导读 Vesta 是一款实用、方便的镜像扫描以及 Docker、Kubernetes 基线安全检查工具。 致力检查因为 Docker 或 Kubernetes 错误配置而导致的各种潜在安全问题的发生。

Vesta v1.0.2 更新内容如下:

新功能
  • 增加 cilium 版本漏洞检测
  • 增加 kubelet read-only-port 参数以及 kubectl proxy 的错误使用的检测
  • 增加 etcd 安全配置的检测
  • 增加 RoleBinding 安全配置的检测
  • 镜像扫描增加 go 二进制检测
改进
  • 优化 Layers 整合的方法,镜像扫描速度加快

目前 vesta 支持的 Kubernets 安全检查配置列表为

 

Supported Check Item Description Severity
PrivilegeAllowed 危险的特权模式 critical
Capabilities 危险 capabilities 被设置 critical
PV and PVC PV 被挂载到敏感目录并且状态为 active critical/medium
RBAC K8s 权限存在危险配置 high/medium
Kubernetes-dashborad 检查 -enable-skip-login 以及 dashborad 的账户权限 critical/high/low
Kernel version (k8s versions is less than v1.24) 当前内核版本存在逃逸漏洞 critical
Docker Server version (k8s versions is less than v1.24) Docker Server 版本存在漏洞 critical/high/medium/low
Kubernetes certification expiration 证书到期时间小于 30 天 medium
ConfigMap and Secret check ConfigMap 或者 Secret 是否存在弱密码 high/medium
Auto Mount ServiceAccount Token Pod 默认挂载 /var/run/secrets/kubernetes.io/serviceaccount/token. low
NoResourceLimits 没有限制资源的使用,例如 CPU,Memory, 存储 low
Job and Cronjob Job 或 CronJob 没有设置 seccomp 或 seLinux 安全策略 low
Envoy admin Envoy admin 被配置以及监听 0.0.0.0. high/medium
CVE-2022-29179 检测 CVE-2022-29179 是否存在 high
Kubelet 10255 and Kubectl proxy 10255 port 打开或 Kubectl proxy 开启 high/medium/low
Etcd configuration Etcd 安全配置检查 high/medium

原文来自:

本文地址://q13zd.cn/vesta-docker-kubernetes.html编辑:roc_guo,审核员:清蒸github

Linux大全:

Linux系统大全:

红帽认证RHCE考试心得: