3.2.7 - Stellen Sie sicher, dass das Argument --eventRecordQPS auf 0 oder ein Niveau eingestellt ist, das eine angemessene Ereigniserfassung gewährleistet (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Sicherheitsrelevante Informationen sollten erfasst werden. Die eventRecordQPS in der Kubelet-Konfiguration kann verwendet werden, um die Rate zu begrenzen, mit der Ereignisse erfasst werden, und legt die maximale Anzahl von Ereigniserstellungen pro Sekunde fest. Eine zu niedrige Einstellung könnte dazu führen, dass relevante Ereignisse nicht protokolliert werden, während die unbegrenzte Einstellung von 0 zu einem Denial-of-Service auf dem Kubelet führen könnte.

Es ist wichtig, alle Ereignisse zu erfassen und die Erstellung von Ereignissen nicht einzuschränken. Ereignisse sind eine wichtige Quelle für Sicherheitsinformationen und Analysen, die sicherstellen, dass Ihre Umgebung kontinuierlich mithilfe der Ereignisdaten überwacht wird.

Hinweis

Siehe die Amazon EKS-Dokumentation für den Standardwert.

Auswirkung

Das Festlegen dieses Parameters auf 0 könnte zu einem Denial-of-Service-Zustand führen, da übermäßig viele Ereignisse erstellt werden. Die Ereignisverarbeitungs- und Speichersysteme des Clusters sollten so skaliert werden, dass sie die erwarteten Ereignislasten bewältigen können.

Prüfung

Führen Sie den folgenden Befehl auf jedem Knoten aus:

sudo grep "eventRecordQPS" /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

Überprüfen Sie den für das Argument festgelegten Wert und bestimmen Sie, ob dieser auf ein angemessenes Niveau für den Cluster eingestellt wurde.

Wenn das Argument nicht existiert, überprüfen Sie, ob eine Kubelet-Konfigurationsdatei durch --config angegeben ist, und überprüfen Sie den Wert an diesem Ort.

Wiederherstellung

Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um eventRecordQPS: auf ein angemessenes Niveau einzustellen.

Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei /etc/systemd/system/kubelet.service.d/10-kubeadm.conf auf jedem Worker-Knoten und setzen Sie den untenstehenden Parameter in der Variablen KUBELET_SYSTEM_PODS_ARGS.

Basierend auf Ihrem System starten Sie den kubelet-Dienst neu. Zum Beispiel:

systemctl daemon-reload
systemctl restart kubelet.service