Profilanwendbarkeit: Stufe 1
Nicht alle Anfragen zulassen. Explizite Autorisierung aktivieren.
Standardmäßig erlauben Kubelets alle authentifizierten Anfragen (auch anonyme), ohne
dass explizite Autorisierungsprüfungen vom API-Server erforderlich sind. Sie sollten
dieses Verhalten einschränken und nur ausdrücklich autorisierte Anfragen zulassen.
 |
HinweisStandardmäßig verwendet OpenShift die
Webhook-Autorisierung. |
Auswirkung
Nicht autorisierte Anfragen werden abgelehnt.
Prüfung
In OpenShift 4 wird die Kubernetes-Konfigurationsdatei vom Machine Config Operator
verwaltet. Standardmäßig lehnt OpenShift nicht authentifizierte und nicht autorisierte
Benutzer ab.
Sie können überprüfen, ob jeder Knoten im Cluster so konfiguriert ist, dass er nur
authentifizierte Benutzer akzeptiert, indem Sie den folgenden Befehl verwenden:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
Stellen Sie sicher, dass keiner der Knoten
AlwaysAllow für den Autorisierungsmodus zurückgibt.