プロファイル適用性: レベル1
kubeletサービスファイルの権限が644またはそれ以上に制限されていることを確認する。
kubeletサービスファイルは、ワーカーノード内のkubeletサービスの動作を設定するさまざまなパラメータを制御します。ファイルの整合性を維持するために、そのファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。
 |
注意デフォルトでは、kubeletサービスファイルの権限は644です。
|
監査
Kubeletは
systemdユニットとして実行され、その設定ファイルは644の権限で作成されます。次のコマンドを実行します。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/etc/systemd/system/kubelet.service
done
アクセス許可が644以上に制限されていることを確認してください。