設定檔適用性:等級 1 - 工作節點
禁用對 Kubelet 伺服器的匿名驗證可提高 Kubernetes 工作節點的安全性,確保所有請求都需要驗證,從而減少未經授權的訪問風險。
影響
匿名請求將被拒絕。
稽核
稽核方法 1:
 |
重要Kubelet 可以使用配置檔案或命令列參數進行配置。命令列參數優先於配置檔案中設定的相同參數。在審核 Kubelet 配置時,請確保檢查命令列參數和配置檔案條目。
|
-
SSH 進入每個節點並執行以下命令以查看活動的 Kubelet 進程的詳細信息,包括命令行參數:
ps -ef | grep kubelet
-
從輸出中識別配置檔案的位置資訊,該檔案由 --config 參數指定。使用以下命令查看檔案:
sudo less /path/to/kubelet-config.json
-
驗證匿名驗證已停用:
-
檢查命令列參數:
--anonymous-auth=false
-
在 Kubelet 配置檔中,確保存在以下設定:
{ "authentication": { "anonymous": { "enabled": false } } }
-
稽核方法 2:
通過 Kubernetes API 使用 kubectl 檢查 Kubelet 的運行配置,方法是訪問 "/configz" 端點:
-
發現您叢集中所有的節點:
kubectl get nodes
-
使用 kubectl 在本地端口(例如 8080)啟動 Proxy:
kubectl proxy --port=8080
-
在另一個終端中,對每個節點運行以下命令:
export NODE_NAME=my-node-name curl http://localhost:8080/api/v1/nodes/${NODE_NAME}/proxy/configz -
通過檢查 API 回應中的以下內容,確認匿名驗證已被禁用:
{ "authentication": { "anonymous": { "enabled": false } } }
補救措施
方法一:
-
SSH 進入每個節點。
-
如果使用 Kubelet 配置檔案,請找到該檔案:
ps -ef | grep kubelet
-
使用以下命令查看配置文件:
sudo less /path/to/kubelet-config.json
-
通過在配置文件中設置以下參數來關閉匿名驗證:
{ "authentication": { "anonymous": { "enabled": false } } } -
重新啟動 kubelet 服務並檢查其狀態(適用於使用 systemd 的系統範例):
systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l
方法二:
-
如果使用命令列參數,請編輯 kubelet 服務檔案以包含:
--anonymous-auth=false
-
對於使用 systemd 的系統,編輯位於 /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf 的檔案。
-
重新啟動 kubelet 服務並檢查其狀態(適用於使用 systemd 的系統範例):
systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l