ビュー:
プロファイル適用性: レベル1
kubeletが実行中の場合、そのkubeconfigファイルの所有者がroot:rootに設定されていることを確認してください。
kubeletのkubeconfigファイルは、ワーカーノードのkubeletサービスのさまざまなパラメーターを制御します。ファイルの整合性を維持するために、ファイルの所有権を設定する必要があります。ファイルはroot:rootが所有する必要があります。
注意
注意
デフォルト値についてはAWS EKSのドキュメントを参照してください。

監査

方法 1
  1. ワーカーノードにSSH接続します。
  2. Kubeletサービスが実行中かどうかを確認するには、次のコマンドを入力してください: 
    sudo systemctl status kubelet
    出力はActive: active (running) since..を返す必要があります。
  3. 各ノードで次のコマンドを実行して、適切なkubeconfigファイルを見つけてください。 
    ps -ef | grep kubelet
    上記のコマンドの出力は、kubeconfigファイルの場所である--kubeconfig/var/lib/kubelet/kubeconfigに類似したものを返すはずです。
  4. このコマンドを実行してkubeconfigファイルの所有権を取得してください: 
    stat -c %U:%G /var/lib/kubelet/kubeconfig
  5. 所有権がroot:rootに設定されていることを確認してください。
方法 2
特権ポッドの作成と実行
  1. ホストのファイルシステムにアクセスするために十分な特権を持つポッドを実行します。これを行うには、hostPathボリュームを使用してノードのファイルシステムをポッドにマウントするポッドをデプロイします。
    ホストのルートをポッド内の/hostにマウントするシンプルなポッド定義の例:
    apiVersion: v1
kind: Pod
metadata:
  name: file-check
spec:
  volumes:
  - name: host-root
    hostPath:
      path: /
      type: Directory
  containers:
  - name: nsenter
    image: busybox
    command: ["sleep", "3600"]
    volumeMounts:
    - name: host-root
      mountPath: /host
    securityContext:
      privileged: true
  2. これをファイル (例: file-check-pod.yaml) に保存して、Podを作成してください: 
    kubectl apply -f file-check-pod.yaml
  3. ポッドが実行されている場合、ノード上のファイル権限を確認するためにexecで接続します。 
    kubectl exec -it file-check -- sh
  4. 現在、ポッド内のシェルにいますが、/hostディレクトリを通じてノードのファイルシステムにアクセスし、ファイルの権限レベルを確認できます。 
    ls -l /host/var/lib/kubelet/kubeconfig
  5. 所有権がroot:rootに設定されていることを確認してください。

修復

各ワーカーノードで以下のコマンド (システム上のファイルの場所に基づく) を実行してください: 
chown root:root <proxy kubeconfig file>