1.漏洞信息
2.漏洞说明
- SSL/TLS 协议信息泄露漏洞 (CVE-2016-2183)
通俗解释:这通常被称为 Sweet32 漏洞。意思是目标服务器(端口 6443)在建立加密连接时,还在支持一种叫做 3DES的老旧加密算法。
潜在风险:3DES的加密强度较弱,攻击者如果能截获大量的加密网络流量,就有可能利用数学规律“碰撞”出密码,从而解密出传输的敏感信息(如登录 Cookie、身份令牌等)。 - 目标主机支持 RSA 密钥交换
通俗解释:在 TLS 握手阶段,服务器允许使用 RSA 算法来协商加密密钥。
潜在风险:这种传统的密钥交换方式最大的缺陷是不支持“前向保密”。也就是说,如果攻击者某一天窃取到了服务器的私钥,他就能用这个私钥解密过去所有时间段内记录下来的加密流量。此外,RSA 密钥交换历史上也曾存在容易被暴力破解的漏洞(如 ROBOT 攻击)。
3.漏洞修复
3.1 备份
cp /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak3.2 添加安全证书
- 添加的时候一定要注意缩进
# 打开 apiserver 的静态 Pod 配置文件
vi /etc/kubernetes/manifests/kube-apiserver.yaml# 向下滚动,找到 spec.containers.command 列表。在现有的参数(比如 --advertise-address 之类的)下方,新增一行我们昨天用过的那串强加密套件白名单:
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA3843.3 保存并退出文件 :wq
- 此时不需要输入任何命令,静待apiserver重启完成,也可以通过命令观察
3.4 通过kubelet观察apiserver的变化
# 观察apiserver pod的启动状态
watch -n 2 kubectl get pods -n kube-system -l component=kube-apiserver# Kubelet 是负责监控 /etc/kubernetes/manifests/ 目录的幕后推手。你可以直接看它的日志,看它是怎么发现文件改变并采取行动的
journalctl -u kubelet -f