設定檔適用性:等級 1 - 主節點
在驗證權杖之前驗證服務帳戶。
如果
--service-account-lookup未啟動,apiserver僅驗證驗證令牌是否有效,並不驗證請求中提到的服務帳戶令牌是否實際存在於etcd中。這允許在相應的服務帳戶被刪除後仍然使用服務帳戶令牌。這是一個檢查時間與使用時間的安全問題示例。 |
注意預設情況下,
--service-account-lookup 參數設置為 true。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--service-account-lookup 參數是否存在,若存在則設為 true。補救措施
編輯控制平面節點上的 API 伺服器 pod 規範檔案 /etc/kubernetes/manifests/kube-apiserver.yaml,並設置以下參數。
--service-account-lookup=true
或者,您可以從此檔案中刪除
--service-account-lookup 參數,以便預設值生效。