プロファイル適用性: レベル 1
証明書機関ファイルの権限が644またはそれよりも制限されていることを確認してください。
証明書認証局ファイルは、APIリクエストを検証するために使用される認証局を制御します。ファイルの整合性を維持するために、ファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。
 |
注意デフォルトでは、OpenShift 4 では、
/etc/kubernetes/kubelet-ca.crt ファイルの権限は 644 に設定されています。 |
監査
- 次のコマンドを使用して、クラスター内の各ノードの
clientCAFileを確認します:for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}') do oc get --raw /api/v1/nodes/$node/proxy/configz | jq '.kubeletconfig.authentication.x509.clientCAFile' done出力は次のようになります:/etc/kubernetes/kubelet-ca.crt
- 各ノードのファイル権限を確認してください:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}') do oc debug node/${node} -- chroot /host stat -c %a /etc/kubernetes/kubelet-ca.crt done - 権限が644であることを確認してください。