Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass die Dateibesitzrechte des Dienstes
kubelet auf root:root gesetzt sind.Die
kubelet-Dienstdatei steuert verschiedene Parameter, die das Verhalten des kubelet-Dienstes im Arbeitsknoten festlegen. Sie sollten den Dateibesitz festlegen, um die
Integrität der Datei zu wahren. Die Datei sollte im Besitz von root:root sein. |
HinweisStandardmäßig ist der Besitz der
kubelet-Dienstdatei auf root:root festgelegt. |
Prüfung
Die automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT die Eingabe einer Variablen
für den <PATH>/<FILENAME> der Kubelet-Dienstkonfigurationsdatei zu ermöglichen. Setzen
Sie $kubelet_service_config=<PATH> basierend auf dem Dateispeicherort auf Ihrem System:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
Um das Audit manuell durchzuführen, führen Sie den folgenden Befehl (basierend auf
dem Dateispeicherort auf Ihrem System) auf jedem Workerknoten aus:
stat -c %U:%G /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Überprüfen Sie, ob der Besitz auf
root:root festgelegt ist.Wiederherstellung
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Workerknoten aus:
chown root:root /etc/systemd/system/kubelet.service.d/kubeadm.conf