設定檔適用性:等級 1
確保如果 kubelet 使用
--config 參數引用配置檔案,該檔案的擁有者是 root:root。kubelet 從由
--config 參數指定的配置檔案中讀取各種參數,包括安全設置。如果指定了此檔案,您應限制其檔案權限以維護檔案的完整性。該檔案應由 root:root 擁有。 |
注意預設情況下,
/var/lib/kubelet/config.json 檔案由 root:root 擁有。 |
稽核
在 OpenShift 4 中,kubelet 配置檔由機器配置運算元管理,位於
/var/lib/kubelet/config.json 或 /var/data/kubelet/config.json,檔案權限設置為 root:root。對於 OpenShift 4.13 及以上版本,請執行以下命令以檢查權限:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
對於較早版本的 OpenShift,請執行以下命令以檢查權限:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
確認所有權已設定為
root:root。