Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei Berechtigungen von 600 oder restriktiver hat.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das
--config-Argument angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte nur von den
Administratoren des Systems beschreibbar sein. |
HinweisStandardmäßig hat die
/var/lib/kubelet/config.yaml-Datei, die von kubeadm eingerichtet wurde, Berechtigungen von 600. |
Prüfung
Die automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine
Variable für den <PATH>/<FILENAME> der kubelet config yaml-Datei einzugeben. Setzen
Sie $kubelet_config_yaml=<PATH> basierend auf dem Dateispeicherort auf Ihrem System:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
Um die Prüfung manuell durchzuführen, führen Sie den folgenden Befehl (basierend auf
dem Dateispeicherort auf Ihrem System) auf jedem Worker-Knoten aus:
stat -c %a /var/lib/kubelet/config.yaml
Überprüfen Sie, ob die Berechtigungen 600 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl aus (unter Verwendung des Dateispeicherorts der Konfigurationsdatei,
der im Audit-Schritt identifiziert wurde):
chmod 600 /var/lib/kubelet/config.yaml