我們最近釋出了一款叫做Kube-hunter[1]的免費工具。你只需提供你的Kubernetes叢集的IP或者DNS名稱,Kube-hunter就會探查叢集中的安全漏洞——這個過程就像是自動化的滲透測試。
註意:這個工具目的是為了幫助測試你自己部署的叢集,以便你找到潛在的安全問題。請不要用這個工具探測不屬於你的叢集!
如果你的叢集的Kubernetes監控面板被暴露到公網或者你的kubelets可以被外界訪問,Kube-hunter會向你發出警告。
Kube-hunter是開源[2]的,我們同時也提供容器化的版本,使它可以很容易的執行起來。容器化的版本需要和我們的kube-hunter網站[3]一起使用,在這個網站上你可以很容易的檢視結果,並將結果共享給你的團隊。
在kube-hunter網站,輸入你的email, 你將會得到一個包含token的Docker命令,複製該命令並執行它(確保你安裝了Docker),系統將會彈出框提示你輸入你想測試的Kubernetes的叢集的地址。當所有測試執行完後,你將會看到一個用於檢視結果的唯一URL(與之前的token相關聯),你可以將這個URL分享給需要檢視結果的其他任何人。
此處應該翻譯為主動獵人,但是下文中active更容易理解
Kube-hunter預設只執行“被動獵人”,被動獵人指的是一系列測試,這些測試是用於探測叢集中的潛在訪問點(如開放埠)。
你也可以開啟“主動打獵”樣式,只需要加上–active引數。當使用active樣式時,kube-hunter會嘗試利用“被動獵人”發現的任何弱點來進行一些額外的測試。active獵人目的是為了展示攻擊者可能做的事情,雖然我們並不想這些測試做任何破壞性的操作,但是你應該謹慎使用,因為active獵人可能會改變叢集的狀態或其中執行的程式碼。例如:有一個 active獵人[4]嘗試進入一個容器並執行uname命令。
或許我不該強調這麼多遍,但是你絕對不能把kube-hunter用於別人的叢集!雖然這個工具極大可能被用於攻擊其他網站,但是絕對不是我們的目的(如果您使用kube-hunter網站,在您接受的條款和條件中明確的禁止了這類事情)。
在釋出kube-hunter之前,我們仔細考慮了它會被壞人利用的可能性;但事實上,他們可能已經透過一些通用工具,例如port scanning (埠掃描)進行了類似的測試。我們希望為Kubernetes管理員,操作員和工程師提供一種簡單的方法來識別他們叢集中的安全漏洞,以便這些漏洞被攻擊者利用之前被解決掉。
你可以在kube-hunter網站上找到已經實現的測試串列,或者使用–list引數執行kube-hunter。這些測試尚不全面,但確實有很多獵人可以發現許多常見問題。
基礎的測試程式碼是開源的(你可以在不使用網站的情況下執行),我們歡迎大家的反饋,想法,希望大家能貢獻其他獵人的程式碼!
-
https://kube-hunter.aquasec.com/
-
https://github.com/aquasecurity/kube-hunter
-
http://kube-hunter.aquasec.com/
-
https://github.com/aquasecurity/kube-hunter/blob/25b226e8498b55fa1ef694dd939f2c1267e89f11/src/modules/hunting/kubelet.py#L295
原文連結:https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing
Kubernetes應用實戰培訓將於2018年10月12日在深圳開課,3天時間帶你係統學習Kubernetes。本次培訓包括:容器基礎、Docker基礎、Docker進階、Kubernetes架構及部署、Kubernetes常用物件、Kubernetes網路、儲存、服務發現、Kubernetes的排程和服務質量保證、監控和日誌、Helm、專案實踐等,點選下方圖片檢視詳情。
長按二維碼向我轉賬
受蘋果公司新規定影響,微信 iOS 版的贊賞功能被關閉,可透過二維碼轉賬支援公眾號。
![]()
微信掃一掃
使用小程式
知識星球
