設定檔適用性:等級 1
確保如果 kubelet 使用
--config 參數引用配置文件,該文件的權限應為 600 或更嚴格。kubelet 從由
--config 參數指定的配置文件中讀取各種參數,包括安全設置。如果指定了此文件,您應該限制其文件權限以維護文件的完整性。該文件應僅允許系統上的管理員寫入。 |
注意預設情況下,
/var/lib/kubelet/config.json 檔案的權限為 600。 |
稽核
在 OpenShift 4 中,kubelet 配置檔由機器配置操作員管理,位於
/var/lib/kubelet/config.json 或 /var/data/kubelet/config.json,檔案權限設置為 600。對於 OpenShift 4.13 及以上版本,請執行以下命令以檢查權限:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/data/kubelet/config.json
done
對於較早版本的 OpenShift,請執行以下命令以檢查權限:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %a
/var/lib/kubelet/config.json
done
驗證權限是否為 600。