centos k8s容器安全加固

CentOS环境下Kubernetes容器安全加固指南

一、系统基础安全加固（CentOS节点层）

关闭不必要的服务：禁用FTP、邮件服务器等未使用的服务（systemctl disable <service-name>），减少攻击面。
配置防火墙：使用firewalld或iptables限制仅开放Kubernetes必要端口（如API Server的6443、kubelet的10250/10255），默认拒绝所有其他流量。
禁用SELinux：临时执行setenforce 0，永久修改/etc/selinux/config中SELINUX=disabled（避免权限冲突）。
关闭Swap分区：执行swapoff -a并注释/etc/fstab中的Swap条目（提升容器隔离性）。
同步系统时间：安装chrony并配置NTP服务器（如server ntp.aliyun.com iburst），运行chronyc sources验证同步状态（确保日志、证书有效期等时间一致性）。
用户与权限管理：强制使用强密码（修改/etc/login.defs设置PASS_MIN_LEN 12、PASS_REQUIRE_MIXED_CASE yes）；锁定默认多余账户（如usermod -L adm、usermod -L lp）；限制su命令（编辑/etc/pam.d/su添加auth required pam_wheel.so use_uid，仅允许wheel组用户切换root）。

二、Kubernetes集群安全配置

1. 认证与授权

API Server TLS加密：为API Server、etcd、kubelet等关键组件生成CA证书、Server证书和Client证书（使用openssl），将证书放入/etc/kubernetes/pki，修改/etc/kubernetes/manifests/kube-apiserver.yaml添加--tls-cert-file、--tls-private-key-file、--client-ca-file参数，重启kubelet使配置生效（确保组件间通信全程加密）。
RBAC最小权限原则：遵循“最小权限”原则，创建命名空间（kubectl create namespace dev-ns）、服务账户（kubectl create serviceaccount dev-sa -n dev-ns）；定义角色（如限制仅能读取Pod的pod-reader角色：kubectl create role pod-reader --verb=get,list,watch --resource=pods -n dev-ns）；通过角色绑定（kubectl create rolebinding dev-rb --role=pod-reader --serviceaccount=dev-ns:dev-sa -n dev-ns）将权限分配给用户/组，避免使用cluster-admin角色给开发人员。
多因素认证（MFA）：集成OIDC（如Keycloak）、LDAP等身份提供商，或使用kube-bench强制API访问需MFA验证（提升身份认证安全性）。

2. 网络隔离

NetworkPolicy配置：使用Calico、Cilium等支持NetworkPolicy的CNI插件，配置deny-all默认策略（拒绝所有Pod间及出入站流量）；仅允许必要通信（如允许带app: frontend标签的Pod访问带app: backend标签的Pod的3306端口），示例：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: frontend-database-policy
  namespace: dev-ns
spec:
  podSelector:
    matchLabels:
      app: database
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 3306

节点隔离：通过firewalld/iptables限制对API Server端口（默认6443）的访问（仅允许可信IP段）；使用污点（taints）和容忍度（tolerations）控制工作负载调度（如将监控节点标记为NoSchedule，仅允许监控组件调度）。

3. 容器运行时安全

SecurityContext配置：在Pod或Container级别配置，强制非root运行（runAsNonRoot: true）、设置明确用户ID（runAsUser: 1000）、组ID（runAsGroup: 3000）；启用只读根文件系统（readOnlyRootFilesystem: true）；禁止权限提升（allowPrivilegeEscalation: false）；限制系统调用（seccompProfile: RuntimeDefault），示例：

apiVersion: v1
kind: Pod
metadata:
  name: secure-pod
  namespace: dev-ns
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  containers:
  - name: nginx
    image: nginx:1.25
    securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
      seccompProfile: RuntimeDefault

Pod安全标准（PSS）：使用Kubernetes 1.25+内置的Baseline（基线）或Restricted（严格）策略（替代已废弃的PSP），通过PodSecurity admission controller启用（如kubectl label ns dev-ns pod-security.kubernetes.io/enforce=restricted），限制容器特权模式、Linux capabilities、挂载卷类型（禁止hostPath）及宿主机命名空间共享（hostPID: false）。

三、镜像安全防护

可信镜像与最小化基础镜像：使用私有镜像仓库（如Harbor）托管镜像，避免从公共仓库（如Docker Hub）拉取未验证的镜像；优先选择Alpine、distroless等最小化基础镜像（减少不必要的组件和漏洞）。
镜像扫描与签名：部署前使用Trivy、Clair等工具扫描镜像漏洞（如CVE），阻断高风险镜像入集群；通过Cosign等工具对镜像进行签名，启用ImagePolicyWebhook验证签名（确保镜像完整性和来源可信）。

四、持续监控与审计

审计日志分析：启用Kubernetes审计日志（配置audit-policy.yaml），记录所有API请求（包括用户身份、操作时间、资源类型），使用ELK、Loki等工具分析日志（关联用户行为与异常操作）。
实时入侵检测：部署Falco监控异常容器行为（如容器内访问/etc/shadow、挂载宿主机敏感路径），配置告警规则（如Sensitive file accessed by container），及时响应安全事件。

五、数据安全与加密

etcd加密：启用etcd静态加密（修改/etc/kubernetes/manifests/etcd.yaml，添加--encryption-provider-config参数指向加密配置文件），保护Secret数据的存储安全（如数据库密码、API密钥）。
Secret管理方案：使用Vault CSI驱动实现动态密钥注入（避免Secret硬编码在Pod或镜像中），通过Vault的访问控制策略限制Secret的访问权限（如仅允许特定命名空间的Pod访问）。