| 导读 | Vesta 是一款实用、方便的镜像扫描以及 Docker、Kubernetes 基线安全检查工具。 致力检查因为 Docker 或 Kubernetes 错误配置而导致的各种潜在安全问题的发生。 |
Vesta v1.0.2 更新内容如下:
新功能
- 增加 cilium 版本漏洞检测
- 增加 kubelet read-only-port 参数以及 kubectl proxy 的错误使用的检测
- 增加 etcd 安全配置的检测
- 增加 RoleBinding 安全配置的检测
- 镜像扫描增加 go 二进制检测
改进
- 优化 Layers 整合的方法,镜像扫描速度加快
目前 vesta 支持的 Kubernets 安全检查配置列表为
| Supported | Check Item | Description | Severity |
|---|---|---|---|
| √ | PrivilegeAllowed | 危险的特权模式 | critical |
| √ | Capabilities | 危险 capabilities 被设置 | critical |
| √ | PV and PVC | PV 被挂载到敏感目录并且状态为 active | critical/medium |
| √ | RBAC | K8s 权限存在危险配置 | high/medium |
| √ | Kubernetes-dashborad | 检查 -enable-skip-login 以及 dashborad 的账户权限 | critical/high/low |
| √ | Kernel version (k8s versions is less than v1.24) | 当前内核版本存在逃逸漏洞 | critical |
| √ | Docker Server version (k8s versions is less than v1.24) | Docker Server 版本存在漏洞 | critical/high/medium/low |
| √ | Kubernetes certification expiration | 证书到期时间小于 30 天 | medium |
| √ | ConfigMap and Secret check | ConfigMap 或者 Secret 是否存在弱密码 | high/medium |
| √ | Auto Mount ServiceAccount Token | Pod 默认挂载 /var/run/secrets/kubernetes.io/serviceaccount/token. | low |
| √ | NoResourceLimits | 没有限制资源的使用,例如 CPU,Memory, 存储 | low |
| √ | Job and Cronjob | Job 或 CronJob 没有设置 seccomp 或 seLinux 安全策略 | low |
| √ | Envoy admin | Envoy admin 被配置以及监听 0.0.0.0. | high/medium |
| √ | CVE-2022-29179 | 检测 CVE-2022-29179 是否存在 | high |
| √ | Kubelet 10255 and Kubectl proxy | 10255 port 打开或 Kubectl proxy 开启 | high/medium/low |
| √ | Etcd configuration | Etcd 安全配置检查 | high/medium |
原文来自:https://www.oschina.net/news/223469
本文地址:https://www.linuxprobe.com/vesta-docker-kubernetes.html编辑:roc_guo,审核员:清蒸github
Linux命令大全:https://www.linuxcool.com/
Linux系统大全:https://www.linuxdown.com/
红帽认证RHCE考试心得:https://www.rhce.net/
