[Mai-2022] Linux Foundation CKS Dumps - Geheimnis zum Bestehen im ersten Versuch [Q20-Q40]

4/5 - (2 Stimmen)

[Mai-2022] Linux Foundation CKS Dumps - Geheimnis zum Bestehen im ersten Versuch

Linux Foundation CKS Exam Dumps [2022] Practice Valid Exam Dumps Frage

NR. 20 SIMULATION
Beheben Sie alle Probleme über die Konfiguration und starten Sie die betroffenen Komponenten neu, damit die neue Einstellung wirksam wird.
Beheben Sie alle folgenden Verstöße, die beim API-Server gefunden wurden: a. Stellen Sie sicher, dass das Argument RotateKubeletServerCertificate auf true gesetzt ist.
b. Vergewissern Sie sich, dass das Plugin PodSecurityPolicy für die Zulassungskontrolle eingestellt ist.
c. Stellen Sie sicher, dass das Argument -kubelet-certificate-authority entsprechend gesetzt ist.
Beheben Sie alle folgenden Verstöße, die gegen das Kubelet gefunden wurden:- a. Stellen Sie sicher, dass das Argument -anonymous-auth auf false gesetzt ist.
b. Stellen Sie sicher, dass das Argument -authorization-mode auf Webhook gesetzt ist.
Behebung aller folgenden Verstöße, die gegen das ETCD festgestellt wurden:-
a. Stellen Sie sicher, dass das Argument -auto-tls nicht auf true gesetzt ist
b. Stellen Sie sicher, dass das Argument -peer-auto-tls nicht auf true gesetzt ist
Tipp: Nutzen Sie das Tool Kube-Bench

NR. 21 Sie können den Cluster-/Konfigurationskontext mit dem folgenden Befehl wechseln:
[desk@cli] $ kubectl config use-context test-account
Aufgabe: Aktivieren Sie Audit-Protokolle im Cluster.
Aktivieren Sie dazu das Log-Backend, und stellen Sie sicher, dass:
1. die Protokolle werden unter /var/log/Kubernetes/logs.txt gespeichert
2. die Protokolldateien werden 5 Tage lang aufbewahrt
3. maximal 10 alte Audit-Protokolldateien aufbewahrt werden
Eine grundlegende Richtlinie wird unter /etc/Kubernetes/logpolicy/audit-policy.yaml bereitgestellt. Sie legt nur fest, was nicht protokolliert werden soll.
Hinweis: Die Basisrichtlinie befindet sich auf dem Masterknoten des Clusters.
Bearbeiten und erweitern Sie die Basisrichtlinie für die Protokollierung:
1. Knotenänderungen auf RequestResponse-Ebene
2. Der Request Body von persistentvolumes ändert sich im Namespace-Frontend
3. ConfigMap- und Secret-Änderungen in allen Namespaces auf der Metadaten-Ebene Fügen Sie außerdem eine Catch-All-Regel hinzu, um alle anderen Anfragen auf der Metadaten-Ebene zu protokollieren Hinweis: Vergessen Sie nicht, die geänderte Richtlinie anzuwenden.

NR. 22 SIMULATION
Erstellen Sie eine Netzwerkrichtlinie namens restrict-np, um den Pod nginx-test, der im Namensraum testing läuft, zu beschränken.
Erlauben Sie nur den folgenden Pods, sich mit dem Pod nginx-test zu verbinden: -
1. Pods im Namespace default
2. Pods mit dem Label version:v1 in einem beliebigen Namespace.
Stellen Sie sicher, dass Sie die Netzwerkrichtlinie anwenden.

Schicken Sie uns Ihr Feedback zu diesem Thema.

NR. 23 SIMULATION
Erstellen Sie eine RuntimeClass namens untrusted unter Verwendung des vorbereiteten Runtime-Handlers namens runsc.
Erstellen Sie einen Pods des Bildes alpine:3.13.2 im Namespace default, der auf der gVisor-Laufzeitklasse ausgeführt wird.
Überprüfen: Führen Sie die Pods aus und starten Sie dmesg, Sie werden folgende Ausgabe sehen:-

Senden Sie uns Ihr Feedback dazu.

NR. 24 SIMULATION
Bevor Sie irgendwelche Änderungen vornehmen, erstellen Sie die Dockerdatei mit dem Tag base:v1
Analysieren und bearbeiten Sie nun die angegebene Dockerdatei (basierend auf Ubuntu 16:04)
Behebung zweier in der Datei vorhandener Anweisungen, Überprüfung unter Sicherheitsaspekten und Verkleinerung.
Dockerfile:
FROM ubuntu:latest
RUN apt-get update -y
RUN apt install nginx -y
COPY entrypoint.sh /
RUN useradd ubuntu
ENTRYPOINT ["/entrypoint.sh"]
BENUTZER ubuntu
Einstiegspunkt.sh
#!/bin/bash
echo "Hallo von CKS"
Nachdem Sie die Dockerdatei korrigiert haben, erstellen Sie das Docker-Image mit dem Tag base:v2 To Verify: Überprüfen Sie die Größe des Abbilds vor und nach der Erstellung.

Senden Sie uns Ihr Feedback dazu.

NR. 25 Sie können den Cluster-/Konfigurationskontext mit dem folgenden Befehl wechseln:
[desk@cli] $ kubectl config use-context stage
Kontext:
Eine PodSecurityPolicy soll die Erstellung von privilegierten Pods in einem bestimmten Namensraum verhindern.
Aufgabe:
1. Erstellen Sie eine neue PodSecurityPolicy namens deny-policy, die die Erstellung von privilegierten Pods verhindert.
2. Erstellen Sie eine neue ClusterRole namens deny-access-role, die die neu erstellte PodSecurityPolicy deny-policy verwendet.
3. Erstellen Sie einen neuen ServiceAccount mit dem Namen psd-denial-sa im bestehenden Namespace development.
Erstellen Sie schließlich ein neues ClusterRoleBindind mit dem Namen restrict-access-bind, das die neu erstellte ClusterRole deny-access-role an den neu erstellten ServiceAccount psp-denial-sa bindet

NR. 26 Erzwingen Sie auf dem Cluster-Arbeitsknoten das vorbereitete AppArmor-Profil
1TP5Einschließen
profile docker-nginx flags=(attach_disconnected,mediate_deleted) {
#include
netzwerk inet tcp,
netzwerk inet udp,
netzwerk inet icmp,
Netzwerk raw verweigern,
Netzwerk-Paket verweigern,
Datei,
ummontieren,
verweigern /bin/** wl,
verweigern /boot/** wl,
verweigern /dev/** wl,
verweigern /etc/** wl,
verweigern /home/** wl,
verweigern /lib/** wl,
verweigern /lib64/** wl,
verweigern /media/** wl,
verweigern /mnt/** wl,
verweigern /opt/** wl,
verweigern /proc/** wl,
verweigern /root/** wl,
verweigern /sbin/** wl,
verweigern /srv/** wl,
verweigern /tmp/** wl,
verweigern /sys/** wl,
verweigern /usr/** wl,
audit /** w,
/var/run/nginx.pid w,
/usr/sbin/nginx ix,
verweigern /bin/dash mrwklx,
verweigern /bin/sh mrwklx,
verweigern /usr/bin/top mrwklx,
Fähigkeit chown,
Fähigkeit dac_override,
Fähigkeit setuid,
Fähigkeit setgid,
Fähigkeit net_bind_service,
deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir)
# Schreibzugriff auf Dateien verweigern, die sich nicht in /proc//** oder /proc/sys/** befinden
deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w, deny @{PROC}/sys/[^k]** w, # deny /proc/sys außer /proc/sys/k* (eigentlich /proc/sys/kernel) deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny alles außer shm* in /proc/sys/kernel/ deny @{PROC}/sysrq-trigger rwklx, deny @{PROC}/mem rwklx, deny @{PROC}/kmem rwklx, deny @{PROC}/kcore rwklx, deny mount, deny /sys/[^f]*/** wklx, deny /sys/f[^s]*/** wklx, deny /sys/fs/[^c]*/** wklx, deny /sys/fs/c[^g]*/** wklx, deny /sys/fs/cg[^r]*/** wklx, deny /sys/firmware/** rwklx, deny /sys/kernel/security/** rwklx,
}
Bearbeiten Sie die vorbereitete Manifestdatei, um das AppArmor-Profil aufzunehmen.
apiVersion: v1
Art: Pod
Metadaten:
Name: Panzerwagen
spez:
Container:
- Name: Panzerfaust
Bild: nginx
Wenden Sie schließlich die Manifestdateien an und erstellen Sie den darauf angegebenen Pod.
Überprüfen: Versuchen Sie den Befehl ping, top, sh zu verwenden.

Schicken Sie uns Ihr Feedback zu diesem Thema.

NR. 27 Verwenden Sie den Trivy, um die folgenden Bilder zu scannen,

1. amazonlinux:1

NR. 28 SIMULATION
Erstellen Sie eine neue NetworkPolicy mit dem Namen deny-all im Namensraum testing, die sämtlichen Verkehr des Typs ingress und egress verweigert

NR. 29 Erstellen Sie eine neue NetworkPolicy mit dem Namen deny-all im Namensraum testing, die sämtlichen Verkehr des Typs ingress und egress verweigert

NR. 30 Analysieren Sie mit dem Laufzeiterkennungs-Tool Falco das Verhalten des Containers für mindestens 20 Sekunden, indem Sie Filter verwenden, die neu gestartete und ausgeführte Prozesse in einem einzelnen Nginx-Container erkennen.

die Vorfallsdatei art /opt/falco-incident.txt speichern, die die erkannten Vorfälle enthält. einen pro Zeile, im Format

NR. 31 SIMULATION
a. Rufen Sie den Inhalt des bestehenden Geheimnisses mit dem Namen default-token-xxxxx im Namensraum testing ab.
Speichern Sie den Wert des Tokens in der Datei token.txt
b. Erstellen Sie ein neues Geheimnis namens test-db-secret im DB-Namensraum mit dem folgenden Inhalt:
Benutzername: mysql
Kennwort: passwort@123
Erstellen Sie den Pod-Namen test-db-pod des Images nginx im Namensraum db, der über ein Volume unter dem Pfad /etc/mysql-credentials auf test-db-secret zugreifen kann.

NR. 32 Erstellen Sie einen PSP, der die Erstellung von privilegierten Pods im Namespace verhindert.
Erstellen Sie eine neue PodSecurityPolicy namens prevent-privileged-policy, die die Erstellung von privilegierten Pods verhindert.
Erstellen Sie einen neuen ServiceAccount mit dem Namen psp-sa im Namespace default.
Erstellen Sie eine neue ClusterRolle namens prevent-role, die die neu erstellte Pod-Sicherheitsrichtlinie prevent-privileged-policy verwendet.
Erstellen Sie ein neues ClusterRoleBinding namens prevent-role-binding, das die erstellte ClusterRole prevent-role an die erstellte SA psp-sa bindet.
Überprüfen Sie außerdem, ob die Konfiguration funktioniert, indem Sie versuchen, einen privilegierten Pod zu erstellen.

NR. 33 Erstellen Sie einen Pod mit dem Namen Nginx-pod im Namespace testing, erstellen Sie einen Dienst für den Nginx-Pod mit dem Namen nginx-svc, verwenden Sie den Ingress Ihrer Wahl, führen Sie den Ingress auf tls, secure port aus.

Schicken Sie uns Ihr Feedback zu diesem Thema.

NR. 34 Bei einem bestehenden Pod mit dem Namen test-web-pod, der im Namensraum test-system läuft, bearbeiten Sie die bestehende Rolle, die an das Dienstkonto des Pods mit dem Namen sa-backend gebunden ist, um nur die Durchführung von get-Vorgängen an Endpunkten zu erlauben.
Erstellen Sie eine neue Rolle mit dem Namen test-system-role-2 im Namespace test-system, die Patch-Operationen auf Ressourcen des Typs statefulsets durchführen kann.

Erstellen Sie ein neues RoleBinding mit dem Namen test-system-role-2-binding, das die neu erstellte Rolle mit dem ServiceAccount sa-backend des Pods verbindet.

NR. 35 Im etcd gespeicherte Geheimnisse sind im Ruhezustand nicht sicher. Sie können das Dienstprogramm etcdctl verwenden, um den geheimen Wert zu ermitteln, z. B.

ETCDCTL_API=3 etcdctl get /registry/secrets/default/cks-secret -cacert="ca.crt" -cert="server.crt" -key="server.key"

NR. 36 Auf dem Cluster wird ein Container-Image-Scanner eingerichtet.
Bei einer unvollständigen Konfiguration im Verzeichnis
/etc/kubernetes/confcontrol und einen funktionierenden Container-Image-Scanner mit HTTPS-Endpunkt https://test-server.local.8081/image_policy

1. Aktivieren Sie das Zulassungs-Plugin.

NR. 37 Verwenden Sie die kubesec-Docker-Images, um das vorgegebene YAML-Manifest zu scannen, die empfohlenen Änderungen zu bearbeiten und anzuwenden, und bestehen Sie mit 4 Punkten.
kubesec-test.yaml
apiVersion: v1
Art: Pod
Metadaten:
Name: kubesec-demo
spez:
Container:
- Name: kubesec-demo
Bild: gcr.io/google-samples/node-hello:1.0
securityContext:
readOnlyRootFilesystem: true

Tipp: docker run -i kubesec/kubesec:512c5e0 scan /dev/stdin < kubesec-test.yaml

NR. 38 SIMULATION
Erzwingen Sie auf dem Cluster-Arbeitsknoten das vorbereitete AppArmor-Profil
1TP5Einschließen
profile nginx-deny flags=(attach_disconnected) {
#include
Datei,
# Alle Schreibzugriffe auf Dateien verweigern.
deny /** w,
}
EOF'
Bearbeiten Sie die vorbereitete Manifestdatei, um das AppArmor-Profil aufzunehmen.
apiVersion: v1
Art: Pod
Metadaten:
Name: Panzerwagen
spez:
Container:
- Name: Panzerfaust
Bild: nginx
Wenden Sie schließlich die Manifestdateien an und erstellen Sie den darauf angegebenen Pod.
Überprüfen: Versuchen Sie, eine Datei in dem Verzeichnis zu erstellen, das gesperrt ist.

Senden Sie uns Ihr Feedback dazu.

NR. 39 Beheben Sie alle Probleme über die Konfiguration und starten Sie die betroffenen Komponenten neu, damit die neue Einstellung wirksam wird.
Beheben Sie alle folgenden Verstöße, die beim API-Server gefunden wurden:- a. Stellen Sie sicher, dass das Argument -authorization-mode RBAC enthält b. Stellen Sie sicher, dass das Argument -authorization-mode Node enthält c. Stellen Sie sicher, dass das Argument -profiling auf false gesetzt ist Beheben Sie alle folgenden Verstöße, die beim Kubelet gefunden wurden:- a. Stellen Sie sicher, dass das Argument -anonymous-auth auf false gesetzt ist.
b. Stellen Sie sicher, dass das Argument -authorization-mode auf Webhook gesetzt ist.
Behebung aller folgenden Verstöße, die gegen das ETCD festgestellt wurden:-
a. Stellen Sie sicher, dass das Argument -auto-tls nicht auf true gesetzt ist
Tipp: Nutzen Sie das Tool Kube-Bench

NR. 40 SIMULATION
Analysieren und bearbeiten Sie die gegebene Dockerdatei
FROM ubuntu:latest
RUN apt-get update -y
RUN apt-install nginx -y
COPY entrypoint.sh /
ENTRYPOINT ["/entrypoint.sh"]
USER ROOT
Behebung von zwei Anweisungen in der Datei, bei denen es sich um wichtige Sicherheitsprobleme handelt Analysieren und Bearbeiten der Bereitstellungsmanifestdatei apiVersion: v1 kind: Pod Metadaten:
Name: Sicherheits-Kontext-Demo-2
spez:
securityContext:
runAsUser: 1000
Container:
- Name: sec-ctx-demo-2
Bild: gcr.io/google-samples/node-hello:1.0
securityContext:
runAsUser: 0
privilegiert: Wahr
allowPrivilegeEscalation: false
Behebung von zwei Feldern in der Datei, die wichtige Sicherheitsprobleme darstellen Fügen Sie keine Konfigurationseinstellungen hinzu oder entfernen Sie sie, sondern ändern Sie nur die vorhandenen Konfigurationseinstellungen Wenn Sie einen nicht privilegierten Benutzer für eine der Aufgaben benötigen, verwenden Sie den Benutzer test-user mit der Benutzerkennung 5487