設定檔適用性:等級 1 - 主節點
確保
kubelet 服務檔案的權限為 600 或更嚴格。kubelet 服務檔案控制設定在工作節點上 kubelet 服務的各種參數。您應該限制其檔案權限以維護檔案的完整性。該檔案應僅由系統上的管理員可寫入。 |
注意預設情況下,
kubelet 服務檔案的權限為 640。 |
稽核
自動化 AAC 審核已修改為允許 CIS-CAT 輸入 kubelet 服務配置檔案的 <PATH>/<FILENAME> 變數。根據您系統上的檔案位置設置 $kubelet_service_config=<PATH>:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
要手動執行稽核,請在每個工作節點上運行以下命令(根據您系統上的檔案位置):
stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
驗證權限是否為 600 或更嚴格。
補救措施
在每個工作節點上執行以下命令(根據您系統上的檔案位置):
chmod 600 /etc/systemd/system/kubelet.service.d/kubeadm.conf