Profilanwendbarkeit: Stufe 1
Stellen Sie sicher, dass, wenn der Kubelet mit dem Argument
--config auf eine Konfigurationsdatei verweist, diese Datei Berechtigungen von 600 oder restriktiver
hat.Der Kubelet liest verschiedene Parameter, einschließlich Sicherheitseinstellungen,
aus einer Konfigurationsdatei, die durch das Argument
--config angegeben wird. Wenn diese Datei angegeben ist, sollten Sie die Dateiberechtigungen
einschränken, um die Integrität der Datei zu wahren. Die Datei sollte nur von den
Administratoren des Systems beschreibbar sein. |
HinweisStandardmäßig hat die Datei
/var/lib/kubelet/config.json Berechtigungen von 600. |
Prüfung
In OpenShift 4 wird die Kubelet-Konfigurationsdatei vom Machine Config Operator verwaltet
und befindet sich unter
/var/lib/kubelet/config.json oder /var/data/kubelet/config.json mit Dateiberechtigungen auf 600.Für OpenShift 4.13 und höher führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
Für frühere Versionen von OpenShift führen Sie den folgenden Befehl aus, um die Berechtigung
zu überprüfen:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
Überprüfen Sie, ob die Berechtigungen 600 sind.