不等更新题库

CKS 题库 11、AppArmor

Context:

APPArmor 已在 cluster 的工作节点node02上被启用。一个 APPArmor 配置文件已存在，但尚未被实施。

Task:

在 cluster 的工作节点node02上，实施位于 /etc/apparmor.d/nginx_apparmor 的现有APPArmor 配置文件。
编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。
最后，应用清单文件并创建其中指定的 Pod 。

请注意，考试时，考题里已表明APPArmor在工作节点上，所以你需要ssh到开头写的工作节点上。
在模拟环境，你需要ssh到node02这个工作节点。

---

参考:

https://kubernetes.io/zh/docs/tutorials/security/apparmor/#example

解答:

切换集群

kubectl config use-context KSSH00401

连接到 node02 并切换到 root

ssh node02
sudo -i

切换到 apparmor 目录, 并检查配置文件

vi /etc/apparmor.d/etc/apparmor.d/nginx_apparmor

nginx_apparmor

#include <tunables/global>
#nginx-profile-3 #检查这一行是否存在 存在则注释掉
profile nginx-profile-3 flags=(attach_disconnected) {#include <abstractions/base>file,# Deny all file writes.deny /** w,
}

执行 并 检查 apparmor策略模块

apparmor_parser -q /etc/apparmor.d/nginx_apparmor
apparmor_status | grep nginx-profile-3

修改 pod 文件

（注意！注意！考试时，这个文件是在默认登录的终端那个初始节点上的，而不是在这个work节点的）

vi /cks/KSSH00401/nginx-deploy.yaml

添加注解

annotations:container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3

创建pod

kubectl -f  /cks/KSSH00401/nginx-deploy.yaml create

检查

kubectl get pod
kubectl exec podx -- cat /proc/1/attr/current
kubectl exec podx -- touch /tmp/test

查看current显示 xxx (enforce)
创建文件提示权限不足