Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass die Dateibesitzrechte der Zertifizierungsstellen auf
root:root gesetzt sind.Die Zertifikatsstellen-Datei steuert die Stellen, die zur Validierung von API-Anfragen
verwendet werden. Sie sollten die Dateieigentümerschaft festlegen, um die Integrität
der Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig ist in OpenShift 4 das
--client-ca-file auf /etc/kubernetes/kubelet-ca.crt mit Eigentum root:root eingestellt. |
Prüfung
Der Client-CA-Standort für
kubelet ist in /etc/kubernetes/kubelet.conf definiert und standardmäßig /etc/kubernetes/kubelet-ca.crt.Führen Sie den folgenden Befehl aus, um die Benutzer- und Gruppenbesitzrechte anzuzeigen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %U:%G
/etc/kubernetes/kubelet-ca.crt
done
Überprüfen Sie, ob die Eigentümerschaft auf
root:root festgelegt ist.