Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei Berechtigungen von 600 oder restriktiver hat.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte nur von den
Administratoren des Systems beschreibbar sein. |
HinweisStandardmäßig hat die Datei /var/lib/kubelet/config.yaml, die von
kubeadm eingerichtet wurde, Berechtigungen von 600. |
Prüfung
Automatisierte AAC-Überprüfung wurde geändert, um CIS-CAT zu ermöglichen, eine Variable
für den <PATH>/<FILENAME> der kubelet-Konfigurations-YAML-Datei einzugeben.
Bitte setzen Sie $kubelet_config_yaml=<PATH> basierend auf dem Dateispeicherort auf
Ihrem System, zum Beispiel:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
So führen Sie das Audit manuell durch:
Führen Sie den folgenden Befehl (basierend auf dem Dateispeicherort auf Ihrem System)
auf jedem Worker-Knoten aus:
stat -c %a /var/lib/kubelet/config.yaml
Überprüfen Sie, ob die Berechtigungen 600 oder restriktiver sind.
Wiederherstellung
Führen Sie den folgenden Befehl aus (unter Verwendung des im Audit-Schritt identifizierten
Dateispeicherorts der Konfigurationsdatei):
chmod 600 /var/lib/kubelet/config.yaml