設定檔適用性:等級 1 - 工作節點
確保如果 kubelet 使用
--config 參數引用配置檔案,該檔案的擁有者是 root:root。kubelet 從由
--config 參數指定的配置文件中讀取各種參數,包括安全設置。如果指定了此文件,您應限制其文件權限以維護文件的完整性。該文件應由 root:root 擁有。 |
注意預設情況下,由
kubeadm 設定的 /var/lib/kubelet/config.yaml 檔案是由 root:root 擁有。 |
稽核
自動化 AAC 審核已被修改,以允許 CIS-CAT 輸入 kubelet 配置 yaml 檔案的 <PATH>/<FILENAME> 變數。根據您系統上的檔案位置設定
$kubelet_config_yaml=<PATH>:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
要手動執行稽核,請在每個工作節點上根據您系統上的檔案位置運行以下命令:
stat -c %aU %G /var/lib/kubelet/config.yaml
驗證所有權是否設定為
root:root。補救
執行以下指令(使用在稽核步驟中識別的設定檔案位置):
chown root:root /etc/kubernetes/kubelet.conf