設定檔適用性:等級 1
確保 kubelet 服務檔案的權限為 644 或更嚴格。
kubelet 服務檔案控制設定工作節點中 kubelet 服務行為的各種參數。您應該限制其檔案權限以維護檔案的完整性。該檔案應僅允許系統管理員寫入。
 |
注意預設情況下,kubelet 服務檔案的權限為 644。
|
稽核
Kubelet 以
systemd 單元運行,其配置文件的權限設置為 644。執行以下命令:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/etc/systemd/system/kubelet.service
done
驗證權限是否為 644 或更嚴格。