Profilanwendbarkeit: Stufe 1 - Masterknoten
Stellen Sie sicher, dass die
kubelet-Dienstdatei Berechtigungen von 600 oder restriktiver hat.Die
kubelet-Dienstdatei steuert verschiedene Parameter, die das Verhalten des kubelet-Dienstes im Arbeitsknoten festlegen. Sie sollten die Dateiberechtigungen einschränken,
um die Integrität der Datei zu wahren. Die Datei sollte nur von den Administratoren
des Systems beschreibbar sein. |
HinweisStandardmäßig hat die kubelet-Dienstdatei Berechtigungen von 640.
|
Prüfung
Automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine Variable
für den <PATH>/<FILENAME> der Konfigurationsdatei des Kubelet-Dienstes einzugeben.
Bitte setzen Sie $kubelet_service_config=<PATH> basierend auf dem Dateispeicherort
auf Ihrem System, zum Beispiel:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
So führen Sie das Audit manuell durch:
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Überprüfen Sie, ob die Berechtigungen 600 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
chmod 600 /etc/systemd/system/kubelet.service.d/kubeadm.conf