Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei im Besitz von root:root ist.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig gehört die Datei
/var/lib/kubelet/config.yaml, die von kubeadm eingerichtet wurde, root:root. |
Prüfung
Automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine Variable
für den <PATH>/<FILENAME> der kubelet config yaml-Datei einzugeben.
Bitte setzen Sie $kubelet_config_yaml=<PATH> basierend auf dem Dateispeicherort auf
Ihrem System, zum Beispiel:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
So führen Sie das Audit manuell durch:
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
stat -c %U:%G /var/lib/kubelet/config.yaml
Überprüfen Sie, ob die Eigentümerschaft auf
root:root gesetzt ist.Wiederherstellung
Führen Sie den folgenden Befehl aus (unter Verwendung des im Audit-Schritt identifizierten
Dateispeicherorts der Konfigurationsdatei):
chown root:root /etc/kubernetes/kubelet.conf