設定檔適用性:等級 1 - 主節點
確保
kubelet 服務檔案的權限為 600 或更嚴格。kubelet 服務檔案控制各種參數,以設定工作節點中 kubelet 服務的行為。您應限制其檔案權限以維護檔案的完整性。該檔案應僅允許系統管理員寫入。 |
注意預設情況下,kubelet 服務檔案的權限為 640。
|
稽核
自動化 AAC 審核已被修改,以允許 CIS-CAT 輸入 kubelet 服務配置文件的 <PATH>/<FILENAME> 變數。
請根據您系統上的檔案位置設定 $kubelet_service_config=<PATH>,例如:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
若要手動執行稽核:
在每個工作節點上執行以下命令(根據您系統上的檔案位置):
stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
請確認權限為 600 或更嚴格。
補救
在每個工作節點上執行以下命令(根據您系統上的檔案位置):
chmod 600 /etc/systemd/system/kubelet.service.d/kubeadm.conf