Rancher Hardening Guide Rancher v2.1.x

《Rancher Hardening Guide v2.1.x》提供了针对生产环境中Rancher安装的安全强化指导，旨在遵循CIS-Kubernetes基准控制。以下是文档的核心内容总结： ### 1. **默认sysctl设置配置** - **适用性**：Level 1 - **描述**：在所有主机上配置默认的sysctl设置，以增强系统安全性。 - **理由**：sysctl设置直接影响操作系统的行为，需确保其符合安全最佳实践。 ### 2. **Rancher管理控制平面RBAC管理** - **适用性**：Level 1 - **描述**：确保管理员权限仅授予需要的人员。 - **理由**：admin角色提供对Rancher服务器及其集群的最高访问权限，需严格控制。 - **审计**：使用提供的脚本检查具有管理员权限的用户。 - **修复建议**：移除不必要的admin角色。 ### 3. **审计日志启用** - **适用性**：Level 1 - **描述**：启用Rancher的内置审计日志功能。 - **理由**：审计日志可帮助追踪用户操作，提升安全事件的可追溯性。 - **审计**：检查审计日志参数是否配置正确，确认日志输出目标。 - **修复建议**：通过Helm升级Rancher并配置审计日志选项。 ### 4. **默认管理员密码更改** - **适用性**：Level 1 - **描述**：立即更改默认的管理员密码。 - **理由**：默认密码存在安全隐患，需及时修改。 - **审计**：尝试使用默认密码登录，确保其无效。 - **修复建议**：设置符合组织安全标准的强密码。 ### 5. **身份提供商配置** - **适用性**：Level 1 - **描述**：在生产环境中配置身份提供商进行认证。 - **理由**：集成外部认证系统可简化用户管理，确保访问控制符合组织流程。 - **审计**：检查认证提供程序是否正确配置并激活。 - **修复建议**：根据文档配置合适的认证提供程序。 ### 6. **禁用本地集群选项** - **适用性**：Level 2 - **描述**：在Rancher服务器上禁用本地集群选项。 - **理由**：本地集群提供对Rancher管理服务器的完全访问权限，禁用可减少潜在攻击面。 - **审计**：检查Rancher部署是否包含`--add-local=false`选项，确认UI中无本地集群。 - **修复建议**：升级至Rancher v2.1.2及以上版本，并在升级时设置`--set addLocal="false"`。 ### 7. **批准的节点驱动管理** - **适用性**：Level 1 - **描述**：确保仅启用必要的节点驱动。 - **理由**：未使用的节点驱动可能被恶意利用，需及时禁用。 - **审计**：检查Rancher控制台中的活动节点驱动。 - **修复建议**：禁用不必要的节点驱动。 ### 8. **网络策略和kubelet选项** - **适用性**：Level 1 - **描述**：配置网络策略，限制容器间的网络通信，并优化kubelet参数。 - **理由**：网络策略可防止未经授权的网络访问，kubelet参数优化提升集群安全性。 - **审计**：检查网络策略和kubelet配置文件。 - **修复建议**：根据文档配置网络策略和kubelet选项。 ### 9. ** Admission 控制** - **适用性**：Level 1 - **描述**：配置 Admission 控制，限制资源配额和速率限制。 - **理由**： Admission 控制可防止资源滥用和拒绝服务攻击。 - **审计**：检查 Admission 控制和速率限制配置。 - **修复建议**：创建并配置 admission.yaml 和 event.yaml 文件，确保其内容符合要求。 ### 总结 该文档提供了从配置sysctl设置到网络策略优化的全面安全强化指导，强调了RBAC管理、审计日志、身份认证、本地集群禁用等关键安全措施，适用于生产环境中的Rancher v2.1.x安装。