Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei im Besitz von root:root ist.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig wird die
/var/lib/kubelet/config.json-Datei von root:root besessen. |
Prüfung
In OpenShift 4 wird die Kubelet-Konfigurationsdatei vom Machine Config Operator verwaltet
und befindet sich unter
/var/lib/kubelet/config.json oder /var/data/kubelet/config.json mit Dateiberechtigungen, die auf root:root gesetzt sind.Für OpenShift 4.13 und höher führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
Führen Sie für frühere Versionen von OpenShift den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
Überprüfen Sie, ob die Eigentümerschaft auf
root:root festgelegt ist.