プロファイル適用性: レベル1
証明書認証局ファイルの所有権が
root:root に設定されていることを確認する。証明書機関ファイルは、APIリクエストの検証に使用される機関を管理します。ファイルの整合性を維持するために、そのファイルの所有権を設定する必要があります。ファイルは
root:rootが所有する必要があります。 |
注意デフォルトでは、OpenShift 4で
--client-ca-fileは /etc/kubernetes/kubelet-ca.crtに設定され、所有権はroot:rootです。 |
監査
kubeletのクライアントCAの場所は/etc/kubernetes/kubelet.confで定義されており、デフォルトでは/etc/kubernetes/kubelet-ca.crtです。次のコマンドを実行して、ユーザとグループの所有権を表示します。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %U:%G
/etc/kubernetes/kubelet-ca.crt
done
所有権が
root:rootに設定されていることを確認してください。