Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine tokenbasierte Authentifizierung.
Die tokenbasierte Authentifizierung verwendet statische Tokens, um Anfragen an den
Apiserver zu authentifizieren. Die Tokens werden im Klartext in einer Datei auf dem
Apiserver gespeichert und können nicht widerrufen oder geändert werden, ohne den Apiserver
neu zu starten. Daher sollten Sie keine statische tokenbasierte Authentifizierung
verwenden.
 |
HinweisStandardmäßig ist das Argument --token-auth-file nicht gesetzt.
|
Auswirkung
Sie müssen alternative Authentifizierungsmechanismen wie Zertifikate konfigurieren
und verwenden. Eine statische tokenbasierte Authentifizierung kann nicht verwendet
werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Control Plane-Knoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das Argument
--token-auth-file nicht existiert.Alternative Audit-Methode
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
Wenn der Exit-Code '1' ist, dann ist die Steuerung nicht vorhanden / fehlgeschlagen.
Wiederherstellung
Befolgen Sie die Dokumentation und konfigurieren Sie alternative Mechanismen zur Authentifizierung.
Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und entfernen Sie den Parameter --token-auth-file=<filename>.