某不知名博客
carsaid
2023-12-05

最小化主机操作系统的占用空间(减少攻击面)

翻译

原文:https://devopscube.com/cks-exam-guide-tips/#minimize-host-os-footprint-reduce-attack-surface

- name: 翻译
  desc: 原文:https://devopscube.com/cks-exam-guide-tips/#minimize-host-os-footprint-reduce-attack-surface
  bgColor: '#F0DFB1'
  textColor: 'green'
1
2
3
4

# 最小化主机操作系统的占用空间(减少攻击面)

  1. 删除对集群操作不必要的二进制文件和服务。
  2. 添加正确的防火墙规则,限制对主机上的开放端口访问。
  3. 容器 (opens new window)在主机操作系统上的权限应该最小。以非 root 用户身份运行容器。
限制内核模块 防止容器加载不需要的内核模块 (opens new window)

(((译者加:通过配置文件/etc/modprobe.d/kubernetes-blacklist.conf来限制容器可加载的内核模块。)))

译者加

查找某个进程的二进制文件路径:

# 假设:发现某个程序监听了 1234 端口,PID 为 36987
netstat -tnlp

# 方式一:筛选 PID 为 36987 的进程,然后即可看到对应的二进制文件
ps -aux | grep 1234

# 方式二
### 先列出监听 1234 端口的所有进程及其 PID
lsof -i :1234
### 然后查看创建该进程的二进制文件
ls -l /proc/36987/exe
ls -l /proc/<或其它PID>/exe
1
2
3
4
5
6
7
8
9
10
11
12
编辑 (opens new window)
经常更新Kubernetes
最小化 IAM 角色

最小化 IAM 角色

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License