Profilanwendbarkeit: Stufe 1 - Masterknoten
Dienstkonto validieren, bevor das Token validiert wird.
Wenn
--service-account-lookup nicht aktiviert ist, überprüft der Apiserver nur, ob das Authentifizierungstoken
gültig ist, und validiert nicht, ob das im Antrag erwähnte Service-Account-Token tatsächlich
in etcd vorhanden ist. Dies ermöglicht die Verwendung eines Service-Account-Tokens,
selbst nachdem das entsprechende Service-Konto gelöscht wurde. Dies ist ein Beispiel
für ein Sicherheitsproblem von der Überprüfungszeit bis zur Nutzungszeit. |
HinweisStandardmäßig ist das Argument
--service-account-lookup auf true gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--service-account-lookup vorhanden ist und auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die API-Server-Podspezifikationsdatei /etc/kubernetes/manifests/kube-apiserver.yaml
auf dem Steuerknoten und setzen Sie den untenstehenden Parameter.
--service-account-lookup=true
Alternativ können Sie den Parameter
--service-account-lookup aus dieser Datei löschen, damit die Standardeinstellung wirksam wird.