プロファイル適用性: レベル1 - ワーカーノード
kubeletが
--config引数で設定ファイルを参照する場合、そのファイルがroot:rootによって所有されていることを確認してください。kubeletは
--config引数で指定された設定ファイルからセキュリティ設定を含む様々なパラメータを読み取ります。このファイルが指定されている場合、ファイルの整合性を維持するためにファイルの権限を制限する必要があります。ファイルはroot:rootによって所有されるべきです。 |
注意デフォルトでは、
kubeadmによって設定された/var/lib/kubelet/config.yamlファイルはroot:rootが所有しています。 |
監査
自動AAC監査が変更され、CIS-CATがkubelet構成yamlファイルの<PATH>/<FILENAME>に変数を入力できるようになりました。
ファイルの場所に基づいて、システム上の$kubelet_config_yaml=<PATH>を設定してください。例:
export kubelet_config_yaml=/var/lib/kubelet/config.yaml
監査を手動で実行する場合:
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。
stat -c %U:%G /var/lib/kubelet/config.yaml
所有権が
root:rootに設定されていることを確認してください。修復
監査手順で特定された設定ファイルの場所を使用して、次のコマンドを実行してください。
chown root:root /etc/kubernetes/kubelet.conf