Profilanwendbarkeit: Stufe 1
Deaktiviert anonyme Anfragen an den Kubelet-Server.
Wenn aktiviert, werden Anfragen, die nicht von anderen konfigurierten Authentifizierungsmethoden
abgelehnt werden, als anonyme Anfragen behandelt. Diese Anfragen werden dann vom Kubelet-Server
bedient. Sie sollten sich auf die Authentifizierung verlassen, um den Zugriff zu autorisieren
und anonyme Anfragen zu verhindern.
 |
HinweisStandardmäßig ist der anonyme Zugriff auf
false gesetzt. |
Auswirkung
Anonyme Anfragen werden abgelehnt.
Prüfung
In OpenShift 4 wird die Kubernetes-Konfigurationsdatei vom Machine Config Operator
verwaltet und
anonymous-auth ist standardmäßig auf false gesetzt.Führen Sie den folgenden Befehl auf jedem Knoten aus, um die Konfiguration der anonymen
Authentifizierung vorzunehmen:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authentication.anonymous.enabled'
done
Überprüfen Sie, dass die Konfiguration für jeden Knoten
false zurückgibt.Wiederherstellung
Erstellen Sie eine
kubeletconfig, um die anonyme Authentifizierung explizit zu deaktivieren. Beispiele, wie dies zu
tun ist, finden Sie in der OpenShift-Dokumentation.