Profilanwendbarkeit: Stufe 1 - Masterknoten
Standardmäßig verlängert Kubernetes die Lebensdauer von Service-Account-Token auf
ein Jahr, um den Übergang von den alten Token-Einstellungen zu erleichtern.
Diese Standardeinstellung ist nicht ideal für die Sicherheit, da sie andere Einstellungen
in Bezug auf die maximale Token-Lebensdauer ignoriert und bedeutet, dass ein verlorenes
oder gestohlenes Anmeldedaten für einen längeren Zeitraum gültig sein könnte.
 |
HinweisStandardmäßig ist dieser Parameter auf
true eingestellt. |
Auswirkung
Wenn Sie diese Einstellung deaktivieren, bedeutet dies, dass das im Cluster festgelegte
Ablaufdatum des Servicekontotokens durchgesetzt wird und die Servicekontotokens am
Ende dieses Zeitraums ablaufen.
Prüfung
Führen Sie den folgenden Befehl auf dem Control Plane-Knoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das Argument --service-account-extend-token-expiration auf false
gesetzt ist.
Wiederherstellung
Bearbeiten Sie die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Steuerknoten und setzen Sie den Parameter --service-account-extend-token-expiration auf false.--service-account-extend-token-expiration=false