Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei im Besitz von root:root ist.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig wird die
/var/lib/kubelet/config.yaml-Datei, die von kubeadm eingerichtet wurde, von root:root besessen. |
Prüfung
Die automatisierte AAC-Überprüfung wurde so geändert, dass CIS-CAT eine Variable für
den <PATH>/<FILENAME> der kubelet config yaml-Datei eingeben kann. Setzen Sie $kubelet_config_yaml=<PATH>
basierend auf dem Dateispeicherort auf Ihrem System:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
Um die Prüfung manuell durchzuführen, führen Sie den folgenden Befehl (basierend auf
dem Dateispeicherort auf Ihrem System) auf jedem Workerknoten aus:
stat -c %aU %G /var/lib/kubelet/config.yaml
Überprüfen Sie, ob der Besitz auf
root:root festgelegt ist.Wiederherstellung
Führen Sie den folgenden Befehl aus (unter Verwendung des im Audit-Schritt identifizierten
Dateispeicherorts der Konfigurationsdatei):
chown root:root /etc/kubernetes/kubelet.conf