内容纲要
问题描述
本文描述在各个节点上扫描出4194端口上 “cAdvisor 未授权访问漏洞” 的解决方法
详细描述
cAdvisor 介绍
是一种容器监控工具,cAdvisor可以对节点机器上的资源及容器进行实时监控和性能数据采集,包括CPU使用情况、内存使用情况、网络吞吐量及文件系统使用情况。
漏洞描述
1 浏览器访问节点ip:4194可以直接访问,没有授权
2 解决方法
升级到tos2.0,或者disable这个端口,因为这个端口没有安全选项,所以无法加上认证。
下面描述disable这个端口的方法
vim /usr/lib/systemd/system/kubelet.service
在红框处添加
--cadvisor-port=0
友情提示: 在中间部分添加,如果在最后一排添加,需要改成
修改完成后
systemctl daemon-reload
systemctl restart kubelet