aquasec/kube-bench
aquasec
自动构建
此Docker镜像用于在主机上安装kube-bench Go应用程序。
17 次收藏下载次数: 0状态:自动构建维护者:aquasec仓库类型:镜像最近更新:22 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
kube-bench Docker镜像文档
1. 镜像概述和主要用途
1.1 概述
kube-bench是一款基于CIS Kubernetes Benchmark的安全检查工具,用于验证Kubernetes集群是否按照安全最佳实践部署。该Docker镜像包含kube-bench的Go语言应用程序,可便捷地在主机或Kubernetes集群中运行,执行安全合规性检查。
1.2 主要用途
- 评估Kubernetes集群的安全配置是否符合CIS Kubernetes Benchmark标准
- 识别集群部署中的安全漏洞和不合规项
- 生成详细的安全检查报告,辅助安全审计与合规验证
2. 核心功能和特性
- 遵循CIS基准:严格实现CIS Kubernetes Benchmark中的安全检查项,确保测试结果与行业安全标准一致
- 灵活配置:测试用例通过YAML文件定义,便于随CIS基准更新或自定义检查规则
- 版本自适应:默认根据主机运行的Kubernetes版本自动选择匹配的CIS基准测试集
- 多环境支持:支持在Kubernetes集群内(作为Pod/Job)或直接通过Docker在主机上运行
- 轻量高效:基于Go语言开发,容器化部署,资源占用低,检查速度快
3. 使用场景和适用范围
3.1 适用场景
- Kubernetes集群安全审计:定期对生产/测试集群进行安全合规性检查
- 部署前验证:新集群部署或版本升级后,验证安全配置是否符合要求
- 合规性报告:满足内部安全政策或外部合规标准(如PCI-DSS、HIPAA)对Kubernetes安全的要求
- CI/CD集成:在部署流程中集成,确保代码和配置无安全隐患
3.2 适用范围
- Kubernetes集群(包括控制平面节点、工作节点)
- 支持的Kubernetes版本需参考CIS Kubernetes Benchmark版本映射(详见注意事项)
- 适用于需要符合CIS安全标准的组织或个人
4. 使用方法和配置说明
4.1 快速开始(Kubernetes集群内运行)
4.1.1 通过Job部署
kube-bench可作为Kubernetes Job运行,需挂载主机必要目录以访问配置文件和进程信息。执行以下命令部署官方提供的job.yaml:
bash# 应用Job配置 kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml # 查看Pod状态 kubectl get pods | grep kube-bench # 等待Pod状态变为Completed后,查看检查结果 kubectl logs <kube-bench-pod-name>
4.1.2 结果示例
日志输出按CIS基准章节组织,包含检查项状态及说明:
[INFO] 1 Master Node Security Configuration [INFO] 1.1 API Server [PASS] 1.1.1 Ensure that the --anonymous-auth flag is set to false (Automated) [FAIL] 1.1.2 Ensure that the --authorization-mode flag includes Node (Automated) ...
4.2 Docker直接运行(主机环境)
在非Kubernetes环境中,通过Docker直接在主机运行,需挂载主机PID命名空间和相关目录:
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /etc/kubernetes:/etc/kubernetes \ -v /etc/systemd:/etc/systemd \ -v /lib/systemd:/lib/systemd \ -v /srv/kubernetes:/srv/kubernetes \ aquasec/kube-bench
参数说明:
--pid=host:访问主机PID命名空间,用于检查运行中的进程-v:挂载主机目录,确保kube-bench能读取Kubernetes配置文件(如/etc/kubernetes)、系统服务配置(如/etc/systemd)等
4.3 配置参数
4.3.1 环境变量
K8S_VERSION:手动指定Kubernetes版本(如1.28),覆盖自动检测结果BENCHMARK_VERSION:指定CIS基准版本(如cis-1.8),需与Kubernetes版本兼容OUTPUT_FORMAT:指定输出格式,支持text(默认)、json、csv
示例:指定Kubernetes 1.28版本和JSON输出格式
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /etc/kubernetes:/etc/kubernetes \ -e K8S_VERSION=1.28 \ -e OUTPUT_FORMAT=json \ aquasec/kube-bench
4.3.2 自定义测试配置
通过挂载自定义YAML测试文件,修改或扩展检查项。将自定义配置目录挂载至容器/etc/kube-bench/cfg:
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /path/to/custom/cfg:/etc/kube-bench/cfg \ # 挂载自定义配置目录 aquasec/kube-bench
5. 注意事项
5.1 CIS基准与Kubernetes版本映射
kube-bench测试集依赖CIS Kubernetes Benchmark版本,二者并非与Kubernetes版本同步发布。具体映射关系参考https://github.com/aquasecurity/kube-bench/blob/main/docs/platforms.md#cis-kubernetes-benchmark-support%E3%80%82
5.2 问题反馈
- 若kube-bench未正确实现CIS基准测试项,可在https://github.com/aquasecurity/kube-bench%E6%8F%90%E4%BA%A4issue
- 若对CIS基准本身有疑问,需通过CIS社区反馈
5.3 默认行为
kube-bench默认通过检测主机Kubernetes版本自动选择测试集。如需手动指定,可通过K8S_VERSION或BENCHMARK_VERSION环境变量覆盖。
6. 相关资源
- https://github.com/aquasecurity/kube-bench
- https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md
- CIS Kubernetes Benchmark官方文档
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 kube-bench 镜像标签
docker pull docker.xuanyuan.run/aquasec/kube-bench:<标签>
DockerHub 原生拉取命令
docker pull aquasec/kube-bench:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"