相關資訊
- 1.1.1 - 確保 API 伺服器 pod 規範檔案權限設置為 600 或更嚴格(自動化)
- 1.1.2 - 確保 API 伺服器 pod 規範檔案的擁有權設置為 root:root(自動化)
- 1.1.3 - 確保控制器管理器 Pod 規範檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.4 - 確保控制器管理器 Pod 規範檔案的擁有權設置為 root:root(自動化)
- 1.1.5 - 確保排程器 pod 規範檔案權限設置為 600 或更嚴格(自動化)
- 1.1.6 - 確保排程器 Pod 規範檔案的擁有權設置為 root:root(自動化)
- 1.1.7 - 確保 etcd pod 規範檔案的權限設置為 600 或更嚴格(自動化)
- 1.1.8 - 確保 etcd pod 規範文件的所有權設置為 root:root(自動化)
- 1.1.11 - 確保 etcd 資料目錄權限設置為 700 或更嚴格(自動化)
- 1.1.12 - 確保 etcd 資料防護目錄的所有權設置為 etcd:etcd(自動化)
- 1.1.13 - 確保預設管理憑證檔案權限設置為 600(自動化)
- 1.1.14 - 確保預設管理憑證檔案的所有權設置為 root:root(自動化)
- 1.1.15 - 確保 scheduler.conf 檔案權限設置為 600 或更嚴格(自動化)
- 1.1.16 - 確保 scheduler.conf 檔案的擁有者設置為 root:root(自動化)
- 1.1.17 - 確保 controller-manager.conf 檔案權限設置為 600 或更嚴格(自動化)
- 1.1.18 - 確保 controller-manager.conf 檔案的擁有者設置為 root:root(自動化)
- 1.1.19 - 確保 Kubernetes PKI 目錄和文件所有權設置為 root:root(自動化)
- 1.2.2 - 確保未設定 --token-auth-file 參數(自動化)
- 1.2.4 - 確保 --kubelet-client-certificate 和 --kubelet-client-key 參數設置適當(自動化)
- 1.2.5 - 確保 --kubelet-certificate-authority 參數設置適當(自動化)
- 1.2.6 - 確保 --authorization-mode 參數未設為 AlwaysAllow(自動化)
- 1.2.7 - 確保 --authorization-mode 參數包含 Node(自動化)
- 1.2.8 - 確保 --authorization-mode 參數包含 RBAC(自動化)
- 1.2.10 - 確保未設定入場控制插件 AlwaysAdmit(自動化)
- 1.2.12 - 確保已設定准入控制外掛 ServiceAccount(自動化)
- 1.2.13 - 確保已設定准入控制外掛 NamespaceLifecycle(自動化)
- 1.2.14 - 確保已設定准入控制外掛程式 NodeRestriction(自動化)
- 1.2.15 - 確保 --profiling 參數設置為 false(自動化)
- 1.2.16 - 確保已設定 --audit-log-path 參數(自動化)
- 1.2.17 - 確保 --audit-log-maxage 參數設置為 30 或適當的值(自動化)
- 1.2.18 - 確保 --audit-log-maxbackup 參數設置為 10 或適當的值(自動化)
- 1.2.19 - 確保 --audit-log-maxsize 參數設置為 100 或適當的值(自動化)
- 1.2.21 - 確保 --service-account-lookup 參數設置為 true(自動化)
- 1.2.22 - 確保 --service-account-key-file 參數已適當設置(自動化)
- 1.2.23 - 確保 --etcd-certfile 和 --etcd-keyfile 參數已適當設置(自動化)
- 1.2.24 - 確保 --tls-cert-file 和 --tls-private-key-file 參數已適當設置(自動化)
- 1.2.25 - 確保 --client-ca-file 參數設置適當(自動化)
- 1.2.26 - 確保 --etcd-cafile 參數設置適當(自動化)
- 1.3.2 - 確保 --profiling 參數設置為 false(自動化)
- 1.3.3 - 確保 --use-service-account-credentials 參數設置為 true(自動化)
- 1.3.4 - 確保 --service-account-private-key-file 參數已適當設置(自動化)
- 1.3.5 - 確保 --root-ca-file 參數已適當設置(自動化)
- 1.3.6 - 確保 RotateKubeletServerCertificate 參數設置為 true(自動化)
- 1.3.7 - 確保 --bind-address 參數設置為 127.0.0.1(自動化)
- 1.4.1 - 確保 --profiling 參數設置為 false(自動化)
- 1.4.2 - 確保 --bind-address 參數設置為 127.0.0.1(自動化)
- 2.1 - 確保 --cert-file 和 --key-file 參數已適當設置(自動化)
- 2.2 - 確保 --client-cert-auth 參數設置為 true(自動化)
- 2.3 - 確保 --auto-tls 參數未設置為 true(自動化)
- 2.4 - 確保 --peer-cert-file 和 --peer-key-file 參數已適當設置(自動化)
- 2.5 - 確保 --peer-client-cert-auth 參數設置為 true(自動化)
- 2.6 - 確保 --peer-auto-tls 參數未設置為 true(自動化)
- 4.1.1 - 確保 kubelet 服務檔案權限設置為 600 或更嚴格(自動化)
- 4.1.2 - 確保 kubelet 服務檔案的擁有者設置為 root:root(自動化)
- 確保 --kubeconfig kubelet.conf 檔案權限設置為 600 或更嚴格(自動化)
- 4.1.6 - 確保 --kubeconfig kubelet.conf 檔案的擁有權設置為 root:root(自動化)
- 4.1.9 - 如果正在使用 kubelet config.yaml 配置文件,請驗證權限設置為 600 或更嚴格(自動化)
- 4.1.10 - 如果正在使用 kubelet config.yaml 配置文件,請驗證檔案擁有權已設置為 root:root(自動化)
- 4.2.1 - 確保 --anonymous-auth 參數設置為 false(自動化)
- 4.2.2 - 確保 --authorization-mode 參數未設置為 AlwaysAllow(自動化)
- 4.2.3 - 確保 --client-ca-file 參數設置適當(自動化)
- 4.2.6 - 確保 --make-iptables-util-chains 參數設置為 true(自動化)
- 4.2.10 - 確保 --rotate-certificates 參數未設為 false(自動化)
- 4.3.1 - 確保 kube-proxy 指標服務綁定到本地主機(自動化)
- 5.1.1 - 確保僅在需要時使用 cluster-admin 角色(自動化)
- 5.1.2 - 最小化對機密的訪問(自動化)
- 5.1.3 - 最小化在角色和集群角色中使用萬用字元(自動化)
- 5.1.4 - 最小化建立 pods 的存取權限(自動化)
- 5.1.5 - 確保不主動使用預設服務帳戶(自動化)
- 5.1.6 - 確保僅在必要時掛載服務帳戶令牌(自動化)