プロファイル適用性: レベル 1
kubeletサービスファイルの権限が644またはそれより制限されていることを確認してください。
kubeletサービスファイルは、ワーカーノード内のkubeletサービスの動作を設定するさまざまなパラメーターを制御します。ファイルの整合性を維持するために、ファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。
 |
注意デフォルトでは、kubelet サービスファイルの権限は 644 です。
|
監査
Kubeletは
systemdユニットとして実行され、その設定ファイルは644の権限で作成されます。次のコマンドを実行します。
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/etc/systemd/system/kubelet.service
done
権限が644またはそれより制限されていることを確認してください。