2025年信息系统安全专家云原生安全与容器（Docker,Kubernetes）渗透测试专题试卷及解析.pdfVIP

2025年信息系统安全专家云原生安全与容器（DOCKER,KUBERNETES）渗透测试专题试卷及解析1

2025年信息系统安全专家云原生安全与容器

（Docker,Kubernetes）渗透测试专题试卷及解析

2025年信息系统安全专家云原生安全与容器（Docker,Kubernetes）渗透测试专题

试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Docker容器安全中，以下哪项是容器逃逸最常见的原因？

A、容器镜像漏洞

B、宿主机内核漏洞

C、容器配置错误

D、网络策略不当

【答案】B

【解析】正确答案是B。宿主机内核漏洞是容器逃逸最常见的原因，因为容器与宿

主机共享内核，内核漏洞可能导致容器突破隔离机制。A选项容器镜像漏洞通常导致容

器内应用层安全问题；C选项容器配置错误可能导致权限提升但不是直接逃逸；D选项

网络策略不当主要影响网络层安全。知识点：容器隔离机制、内核共享特性。易错点：

容易混淆容器内漏洞与宿主机漏洞的影响范围。

2、Kubernetes中，以下哪个组件负责认证和授权？

A、kubelet

B、kubeproxy

C、APIServer

D、etcd

【答案】C

【解析】正确答案是C。APIServer是Kubernetes的统一入口，负责处理所有REST

请求，包括认证和授权。A选项kubelet负责节点管理；B选项kubeproxy负责网络代

理；D选项etcd是键值存储。知识点：Kubernetes架构、认证授权流程。易错点：容

易混淆各组件功能，特别是kubelet与APIServer的职责。

3、Docker的privileged参数会带来什么安全风险？

A、增加容器资源限制

B、赋予容器完整宿主机权限

C、禁用容器网络

D、强制容器只读模式

【答案】B

【解析】正确答案是B。privileged参数会赋予容器几乎等同于宿主机的权限，包括

所有设备访问和系统调用能力。A选项资源限制实际被放宽；C选项网络不受影响；D

2025年信息系统安全专家云原生安全与容器（DOCKER,KUBERNETES）渗透测试专题试卷及解析2

选项文件系统可写。知识点：Docker安全配置、特权容器风险。易错点：容易忽略特权

容器的完整权限范围。

4、KubernetesRBAC中，哪个资源定义了权限规则？

A、RoleBinding

B、ClusterRole

C、ServiceAccount

D、TokenReview

【答案】B

【解析】正确答案是B。ClusterRole定义了权限规则（如API组、资源、动词），

RoleBinding负责绑定主体与权限。A选项是绑定关系；C选项是身份凭证；D选项是

认证接口。知识点：RBAC模型、权限分离原则。易错点：容易混淆权限定义与权限绑

定。

5、容器镜像扫描主要检测哪类安全问题？

A、运行时配置错误

B、网络策略漏洞

C、已知软件漏洞

D、权限提升风险

【答案】C

【解析】正确答案是C。镜像扫描主要检测镜像中包含的已知软件漏洞（CVE）。A、

B、D属于运行时安全问题。知识点：容器安全生命周期、静态分析技术。易错点：容

易混淆静态扫描与动态检测的目标。

6、Kubernetes网络策略默认行为是？

A、允许所有流量

B、拒绝所有流量

C、仅允许集群内流量

D、仅允许命名空间内流量

【答案】A

【解析】正确答案是A。默认情况下，Pod间通信完全开放，需要显式定义Net-

workPolicy来限制。B选项需要策略实现；C、D选项需要额外配置。知识点：零信任

网络、默认安全原则。易错点：容易误解默认安全策略方向。

7、DockerContentTrust（DCT）主要解决什么问题？

A、镜像存储加密

B、镜像签名验证

C、运行时审计

D、网络通信加密

2025年信息系统安全专家云原生安全与容器（DOCKER,KUBERNETES）渗透测试专题试卷及解析3

【答案】B

【