Profilanwendbarkeit: Stufe 1
Nicht alle Anfragen zulassen. Explizite Autorisierung aktivieren.
Standardmäßig erlauben Kubelets alle authentifizierten Anfragen (auch anonyme) ohne
ausdrückliche Autorisierungsprüfungen vom API-Server. Sie sollten dieses Verhalten
einschränken und nur ausdrücklich autorisierte Anfragen zulassen.
 |
HinweisStandardmäßig verwendet OpenShift die
Webhook-Autorisierung. |
Auswirkung
Unbefugte Anfragen werden abgelehnt.
Prüfung
In OpenShift 4 wird die Kubernetes-Konfigurationsdatei vom Machine Config Operator
verwaltet. Standardmäßig lehnt OpenShift nicht authentifizierte und nicht autorisierte
Benutzer ab.
Sie können überprüfen, ob jeder Knoten im Cluster so konfiguriert ist, dass er nur
authentifizierte Benutzer akzeptiert, indem Sie den folgenden Befehl verwenden:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
Stellen Sie sicher, dass keiner der Knoten
AlwaysAllow für den Autorisierungsmodus zurückgibt.