プロファイル適用性: レベル1
証明書認証局ファイルの権限が644またはそれより厳しい設定になっていることを確認してください。
証明書機関ファイルは、APIリクエストを検証するために使用される機関を制御します。ファイルの整合性を維持するために、そのファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。
 |
注意デフォルトでは、OpenShift 4において、
/etc/kubernetes/kubelet-ca.crtファイルの権限は644に設定されています。 |
監査
- クラスタ内の各ノードの
clientCAFileを確認するには、次のコマンドを使用します。for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}') do oc get --raw /api/v1/nodes/$node/proxy/configz | jq '.kubeletconfig.authentication.x509.clientCAFile' done出力は、次のようになります。/etc/kubernetes/kubelet-ca.crt
- 各ノードのファイル権限を確認してください。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}') do oc debug node/${node} -- chroot /host stat -c %a /etc/kubernetes/kubelet-ca.crt done - 権限が644であることを確認してください。