設定檔適用性:等級 1
確保憑證授權機構文件的權限為 644 或更嚴格。
憑證授權機構檔案控制用於驗證 API 請求的授權機構。您應該限制其檔案權限以維護檔案的完整性。該檔案應僅由系統上的管理員可寫入。
 |
注意預設情況下,在 OpenShift 4 中,
/etc/kubernetes/kubelet-ca.crt 檔案的權限設置為 644。 |
稽核
- 使用以下命令檢查叢集中每個節點的
clientCAFile:for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}') do oc get --raw /api/v1/nodes/$node/proxy/configz | jq '.kubeletconfig.authentication.x509.clientCAFile' done輸出應如下所示:/etc/kubernetes/kubelet-ca.crt
- 檢查每個節點上的檔案權限:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}') do oc debug node/${node} -- chroot /host stat -c %a /etc/kubernetes/kubelet-ca.crt done - 驗證權限是否為 644。