3.2.1 - Sicherstellen, dass die anonyme Authentifizierung nicht aktiviert ist Entwurf (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Deaktiviert anonyme Anfragen an den Kubelet-Server.

Wenn aktiviert, werden Anfragen, die nicht von anderen konfigurierten Authentifizierungsmethoden abgelehnt werden, als anonyme Anfragen behandelt. Diese Anfragen werden dann vom Kubelet-Server bedient. Sie sollten sich auf die Authentifizierung verlassen, um den Zugriff zu autorisieren und anonyme Anfragen zu verhindern.

Hinweis

Siehe die GKE-Dokumentation für den Standardwert.

Auswirkung

Anonyme Anfragen werden abgelehnt.

Prüfung

Prüfmethode 1:

Kubelets können Konfigurationen aus einer Konfigurationsdatei und in einigen Fällen aus Befehlszeilenargumenten akzeptieren. Es ist wichtig zu beachten, dass Parameter, die als Befehlszeilenargumente bereitgestellt werden, ihre entsprechenden Parameter in der Konfigurationsdatei überschreiben (siehe --config-Details in der Kubelet CLI-Referenz für Weitere Informationen, wo Sie auch herausfinden können, welche Konfigurationsparameter als Befehlszeilenargumente angegeben werden können). In diesem Zusammenhang ist es wichtig, sowohl das Vorhandensein von Befehlszeilenargumenten als auch von Einträgen in der Konfigurationsdatei zu überprüfen, wenn die Kubelet-Konfiguration geprüft wird.

SSH zu jedem Knoten und führen Sie den folgenden Befehl aus, um den Kubelet-Prozess zu finden:
```
ps -ef | grep kubelet
```
Die Ausgabe des obigen Befehls liefert Details des aktiven Kubelet-Prozesses, aus denen wir die Befehlszeilenargumente des Prozesses sehen können. Beachten Sie auch den Speicherort der Konfigurationsdatei, die mit dem --config-Argument angegeben wird, da diese zur Überprüfung der Konfiguration benötigt wird.
Die Datei kann mit einem Befehl wie more oder less angezeigt werden:
```
sudo less /path/to/kubelet-config.json
```
Überprüfen Sie, dass die anonyme Authentifizierung nicht aktiviert ist. Dies kann als Befehlszeilenargument für den Kubelet-Dienst mit --anonymous-auth=false oder in der Kubelet-Konfigurationsdatei mit "authentication": { "anonymous": { "enabled": false } konfiguriert werden.

Prüfmethode 2:

Es ist auch möglich, die laufende Konfiguration eines Kubelet über den /configz-Endpunkt der Kubernetes-API zu überprüfen. Verwenden Sie kubectl, um Ihre Anfragen an die API zu proxyen.

Entdecken Sie alle Knoten in Ihrem Cluster, indem Sie den folgenden Befehl ausführen:
```
kubectl get nodes
```
Initialisieren Sie einen Proxy mit kubectl auf einem lokalen Port Ihrer Wahl, zum Beispiel:
```
kubectl proxy --port=8080
```
Während dies läuft, führen Sie in einem separaten Terminal den folgenden Befehl für jeden Knoten aus:
```
export NODE_NAME=my-node-name 
curl http://localhost:8080/api/v1/nodes/${NODE_NAME}/proxy/configz
```
Der Curl-Befehl gibt die API-Antwort zurück, die eine JSON-formatierte Zeichenkette darstellt, die die Kubelet-Konfiguration repräsentiert.
Überprüfen Sie, dass die anonyme Authentifizierung nicht aktiviert ist, indem Sie prüfen, ob "authentication": { "anonymous": { "enabled": false } in der API-Antwort enthalten ist.

Wiederherstellung

Behebungsmethode 1:

Wenn Sie die Konfiguration über die Kubelet-Konfigurationsdatei vornehmen, lokalisieren Sie zuerst die Datei:

SSH zu jedem Knoten und führen Sie den folgenden Befehl aus, um den Kubelet-Prozess zu finden:
```
ps -ef | grep kubelet
```
Die Ausgabe des obigen Befehls liefert Details des aktiven Kubelet-Prozesses, aus denen wir den Speicherort der Konfigurationsdatei sehen können, die dem Kubelet-Dienst mit dem --config-Argument bereitgestellt wird.
Die Datei kann mit einem Befehl wie more oder less angezeigt werden:
```
sudo less /path/to/kubelet-config.json
```
Deaktivieren Sie die anonyme Authentifizierung, indem Sie den folgenden Parameter festlegen:
```
"authentication": { "anonymous": { "enabled": false } }
```

Behebungsmethode 2:

Wenn ausführbare Argumente verwendet werden, bearbeiten Sie die Kubelet-Dienstdatei auf jedem Worker-Knoten und stellen Sie sicher, dass die untenstehenden Parameter Teil der KUBELET_ARGS-Variablenzeichenfolge sind.
Für Systeme, die systemd verwenden, wie die Amazon EKS-optimierten Amazon Linux- oder Bottlerocket-AMIs, kann diese Datei unter /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf gefunden werden.
Andernfalls müssen Sie möglicherweise die Dokumentation für Ihr gewähltes Betriebssystem nachschlagen, um festzustellen, welcher Dienstmanager konfiguriert ist: --anonymous-auth=false.

Für beide Abhilfemaßnahmen:

Basierend auf Ihrem System starten Sie den kubelet-Dienst neu und überprüfen Sie den Dienststatus. Das folgende Beispiel gilt für Betriebssysteme, die systemd verwenden, wie die Amazon EKS Optimised Amazon Linux oder Bottlerocket AMIs, und ruft den systemctl-Befehl auf. Wenn systemctl nicht verfügbar ist, müssen Sie die Dokumentation für Ihr gewähltes Betriebssystem konsultieren, um festzustellen, welcher Dienstmanager konfiguriert ist:

systemctl daemon-reload
systemctl restart kubelet.service
systemctl status kubelet -l