Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass, wenn der Kubelet auf eine Konfigurationsdatei mit dem
--config-Argument verweist, diese Datei Berechtigungen von 600 oder restriktiver hat.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu gewährleisten. Die Datei sollte nur von
den Administratoren des Systems beschreibbar sein. |
HinweisStandardmäßig hat die
/var/lib/kubelet/config.json-Datei Berechtigungen von 600. |
Prüfung
In OpenShift 4 wird die Kubelet-Konfigurationsdatei vom Machine Config Operator verwaltet
und befindet sich unter
/var/lib/kubelet/config.json oder /var/data/kubelet/config.json mit Dateiberechtigungen auf 600 gesetzt.Für OpenShift 4.13 und höher führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
Für frühere Versionen von OpenShift führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
Überprüfen Sie, ob die Berechtigungen auf 600 gesetzt sind.