Profilanwendbarkeit: Stufe 1 - Masterknoten
Überprüfen Sie das Dienstkonto, bevor Sie das Token validieren.
Wenn
--service-account-lookup nicht aktiviert ist, überprüft der apiserver nur, ob das Authentifizierungstoken
gültig ist, und validiert nicht, ob das im Antrag erwähnte Servicekonto-Token tatsächlich
in etcd vorhanden ist. Dies ermöglicht die Verwendung eines Servicekonto-Tokens, selbst
nachdem das entsprechende Servicekonto gelöscht wurde. Dies ist ein Beispiel für ein
Sicherheitsproblem von der Überprüfungszeit bis zur Nutzungszeit. |
HinweisStandardmäßig ist das Argument
--service-account-lookup auf true gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--service-account-lookup existiert und auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die API-Server-Podspezifikationsdatei /etc/kubernetes/manifests/kube-apiserver.yaml
auf dem Steuerknoten und setzen Sie den untenstehenden Parameter.
--service-account-lookup=true
Alternativ können Sie den
--service-account-lookup-Parameter aus dieser Datei löschen, damit der Standardwert wirksam wird.