部署部署或守护程序集时,将创建一个随机的0字节文件:
ls -lart /var/lib/kubelet/pods
0666 *container id*/containers/*container name*/*random file name*
您是否可以提供有关此文件的更多信息?我们如何引导kubernetes使用0644或0640创建此文件?我们是否可以为此传递一个标志给kubelet?
它在我们的安全扫描中显示为不那么安全。
这是版本1.12
我还没有尝试任何操作-我刚刚在节点上进行了安全扫描,并且正在寻找更多信息以及如何防止这种情况出现。
ls -lart /var/lib/kubelet/pods
0666 *container id*/containers/*container name*/*random file name*
我想要做的就是通过使用自定义代码修复漏洞或通过更新或解释为什么必须保留0666来解决此漏洞的方法。
最佳答案
在节点上启动容器之前,kubelet在主机系统上为该Pod创建一个目录/var/lib/kubelet/pods/
我无法确切地说出这些文件的必要性,因为lsof
不会显示任何内容,但是我的假设是,它被用作暂停容器中的挂载卷
设置此目录权限的唯一位置是here
--volume=/var/lib/kubelet/:/var/lib/kubelet:rw \
希望这会有所帮助
关于security -/var/lib/kubelet/pods下的目录权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57314957/