設定檔適用性:等級 1
確保憑證授權機構文件的所有權設置為
root:root。憑證授權機構檔案控制用於驗證 API 請求的授權機構。您應該設置其檔案所有權以維護檔案的完整性。該檔案應由
root:root 擁有。 |
注意在 OpenShift 4 中,預設情況下,
--client-ca-file 設定為 /etc/kubernetes/kubelet-ca.crt,其所有權為 root:root。 |
審計
kubelet 的用戶端 CA 位置資訊定義在 /etc/kubernetes/kubelet.conf 中,預設為 /etc/kubernetes/kubelet-ca.crt。執行以下命令以查看使用者和群組所有權:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %U:%G
/etc/kubernetes/kubelet-ca.crt
done
確認所有權已設置為
root:root。