CKS-CN 考试知识点分享(9) 关闭API凭据自动挂载
考试版本:cks-cn v1.33
Context
安全审计发现某个Deployment有不合规的服务账号令牌,这可能导致安全漏洞。
Task
首先,修改monitoring namespace中现有的stats-monitor-sa ServiceAccount,以关闭API凭据自动挂载。
然后,修改monitoring namespace中现有的stats-monitor Deployment,以注入装载在/var/run/secrets/kubernetes.io/serviceaccount/token ServiceAccount令牌。
使用名为token的投射卷,来注入ServiceAccount令牌,并确保它以只读方式挂载。
PS: 部署的清单配置文件可以在以下位置找到:~/stats-monitor/deployment.yaml
参考链接:
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/
Answer
关闭default 账户的自动挂载
kubectl -n monitoring edit sa stats-monitor-sa
vim ~/stats-monitor/deployment.yaml
主要是添加token的
- mountPath: /var/run/secrets/kubernetes.io/serviceaccount/tokenname: tokenreadOnly: true
---- name: tokenprojected:sources:- serviceAccountToken:path: token
应用此deployment
kubectl apply -f ~/stats-monitor/deployment.yaml
检查pod是否正常运行
