Red Hat OpenShift Richtlinien in DevOps Config
Standardmäßig enthält das DevOps Config -Richtlinien-Inhaltspaket eine Reihe von Richtlinien zum Validieren Ihrer Red Hat OpenShift -Konfiguration.
Maximale Sicherung für Audit-Protokoll festgelegt (openshift_audit_log_maxbackup_is_set)
Überprüft, ob die maximale Anzahl alter Audit-Protokolldateien festgelegt ist, die für API-Server beibehalten werden sollen.
Führt zu einem nicht konformen Status, wenn das Argument „--audit-log-maxbackup“ entweder nicht festgelegt ist oder nicht innerhalb der angegebenen Grenzwerte liegt.
- Eingabeargumente
- lowerLimit
- Der untere Grenzwert des Arguments
„--audit-log-maxbackup“. - Typ: Ganzzahl
- Obligatorisch: False
- Der untere Grenzwert des Arguments
- upperLimit
- Die Obergrenze des Arguments
„--audit-log-maxbackup“. - Typ: Ganzzahl
- Obligatorisch: False
- Die Obergrenze des Arguments
- lowerLimit
Maximale Dateigröße für Audit-Protokoll festgelegt (openshift_audit_log_maxsize_is_set)
Überprüft, ob die maximale Dateigröße festgelegt ist, die als Rollover-Schwellenwert für Audit-Protokolldateien angegeben ist. Nachdem eine Audit-Protokolldatei die maximale Dateigröße erreicht hat, wird die ursprüngliche Audit-Protokolldatei umbenannt, und eine neue Protokolldatei mit dem ursprünglichen Namen wird erstellt.
Führt zu einem nicht konformen Status, wenn das Argument „--audit-log-maxsize“ entweder nicht festgelegt ist oder nicht innerhalb der angegebenen Grenzwerte liegt.
- Eingabeargumente
- lowerLimit
- Das untere Arbeitsspeicherlimit des Arguments
„--audit-log-maxsize“. - Typ: Ganzzahl
- Obligatorisch: Wahr
- Das untere Arbeitsspeicherlimit des Arguments
- upperLimit
- Die Obergrenze für Arbeitsspeicher des Arguments
„--audit-log-maxsize“. - Typ: Ganzzahl
- Obligatorisch: Wahr
- Die Obergrenze für Arbeitsspeicher des Arguments
- lowerLimit
Audit-Protokollpfad ist nicht festgelegt (openshift_audit_log_path_is_not_set)
Überprüft, ob Auditing in OpenShift aktiviert und der Pfad zur Audit-Protokolldatei festgelegt ist.
Führt zu einem nicht konformen Status, wenn das Argument „--audit-log-path“ für „openshift-kube-apiserver“ nicht auf „/var/log/kube-apiserver/audit.log“ oder „ --audit-log-path“ festgelegt ist Argument für „openshift-apiserver“ ist nicht auf „/var/log/openshift-apiserver/audit.log“festgelegt.
Standardauthentifizierungsdatei ist nicht festgelegt (openshift_basic_auth_file_is_not_set)
Überprüft, ob OpenShift nicht den Standardauthentifizierungsmechanismus verwendet, um Anforderungen beim API-Server zu authentifizieren.
Führt zu einem nicht konformen Status, wenn das Argument „--basic-auth-file“ festgelegt ist.
Container werden ohne Berechtigungszugriff ausgeführt (openshift_container_is_not_privileged)
Überprüft, ob die Container in einem OpenShift -Pod ohne privilegierten Zugriff ausgeführt werden.
Führt zu einem nicht konformen Status, wenn das Feld „privileged“ für einen Container auf „true“festgelegt ist.
Host-PID-Namespace ist deaktiviert (openshift_scc_with_hostPID_namespace_disabled)
Überprüft, ob mindestens eine Sicherheitskontexteinschränkung (SCC) definiert ist, die es Containern nicht erlaubt, den Host-PID-Namespace gemeinsam zu nutzen.
Führt zu einer Warnung, wenn ein SCC definiert ist, bei dem das Feld „ allowHostPID“ auf „true“festgelegt ist.
NamespaceLifecycle Plugin ist aktiviert (openshift_namespacelifecycle_plugin_is_enabled)
Überprüft, ob das Admission Control-Plugin „NamespaceLifecycle“ aktiviert ist.
Führt zu einem nicht konformen Status, wenn das NamespaceLifecycle-Plugin deaktiviert ist.
Schreibgeschützter Port ist deaktiviert (openshift_read_only_port_disabled)
Überprüft, ob der Kubelet-API-Server den schreibgeschützten Port nicht verwendet oder ob der schreibgeschützte Port auf 0festgelegt ist.
Führt zu einem nicht konformen Status, wenn das Argument „kubelet-read-only-port“ nicht auf 0festgelegt ist.
Zeitüberschreitung für Anforderung festgelegt (openshift_request_timeout_is_set)
Überprüft, ob die Zeitüberschreitung für globale Anforderungen für API-Server festgelegt ist.
Führt zu einem nicht konformen Status, wenn das Argument „--min-request-timeout“ entweder nicht festgelegt ist oder nicht innerhalb der angegebenen Grenzwerte liegt.
- Eingabeargumente
- lowerLimit
- Der untere Grenzwert des Arguments
„--min-request-timeout“. - Typ: Ganzzahl
- Obligatorisch: False
- Der untere Grenzwert des Arguments
- upperLimit
- Die Obergrenze des Arguments
„--min-request-timeout“. - Typ: Ganzzahl
- Obligatorisch: False
- Die Obergrenze des Arguments
- lowerLimit
Zeitüberschreitung bei Streamingverbindungen ist nicht deaktiviert (openshift_streaming_connections_timeout_not_disabled)
Überprüft, ob die Zeitüberschreitungen für Streaming-Verbindungen festgelegt sind, um Schutz vor Denial-of-Service-Angriffen, inaktiven Verbindungen und der Erschöpfung flüchtiger Ports zu gewährleisten.
Führt zu einem nicht konformen Status, wenn das Argument „streamingConnectionIdleTimeout “ in der Kubelet-Konfigurationsdatei auf 0 festgelegt ist.
Token-Authentifizierungsdatei ist nicht festgelegt (openshift_token_auth_file_is_not_set)
Überprüft, ob OpenShift keine statische Tokendatei verwendet, um Anforderungen beim API-Server zu authentifizieren.
Führt zu einem nicht konformen Status, wenn das Argument „--token-auth-file“ festgelegt ist.