Profilanwendbarkeit: Stufe 1 - Masterknoten
Stellen Sie sicher, dass die
kubelet-Dienstdatei Berechtigungen von 600 oder restriktiver hat.Die
kubelet-Dienstdatei steuert verschiedene Parameter, die das Verhalten des kubelet-Dienstes im Arbeitsknoten festlegen. Sie sollten die Dateiberechtigungen einschränken,
um die Integrität der Datei zu wahren. Die Datei sollte nur von den Administratoren
des Systems beschreibbar sein. |
HinweisStandardmäßig hat die
kubelet-Dienstdatei Berechtigungen von 640. |
Prüfung
Die automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine
Variable für den <PATH>/<FILENAME> der Kubelet-Dienstkonfigurationsdatei einzugeben.
Setzen Sie $kubelet_service_config=<PATH> basierend auf dem Dateispeicherort auf Ihrem
System:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
Um die Prüfung manuell durchzuführen, führen Sie den folgenden Befehl (basierend auf
dem Dateispeicherort auf Ihrem System) auf jedem Workerknoten aus:
stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Überprüfen Sie, ob die Berechtigungen 600 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
chmod 600 /etc/systemd/system/kubelet.service.d/kubeadm.conf