kube-bench中RKE CIS 1.7配置文件路径问题解析

在kube-bench项目中，针对RKE集群的CIS 1.7基准测试配置文件存在一个路径设置问题。本文将详细分析该问题的背景、影响范围以及解决方案。

问题背景

kube-bench是一个用于检查Kubernetes集群安全配置是否符合CIS基准的工具。在针对RKE（Rancher Kubernetes Engine）集群的CIS 1.7基准测试配置文件中，有几个检查项的路径设置存在问题。

具体表现为：

1. 检查项1.1.19（确保Kubernetes PKI目录和文件所有权设置为root:root）
2. 检查项4.1.7（确保证书文件权限设置为644或更严格）
3. 检查项4.1.8（确保私钥文件权限设置为600）

这些检查项中配置的路径为/node/etc/kubernetes/ssl，而实际上在RKE集群中，正确的路径应该是/etc/kubernetes/ssl。

问题分析

经过深入分析，发现这个路径差异源于不同的部署场景：

1. 标准kube-bench部署：直接运行时，需要检查主机上的/etc/kubernetes/ssl目录
2. Rancher CIS Benchmark App部署：在Rancher环境中运行时，会将节点的根目录挂载到容器的/node路径下，因此需要检查/node/etc/kubernetes/ssl

此外，还发现相关检查依赖的辅助脚本check_files_owner_in_dir.sh存在三个实现问题：

1. Dockerfile中的复制命令缺少斜杠，导致脚本未被正确复制到目标位置
2. 容器中缺少bash环境，无法执行脚本
3. 脚本缺少可执行权限

解决方案

针对路径问题，建议在标准kube-bench配置中使用正确的路径/etc/kubernetes/ssl。对于Rancher的特殊部署场景，可以通过配置变量来适配。

对于辅助脚本问题，需要：

1. 修复Dockerfile中的复制命令
2. 在容器中安装bash环境
3. 为脚本添加可执行权限

从长远来看，可以考虑参考k3s/RKE2的实现方式，不使用辅助脚本，而是直接使用stat命令进行检查，这样更加简洁可靠。

实施建议

对于使用kube-bench进行RKE集群安全评估的用户，建议：

1. 检查使用的kube-bench版本是否已修复此问题
2. 如果使用自定义配置，确保路径设置正确
3. 验证辅助脚本是否能够正常执行
4. 考虑升级到使用stat命令的实现方式，避免脚本依赖问题

这个问题虽然看起来是简单的路径配置错误，但实际上反映了不同部署环境下的适配需求，也提醒我们在安全工具开发中需要考虑多种使用场景。