プロファイル適用性: レベル1 - マスターノード
kubeletサービスファイルの権限が600以上の制限に設定されていることを確認する。kubeletサービスファイルは、ワーカーノード内でkubeletサービスの動作を設定するさまざまなパラメータを制御します。ファイルの整合性を維持するために、そのファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。 |
注意デフォルトでは、
kubeletサービスファイルの権限は640です。 |
監査
自動AAC監査が変更され、CIS-CATがkubeletサービス設定ファイルの<PATH>/<FILENAME>に変数を入力できるようになりました。システム上のファイルの場所に基づいて$kubelet_service_config=<PATH>を設定してください。
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
監査を手動で実行するには、各ワーカーノードで以下のコマンドを (システム上のファイルの場所に基づいて) 実行してください。
stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
権限が600またはそれ以上に制限されていることを確認してください。
修復
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。
chmod 600 /etc/systemd/system/kubelet.service.d/kubeadm.conf