Profilanwendbarkeit: Stufe 1 - Masterknoten
Dienstkonto validieren, bevor das Token validiert wird.
Wenn
--service-account-lookup nicht aktiviert ist, überprüft der Apiserver nur, ob das Authentifizierungstoken
gültig ist, und validiert nicht, ob das im Antrag erwähnte Servicekonto-Token tatsächlich
in etcd vorhanden ist. Dies ermöglicht die Verwendung eines Servicekonto-Tokens, selbst
nachdem das entsprechende Servicekonto gelöscht wurde. Dies ist ein Beispiel für ein
Sicherheitsproblem von der Überprüfungszeit bis zur Nutzungszeit. |
HinweisStandardmäßig ist das Argument
--service-account-lookup auf true gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--service-account-lookup existiert und auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die API-Server-Podspezifikationsdatei /etc/kubernetes/manifests/kube-apiserver.yaml
auf dem Steuerknoten und setzen Sie den untenstehenden Parameter.
--service-account-lookup=true
Alternativ können Sie den Parameter
--service-account-lookup aus dieser Datei löschen, damit der Standard wirksam wird.