Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass der Dateibesitz der Zertifizierungsstellen auf
root:root gesetzt ist.Die Zertifikatsstellen-Datei steuert die Stellen, die zur Validierung von API-Anfragen
verwendet werden. Sie sollten die Dateibesitzrechte festlegen, um die Integrität der
Datei zu wahren. Die Datei sollte im Besitz von
root:root sein. |
HinweisStandardmäßig ist in OpenShift 4 die Option
--client-ca-file auf /etc/kubernetes/kubelet-ca.crt mit dem Eigentümer root:root gesetzt. |
Prüfung
Der Client-CA-Standort für den
kubelet ist in /etc/kubernetes/kubelet.conf definiert und standardmäßig /etc/kubernetes/kubelet-ca.crt.Führen Sie den folgenden Befehl aus, um die Benutzer- und Gruppenbesitzrechte anzuzeigen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %U:%G
/etc/kubernetes/kubelet-ca.crt
done
Überprüfen Sie, ob der Besitz auf
root:root eingestellt ist.