入侵現(xiàn)象

具體原因排查

iptables為空

kubelet裸奔

kubelet設(shè)置不當(dāng)

改進(jìn)方案

1. 機(jī)器防火墻設(shè)置，機(jī)器防火墻是整個(gè)系統(tǒng)最外層，即使機(jī)器的防火墻同步失敗，也不能默認(rèn)開放所有端口，而是應(yīng)該全部關(guān)閉，等待管理員連接到tty終端上檢查。

2. 使用機(jī)器時(shí)，假如機(jī)器不是暴露給外部使用的，公網(wǎng)IP可有可無(wú)的時(shí)候，盡量不要有公網(wǎng)IP，我們的機(jī)器才上線1天就被掃描到了漏洞，可想而知，公網(wǎng)上是多么的危險(xiǎn)

3. 使用kubelet以及其他系統(tǒng)服務(wù)時(shí)，端口監(jiān)聽方面是不是該有所考量？能不能不監(jiān)聽 0.0.0.0，而是只監(jiān)聽本機(jī)的內(nèi)網(wǎng)IP。

4. 使用kubelet以及其他程序，設(shè)計(jì)或是搭建系統(tǒng)時(shí), 對(duì)于匿名訪問(wèn)時(shí)的權(quán)限控制, 我們需要考慮到假如端口匿名會(huì)出現(xiàn)什么問(wèn)題，是否應(yīng)該允許匿名訪問(wèn)，如果不允許匿名訪問(wèn)，那么怎么做一套鑒權(quán)系統(tǒng)?

5. 系統(tǒng)管理員操作時(shí)，是否有一個(gè)比較規(guī)范化的流程，是不是該只使用腳本操作線上環(huán)境? 手動(dòng)操作線上環(huán)境帶來(lái)的問(wèn)題并不好排查和定位。
   我這里不是拋出疑問(wèn)，只是想告訴大家，考慮系統(tǒng)設(shè)計(jì)時(shí)，有必要考慮下安全性。

總結(jié)