プロファイル適用性: レベル 1
kubelet が
--config 引数で設定ファイルを参照する場合、そのファイルの権限が 600 以上の制限であることを確認してください。kubelet は、
--config 引数で指定された構成ファイルから、セキュリティ設定を含むさまざまなパラメーターを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。 |
注意デフォルトでは、
/var/lib/kubelet/config.json ファイルの権限は600です。 |
監査
OpenShift 4では、kubelet構成ファイルはMachine Config Operatorによって管理され、ファイルのパーミッションが600に設定された
/var/lib/kubelet/config.jsonまたは/var/data/kubelet/config.jsonにあります。OpenShift 4.13以降の場合、次のコマンドを実行して権限を確認してください:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
以前のバージョンのOpenShiftの場合、次のコマンドを実行して権限を確認してください:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
権限が600であることを確認してください。