 1234 端口的所有进程及其 PID
lsof -i :1234
### 然后查看创建该进程的二进制文件
ls -l /proc/36987/exe
ls -l /proc/<或其它PID>/exe
1
2
3
4
5
6
7
8
9
10
11
12
2
3
4
5
6
7
8
9
10
11
12
编辑 (opens new window)