Red Hat OpenShift Richtlinien in DevOps Config

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Standardmäßig ist DevOps Config Das Richtlinieninhaltspaket enthält eine Reihe von Richtlinien zur Validierung von Red Hat OpenShift Konfiguration.

    Wichtig:
    DevOps Config Ist jetzt veraltet und wird nicht mehr unterstützt oder ist für eine neue Aktivierung verfügbar.
    Sie können diese Standard verwenden oder anpassen DevOps Config Richtlinien zur Validierung der Konformität Ihres Konfigurationsdateninhalts, oder Verwalten Sie den gesamten Lebenszyklus von PaCE Richtlinienan.
    Hinweis:
    Sie können die Standardrichtlinien nicht ändern. Sie können jedoch eine Kopie der Richtlinie erstellen und Ihre Kopie anpassen.
    Tabelle : 1. Navigation im ersten Buchstaben für Richtlinien auf dieser Seite

    A | B | C | H | N | R | S | T

    Maximale Sicherung des Audit-Protokolls ist festgelegt (openshift_Audit_log_maxbackup_is_Set)

    Überprüft, ob die maximale Anzahl alter Audit-Protokolldateien festgelegt ist, die für API-Server aufbewahrt werden sollen.

    Führt zu einem nicht konformen Status, wenn --Audit-log-maxbackup Argument ist entweder nicht festgelegt oder liegt nicht innerhalb der angegebenen Grenzwerte.

    Eingabeargumente
    • lowerLimit
      • Der untere Grenzwert von --Audit-log-maxbackup Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Falsch
    • upperLimit
      • Der obere Grenzwert von --Audit-log-maxbackup Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Falsch

    Maximale Dateigröße des Audit-Protokolls ist festgelegt (openshift_Audit_log_maxsize_is_Set)

    Überprüft, ob die maximale Dateigröße, die als Rollover-Schwellenwert für Audit-Protokolldateien angegeben ist, festgelegt ist. Nachdem eine Audit-Protokolldatei die maximale Dateigröße erreicht hat, wird die ursprüngliche Audit-Protokolldatei umbenannt, und eine neue Protokolldatei mit dem ursprünglichen Namen wird erstellt.

    Führt zu einem nicht konformen Status, wenn --Audit-log-maxsize Argument ist entweder nicht festgelegt oder liegt nicht innerhalb der angegebenen Grenzwerte.

    Eingabeargumente
    • lowerLimit
      • Die untere Arbeitsspeichergrenze von --Audit-log-maxsize Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Wahr
    • upperLimit
      • Die obere Arbeitsspeichergrenze von --Audit-log-maxsize Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Wahr

    Audit-Protokollpfad ist nicht festgelegt (openshift_Audit_log_path_is_not_Set)

    Überprüft, ob das Auditing in aktiviert ist OpenShift Und der Pfad der Audit-Protokolldatei ist festgelegt.

    Führt zu einem nicht konformen Status, wenn entweder der --Audit-log-path Argument für openshift-kube-apiserver Ist nicht auf festgelegt /Var/log/kube-apiserver/audit.log Oder --Audit-log-path Argument für openshift-apiserver Ist nicht auf festgelegt /Var/log/openshift-apiserver/audit.log .

    Standardauthentifizierungsdatei ist nicht festgelegt (openshift_Basic_auth_file_is_not_Set)

    Überprüft, ob OpenShift Verwendet nicht den Standardauthentifizierungsmechanismus, um Anforderungen beim API-Server zu authentifizieren.

    Führt zu einem nicht konformen Status, wenn --Basic-auth-file Argument ist festgelegt.

    Container, die ohne Privilege-Zugriff ausgeführt werden (openshift_Container_is_not_privileged)

    Überprüft, ob die Container in einem enthalten sind OpenShift Pod wird ohne privilegierten Zugriff ausgeführt.

    Führt zu einem nicht konformen Status, wenn das Feld „privilegiert“ für einen Container auf festgelegt ist Wahr .

    Host-PID-Namespace ist deaktiviert (openshift_scc_with_hostPID_Namespace_disabled)

    Überprüft, ob mindestens eine Sicherheitskontexteinschränkung (SCC) definiert ist, die es nicht zulässt, dass Container den Host-PID-Namespace teilen.

    Führt zu einer Warnung, wenn ein SCC mit definiert ist AllowHostPID Feld auf festgelegt Wahr .

    NamespaceLifecycle-Plugin ist aktiviert (openshift_namespacelifecycle_Plugin_is_enabled)

    Überprüft, ob das Plugin „NamespaceLifecycle“ für die Aufnahmesteuerung aktiviert ist.

    Führt zu einem nicht konformen Status, wenn das NamespaceLifecycle-Plugin deaktiviert ist.

    Schreibgeschützter Port ist deaktiviert (openshift_read_only_Port_disabled)

    Überprüft, ob der Kubelet-API-Server den schreibgeschützten Port nicht verwendet oder der schreibgeschützte Port auf festgelegt ist 0 .

    Führt zu einem nicht konformen Status, wenn Kubelet-read-only-Port Argument ist nicht auf festgelegt 0 .

    Zeitüberschreitung bei Anforderung ist festgelegt (openshift_Request_timeout_is_Set)

    Überprüft, ob die globale Anforderungszeitüberschreitung für API-Server festgelegt ist.

    Führt zu einem nicht konformen Status, wenn --min-Request-timeout Argument ist entweder nicht festgelegt oder liegt nicht innerhalb der angegebenen Grenzwerte.

    Eingabeargumente
    • lowerLimit
      • Der untere Grenzwert von --min-Request-timeout Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Falsch
    • upperLimit
      • Der obere Grenzwert von --min-Request-timeout Argument.
      • Typ: Ganzzahl
      • Obligatorisch: Falsch

    Zeitüberschreitung für Streaming-Verbindungen ist nicht deaktiviert (openshift_Streaming_connections_timeout_not_disabled)

    Überprüft, ob die Zeitüberschreitungen für Streaming-Verbindungen festgelegt sind, um den Schutz vor Denial-of-Service-Angriffen, inaktiven Verbindungen und der Auslastung flüchtiger Ports sicherzustellen.

    Führt zu einem nicht konformen Status, wenn StreamingConnectionIdleTimeout Argument ist auf festgelegt 0 In Kubelet-Konfiguration Datei.

    Tokenauthentifizierungsdatei ist nicht festgelegt (openshift_Token_auth_file_is_not_Set)

    Überprüft, ob OpenShift Verwendet keine statische Tokendatei, um Anforderungen beim API-Server zu authentifizieren.

    Führt zu einem nicht konformen Status, wenn --Token-auth-file Argument ist festgelegt.