Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass die
kubelet-Konfigurationsdatei, falls vorhanden, die Berechtigungen 644 hat.Der
kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen, aus einer
Konfigurationsdatei, die durch das Argument --config angegeben wird. Wenn diese Datei existiert, sollten Sie die Dateiberechtigungen einschränken,
um die Integrität der Datei zu wahren. Die Datei sollte nur von den Administratoren
des Systems beschreibbar sein. |
HinweisDie Standardberechtigungen für die Kubelet-Konfigurationsdatei sind 600.
|
Auswirkung
Übermäßig großzügiger Dateizugriff erhöht das Sicherheitsrisiko für die Plattform.
Prüfung
Google Cloud-Konsole verwenden
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
- Klicken Sie auf den gewünschten Cluster, um die Detailseite zu öffnen, und klicken Sie dann auf den gewünschten Knotenpool, um die Detailseite des Knotenpools zu öffnen. 3.
- Notieren Sie den Namen des gewünschten Knotens
- Gehen Sie zu VM-Instanzen, indem Sie die Google Cloud Console VM-Instanzen-Seite besuchen
- Finden Sie den gewünschten Knoten und klicken Sie auf 'SSH', um eine SSH-Verbindung zum Knoten zu öffnen.
Verwendung der Befehlszeile
Methode 1
Zuerst SSH zum entsprechenden Worker-Knoten.
Um zu überprüfen, ob der
kubelet-Dienst läuft:sudo systemctl status kubelet
Die Ausgabe sollte
Aktiv: aktiv (läuft) seit.. zurückgebenFühren Sie den folgenden Befehl auf jedem Knoten aus, um die entsprechende Kubelet-Konfigurationsdatei
zu finden:
ps -ef | grep kubelet
Die Ausgabe des obigen Befehls sollte etwas Ähnliches wie
--config /etc/kubernetes/kubelet-config.yaml zurückgeben, was den Speicherort der Kubelet-Konfigurationsdatei darstellt.Führen Sie den folgenden Befehl aus:
stat -c %a /etc/kubernetes/kubelet-config.yaml
Die Ausgabe des obigen Befehls sind die Berechtigungen der
kubelet-Konfigurationsdatei. Überprüfen Sie, dass die Berechtigungen 644 oder restriktiver
sind.Methode 2
Erstellen und Ausführen eines privilegierten Pods.
Sie müssen ein Pod ausführen, das über ausreichende Berechtigungen verfügt, um auf
das Dateisystem des Hosts zuzugreifen. Dies kann erreicht werden, indem ein Pod bereitgestellt
wird, der das hostPath-Volume verwendet, um das Dateisystem des Knotens in das Pod
einzubinden.
Hier ist ein Beispiel für eine einfache Pod-Definition, die das Root-Verzeichnis des
Hosts im Pod unter /host einbindet:
apiVersion: v1 kind: Pod metadata: name: file-check spec: volumes: - name: host-root hostPath: path: / type: Directory containers: - name: nsenter image: busybox command: ["sleep", "3600"] volumeMounts: - name: host-root mountPath: /host securityContext: privileged: true
Speichern Sie dies in einer Datei (z.B. file-check-pod.yaml) und erstellen Sie das
Pod:
kubectl apply -f file-check-pod.yaml
Sobald das Pod läuft, können Sie sich in das Pod einloggen, um die Dateiberechtigungen
auf dem Knoten zu überprüfen:
kubectl exec -it file-check -- sh
Jetzt befinden Sie sich in einer Shell innerhalb des Pods, aber Sie können über das
/host-Verzeichnis auf das Dateisystem des Knotens zugreifen und die Berechtigungsstufe
der Datei überprüfen:
ls -l /host/etc/kubernetes/kubelet-config.yaml
Überprüfen Sie, ob eine Datei angegeben ist und ob sie existiert, dass die Berechtigungen
644 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl aus (unter Verwendung des
kubelet Dateispeicherorts):chmod 644 <kubelet_config_file>