Zugriff auf Pfade sowie Konfigurationsdateien beschränken
Die Kubeconfig, Kubeletconfig sowie Kubeadmconfig enthalten Cluster-Informationen.
Abseits vom Sammeln dieser Daten könnte eine Modifizierung das Cluster paralysieren.
Standardmäßig enthalten die folgenden Pfade und Yamls Informationen über das Cluster.
/etc/kubernetes/
/var/lib/kubelet/
/etc/sysconfig/kubelet
$HOME/./kube/config.yaml
Sie sind nur für Troubleshooting-Prozesse relevant, und sollten daher Nicht-Administratoren unzugänglich sein. Die Befehle „systemctl cat kubelet“ und somit „systemctl“ als Gesamtes sollten zu dieser Unzugänglichkeit beigefügt werden, da man mit ihnen die besagten Pfade auch aufdecken kann. Die Pfade sind in den entsprechenden Pods durch ihre Konfigurationsdateien innerhalb des Kube-System-Namespaces gemounted. Demnach sollte auch der Zugriff auf besagte Konfigurations-Dateien eingeschränkt werden.
Orientieren Sie sich an folgenden Maßnahmen:
Sie haben Fragen?
Wenn Sie Fragen haben, die noch nicht beantwortet sind, können Sie sich gerne an uns wenden.