プロファイル適用範囲: レベル1 - ワーカーノード
kubeletサービスファイルの所有権がroot:rootに設定されていることを確認する。kubeletサービスファイルは、ワーカーノード内のkubeletサービスの動作を設定する様々なパラメータを制御します。ファイルの整合性を維持するために、そのファイルの所有権を設定する必要があります。ファイルはroot:rootによって所有されるべきです。 |
注意デフォルトでは、
kubeletサービスファイルの所有権はroot:rootに設定されています。 |
監査
自動AAC監査が変更され、CIS-CATがkubeletサービス設定ファイルの<PATH>/<FILENAME>に変数を入力できるようになりました。
ファイルの場所に基づいてシステム上で$kubelet_service_config=<PATH>を設定してください。例:
export kubelet_service_config=/etc/systemd/system/kubelet.service.d/kubeadm.conf
監査を手動で実行する場合:
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。
stat -c %U:%G /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
所有権が
root:rootに設定されていることを確認してください。修復
各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。
chown root:root /etc/systemd/system/kubelet.service.d/kubeadm.conf