最近、私はRHEL 7.8ホストでTenable Nessus Plugin#51192の問題、つまり「SSL証明書を信頼できません」を扱っていました。
Tenable Nessusは、TCPポート8443、8444、および9100の「www」サービスによって脆弱性が発生することを報告しました。
そのため、そのホストから「netstat -tulnp」の出力を取得し、次のプログラムが上記のTCPポートを利用することを発見しました。
tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN 25514/openshift
tcp 0 0 0.0.0.0:8444 0.0.0.0:* LISTEN 85402/openshift
tcp6 0 0 :::9100 :::* LISTEN 3028/kube-rbac-prox
また、「ps」コマンドでこれらのプログラムを調べたところ、以下の詳細が得られました。
PID TTY STAT TIME COMMAND
25514 ? Ssl 47024:19 openshift start master api --config=/etc/origin/master/master-config.yaml --loglevel=2
85402 ? Ssl 752:23 openshift start master controllers --config=/etc/origin/master/master-config.yaml --listen=https://0.0.0.0:8444 --loglevel=2
3028 ? Ssl 10:14 /usr/bin/kube-rbac-proxy --secure-listen-address=:9100 --upstream=http://127.0.0.1:9101/ --tls-cert-file=/etc/tls/private/tls.crt --tls-private-key-fil
このopenshiftまたはk8sが無効なSSL証明書を持つWebサービスを使用しているようです。
このプラグイン#51192のSSL証明書を修正するための正しいターゲットが何であるかを明確にしたかったのです。 Web SSL証明書のみを回復する必要がありますか? (これがopenshift / k8s Webを使用する本番サービスにどのような影響を与えるかはわかりません。)