安全加固是配置信息系統的過程，它可以降低信息系統安全風險。本書系統介紹操作系統、資料庫、中間件、容器四大板塊的相關安全配置，通過強化賬號安全、加固服務、修改安全配置、優化訪問控制策略、增加安全機制等方法，從風險分析、加固詳情、加固步驟3個維度講解每條安全配置項，有助於讀者充分了解每條安全配置項潛在的風險及如何進行加固，並在功能性與安全性之間尋求平衡，合理加強安全性。
    本書適用於指導產品研發人員研製默認配置安全的產品，規範技術人員在各類系統上的日常操作，讓運維人員獲得檢查默認安全風險的標準，避免人為因素的失誤帶來的安全風險。

白婧婧//田康//李博//高尉峰//朱康|責編:郭媛

第1篇  操作系統安全
  第1章  Linux
    1.1  賬號安全
      1.1.1  控制可登錄賬號
      1.1.2  禁止root用戶登錄
      1.1.3  禁用非活動用戶
      1.1.4  確保root用戶的GID為
      1.1.5  確保僅root用戶的UID為
    1.2  密碼安全
      1.2.1  設置密碼生存期
      1.2.2  設置密碼複雜度
      1.2.3  確保加密演算法為SHA-
      1.2.4  確保etcshadow密碼欄位不為空
    1.3  登錄、認證鑒權
      1.3.1  配置SSH服務
      1.3.2  設置登錄超時時間
      1.3.3  設置密碼鎖定策略
      1.3.4  禁止匿名用戶登錄系統
      1.3.5  禁用不安全服務
      1.3.6  禁用不安全的客戶端
      1.3.7  配置etccrontab文件許可權
      1.3.8  確保登錄警告配置正確
    1.4  日誌審計
      1.4.1  配置auditd服務
      1.4.2  配置rsyslog服務
      1.4.3  配置journald服務
      1.4.4  配置日誌文件最小許可權
    1.5  安全配置
      1.5.1  限制可查看歷史命令條數
      1.5.2  確保日誌文件不會被刪除
      1.5.3  iptables配置
      1.5.4  配置系統時間同步
      1.5.5  限制umask值
      1.5.6  限制su命令的訪問
      1.5.7  SELinux配置
      1.5.8  系統文件許可權配置
    1.6  安全啟動
      1.6.1  設置引導載入程序密碼
      1.6.2  配置引導載入程序許可權
      1.6.3  配置單用戶模式需要身份驗證
    1.7  安全編譯
      1.7.1  限制堆芯轉儲
      1.7.2  啟用XDNX支持
      1.7.3  啟用地址空間布局隨機化
      1.7.4  禁止安裝prelink
    1.8  主機和路由器系統配置
      1.8.1  禁止接收源路由數據包
      1.8.2  禁止數據包轉發
      1.8.3  關閉ICMP重定向
      1.8.4  關閉安全ICMP重定向

      1.8.5  記錄可疑數據包
      1.8.6  忽略廣播ICMP請求
      1.8.7  忽略虛假ICMP響應
      1.8.8  啟用反向路徑轉發
      1.8.9  啟用TCPSYNCookie
      1.8.10  禁止接收IPv6路由器廣告
  第2章  Windows
    2.1  賬戶安全
      2.1.1  禁用Guest賬戶
      2.1.2  禁用管理員賬戶
      2.1.3  刪除無用賬戶
      2.1.4  不顯示上次登錄的用戶名
      2.1.5  禁止空密碼登錄系統
      2.1.6  重命名來賓和管理員賬戶
      2.1.7  確保「賬戶鎖定時間」設置為「15」或更大的值
      2.1.8  確保「賬戶鎖定閾值」設置為「5」或更小的值
      2.1.9  確保「電腦賬戶鎖定閾值」設置為「10」或更小的值
      2.1.10  確保「重置賬戶鎖定計數器」設置為「15」或更大的值
      2.1.11  密碼過期之前提醒用戶更改密碼
    2.2  密碼策略
      2.2.1  啟用密碼複雜度相關策略
      2.2.2  確保「強制密碼歷史」設置為「24」或更大的值
      2.2.3  設置密碼使用期限
      2.2.4  設置最小密碼長度
    2.3  認證授權
      2.3.1  拒絕Guest、本地賬戶從網路訪問此電腦
      2.3.2  拒絕Guest、本地賬戶通過遠程桌面服務登錄
      2.3.3  配置遠程強制關機許可權
      2.3.4  限制可本地關機的用戶
      2.3.5  授權可登錄的賬戶
      2.3.6  分配用戶許可權
      2.3.7  控製備份文件和目錄許可權
      2.3.8  控制還原文件和目錄許可權
      2.3.9  控制管理審核和安全日誌許可權
      2.3.10  控制身份驗證后模擬客戶端許可權
      2.3.11  控制拒絕以服務身份登錄許可權
    2.4  日誌審計
      2.4.1  設置日誌存儲文件大小
      2.4.2  配置審核策略
    2.5  系統配置
      2.5.1  設置屏幕保護程序
      2.5.2  安全登錄
      2.5.3  限制匿名枚舉
      2.5.4  禁止存儲網路身份驗證的密碼和憑據
      2.5.5  使用DoH
      2.5.6  設置域成員策略
      2.5.7  控制從網路訪問編輯註冊表的許可權
      2.5.8  控制共享文件夾訪問許可權
      2.5.9  關閉Windows自動播放功能
      2.5.10  限製為進程調整內存配額許可權用戶

      15.4.1  確保--profiling參數為false
      15.4.2  禁止schedulerAPI服務綁定到非環回的不安全地址
    15.5  etcd
      15.5.1  為etcd服務配置TLS加密
      15.5.2  在etcd服務上啟用客戶端身份認證
      15.5.3  禁止自簽名證書用於TLS
      15.5.4  設置etcd的TLS連接
      15.5.5  配置etcd的對等身份認證
      15.5.6  禁止TLS連接時使用自簽名證書
    15.6  Worker節點配置文件
      15.6.1  配置Kubelet服務文件的屬主屬組和許可權
      15.6.2  配置代理kubeconfig文件的屬主屬組和許可權
      15.6.3  配置kubelet.conf文件的屬主屬組和許可權
      15.6.4  配置證書頒發機構文件的屬主屬組和許可權
      15.6.5  配置Kubelet配置文件的屬主屬組和許可權
    15.7  Kubelet配置
      15.7.1  禁止匿名請求Kubelet伺服器
      15.7.2  啟用顯式授權
      15.7.3  啟用Kubelet證書身份認證
      15.7.4  禁用只讀埠
      15.7.5  合理設置默認內核參數值
      15.7.6  允許Kubelet管理iptables
      15.7.7  不要覆蓋節點主機名
      15.7.8  在Kubelet上設置TLS連接
      15.7.9  啟用Kubelet客戶端證書輪換
      15.7.10  啟用Kubelet服務端證書輪換
    15.8  Kubernetes策略
      15.8.1  禁止hostPID設置為true
      15.8.2  禁止hostIPC設置為true
      15.8.3  禁止hostNetwork設置為true
      15.8.4  禁止allowPrivilegeEscalation設置為true
      15.8.5  禁止以root用戶運行容器
      15.8.6  確保所有命名空間都定義網路策略
結語

      2.5.11  配置修改固件環境值許可權
      2.5.12  配置載入和卸載設備驅動程序許可權
      2.5.13  配置更改系統時間許可權
      2.5.14  配置更改時區許可權
      2.5.15  配置獲取同一會話中另一個用戶的模擬令牌許可權
      2.5.16  阻止電腦加入家庭組
      2.5.17  阻止用戶和應用程序訪問危險網站
      2.5.18  掃描所有下載文件和附件
      2.5.19  開啟實時保護
      2.5.20  開啟行為監視
      2.5.21  掃描可移動驅動器
      2.5.22  開啟自動下載和安裝更新
      2.5.23  防止繞過WindowsDefenderSmartScreen
    2.6  網路安全
      2.6.1  LAN管理器配置
      2.6.2  設置基於NTMLSSP的客戶端和伺服器的最小會話安全策略
      2.6.3  設置LDAP客戶端簽名
      2.6.4  登錄時間到期時強制註銷
      2.6.5  禁止LocalSystemNULL會話回退
      2.6.6  禁止PKU2U身份驗證請求使用聯機標識
      2.6.7  配置Kerberos允許的加密類型
      2.6.8  允許本地系統將電腦標識用於NTLM
    2.7  本地安全策略
      2.7.1  設置提高計劃優先順序許可權
      2.7.2  設置創建符號鏈接許可權
      2.7.3  設置調試程序許可權
      2.7.4  設置文件單一進程和系統性能許可權
      2.7.5  設置創建永久共享對象許可權
      2.7.6  設置創建全局對象許可權
      2.7.7  設置創建一個令牌對象許可權
      2.7.8  設置執行卷維護任務許可權
      2.7.9  設置拒絕作為批處理作業登錄許可權
      2.7.10  設置替換一個進程級令牌許可權
      2.7.11  Microsoft網路客戶端安全配置
      2.7.12  Microsoft網路伺服器安全配置
      2.7.13  禁止將Everyone許可權應用於匿名用戶
      2.7.14  禁止設置匿名用戶可以訪問的網路共享
      2.7.15  控制應用程序安裝
      2.7.16  禁用sshd服務
      2.7.17  禁用FTP服務
      2.7.18  配置高級審核策略
      2.7.19  禁止在DNS域網路上安裝和配置網橋
      2.7.20  禁止在DNS域網路上使用Internet連接共享
    2.8  WindowsDefender防火牆
      2.8.1  開啟WindowsDefender防病毒功能
      2.8.2  開啟防火牆
      2.8.3  配置入站和出站連接
      2.8.4  配置日誌文件
第2篇  資料庫安全
  第3章  MySQL

    3.1  宿主機安全配置
      3.1.1  資料庫工作目錄和數據目錄存放在專用磁碟分區
      3.1.2  使用MySQL專用賬號啟動進程
      3.1.3  禁用MySQL歷史命令記錄
      3.1.4  禁止MYSQL_PWD的使用
      3.1.5  禁止MySQL運行賬號登錄系統
      3.1.6  禁止MySQL使用默認埠
    3.2  備份與容災
      3.2.1  制定資料庫備份策略
      3.2.2  使用專用存儲設備存放備份數據
      3.2.3  部署資料庫應多主多從
    3.3  賬號與密碼安全
      3.3.1  設置密碼生存周期
      3.3.2  設置密碼複雜度
      3.3.3  確保不存在空密碼賬號
      3.3.4  確保不存在無用賬號
      3.3.5  修改默認管理員賬號名為非root用戶
    3.4  身份認證連接與會話超時限制
      3.4.1  檢查資料庫是否設置連接嘗試次數
      3.4.2  檢查是否限制連接地址與設備
      3.4.3  限制單個用戶的連接數
      3.4.4  確保have_ssl設置為yes
      3.4.5  確保使用高強度加密套件
      3.4.6  確保加解密函數配置高級加密演算法
      3.4.7  確保使用新版本TLS協議
    3.5  資料庫文件目錄許可權
      3.5.1  配置文件及目錄許可權最小化
      3.5.2  備份數據許可權最小化
      3.5.3  二進位日誌許可權最小化
      3.5.4  錯誤日誌許可權最小化
      3.5.5  慢查詢日誌許可權最小化
      3.5.6  中繼日誌許可權最小化
      3.5.7  限制日誌許可權最小化
      3.5.8  插件目錄許可權最小化
      3.5.9  密鑰證書文件許可權最小化
    3.6  日誌與審計
      3.6.1  配置錯誤日誌
      3.6.2  確保log-raw設置為off
      3.6.3  配置log_error_verbosity
    3.7  用戶許可權控制
      3.7.1  確保僅管理員賬號可訪問所有資料庫
      3.7.2  確保file不授予非管理員賬號
      3.7.3  確保process不授予非管理員賬號
      3.7.4  確保super不授予非管理員賬號
      3.7.5  確保shutdown不授予非管理員賬號
      3.7.6  確保createuser不授予非管理員賬號
      3.7.7  確保grantoption不授予非管理員賬號
      3.7.8  確保replicationslave不授予非管理員賬號
    3.8  基本安全配置
      3.8.1  確保安裝最新補丁

      3.8.2  刪除默認安裝的測試資料庫test
      3.8.3  確保allow-suspicious-udfs配置為false
      3.8.4  local_infile參數設定
      3.8.5  skip-grant-tables參數設定
      3.8.6  daemon_memcached參數設定
      3.8.7  secure_file_priv參數設定
      3.8.8  sql_mode參數設定
  第4章  PostgreSQL
    4.1  目錄文件許可權
      4.1.1  確保配置文件及目錄許可權合理
      4.1.2  備份數據許可權最小化
      4.1.3  日誌文件許可權最小化
    4.2  日誌與審計
      4.2.1  確保已開啟日誌記錄
      4.2.2  確保已配置日誌生命周期
      4.2.3  確保已配置日誌轉儲大小
      4.2.4  確保配置日誌記錄內容完整
      4.2.5  確保正確配置log_destinations
      4.2.6  確保已配置log_truncate_on_rotation
      4.2.7  正確配置syslog_facility
      4.2.8  正確配置syslog_sequence_numbers
      4.2.9  正確配置syslog_split_messages
      4.2.10  正確配置syslog_ident
      4.2.11  正確配置log_min_messages
      4.2.12  正確配置log_min_error_statement
      4.2.13  確保禁用debug_print_parse
      4.2.14  確保禁用debug_print_rewritten
      4.2.15  確保禁用debug_print_plan
      4.2.16  確保啟用debug_pretty_print
      4.2.17  確保啟用log_connections
      4.2.18  確保啟用log_disconnections
      4.2.19  正確配置log_error_verbosity
      4.2.20  正確配置log_hostname
      4.2.21  正確配置log_statement
      4.2.22  正確配置log_timezone
    4.3  賬號與密碼安全
      4.3.1  設置密碼複雜度
      4.3.2  設置密碼生存周期
    4.4  身份認證連接與會話超時限制
      4.4.1  檢查資料庫是否設置連接嘗試次數
      4.4.2  檢查是否限制連接地址與設備
      4.4.3  限制單個用戶的連接數
      4.4.4  設置登錄校驗密碼
    4.5  備份與容災
      4.5.1  制定資料庫備份策略
      4.5.2  部署資料庫應多主多從
    4.6  用戶許可權控制
    4.7  安裝和升級安全配置
      4.7.1  確保安裝包來源可靠
      4.7.2  確保正確配置服務運行級別

      4.7.3  配置資料庫運行賬號文件掩碼
  第5章  Redis
    5.1  身份認證連接
      5.1.1  限制客戶端認證超時時間
      5.1.2  檢查資料庫是否設置連接嘗試次數
      5.1.3  配置賬號鎖定時間
    5.2  賬號密碼認證
    5.3  目錄文件許可權
      5.3.1  確保配置文件及目錄許可權合理
      5.3.2  備份數據許可權最小化
      5.3.3  日誌文件許可權最小化
    5.4  備份與容災
      5.4.1  制定資料庫備份策略
      5.4.2  部署資料庫應多主多從
    5.5  安裝與升級
      5.5.1  確保使用最新安裝補丁
      5.5.2  使用Redis專用賬號啟動進程
      5.5.3  禁止Redis運行賬號登錄系統
      5.5.4  禁止Redis使用默認埠
  第6章  MongoDB
    6.1  安裝和補丁
      6.1.1  確保使用最新版本資料庫
      6.1.2  使用MongoDB專用賬號啟動進程
      6.1.3  確保MongoDB未使用默認埠
      6.1.4  禁止MongoDB運行賬號登錄系統
    6.2  身份認證
      6.2.1  確保啟用身份認證
      6.2.2  確保本機登錄進行身份認證
      6.2.3  檢查是否限制連接地址與設備
      6.2.4  確保在集群環境中啟用身份認證
    6.3  備份與容災
      6.3.1  制定資料庫備份策略
      6.3.2  部署資料庫應多主多從
    6.4  日誌與審計
      6.4.1  確保日誌記錄內容完整
      6.4.2  確保添加新日誌採用追加方式而不是覆蓋
    6.5  目錄文件許可權
      6.5.1  確保配置文件及目錄許可權合理
      6.5.2  備份數據許可權最小化
      6.5.3  日誌文件許可權最小化
      6.5.4  確保密鑰證書文件許可權最小化
    6.6  許可權控制
      6.6.1  確保使用基於角色的訪問控制
      6.6.2  確保每個角色都是必要的且許可權最小化
      6.6.3  檢查具有root用戶角色的用戶
    6.7  傳輸加密
      6.7.1  確保禁用舊版本TLS協議
      6.7.2  確保網路傳輸使用TLS加密
第3篇  中間件安全
  第7章  Tomcat

    7.1  安全配置
      7.1.1  以普通用戶運行Tomcat
      7.1.2  修改默認埠
      7.1.3  設置密碼長度和複雜度
      7.1.4  配置日誌功能
      7.1.5  設置支持使用HTTPS等加密協議
      7.1.6  設置連接超時時間
      7.1.7  禁用危險的HTTP方法
    7.2  許可權控制
      7.2.1  禁用manager功能
      7.2.2  禁止Tomcat顯示文件列表
  第8章  Nginx
    8.1  協議安全
      8.1.1  配置SSL協議
      8.1.2  限制SSL協議和密碼
    8.2  安全配置
      8.2.1  關閉默認錯誤頁的Nginx版本號
      8.2.2  設置client_body_timeout超時
      8.2.3  設置client_header_timeout超時
      8.2.4  設置keepalive_timeout超時
      8.2.5  設置send_timeout超時
      8.2.6  設置只允許GET、HEAD、POST方法
      8.2.7  控制併發連接
  第9章  WebLogic
    9.1  安全配置
      9.1.1  以非root用戶運行WebLogic
      9.1.2  設置加密協議
      9.1.3  設置賬號鎖定策略
      9.1.4  更改默認埠
      9.1.5  配置超時退出登錄
      9.1.6  配置日誌功能
      9.1.7  設置密碼複雜度符合要求
    9.2  許可權控制
      9.2.1  禁用發送伺服器標頭
      9.2.2  限制應用伺服器Socket數量
  第10章  JBoss
    10.1  賬號安全
      10.1.1  設置jmx-console登錄的用戶名、密碼及其複雜度
      10.1.2  設置webservice登錄的用戶名、密碼及其複雜度
    10.2  安全配置
      10.2.1  設置支持加密協議
      10.2.2  修改默認埠
      10.2.3  設置會話超時時間
      10.2.4  限制目錄列表訪問
      10.2.5  記錄用戶登錄行為
  第11章  Apache
    11.1  賬號安全
      11.1.1  設置Apache用戶賬號Shell生效
      11.1.2  鎖定Apache用戶賬號
    11.2  安全配置

      11.2.1  禁用SSLTLS協議
      11.2.2  限制不安全的SSLTLS
      11.2.3  設置Timeout小於或等於
      11.2.4  設置KeepAlive為On
      11.2.5  設置MaxKeepAliveRequests大於或等於
      11.2.6  設置KeepAliveTimeout小於或等於
      11.2.7  限制所有目錄覆蓋
  第12章  IIS
    12.1  許可權控制
      12.1.1  卸載不需要的組件
      12.1.2  刪除默認站點
      12.1.3  設置網站目錄許可權
      12.1.4  限制應用程序擴展
      12.1.5  限制Web服務擴展
    12.2  安全配置
      12.2.1  日誌功能設置
      12.2.2  自定義錯誤信息
  第13章  WebSphere
    13.1  許可權控制
      13.1.1  控制config與properties目錄許可權
      13.1.2  禁止目錄瀏覽
    13.2  安全配置
      13.2.1  禁止列表顯示文件
      13.2.2  配置日誌功能
      13.2.3  啟用全局安全性
      13.2.4  啟用Java2安全性
      13.2.5  配置控制台會話超時時間
      13.2.6  卸載sample例子程序
第4篇  容器安全
  第14章  Docker
    14.1  Docker主機安全配置
      14.1.1  確保docker組中僅存在可信用戶
      14.1.2  審計Docker守護進程
      14.1.3  審計Docker文件和目錄
      14.1.4  確保Docker版本最新
    14.2  Docker守護進程配置
      14.2.1  以非root用戶運行Docker守護進程
      14.2.2  限制在默認網橋上的容器之間的網路流量
      14.2.3  設置日誌記錄級別為info
      14.2.4  允許Docker更改iptables
      14.2.5  禁止使用不安全的註冊表
      14.2.6  禁止使用aufs存儲驅動程序
      14.2.7  配置Docker守護進程的TLS身份驗證
      14.2.8  正確配置默認ulimit
      14.2.9  啟用用戶命名空間
      14.2.10  確保安裝授權插件
      14.2.11  配置集中和遠程日誌記錄
      14.2.12  限制容器獲取新許可權
      14.2.13  啟用實時還原
      14.2.14  確保禁用Userland代理

      14.2.15  禁用實驗特性
    14.3  Docker守護進程配置文件許可權
      14.3.1  配置Docker相關文件的許可權和屬主屬組
      14.3.2  配置etcdocker目錄的許可權和屬主屬組
      14.3.3  配置Docker相關證書文件目錄的許可權和屬主屬組
      14.3.4  配置Docker伺服器證書密鑰文件的許可權和屬主屬組
      14.3.5  配置Docker套接字文件的許可權和屬主屬組
      14.3.6  配置Containerd套接字文件的許可權和屬主屬組
    14.4  容器鏡像和構建文件配置
      14.4.1  以非root用戶運行容器
      14.4.2  僅使用受信任的基礎鏡像
      14.4.3  卸載容器中安裝的不必要的軟體
      14.4.4  確保鏡像無安全漏洞
      14.4.5  啟用Docker的內容信任
      14.4.6  容器鏡像中添加健康檢查
      14.4.7  確保在Dockerfiles中不單獨使用update指令
      14.4.8  刪除不必要的setuid和setgid許可權
      14.4.9  Dockerfiles中使用COPY而不使用ADD
      14.4.10  刪除Dockerfiles中的敏感信息
    14.5  容器運行時配置
      14.5.1  啟用AppArmor配置
      14.5.2  設置SELinux安全選項
      14.5.3  刪除容器所有不需要的功能
      14.5.4  不使用特權容器
      14.5.5  禁止以讀寫形式掛載主機系統敏感目錄
      14.5.6  禁止容器內運行sshd
      14.5.7  確保未映射特權埠
      14.5.8  關閉容器非必需埠
      14.5.9  確保容器不共享主機的網路命名空間
      14.5.10  限制容器的可用內存
      14.5.11  設置容器的CPU閾值
      14.5.12  合理掛載容器的根文件系統
      14.5.13  流量綁定特定的主機埠
      14.5.14  設置容器重啟策略
      14.5.15  不共享主機的PID命名空間
      14.5.16  不共享主機的IPC命名空間
      14.5.17  不直接暴露主機設備
      14.5.18  設置系統資源限制
      14.5.19  禁止將掛載傳播模式設置為共享
      14.5.20  不共享主機的UTS命名空間
      14.5.21  啟用默認的seccomp配置
      14.5.22  禁止dockerexec使用--privileged選項
      14.5.23  禁止dockerexec使用--user=root選項
      14.5.24  使用默認的Dockercgroup
      14.5.25  限制容器獲取額外的特權
      14.5.26  運行時檢查容器健康狀況
      14.5.27  使用鏡像的最新版本
      14.5.28  限制容器的pid個數
      14.5.29  不共享主機
    14.6  Dockerswarm配置
      14.6.1  非必要則禁用swarm模式
      14.6.2  創建最小數量的管理節點
      14.6.3  將swarm服務綁定到特定主機埠
      14.6.4  確保所有Dockerswarm覆蓋網路均加密
      14.6.5  確保swarmmanager在自動鎖定模式下運行
      14.6.6  隔離管理平面流量與數據平面流量
  第15章  Kubernetes
    15.1  MasterNode配置文件
      15.1.1  配置kube-apiserver.yaml的屬主屬組和許可權
      15.1.2  配置kube-controller-manager.yaml的屬主屬組和許可權
      15.1.3  配置kube-scheduler.yaml的屬主屬組和許可權
      15.1.4  配置etcd.yaml的屬主屬組和許可權
      15.1.5  配置容器網路介面文件的屬主屬組和許可權
      15.1.6  配置etcd數據目錄的屬主屬組和許可權
      15.1.7  配置admin.conf的屬主屬組和許可權
      15.1.8  配置scheduler.conf的屬主屬組和許可權
      15.1.9  配置controller-manager.conf的屬主屬組和許可權
      15.1.10  配置KubernetesPKI目錄及文件的屬主屬組和許可權
    15.2  APIServer
      15.2.1  不使用基本身份認證
      15.2.2  不使用基於令牌的身份認證
      15.2.3  使用HTTPS進行Kubelet連接
      15.2.4  啟用基於證書的Kubelet身份認證
      15.2.5  建立連接前驗證Kubelet證書
      15.2.6  禁止授權所有請求
      15.2.7  設置合理的授權方式
      15.2.8  設置新Pod重啟時按需拉取鏡像
      15.2.9  避免自動分配服務賬號
      15.2.10  拒絕在不存在的命名空間中創建對象
      15.2.11  拒絕創建不安全的Pod
      15.2.12  設置准入控制插件NodeRestriction
      15.2.13  不綁定不安全的apiserver地址
      15.2.14  不綁定不安全的埠
      15.2.15  不禁用安全埠
      15.2.16  啟用日誌審計
      15.2.17  設置合適的日誌文件參數
      15.2.18  設置適當的API伺服器請求超時參數
      15.2.19  驗證令牌之前先驗證服務賬號
      15.2.20  為apiserver的服務賬號設置公鑰文件
      15.2.21  設置apiserver和etcd之間的TLS連接
      15.2.22  設置apiserver的TLS連接
      15.2.23  設置etcd對客戶端的TLS連接
      15.2.24  設置加密存儲etcd鍵值
    15.3  Controller管理器
      15.3.1  每個控制器使用單獨的服務賬號憑證
      15.3.2  為Controller的服務賬號設置私鑰文件
      15.3.3  設置API伺服器的服務證書