Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass die Berechtigungen der Zertifikatsstellen-Datei auf 644 oder
restriktiver gesetzt sind.
Die Zertifizierungsstellen-Datei steuert die Stellen, die zur Validierung von API-Anfragen
verwendet werden. Sie sollten die Dateiberechtigungen einschränken, um die Integrität
der Datei zu wahren. Die Datei sollte nur von den Administratoren des Systems beschreibbar
sein.
 |
HinweisStandardmäßig hat die Datei
/etc/kubernetes/kubelet-ca.crt in OpenShift 4 die Berechtigungen auf 644 gesetzt. |
Prüfung
- Verwenden Sie den folgenden Befehl, um die
clientCAFilefür jeden Knoten im Cluster zu überprüfen:for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}') do oc get --raw /api/v1/nodes/$node/proxy/configz | jq '.kubeletconfig.authentication.x509.clientCAFile' doneDie Ausgabe sollte wie folgt aussehen:/etc/kubernetes/kubelet-ca.crt
- Überprüfen Sie die Dateiberechtigungen auf jedem Knoten:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}') do oc debug node/${node} -- chroot /host stat -c %a /etc/kubernetes/kubelet-ca.crt done - Überprüfen Sie, ob die Berechtigungen 644 sind.