Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei Berechtigungen von 600 oder restriktiver hat.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte nur von den
Administratoren des Systems beschreibbar sein. |
HinweisStandardmäßig hat die
/var/lib/kubelet/config.yaml-Datei, wie von kubeadm eingerichtet, Berechtigungen von 600. |
Prüfung
Die automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT die Eingabe einer Variablen
für den <PATH>/<FILENAME> der kubelet config yaml-Datei zu ermöglichen. Setzen Sie
$kubelet_config_yaml=<PATH> basierend auf dem Dateispeicherort auf Ihrem System:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
Um das Audit manuell durchzuführen, führen Sie den folgenden Befehl (basierend auf
dem Dateispeicherort auf Ihrem System) auf jedem Workerknoten aus:
stat -c %a /var/lib/kubelet/config.yaml
Überprüfen Sie, ob die Berechtigungen 600 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl aus (verwenden Sie den im Audit-Schritt identifizierten
Dateispeicherort der Konfigurationsdatei):
chmod 600 /var/lib/kubelet/config.yaml