プロファイル適用性: レベル1 - ワーカーノード
kubeletが
--config引数で設定ファイルを参照する場合、そのファイルの権限が600以上の制限があることを確認してください。kubeletは、
--config引数で指定された設定ファイルからセキュリティ設定を含むさまざまなパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。 |
注意デフォルトでは、
kubeadmによって設定された/var/lib/kubelet/config.yamlファイルの権限は600です。 |
監査
自動AAC監査が変更され、CIS-CATがkubelet構成yamlファイルの<PATH>/<FILENAME>に変数を入力できるようになりました。システム上のファイルの場所に基づいて$kubelet_config_yaml=<PATH>を設定してください。
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
監査を手動で実行するには、各ワーカーノードで以下のコマンドを (システム上のファイルの場所に基づいて) 実行してください。
stat -c %a /var/lib/kubelet/config.yaml
権限が600またはそれ以上に制限されていることを確認してください。
修復
次のコマンドを実行します (監査手順で特定された設定ファイルの場所を使用):
chmod 600 /var/lib/kubelet/config.yaml