設定檔適用性:等級 1 - 工作節點
確保如果 kubelet 使用
--config 參數引用配置檔案,該檔案的權限設置為 600 或更嚴格。kubelet 會從由
--config 參數指定的配置檔案中讀取各種參數,包括安全設定。如果指定了此檔案,您應限制其檔案權限以維護檔案的完整性。該檔案應僅允許系統管理員寫入。 |
注意預設情況下,由
kubeadm 設定的 /var/lib/kubelet/config.yaml 檔案權限為 600。 |
稽核
自動 AAC 審核已被修改,以允許 CIS-CAT 輸入 kubelet 配置 yaml 文件的 <PATH>/<FILENAME> 變數。
請根據您系統上的檔案位置設定 $kubelet_config_yaml=<PATH>,例如:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
手動執行稽核:
在每個工作節點上執行以下命令(根據您系統上的檔案位置):
stat -c %a /var/lib/kubelet/config.yaml
確認權限是否為600或更嚴格。
補救
執行以下指令(使用在稽核步驟中識別的設定檔案位置):
chmod 600 /var/lib/kubelet/config.yaml