问题描述

本文描述在各个节点上扫描出4194端口上 “cAdvisor 未授权访问漏洞” 的解决方法

详细描述

cAdvisor 介绍

是一种容器监控工具，cAdvisor可以对节点机器上的资源及容器进行实时监控和性能数据采集，包括CPU使用情况、内存使用情况、网络吞吐量及文件系统使用情况。

漏洞描述

1 浏览器访问节点ip:4194可以直接访问，没有授权

2 解决方法

升级到tos2.0，或者disable这个端口，因为这个端口没有安全选项，所以无法加上认证。
下面描述disable这个端口的方法

vim  /usr/lib/systemd/system/kubelet.service

在红框处添加

--cadvisor-port=0

友情提示： 在中间部分添加，如果在最后一排添加，需要改成

修改完成后

systemctl daemon-reload
systemctl restart kubelet