プロファイル適用性: レベル 1 - ワーカーノード
kubelet が
--config
引数で設定ファイルを参照する場合、そのファイルが root:root
によって所有されていることを確認してください。kubelet は、
--config
引数で指定された設定ファイルから、セキュリティ設定を含むさまざまなパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルは
root:root
に所有されている必要があります。
注意デフォルトでは、
/var/lib/kubelet/config.yaml ファイルは kubeadm によって設定され、root:root が所有しています。 |
監査
自動化AAC監査が変更され、CIS-CATがkubelet構成yamlファイルの<PATH>/<FILENAME>の変数を入力できるようになりました。システム上のファイルの場所に基づいて$kubelet_config_yaml=<PATH>を設定してください
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
監査を手動で実行するには、各ワーカーノードで以下のコマンド(システム上のファイルの場所に基づく)を実行してください
stat -c %aU %G /var/lib/kubelet/config.yaml
所有権が
root:root
に設定されていることを確認してください。修復
次のコマンドを実行します(Auditステップで特定されたconfigファイルの場所を使用):
chown root:root /etc/kubernetes/kubelet.conf