K8s集群安全|kubernetes-goat集群靶场环境

admin
admin
admin
0
文章
0
评论
2025-12-31 00:57:38 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了适配Docker的KubernetesGoat靶场搭建方案,提供易受攻击的K8s集群环境供安全研究。文章详述了自行搭建步骤,包括代理配置及启动脚本。此外,作者分享了预搭建的一主一从K8s虚拟机镜像及访问凭证,方便读者直接用于红蓝对抗学习与测试。 综合评分: 85 文章分类: 云安全,安全工具,实战经验

cover_image

K8s集群安全|kubernetes-goat集群靶场环境

原创

摸鱼信安

摸鱼信安

2025年12月30日 18:04 重庆

kubernetes-goat+docker

因为最近在学习k8s相关内容

考虑到国内绝大部分公司的项目依旧习惯使用docker,所以将kubernetes-goat的Container容器切换为docker

Kubernetes Goat

✨ The Kubernetes Goat is designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security 🚀

后续会发布一些关于k8s集群、云原生安全相关内容,欢迎关注公众号

自行搭建

自行搭建k8s集群环境~

克隆环境

https://github.com/wpsec/kubernetes-goat-docker.git

如遇到镜像问题,所有 node 打上代理,然后进行拉取

# node
sudomkdir-p/etc/systemd/system/docker.service.d

sudotee/etc/systemd/system/docker.service.d/http-proxy.conf<<EOF
[Service]
Environment="HTTP_PROXY=http://192.168.10.107:7897"
Environment="HTTPS_PROXY=http://192.168.10.107:7897"
Environment="NO_PROXY=localhost,127.0.0.1,.cluster.local,.svc.cluster.local,10.96.0.0/12,192.168.0.0/16,172.17.0.0/16"
EOF

sudosystemctldaemon-reload
sudosystemctlrestartdocker
sudosystemctlshowdocker&nbsp;--property=Environment

HELM

HELM_VER="v3.12.0"
curl-fsSLhttps://get.helm.sh/helm-${HELM_VER}-linux-amd64.tar.gz-o/tmp/helm.tgz
tar-zxvf/tmp/helm.tgz-C/tmp
mv/tmp/linux-amd64/helm/usr/local/bin/helm
chmod+x/usr/local/bin/helm
helmversion

cd/root/kubernetes-goat
helminstallmetadata-db./scenarios/metadata-db--namespacedefault--create-namespace-f&nbsp;./scenarios/metadata-db/values.yaml

启动服务

./setup-kubernetes-goat.sh

端口转发

http://xxxx:1234

./access-kubernetes-goat.sh

如果不用了,删除

./teardown-kubernetes-goat.sh

K8s一主两从环境

如果不会想自己搭建,我搭好了,可以直接下载使用

关注公众号,回复 k8s 获取下载链接

这里没有使用k3s或其它环境,用的一主两从(简化为一主一从,虚拟机大小约35G)的原生k8s,最大化模拟真实环境,因为我后面会在这个环境下做红蓝两个视角的学习研究

镜像是从madhuakula拉的,master和node都是两张网卡,第一张网卡用于集群、固定IP地址、第二张网卡用于桥接、NAT都可以,方便访问。

集群内网IP:

新建一张虚拟网卡,什么模式都可以

网段:192.168.66.200/24(⚠️网关为200)

master:192.168.66.11

Node1:192.168.66.12

账户名/密码

root/toor

灵镜

推荐使用灵镜进行搭建(待补充)

使用

# 开启
cd&nbsp;/root/kubernetes-goat/
./setup-kubernetes-goat.sh
kubectl get pod
# 关闭
cd&nbsp;/root/kubernetes-goat/
./teardown-kubernetes-goat.sh

# 端口转发
./access-kubernetes-goat.sh

摸鱼信安交流群

失效请添加公众号回复:摸鱼群

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:摸鱼信安 摸鱼信安《K8s集群安全|kubernetes-goat集群靶场环境》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0