centos k8s安装权限设置

在CentOS上安装Kubernetes（k8s）时，权限设置是一个关键步骤，以确保集群的安全性和稳定性。以下是详细的权限设置步骤和最佳实践：

1. 身份认证和授权

• 配置kubeconfig文件：

  • 在master节点上配置kubeconfig文件，包含访问Kubernetes API的必要凭证。
  • 如果需要在其他节点上执行kubectl命令，可以将master节点上的kubeconfig文件复制到其他节点，并设置相应的环境变量KUBECONFIG。

• 创建ServiceAccount和Role：

  • 创建一个ServiceAccount，用于给用户赋予权限。例如：

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: my-service-account
    

  • 创建一个Role，定义用户的权限。例如：

    apiVersion: rbac.authorization.k8s.io/v1
    kind: Role
    metadata:
      name: my-role
    rules:
    - apiGroups: [""]
      resources: ["pods"]
      verbs: ["get", "list", "watch", "create", "update", "delete"]
    

• 绑定Role和ServiceAccount：

  • 创建RoleBinding，将Role绑定到ServiceAccount。例如：

    apiVersion: rbac.authorization.k8s.io/v1
    kind: RoleBinding
    metadata:
      name: my-role-binding
    roleRef:
      kind: Role
      name: my-role
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: ServiceAccount
      name: my-service-account
      namespace: default
    

• 验证权限：

  • 使用以下命令检查用户是否具有足够的权限：

    kubectl auth can-i create pods --namespace default
    

  • 如果返回结果为"yes"，则表示用户具有相应的权限。

2. 系统安全策略

• 禁用不必要的超级用户：
  • 通过查看/etc/passwd文件，检测并锁定不必要的超级账户。
• 删除不必要的账号和组：
  • 删除系统默认的额外账户和组，如adm、lp、sync等，以减少系统被攻击的风险。
• 强化用户口令：
  • 设置复杂的口令，包含大写字母、小写字母、数字和特殊字符，并且长度大于10位。可以通过修改/etc/login.defs文件来强制执行这些要求。
• 保护口令文件：
  • 使用chattr命令给/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow文件加上不可更改属性，以防止未授权访问。
• 设置root账户自动注销时限：
  • 通过修改/etc/profile文件中的TMOUT参数，设置root账户的自动注销时限。
• 限制su命令：
  • 编辑/etc/pam.d/su文件，限制只有特定组的用户才能使用su命令切换为root。
• 限制普通用户的敏感操作：
  • 删除或修改/etc/security/console.apps下的相应程序的访问控制文件，防止普通用户执行关机、重启等敏感操作。
• 禁用ctrl+alt+delete重启命令：
  • 修改/etc/inittab文件，禁用ctrl+alt+del组合键重启机器的命令。
• 设置开机启动服务权限：
  • 确保/etc/rc.d/init.d/目录下所有文件的权限，只有root用户可以操作这些服务。
• 避免登录时显示系统信息：
  • 编辑/etc/securetty文件，限制root用户只能在特定的tty设备上登录。
• 限制NFS网络访问：
  • 确保/etc/exports文件具有最严格的访问权限设置。
• 配置防火墙：
  • 使用firewalld或iptables配置防火墙规则，限制对服务器的访问，只允许必要的端口对外开放。
• 定期更新系统和软件包：
  • 定期更新操作系统和软件包，以修复已知漏洞和安全问题。

3. Kubernetes安全策略

• 创建命名空间：

  • 命名空间用于隔离不同的资源，可以在其中定义不同的安全策略。

  apiVersion: v1
  kind: Namespace
  metadata:
    name: my-namespace
  

• 配置网络策略：

  • 通过Network Policy可以限制Pod之间的通信，提高网络安全性。

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: deny-all
  spec:
    podSelector: {}
    policyTypes:
    - Ingress
    - Egress
  

• 启用加密通信：

  • 通过启用加密通信，可以确保在Kubernetes集群中传输的数据是安全的。

  openssl genrsa -out ca.key 2048
  openssl req -x509 -new -nodes -key ca.key -subj "/CNmy-ca" -days 10000 -out ca.crt
  kubectl create secret generic my-secret --from-file ca.crt
  kubectl apply -f encrypted-service.crt
  kubectl apply -f encrypted-service.yaml
  

通过以上步骤，您可以在CentOS上成功安装Kubernetes并设置权限，确保系统的安全性和稳定性。建议根据实际情况调整和优化这些安全措施，以适应特定的业务需求和环境。