Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass die Eigentümerschaft der
kubelet-Dienstdatei auf root:root gesetzt ist.Die
kubelet-Dienstdatei steuert verschiedene Parameter, die das Verhalten des kubelet-Dienstes im Arbeitsknoten festlegen. Sie sollten die Dateieigentümerschaft festlegen,
um die Integrität der Datei zu wahren. Die Datei sollte root:root gehören. |
HinweisStandardmäßig ist die Dateibesitzerschaft des
kubelet-Dienstes auf root:root eingestellt. |
Prüfung
Automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine Variable
für den <PATH>/<FILENAME> der Konfigurationsdatei des Kubelet-Dienstes einzugeben.
Bitte setzen Sie $kubelet_service_config=<PATH> basierend auf dem Dateispeicherort
auf Ihrem System, zum Beispiel:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
So führen Sie das Audit manuell durch:
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
stat -c %U:%G /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
Überprüfen Sie, ob der Besitz auf
root:root gesetzt ist.Wiederherstellung
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
chown root:root /etc/systemd/system/kubelet.service.d/kubeadm.conf