プロファイル適用性: レベル1
kubeletが実行中で、kubeconfigファイルによって構成されている場合、プロキシkubeconfigファイルの権限が644以上の制限付きであることを確認してください。kubelet kubeconfigファイルは、ワーカーノードのkubeletサービスのさまざまなパラメーターを制御します。ファイルの整合性を維持するために、ファイルの権限を制限する必要があります。ファイルはシステムの管理者のみが書き込み可能であるべきです。kubeletをファイルの代わりにKubernetes ConfigMapとして構成されたkubeconfigパラメーターで実行することも可能です。この場合、プロキシkubeconfigファイルは存在しません。 |
注意AWS EKS のドキュメントでデフォルト値を確認してください。
|
監査
方法 1
- ワーカーノードにSSH接続する。
- Kubeletサービスが実行中かどうかを確認するには、次のコマンドを入力してください:
sudo systemctl status kubelet
出力はActive: active (running) since..を返す必要があります。 - 各ノードで次のコマンドを実行して、適切なkubeconfigファイルを見つけてください:
ps -ef | grep kubelet
上記のコマンドの出力は、kubeconfigファイルの場所である--kubeconfig/var/lib/kubelet/kubeconfigに類似したものを返すはずです。 - このコマンドを実行してkubeconfigファイルの権限を取得します:
stat -c %a /var/lib/kubelet/kubeconfig
- ファイルが指定されていて存在する場合、パーミッションが644またはそれよりも制限されていることを確認してください。
方法2
特権ポッドを作成して実行
- ホストのファイルシステムにアクセスするのに十分な特権を持つポッドを実行します。これを行うには、hostPathボリュームを使用してノードのファイルシステムをポッドにマウントするポッドをデプロイします。
ホストのルートをポッド内の/hostにマウントするシンプルなポッド定義の例:
apiVersion: v1 kind: Pod metadata: name: file-check spec: volumes: - name: host-root hostPath: path: / type: Directory containers: - name: nsenter image: busybox command: ["sleep", "3600"] volumeMounts: - name: host-root mountPath: /host securityContext: privileged: true - これをファイル (例: file-check-pod.yaml) に保存して、ポッドを作成してください:
kubectl apply -f file-check-pod.yaml
- ポッドが実行されている場合、ノード上のファイル権限を確認するためにexecでアクセスしてください。
kubectl exec -it file-check -- sh
- 現在、ポッド内のシェルにいますが、/hostディレクトリを通じてノードのファイルシステムにアクセスし、ファイルの権限レベルを確認できます。
ls -l /host/var/lib/kubelet/kubeconfig
- ファイルが指定されていて存在する場合、パーミッションが644またはそれよりも制限されていることを確認してください。
修復
各ワーカーノードで (システム上のファイルの場所に基づいて) 以下のコマンドを実行してください:
chmod 644 <kubeconfig file>