プロファイル適用性: レベル1
kubeletが実行されている場合、そのkubeconfigファイルの所有権がroot:rootに設定されていることを確認してください。kubeletのkubeconfigファイルは、ワーカーノード内のkubeletサービスの様々なパラメータを制御します。ファイルの整合性を維持するために、そのファイルの所有権を設定する必要があります。ファイルはroot:rootによって所有されるべきです。 |
注意GKEのドキュメントでデフォルト値を確認してください。
|
影響
過度に許可されたファイルアクセスは、プラットフォームのセキュリティリスクを高めます。
監査
Google Cloud Consoleを使用する
- Google Cloud Console Kubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- 希望するクラスターをクリックして詳細ページを開き、次に希望するノードプールをクリックしてノードプールの詳細ページを開きます。3.
- 目的のノードの名前をメモしてください
- Google Cloud Console VM インスタンスページにアクセスして、VM インスタンスに移動します
- 目的のノードを見つけてSSHをクリックし、そのノードへのSSH接続を開いてください。
コマンドラインを使用
方法1
ワーカーノードへのSSH。
kubeletサービスが実行中かどうかを確認するには:sudo systemctl status kubelet
出力は
Active: active (running) since..を返す必要があります各ノードで次のコマンドを実行して適切な
kubeconfigファイルを見つけてください。ps -ef | grep kubelet
上記のコマンドの出力は、
--kubeconfig /var/lib/kubelet/kubeconfigのようなものを返すはずです。これはkubeconfigファイルの場所です。このコマンドを実行して
kubeconfigファイルの所有権を取得します。stat -c %U:%G /var/lib/kubelet/kubeconfig
上記のコマンドの出力は
kubeconfigファイルの所有権を示します。所有権がroot:rootに設定されていることを確認してください。方法2
特権ポッドを作成して実行する。
ホストのファイルシステムにアクセスするために十分な権限を持つポッドを実行する必要があります。これは、hostPathボリュームを使用してノードのファイルシステムをポッドにマウントするポッドをデプロイすることで実現できます。
ホストのルートをポッド内の/hostにマウントするシンプルなポッド定義の例を次に示します。
apiVersion: v1 kind: Pod metadata: name: file-check spec: volumes: - name: host-root hostPath: path: / type: Directory containers: - name: nsenter image: busybox command: ["sleep", "3600"] volumeMounts: - name: host-root mountPath: /host securityContext: privileged: true
これをファイル (例: file-check-pod.yaml) に保存し、ポッドを作成してください。
kubectl apply -f file-check-pod.yaml
ポッドが稼働したら、ノード上のファイル所有権を確認するためにexecでアクセスできます。
kubectl exec -it file-check -- sh
現在、ポッド内のシェルにいますが、/hostディレクトリを通じてノードのファイルシステムにアクセスし、ファイルの所有権を確認できます。
ls -l /host/var/lib/kubelet/kubeconfig
上記のコマンドの出力は
kubeconfigファイルの所有権を示します。所有権がroot:rootに設定されていることを確認してください。修復
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。例えば:
chown root:root <proxy kubeconfig file>