初学者的问题。
您允许谁访问 /etc/kubernetes/pki/ca.crt?
如果不是集群管理员的人有权访问(例如复制和分发、更新/删除它)证书,会对集群造成什么损害?
如果更新或删除,使用 /etc/kubernetes/pki/ca.crt 和 /etc/kubernetes/pki/ca.key 对签名的证书会发生什么情况?它们会失效吗?
答案1
就只读访问而言,该文件通常并不敏感(其中有一些次要信息泄露,但大多数集群操作员似乎并不关心)。允许轻松访问它,允许客户端连接到 API 服务器(以及该 CA 签名的任何其他证书)来验证其连接。
是否允许修改/替换它取决于修改/替换的地点和方式。如果是通过修改kube-root-ca.crtKubernetes 提供的 configmap 来完成的,则可能会导致与集群的连接失败,因为客户端无法验证连接。
如果通过更改控制平面节点上的文件来完成,情况可能会更加严重,特别是更改该文件的权限(通常设置为 644 root:root)将允许攻击者读取和修改 ca.key 文件。在这种情况下,攻击者将有效地完全控制集群。