「Lv037」の記事一覧

Pod Security Standards (PSS) において、特定のNamespaceをポリシー適用の対象外（免除）にするためのラベル（Exemptions）はサポートされているか。

Linuxの `seticap` コマンドを使用して、実行ファイルに特定のケーパビリティ（例: CAP_NET_BIND_SERVICE）を付与するメリットはどれか。

ServiceAccountのTokenRequest APIを使用して発行されたBound Token（紐付けトークン）は、Secretベースのトークンと異なり、何をトリガーに無効化されるか。

Falcoの設定で `file_output` を有効にした場合、ログファイルのローテーションや管理はFalco自体が行うか。

etcdのメンバーが故障し、クラスタから除外する必要がある場合に使用する `etcdctl` コマンドはどれか。

KubernetesのNetworkPolicyにおいて、`endPort` フィールドを使用する目的はどれか。

Trivyでコンテナイメージをスキャンする際、`.trivyignore` ファイルを使用して特定の脆弱性ID（CVE）を無視することができる。このファイルの記述形式として正しいものはどれか。

コンテナ内から `dmesg` コマンドを実行してカーネルリングバッファ（カーネルログ）を閲覧できないようにするために、ホスト側で設定すべきsysctlパラメータはどれか。

RBACにおいて、`certificate.k8s.io` APIグループの `signers` リソース名として `kubernetes.io/kube-apiserver-client` を指定したClusterRoleは何を許可するものか。

kube-apiserverの `–event-ttl` フラグのデフォルト値は通常1時間だが、これを短く設定することのセキュリティ上のトレードオフはどれか。