プロファイル適用性: レベル1
kubeletが実行中で、kubeconfigファイルによって設定されている場合、プロキシkubeconfigファイルの権限が644以上の制限付きであることを確認してください。kubelet kubeconfigファイルは、ワーカーノードのkubeletサービスの様々なパラメータを制御します。ファイルの整合性を維持するために、そのファイルのアクセス権を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。kubeletをKubernetesのConfigMapとして構成されたkubeconfigパラメーターで実行することが可能です。この場合、プロキシkubeconfigファイルはありません。 |
注意AWS EKSのドキュメントでデフォルト値を確認してください。
|
影響
kubeconfigファイルの権限を644またはそれ以上に制限することは、Kubernetes環境のセキュリティ状態を大幅に強化します。これにより、kubeconfigファイルへの書き込みアクセスが制限され、管理者のみが重要なkubelet設定を変更できるようになり、クラスターの整合性を損なう可能性のある悪意のある変更のリスクが軽減されます。
しかし、この構成は、非管理者ユーザがkubelet設定を迅速に調整する能力を制限するため、使いやすさに若干影響を与える可能性があります。管理者は、セキュリティニーズと運用の柔軟性をバランスさせる必要があり、kubelet構成を管理するためのワークフローの調整が必要になる可能性があります。
監査
方法1
ワーカーノードへのSSH。
-
Kubeletサービスが実行されているか確認するために、次のコマンドを入力してください。
sudo systemctl status kubelet
出力はActive: active (running) since..を返す必要があります。 -
各ノードで次のコマンドを実行して、適切なkubeconfigファイルを見つけてください。
ps -ef | grep kubelet
出力は、kubeconfigファイルの場所である--kubeconfig /var/lib/kubelet/kubeconfigに類似したものを返す必要があります。 -
このコマンドを実行してkubeconfigファイルの権限を取得してください。
stat -c %a /var/lib/kubelet/kubeconfig
-
ファイルが指定されていて存在する場合、パーミッションが644以上に制限されていることを確認してください。
方法2
特権ポッドを作成して実行する
-
ホストのファイルシステムにアクセスするために十分な権限を持つポッドを実行します。これを行うには、hostPathボリュームを使用してノードのファイルシステムをポッドにマウントするポッドをデプロイします。ホストのルートをポッド内の/hostにマウントするシンプルなポッド定義の例:
apiVersion: v1 kind: Pod metadata: name: file-check spec: volumes: - name: host-root hostPath: path: / type: Directory containers: - name: nsenter image: busybox command: ["sleep", "3600"] volumeMounts: - name: host-root mountPath: /host securityContext: privileged: true -
これをファイル (例: file-check-pod.yaml) に保存し、ポッドを作成してください。
kubectl apply -f file-check-pod.yaml
-
ポッドが稼働したら、ノード上のファイル権限を確認するためにexecでアクセスしてください。
kubectl exec -it file-check -- sh
-
現在、Pod内のシェルにいますが、/hostディレクトリを通じてノードのファイルシステムにアクセスし、ファイルの権限レベルを確認できます。
ls -l /host/var/lib/kubelet/kubeconfig
-
ファイルが指定されていて存在する場合、パーミッションが644以上に制限されていることを確認してください。
修復
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。例えば:
chmod 644 <kubeconfig file>