歡迎光臨
每天分享高質量文章

Kube-hunter:一個用於Kubernetes滲透測試的開源工具

我們最近發佈了一款叫做Kube-hunter[1]的免費工具。你只需提供你的Kubernetes集群的IP或者DNS名稱,Kube-hunter就會探查集群中的安全漏洞——這個過程就像是自動化的滲透測試。
註意:這個工具目的是為了幫助測試你自己部署的集群,以便你找到潛在的安全問題。請不要用這個工具探測不屬於你的集群!
如果你的集群的Kubernetes監控面板被暴露到公網或者你的kubelets可以被外界訪問,Kube-hunter會向你發出警告。


運行Kube-hunter

Kube-hunter是開源[2]的,我們同時也提供容器化的版本,使它可以很容易的運行起來。容器化的版本需要和我們的kube-hunter網站[3]一起使用,在這個網站上你可以很容易的查看結果,並將結果共享給你的團隊。
在kube-hunter網站,輸入你的email, 你將會得到一個包含token的Docker命令,複製該命令並運行它(確保你安裝了Docker),系統將會彈出框提示你輸入你想測試的Kubernetes的集群的地址。當所有測試運行完後,你將會看到一個用於查看結果的唯一URL(與之前的token相關聯),你可以將這個URL分享給需要查看結果的其他任何人。


被動獵人以及active獵人

此處應該翻譯為主動獵人,但是下文中active更容易理解
Kube-hunter預設只運行“被動獵人”,被動獵人指的是一系列測試,這些測試是用於探測集群中的潛在訪問點(如開放端口)。
你也可以打開“主動打獵”樣式,只需要加上–active引數。當使用active樣式時,kube-hunter會嘗試利用“被動獵人”發現的任何弱點來進行一些額外的測試。active獵人目的是為了展示攻擊者可能做的事情,雖然我們並不想這些測試做任何破壞性的操作,但是你應該謹慎使用,因為active獵人可能會改變集群的狀態或其中運行的代碼。例如:有一個 active獵人[4]嘗試進入一個容器並運行uname命令。


負責任的進行滲透測試

或許我不該強調這麼多遍,但是你絕對不能把kube-hunter用於別人的集群!雖然這個工具極大可能被用於攻擊其他網站,但是絕對不是我們的目的(如果您使用kube-hunter網站,在您接受的條款和條件中明確的禁止了這類事情)。
在發佈kube-hunter之前,我們仔細考慮了它會被壞人利用的可能性;但事實上,他們可能已經通過一些通用工具,例如port scanning (端口掃描)進行了類似的測試。我們希望為Kubernetes管理員,操作員和工程師提供一種簡單的方法來識別他們集群中的安全漏洞,以便這些漏洞被攻擊者利用之前被解決掉。


測試

你可以在kube-hunter網站上找到已經實現的測試串列,或者使用–list引數運行kube-hunter。這些測試尚不全面,但確實有很多獵人可以發現許多常見問題。


開源測試

基礎的測試代碼是開源的(你可以在不使用網站的情況下運行),我們歡迎大家的反饋,想法,希望大家能貢獻其他獵人的代碼!
相關鏈接:
  1. https://kube-hunter.aquasec.com/

  2. https://github.com/aquasecurity/kube-hunter

  3. http://kube-hunter.aquasec.com/

  4. https://github.com/aquasecurity/kube-hunter/blob/25b226e8498b55fa1ef694dd939f2c1267e89f11/src/modules/hunting/kubelet.py#L295

原文鏈接:https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing

Kubernetes實戰培訓

Kubernetes應用實戰培訓將於2018年10月12日在深圳開課,3天時間帶你系統學習Kubernetes本次培訓包括:容器基礎、Docker基礎、Docker進階、Kubernetes架構及部署、Kubernetes常用物件、Kubernetes網絡、儲存、服務發現、Kubernetes的調度和服務質量保證、監控和日誌、Helm、專案實踐等,點擊下方圖片查看詳情。

赞(0)

分享創造快樂