Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass, wenn der Kubelet mit dem Argument
--config auf eine Konfigurationsdatei verweist, diese Datei im Besitz von root:root ist.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig gehört die Datei
/var/lib/kubelet/config.json root:root. |
Prüfung
In OpenShift 4 wird die Kubelet-Konfigurationsdatei vom Machine Config Operator verwaltet
und befindet sich unter
/var/lib/kubelet/config.json oder /var/data/kubelet/config.json mit den Dateiberechtigungen root:root.Für OpenShift 4.13 und höher führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
Für frühere Versionen von OpenShift führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
Überprüfen Sie, ob der Besitz auf
root:root festgelegt ist.