Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass die Berechtigungen der kubelet-Dienstdatei auf 644 oder restriktiver
eingestellt sind.
Die kubelet-Dienstdatei steuert verschiedene Parameter, die das Verhalten des kubelet-Dienstes
im Arbeitsknoten festlegen. Sie sollten die Dateiberechtigungen einschränken, um die
Integrität der Datei zu wahren. Die Datei sollte nur von den Administratoren des Systems
beschreibbar sein.
 |
HinweisStandardmäßig hat die kubelet-Dienstdatei Berechtigungen von 644.
|
Prüfung
Kubelet wird als
systemd-Einheit ausgeführt und seine Konfigurationsdatei wird mit 644-Berechtigungen erstellt.Führen Sie folgenden Befehl aus:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/etc/systemd/system/kubelet.service
done
Überprüfen Sie, ob die Berechtigungen 644 oder restriktiver sind.