プロファイル適用性: レベル1
kubeletが
--config引数で設定ファイルを参照する場合、そのファイルの権限が600以上の制限があることを確認してください。kubeletは、
--config引数で指定された設定ファイルからセキュリティ設定を含むさまざまなパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。 |
注意デフォルトでは、
/var/lib/kubelet/config.jsonファイルの権限は600です。 |
監査
OpenShift 4では、kubelet構成ファイルはMachine Config Operatorによって管理され、ファイルのアクセス権が600に設定された状態で
/var/lib/kubelet/config.jsonまたは/var/data/kubelet/config.jsonにあります。OpenShift 4.13以降の場合、次のコマンドを実行して権限を確認してください。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
OpenShiftの以前のバージョンでは、権限を確認するために次のコマンドを実行してください。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
権限が600であることを確認してください。