プロファイル適用性: レベル 1
kubelet が
--config 引数で設定ファイルを参照する場合、そのファイルが root:root に所有されていることを確認してください。kubelet は、
--config 引数で指定された設定ファイルからセキュリティ設定を含むさまざまなパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルは
root:root に所有されている必要があります。 |
注意デフォルトでは、
/var/lib/kubelet/config.json ファイルは root:root が所有しています。 |
監査
OpenShift 4では、kubelet構成ファイルはMachine Config Operatorによって管理され、ファイルのパーミッションが
root:rootに設定された状態で/var/lib/kubelet/config.jsonまたは/var/data/kubelet/config.jsonにあります。OpenShift 4.13以降の場合、次のコマンドを実行して権限を確認してください:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
以前のバージョンのOpenShiftの場合、次のコマンドを実行して権限を確認してください:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
所有権が
root:rootに設定されていることを確認してください。