发生了什么?
周期性地,kubelet会将日志归档为.gz文件,但文件权限设置为全球范围的"644"
# ls -rlt /var/log/pods/*/*/*.gz
-rw-r--r--. 1 root root 1038836 Mar 29 06:18 /var/log/pods/kube-system_apiserver-demo1.test.com_712b37831be464ccc2fb1553ef89aa91/apiserver/66.log.20240327-233810.gz
-rw-r--r--. 1 root root 1175429 Mar 31 14:44 /var/log/pods/kube-system_coredns-cfngt_8a5bacf2-063b-4ffc-b86a-237b94a07246/coredns/18.log.20240329-044703.gz
-rw-r--r--. 1 root root 379963 Apr 6 23:58 /var/log/pods/kube-system_apiserver-demo1.test.com_712b37831be464ccc2fb1553ef89aa91/apiserver/69.log.20240406-085133.gz你期望发生什么?
日志文件不应该具有全球范围的权限
我们如何尽可能精确地最小化地重现它?
- 安装containerd + kubernetes
- 观察文件夹ls -rlt /var/log/pods///*.gz
我们需要知道其他任何信息吗?
- 无响应*
Kubernetes版本
客户端版本:v1.29.1
Kustomize版本:v5.0.4-0.20230601165947-6ce0bf390ce3
服务器版本:v1.29.1
云提供商
操作系统版本
# On Linux:
$ cat /etc/os-release
NAME="Red Hat Enterprise Linux"
VERSION="9.2 (Plow)"
ID="rhel"
ID_LIKE="fedora"
VERSION_ID="9.2"
PLATFORM_ID="platform:el9"
PRETTY_NAME="Red Hat Enterprise Linux 9.2 (Plow)"
ANSI_COLOR="0;31"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:redhat:enterprise_linux:9::baseos"
HOME_URL="https://www.redhat.com/"
DOCUMENTATION_URL="https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9"
BUG_REPORT_URL="https://bugzilla.redhat.com/"
REDHAT_BUGZILLA_PRODUCT="Red Hat Enterprise Linux 9"
REDHAT_BUGZILLA_PRODUCT_VERSION=9.2
REDHAT_SUPPORT_PRODUCT="Red Hat Enterprise Linux"
REDHAT_SUPPORT_PRODUCT_VERSION="9.2"
$ uname -a
Linux gongyovm02.hpeswlab.net 5.14.0-284.11.1.el9_2.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Apr 12 10:45:03 EDT 2023 x86_64 x86_64 x86_64 GNU/Linux
# On Windows:
C:\> wmic os get Caption, Version, BuildNumber, OSArchitecture
# paste output here安装工具
容器运行时(CRI)和版本(如果适用)
containerd
相关插件(CNI,CSI,...)和版本(如果适用)
8条答案
按热度按时间nimxete21#
这个问题目前正在等待分类。
如果SIG或子项目确定这是一个相关的问题,他们将通过应用
triage/accepted标签并提供进一步的指导来接受它。组织成员可以通过在评论中写入
/triage accepted来添加triage/accepted标签。有关使用PR评论与我互动的说明,请查看here。如果您对我的行为有任何问题或建议,请针对kubernetes/test-infra仓库提出一个问题。
s1ag04yj2#
raise one PR #124229 to fix this issue
lpwwtiir3#
/sig node security
kxxlusnw4#
我同意在这种情况下,更严格的安全措施更好,但我们将改变当前权限时破坏现有用户。
0tdrvxhp5#
zbdgwd5y6#
一种选择是保留默认设置,并添加一个配置选项以允许在日志上使用不同类型的权限。
sg2wtvxw7#
@kannon92@saschagrunert ,这是正确的。更改可能会破坏现有用户,但安全性应该比兼容性更重要。我认为644应该是一个错误。此外,几乎所有的容器运行时,如"docker","containerd"等,都将标准输出日志输出到文件中,权限为640。但是kubelet将这些日志以更宽泛的权限644归档。
添加可配置选项似乎是合理的,但另一个问题出现了,默认值是什么?如果设置为644,这意味着kubelet的默认设置是不安全的吗?
h22fl7wq8#
Kubernetes项目目前缺乏足够的贡献者来充分应对所有问题。
此机器人根据以下规则对未分类的问题进行分级处理:
lifecycle/stale应用后的90天内无活动,将应用lifecycle/stalelifecycle/stale应用后的30天内无活动,将应用lifecycle/rottenlifecycle/rotten应用后的30天内无活动,将关闭该问题您可以:
/remove-lifecycle stale标记此问题为新鲜/close关闭此问题请将反馈发送至sig-contributor-experience@kubernetes/community。
/lifecycle stale