本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

自定义合规检查

为合规检查创建自定义脚本

自定义脚本可以在容器和主机上运行，用于合规检查和其他评估。自定义合规检查是一个可以在任何容器上运行的bash脚本，用于验证条件并在容器或节点合规部分报告结果。

出于防止滥用的考虑，默认情况下禁用创建自定义脚本的功能。可以通过在控制器和执行器中设置CUSTOM_CHECK_CONTROL 环境变量来启用此功能。值为"disable"（默认，不允许）、"strict"（仅限管理员角色）或"loose"（管理员、合规和运行时策略角色）。

使用自定义脚本时应格外小心。自定义脚本可以在容器名称空间中以容器权限运行任何可执行文件。可执行文件可能非常具有破坏性，例如rm、format、fdisk等。这种警告同样适用于主机/节点。如果自定义检查脚本能够访问集群中的主节点，则在主机上的自定义检查脚本可能会更加具有破坏性。

自定义脚本由运行时策略权限控制，并使用命名空间RBAC；用户应正确设置Kubernetes用户角色。
自定义脚本以与运行容器相同的权限运行。
一旦自定义脚本被删除，合规结果将被移除。
自定义合规检查需要遵循一种格式，以便在容器或节点的合规报告中正确报告结果。
- 脚本以’if’语句开始，以检查某些条件。
- 如果退出代码为0，则自定义检查通过。
- 如果退出代码为1，则自定义检查失败。

示例脚本检查容器是否具有没有密码的root账户。

if [ $(cat /etc/shadow | grep  'root:::0:::::') ]; then
     DESCRIPTION="CVE-2019-5021 fails."
     echo $DESCRIPTION;
     exit 1;
else
     echo "CVE-2019-5021 pass";
     exit 0;
fi

检查容器中脏牛文件的示例脚本。

if [ $(find . / | grep -w 'cow') ]; then
     DESCRIPTION="dirty cow seen in the container"
    echo $DESCRIPTION;
    exit 1;
else
    echo "no dirty cow found pass";
    exit 0;
fi

其他说明