プロファイル適用性: レベル1
kubeletが
--config引数で設定ファイルを参照する場合、そのファイルはroot:rootが所有していることを確認してください。kubeletは、
--config引数で指定された設定ファイルからセキュリティ設定を含むさまざまなパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルはroot:rootが所有する必要があります。 |
注意デフォルトでは、
/var/lib/kubelet/config.jsonファイルはroot:rootが所有しています。 |
監査
OpenShift 4では、kubelet設定ファイルはMachine Config Operatorによって管理され、
/var/lib/kubelet/config.jsonまたは/var/data/kubelet/config.jsonにあり、ファイルの権限はroot:rootに設定されています。OpenShift 4.13以降の場合、次のコマンドを実行して権限を確認してください。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
OpenShiftの以前のバージョンでは、権限を確認するために次のコマンドを実行してください。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
所有権が
root:rootに設定されていることを確認してください。