directory and file ownership is set to root:root (Automated) 1.1.20 Ensure that the Kubernetes PKI certificate file permissions are set to 644 or more restrictive (Automated) 1.1.21 Ensure that the Kubernetes Ensure that the --kubelet-client-certificate and -- kubelet-client-key arguments are set as appropriate (Automated) 1.2.6 Ensure that the --kubelet-certificate-authority argument is set as appropriate (Automated) to true (Automated) 2.7 Ensure that a unique Certificate Authority is used for etcd (Automated) 3.1 Authentication and Authorization 3.1.1 Client certificate authentication should not be used for users

[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] 第 第 2 章 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 要使用的实际用户信息是确定的。用户使用与

/etc/kubernetes/ssl Expected result: 'root:root' is present 1.1.20 Ensure that the Kubernetes PKI certificate file permissions are set to 644 or more restrictive (Scored) Result: PASS Remediation: Run the CIS Benchmark Rancher Self-Assessment Guide - v2.4 15 1.2.5 Ensure that the --kubelet-client-certificate and --kubelet-client-key arguments are set as appropriate (Scored) Result: PASS Remediation: yaml on the master node and set the kubelet client certificate and key parameters as below. --kubelet-client-certificate=certificate-file> --kubelet-client-key=

/etc/kubernetes/ssl Expected result: 'root:root' is present 1.1.20 Ensure that the Kubernetes PKI certificate file permissions are set to 644 or more restrictive (Scored) Result: PASS Remediation: Run the 5 Benchmark - Self-Assessment Guide - Rancher v2.5 15 1.2.5 Ensure that the --kubelet-client-certificate and --kubelet-client-key arguments are set as appropriate (Scored) Result: PASS Remediation: yaml on the master node and set the kubelet client certificate and key parameters as below. --kubelet-client-certificate=certificate-file> --kubelet-client-key=

[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] 第 第 2 章 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 要使用的实际用户信息是确定的。用户使用与

[https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass the certificate check, but any data you send to the server could be intercepted oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] $ oc config 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下流程中 的第一个匹配项构建： 以下命令行选项中的任何值： --server, --api-version --certificate-authority users: - name: alice/openshift1.example.com user: token: ns7yVhuRNpDM9cgzfhhxQ7bM5s7N2ZVrkZepSRf4LC0

addressing these through future enhancements to the product. 1.1.21 - Ensure that the --kubelet-certificate-authority argument is set as appropriate (Scored) 1.4.11 - Ensure that the etcd data directory permissions =.*").string' Returned Value: null Result: Pass 1.1.21 - Ensure that the --kubelet-certificate-authority argument is set as appropriate (Scored) Notes RKE is using the kubelet's ability to automatically [0].Args[] | match("--kubelet-certificate-authority=.*").string' Returned Value: none Result: Fail (See Mitigation) 1.1.22 - Ensure that the --kubelet-client-certificate and -- kubelet-client-key

args: - adm - prune - images - --certificate-authority=/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt - --keep-tag-revisions=5 包括没有推送到 registry 但已通过 pullthrough 镜像的镜像。默认为 开启。要将修剪限制为已被推送到集成 registry 的镜像，请传递 -- all=false。 --certificate-authority 与 OpenShift Container Platform 管理的 registry 通信时使用的证 书颁发机构文件的路径。默认为来自当前用户配置文件的证书颁发 机构数据。如果提供，则发起安全连接。 协议来进行，并且会强制验证证书。若有可能，prune 命 令始终会尝试使用这种连接。如果不可能，某些情况下会回退到不安全连接，而这存在危险。这时，会跳 过证书验证或使用普通 HTTP 协议。 除非指定了 --certificate-authority，否则以下情形中允许回退到不安全连接： 1. 使用 --force-insecure 选项运行 prune 命令。 2. 提供的 registry-url 带有 http://

包括没有推送到 registry 但已通过 pullthrough 镜像的镜像。默认为 开启。要将修剪限制为已被推送到集成 registry 的镜像，请传递 -- all=false。 --certificate-authority 与 OpenShift Container Platform 管理的 registry 通信时使用的证 书颁发机构文件的路径。默认为来自当前用户配置文件的证书颁发 机构数据。如果提供，则发起安全连接。 registry 进行不安全连接。 --keep-tag-revisions= 对于每个镜像流，每个标签最多保留 N 个镜像修订（默认值 3）。 - --certificate-authority=/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt - --keep-tag-revisions=5 协议来进行，并且会强制验证证书。若有可能，prune 命 令始终会尝试使用这种连接。如果不可能，某些情况下会回退到不安全连接，而这存在危险。这时，会跳 过证书验证或使用普通 HTTP 协议。 除非指定了 --certificate-authority，否则以下情形中允许回退到不安全连接： 1. 使用 --force-insecure 选项运行 prune 命令。 2. 提供的 registry-url 带有 http://

oc config set-cluster [--server=] [--certificate-authority=certificate/authority>] [--api-version=] [--insecure-skip-tls-verify=true] $ oc config name> $ oc whoami -c OpenShift Container Platform 3.11 CLI 参考 参考 18 --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。 5. 要使用的实际用户信息是确定的。用户 要使用的实际用户信息是确定的。用户使用与集群相同的规则构建，但每个用户只能有一个身份 验证技术；冲突的技术会导致操作失败。命令行选项优先于配置文件值。有效命令行选项包括： --auth-path --client-certificate --client-key --token 6. 对于仍缺失的任何信息，将使用默认值，并提示提供其他信息。 第 第 3 章 章 管理 管理 CLI 配置集 配置集 19 第 4 章