相關資訊
- 1.1.1 - 確保 API 伺服器 Pod 規範檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.2 - 確保 API 伺服器 pod 規範檔案的擁有權設定為 root:root(自動化)
- 1.1.3 - 確保控制器管理器 pod 規範檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.4 - 確保控制器管理器 Pod 規範檔案的所有權設定為 root:root(自動化)
- 1.1.5 - 確保排程器 Pod 規格檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.6 - 確保排程器 Pod 規範檔案的擁有權設定為 root:root(自動化)
- 1.1.7 - 確保 etcd pod 規範檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.8 - 確保 etcd pod 規範檔案的所有權設定為 root:root(自動化)
- 1.1.11 - 確保 etcd 資料目錄的權限設置為 700 或更嚴格(自動化)
- 1.1.12 - 確保 etcd 資料目錄的擁有權設定為 etcd:etcd(自動化)
- 1.1.13 - 確保預設管理憑證檔案的權限設置為600(自動化)
- 1.1.14 - 確保預設管理憑證檔案的擁有權設定為 root:root(自動化)
- 1.1.15 - 確保 scheduler.conf 檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.16 - 確保 scheduler.conf 文件的所有權設置為 root:root(自動化)
- 1.1.17 - 確保 controller-manager.conf 檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.18 - 確保 controller-manager.conf 文件的所有權設置為 root:root(自動化)
- 1.1.19 - 確保 Kubernetes PKI 目錄和檔案的所有權設定為 root:root(自動化)
- 1.2.2 - 確保未設定 --token-auth-file 參數(自動化)
- 1.2.4 - 確保 --kubelet-client-certificate 和 --kubelet-client-key 參數已適當設置(自動化)
- 1.2.5 - 確保 --kubelet-certificate-authority 參數已適當設置(自動化)
- 1.2.6 - 確保 --authorization-mode 參數未設定為 AlwaysAllow(自動化)
- 1.2.7 - 確保 --authorization-mode 參數包含 Node(自動化)
- 1.2.8 - 確保 --authorization-mode 參數包含 RBAC(自動化)
- 1.2.10 - 確保未設定入場控制插件 AlwaysAdmit(自動化)
- 1.2.12 - 確保已設定准入控制插件 ServiceAccount(自動化)
- 1.2.13 - 確保已設定准入控制插件 NamespaceLifecycle(自動化)
- 1.2.14 - 確保已設定准入控制插件 NodeRestriction(自動化)
- 1.2.15 - 確保 --profiling 參數設置為 false(自動化)
- 1.2.16 - 確保已設定 --audit-log-path 參數(自動化)
- 1.2.17 - 確保 --audit-log-maxage 參數設置為 30 或適當值(自動化)
- 1.2.18 - 確保 --audit-log-maxbackup 參數設置為 10 或適當值(自動化)
- 1.2.19 - 確保 --audit-log-maxsize 參數設置為 100 或適當值(自動化)
- 1.2.21 - 確保 --service-account-lookup 參數設置為 true(自動化)
- 1.2.22 - 確保 --service-account-key-file 參數已適當設定(自動化)
- 1.2.23 - 確保 --etcd-certfile 和 --etcd-keyfile 參數已適當設置(自動化)
- 1.2.24 - 確保 --tls-cert-file 和 --tls-private-key-file 參數已適當設置(自動化)
- 1.2.25 - 確保 --client-ca-file 參數已適當設置(自動化)
- 1.2.26 - 確保 --etcd-cafile 參數已適當設置(自動化)
- 1.2.30 - 確保 --service-account-extend-token-expiration 參數設置為 false(自動化)
- 1.3.2 - 確保 --profiling 參數設置為 false(自動化)
- 1.3.3 - 確保 --use-service-account-credentials 參數設置為 true(自動化)
- 1.3.4 - 確保 --service-account-private-key-file 參數已適當設定(自動化)
- 1.3.5 - 確保 --root-ca-file 參數已適當設定(自動化)
- 1.3.6 - 確保 RotateKubeletServerCertificate 參數設為 true(自動化)
- 1.3.7 - 確保 --bind-address 參數設置為 127.0.0.1(自動化)
- 1.4.1 - 確保 --profiling 參數設置為 false(自動化)
- 1.4.2 - 確保 --bind-address 參數設置為 127.0.0.1(自動化)
- 2.1 - 確保 --cert-file 和 --key-file 參數已適當設置(自動化)
- 2.2 - 確保 --client-cert-auth 參數設置為 true(自動化)
- 2.3 - 確保 --auto-tls 參數未設為 true(自動化)
- 2.4 - 確保 --peer-cert-file 和 --peer-key-file 參數已適當設定(自動化)
- 2.5 - 確保 --peer-client-cert-auth 參數設置為 true(自動化)
- 2.6 - 確保 --peer-auto-tls 參數未設為 true(自動化)
- 2.7 - 確保未將 --peer-auto-tls 參數設置為 true(自動化)
- 4.1.1 - 確保 kubelet 服務檔案的權限設置為 600 或更嚴格(自動化)
- 4.1.2 - 確保 kubelet 服務檔案的擁有權設定為 root:root(自動化)
- 4.1.5 - 確保 --kubeconfig kubelet.conf 檔案的權限設定為 600 或更嚴格(自動化)
- 4.1.6 - 確保 --kubeconfig kubelet.conf 檔案的擁有權設定為 root:root(自動化)
- 4.1.9 - 如果正在使用 kubelet config.yaml 配置檔案,請驗證權限設置為 600 或更嚴格(自動化)
- 4.1.10 - 如果正在使用 kubelet config.yaml 配置文件,請驗證檔案擁有權是否設置為 root:root(自動化)
- 4.2.1 - 確保 --anonymous-auth 參數設置為 false(自動化)
- 4.2.2 - 確保 --authorization-mode 參數未設為 AlwaysAllow(自動化)
- 4.2.3 - 確保 --client-ca-file 參數已適當設定(自動化)
- 4.2.6 - 確保 --make-iptables-util-chains 參數設置為 true(自動化)
- 4.2.10 - 確保 --rotate-certificates 參數未設為 false(自動化)
- 4.3.1 - 確保 kube-proxy 指標服務綁定到本地主機(手動)
- 5.1.1 - 確保僅在必要時使用 cluster-admin 角色(手動)
- 5.1.2 - 最小化秘密存取(手動)
- 5.1.3 - 減少在角色和集群角色中使用萬用字元(手動)
- 5.1.4 - 最小化建立 Pods 的存取權限(手動)
- 5.1.5 - 確保預設服務帳戶未被主動使用(手動)
- 5.1.6 - 確保僅在必要時掛載服務帳戶令牌(手動)