3.2.1 - Sicherstellen, dass die anonyme Authentifizierung nicht aktiviert ist (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Deaktiviert anonyme Anfragen an den Kubelet-Server.

Wenn aktiviert, werden Anfragen, die nicht von anderen konfigurierten Authentifizierungsmethoden abgelehnt werden, als anonyme Anfragen behandelt. Diese Anfragen werden dann vom Kubelet-Server bedient. Sie sollten sich auf die Authentifizierung verlassen, um den Zugriff zu autorisieren und anonyme Anfragen zu verhindern.

Hinweis

Weitere Informationen zum Standardwert finden Sie in der Dokumentation des EKS.

Auswirkung

Diese Konfiguration könnte die Benutzerfreundlichkeit für Nutzer, die sich auf anonymen Zugriff für bestimmte Funktionen oder schnelle Fehlerbehebung verlassen, geringfügig beeinträchtigen. Darüber hinaus könnte es aufgrund der zusätzlichen Authentifizierungsschritte für jede Anfrage zu einem minimalen Leistungsaufwand kommen.

Prüfung

Prüfmethode 1:

Kubelets können Konfigurationen über eine Konfigurationsdatei und in einigen Fällen über Befehlszeilenargumente akzeptieren. Es ist wichtig zu beachten, dass Parameter, die als Befehlszeilenargumente bereitgestellt werden, ihre entsprechenden Parameter in der Konfigurationsdatei überschreiben (siehe --config Details in der Kubelet CLI Referenz für weitere Informationen, wo Sie auch herausfinden können, welche Konfigurationsparameter als Befehlszeilenargumente angegeben werden können).

Vor diesem Hintergrund ist es wichtig, beim Überprüfen der Kubelet-Konfiguration sowohl das Vorhandensein von Befehlszeilenargumenten als auch von Einträgen in der Konfigurationsdatei zu überprüfen.

SSH zu jedem Knoten und führen Sie den folgenden Befehl aus, um den Kubelet-Prozess zu finden:
```
ps -ef | grep kubelet
```
Die Ausgabe des obigen Befehls liefert Details des aktiven Kubelet-Prozesses, aus denen wir die Befehlszeilenargumente des Prozesses sehen können. Beachten Sie auch den Speicherort der Konfigurationsdatei, die mit dem --config-Argument angegeben wird, da diese zur Überprüfung der Konfiguration benötigt wird.
Die Datei kann mit einem Befehl wie more oder less angezeigt werden, etwa so:
```
sudo less /path/to/kubelet-config.json
```
Überprüfen Sie, dass die anonyme Authentifizierung nicht aktiviert ist. Dies kann als Befehlszeilenargument für den Kubelet-Dienst mit --anonymous-auth=false oder in der Kubelet-Konfigurationsdatei über "authentication": { "anonymous": { "enabled": false } } konfiguriert werden.

Prüfmethode 2:

Es ist auch möglich, die laufende Konfiguration eines Kubelet über den /configz-Endpunkt der Kubernetes-API zu überprüfen. Dies kann erreicht werden, indem kubectl verwendet wird, um Ihre Anfragen an die API zu proxyen.

Entdecken Sie alle Knoten in Ihrem Cluster, indem Sie den folgenden Befehl ausführen:
```
kubectl get nodes
```
Initiieren Sie einen Proxy mit kubectl auf einem lokalen Port Ihrer Wahl. In diesem Beispiel verwenden wir 8080:
```
kubectl proxy --port=8080
```
Während dies läuft, führen Sie in einem separaten Terminal den folgenden Befehl für jeden Knoten aus:
```
export NODE_NAME=my-node-name
curl http://localhost:8080/api/v1/nodes/${NODE_NAME}/proxy/configz
```
Der Curl-Befehl gibt die API-Antwort zurück, die eine JSON-formatierte Zeichenkette darstellt, welche die Kubelet-Konfiguration repräsentiert.
Überprüfen Sie, dass die anonyme Authentifizierung nicht aktiviert ist, indem Sie sicherstellen, dass "authentication": { "anonymous": { "enabled": false } } in der API-Antwort enthalten ist.

Wiederherstellung

Behebungsmethode 1:

Wenn Sie über die Kubelet-Konfigurationsdatei konfigurieren, SSH zu jedem Knoten und führen Sie den folgenden Befehl aus, um den Kubelet-Prozess zu finden:
```
ps -ef | grep kubelet
```
Die Ausgabe liefert Details des aktiven Kubelet-Prozesses, aus denen wir den Speicherort der Konfigurationsdatei sehen können, die dem Kubelet-Dienst mit dem Argument --config bereitgestellt wird.
Die Datei kann mit einem Befehl wie more oder less angezeigt werden, etwa so:
```
sudo less /path/to/kubelet-config.json
```
Deaktivieren Sie die anonyme Authentifizierung, indem Sie den folgenden Parameter festlegen:
```
"authentication": { "anonymous": { "enabled": false } }
```

Behebungsmethode 2:

Wenn ausführbare Argumente verwendet werden, bearbeiten Sie die Kubelet-Dienstdatei auf jedem Worker-Knoten und stellen Sie sicher, dass die untenstehenden Parameter Teil der KUBELET_ARGS-Variablenzeichenfolge sind.

Für Systeme, die systemd verwenden, wie die Amazon EKS optimierten Amazon Linux oder Bottlerocket AMIs, kann diese Datei unter /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf gefunden werden. Andernfalls müssen Sie möglicherweise die Dokumentation für Ihr gewähltes Betriebssystem konsultieren, um festzustellen, welcher Dienstmanager konfiguriert ist:

--anonymous-auth=false

Für beide Abhilfemaßnahmen:

Basierend auf Ihrem System starten Sie den kubelet-Dienst neu und überprüfen Sie den Dienststatus. Das folgende Beispiel gilt für Betriebssysteme, die systemd verwenden, wie die Amazon EKS-optimierten Amazon Linux- oder Bottlerocket-AMIs, und ruft den systemctl-Befehl auf. Wenn systemctl nicht verfügbar ist, müssen Sie die Dokumentation für Ihr gewähltes Betriebssystem konsultieren, um festzustellen, welcher Dienstmanager konfiguriert ist:

systemctl daemon-reload
systemctl restart kubelet.service
systemctl status kubelet -l