节点上运行的基础架构组件生成的日 志，如 journal 日志。基础架构组件是在 openshift*、kube* 或 default 项目中运行的 pod。 audit - 由节点审计系统 (auditd) 生成的日志，这些日志保存在 /var/log/audit/audit.log 文件 中，以及 Kubernetes apiserver 和 OpenShift apiserver 的审计日志。 注意 注意 由于内部 默认情况下，日志收集器使用以下源： 所有系统的日志记录的 journald /var/log/containers/*.log 用于所有容器日志 如果您配置了日志收集器来收集审计日志，它会从 /var/log/audit/audit.log 中获取日志信息。 日志记录收集器是一个守护进程集，它将 pod 部署到每个 OpenShift Container Platform 节点。系统及基 础架构日志由来自操作系统、容器运行时和 retentionPolicy: 4 application: maxAge: 1d infra: maxAge: 7d audit: maxAge: 7d elasticsearch: nodeCount: 3 5 storage: storageClassName:

秒(30s)，以便收集器回收连接 并重新尝试在合理的时间内发送失败消息。(LOG-2534) 在此次更新之前，网关组件强制租期中的错误，用于读取带有 Kubernetes 命名空间的日志的有限 访问会导致 "audit" 以及一些 "infrastructure" 日志不可读取。在这个版本中，代理可以正确地检 测到具有 admin 访问权限的用户，并允许在没有命名空间的情况下访问日志。(LOG-2448) 在 发行版本中删除： 使用旧的 Fluentd 方法转发日志 使用旧的 syslog 方法转发日志 反之，使用以下非传统方法： 使用 Fluentd fohttps://www.redhat.com/security/data/cve/CVE-2021-22922.htmlrward 协议转 发日志 使用 syslog 协议转发日志 1.37.6. CVE 例 例 1.26. 点 点击 击以展开 以展开 节点上运行的基础架构组件生成的日 志，如 journal 日志。基础架构组件是在 openshift*、kube* 或 default 项目中运行的 pod。 audit - 由 auditd 生成的日志，节点审计系统存储在 /var/log/audit/audit.log 文件中，以及 Kubernetes apiserver 和 OpenShift apiserver 的审计日志。 注意 注意 由于内部

openshift.io/cluster-monitoring: "true" pod-security.kubernetes.io/enforce: privileged pod-security.kubernetes.io/audit: privileged pod-security.kubernetes.io/warn: privileged name: openshift-storage io/cluster-monitoring: "true" pod-security.kubernetes.io/enforce: privileged pod-security.kubernetes.io/audit: privileged pod-security.kubernetes.io/warn: privileged OpenShift io/cluster-monitoring: "true" pod-security.kubernetes.io/enforce: privileged pod-security.kubernetes.io/audit: privileged pod-security.kubernetes.io/warn: privileged

CREDENTIAL OPERATOR 19.2. 使用 MINT 模式 19.3. 使用 PASSTHROUGH 模式 19.4. 使用手动模式 19.5. 在 AMAZON WEB SERVICES SECURITY TOKEN SERVICE 中使用手动模式 19.6. 在 GCP WORKLOAD IDENTITY 中使用手动模式 132 134 134 138 150 156 156 162 [create] podsecuritypolicyreviews.security.openshift.io [] [] [create] podsecuritypolicyselfsubjectreviews.security.openshift.io [] [] [create] podsecuritypolicysubjectreviews.security.openshift.io [] [] [create] jenkins.build.openshift.io []

它必须指定一个有效的 syslog 工 具： kern、user、mail、daemon、auth、 syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, local1、local2、local3。local4、local5、local6 或 local7。 httpLogFormat 指定 HTTP TLS 安全配置文件为服务器提供了一种方式，以规范连接的客户端在连接服务器时可以使用哪些密码。 7.3.1.1. 了解 TLS 安全配置集 您可以使用 TLS（Transport Layer Security）安全配置集来定义各种 OpenShift Container Platform 组件 需要哪些 TLS 密码。OpenShift Container Platform TLS 安全配置集基于 TLS 安全配置集定义 Ingress Controller 的 TLS 连接的最低 TLS 版本和 TLS 密码。 您可以在 Status.Tls Profile 和 Spec.Tls Security Profile 下看到 IngressController 自定义资源（CR） 中配置的 TLS 安全配置集的密码和最小 TLS 版本。对于 Custom TLS 安全配置集，这两个参数下列出了

它必须指定一个有效的 syslog 工 具： kern、user、mail、daemon、auth、 syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, local1、local2、local3。local4、local5、local6 或 local7。 httpLogFormat 指定 HTTP 安全配置文件为服务器提供了一种方式，以规范连接的客户端在连接服务器时可以使用哪些密码。 6.3.1.1. 了解 了解 TLS 安全配置集 安全配置集 您可以使用 TLS（Transport Layer Security）安全配置集来定义各种 OpenShift Container Platform 组件 需要哪些 TLS 密码。OpenShift Container Platform TLS 安全配置集基于 TLS 安全配置集定义 Ingress Controller 的 TLS 连接的最低 TLS 版本和 TLS 密码。 您可以在 Status.Tls Profile 和 Spec.Tls Security Profile 下看到 IngressController 自定义资源（CR） 中配置的 TLS 安全配置集的密码和最小 TLS 版本。对于 Custom TLS 安全配置集，这两个参数下列出了

copy to oc adm must-gather --dest-dir=/local/directory # Gather audit information oc adm must-gather -- /usr/bin/gather_audit_logs # Gather information using multiple plug-in images oc adm must-gather current project oc adm policy add-role-to-user edit -z serviceaccount1 # Add the 'restricted' security context constraint to group1 and group2 oc adm policy add-scc-to-group restricted group1 group2 用法示例 用法示例 # Add the 'restricted' security context constraint to user1 and user2 oc adm policy add-scc-to-user restricted user1 user2 # Add the 'privileged' security context constraint to serviceaccount1

NetworkPolicies 资源，例如为了强制执行公司安全策略，您可以编辑 ServiceMeshControlPlane，将 spec.security.manageNetworkPolicy 设置设置为 false 注意 注意 当您禁用了 spec.security.manageNetworkPolicy，Red Hat OpenShift Service Mesh 不 会创建 任何 NetworkPolicy 在 Create ServiceMeshControlPlane Details 页中，点 YAML 修改您的配置。 5. 将 ServiceMeshControlPlane 字段 spec.security.manageNetworkPolicy 设置为 false，如下 例所示。 6. 点击 Save。 1.2.2.12. Red Hat OpenShift Service Mesh 2 OpenShift Service Mesh 2.1 版中包含的组件版本 apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec: security: trust: manageNetworkPolicy: false 第 第 1 章 章 SERVICE MESH 2.X 9 组 组件 件 版本 版本 Istio

用法示例 2.6.1.22. oc adm pod-network join-projects 加入项目网络 # Gather audit information oc adm must-gather -- /usr/bin/gather_audit_logs # Gather information using multiple plug-in images oc adm must-gather serviceaccount1 # Add the 'restricted' security context constraint to group1 and group2 oc adm policy add-scc-to-group restricted group1 group2 # Add the 'restricted' security context constraint to user1 and and user2 oc adm policy add-scc-to-user restricted user1 user2 # Add the 'privileged' security context constraint to serviceaccount1 in the current namespace oc adm policy add-scc-to-user privileged

-400 6 publisher: Example Org sourceType: grpc 7 grpcPodConfig: securityContextConfig: <security_mode> 8 nodeSelector: 9 custom_label: priorityClassName: system-cluster-critical "my-operators" namespace: "operators" spec: sourceType: grpc grpcPodConfig: securityContextConfig: <security_mode> 1 image: example.com/my/operator-index:v1 displayName: "My Operators" priority: 100 安全准入标准添加到目录源命名空间中，如下例 所示： .yaml 文件示例 文件示例 通过在命名空间中添加 security.openshift.io/scc.podSecurityLabelSync=false 标签来关 闭 pod 安全标签同步。 应用 pod 安全准入 pod-security.kubernetes.io/enforce 标签。将标签设置为 baseline 或 privileged。使用