خدمة Azure Kubernetes (AKS) محاذاة صورة Ubuntu مع معيار مركز أمان الإنترنت (CIS)
كخدمة آمنة، تتوافق خدمةAzure Kubernetes (AKS) مع معايير SOC وISO وPCI DSS وHIPAA. تتناول هذه المقالة تكوين نظام تشغيل الأمان المطبق على صورة Ubuntu المستخدمة من قبل AKS. يستند تكوين الأمان هذا إلى أساس أمان Azure Linux، والذي يتوافق مع معيار CIS. لمزيد من المعلومات حول أمان AKS، راجع مفاهيم الأمان للتطبيقات وأنظمة المجموعة في خدمةAzure Kubernetes (AKS). لمزيد من المعلومات حول أمان AKS، راجع مفاهيم الأمان للتطبيقات وأنظمة المجموعة في خدمةAzure Kubernetes (AKS). لمزيد من المعلومات، يجب مراجعةمركز معايير أمان الإنترنت (CIS) . لمزيد من المعلومات حول خطوط أساس أمان Azure لنظام Linux، يجب مراجعة أساس أمان Linux.
Ubuntu LTS 18.04
توزيع مجموعات AKS على الأجهزة الظاهرية المضيفة، والتي تقوم بتشغيل نظام تشغيل مع تكوينات آمنة مضمنة. يجب استخدام نظام التشغيل هذا للحاويات التي تعمل على AKS. يعتمد نظام التشغيل المضيف هذا على صورة Ubuntu 18.04.LTS مع تطبيق تكوينات الأمان.
كجزء من نظام التشغيل المحسن فيما يتعلق بالأمان:
- توفر AKS نظام تشغيل مضيف محسن أمنياً بشكل افتراضي، ولكن لا يوجد خيار لتحديد نظام تشغيل بديل.
- صُمم نظام التشغيل الأمني المحصن وصيانته خصوصاً لـ AKS ولا يتم دعمه خارج منصة AKS.
- تم تعطيل بعض برامج تشغيل وحدات kernel غير الضرورية في نظام التشغيل لتقليل مساحة سطح الهجوم.
إشعار
غير مرتبط بمعايير CIS، يطبق Azure تصحيحات يومية، بما في ذلك تصحيحات الأمان، على خوادم أجهزة AKS الافتراضية.
الهدف من التكوين الآمن المدمج في نظام التشغيل المضيف هو تقليل مساحة سطح الهجوم وتحسين نشر الحاويات بطريقة آمنة.
التالي نتائج توصيات معيار CIS Ubuntu 18.04 LTS الإصدار 2.1.0.
تُعتبر التوصيات أحد الأسباب التالية:
- تأثير العملية المحتملة - لم يتم تطبيق التوصية لأنها سيكون لها تأثير سلبي على الخدمة.
- مغطى في مكان آخر - تتم تغطية التوصية عن طريق عنصر تحكم آخر في حساب سحابة Azure.
ما يلي قواعد CIS التي تم تنفيذها:
| الرقم الخاص بفقرة CIS | وصف التوصية | الحالة | السبب |
|---|---|---|---|
| 1 | الإعداد الأولي | ||
| 1.1 | إعداد نظام الملفات | ||
| 1.1.1 | عملية تعطيل أنظمة الملفات غير المستخدمة | ||
| 1.1.1.1 | ضمان تعطيل إدخال أنظمة ملفات cramfs | نجاح | |
| 1.1.1.2 | ضمان تعطيل إدخال أنظمة ملفات freevxfs | نجاح | |
| 1.1.1.3 | ضمان تعطيل إدخال أنظمة ملفات jffs2 | نجاح | |
| 1.1.1.4 | التأكد من تعطيل إدخال أنظمة ملفات HFS | نجاح | |
| 1.1.1.5 | تأكد من تعطيل تركيب أنظمة ملفات hfsplus | نجاح | |
| 1.1.1.6 | تأكد من تعطيل تركيب أنظمة ملفات udf | فشل | عملية التأثير التشغيلي المحتمل |
| 1.1.2 | التأكد من تكوين /tmp | فشل | |
| 1.1.3 | التأكد من تعيين خيار nodev على قسم / tmp | فشل | |
| 1.1.4 | التأكد من تعيين خيار nosuid على قسم / tmp | نجاح | |
| 1.1.5 | التأكد من تعيين خيار noexec على قسم / tmp | نجاح | |
| 1.1.6 | التأكد من تكوين /dev/shm | نجاح | |
| 1.1.7 | تأكد من تعيين خيار nodev على قسم / dev / shm | نجاح | |
| 1.1.8 | التأكد من تعيين خيار nosuid على قسم / dev / shm | نجاح | |
| 1.1.9 | التأكد من تعيين خيار noexec على قسم / dev / shm | فشل | عملية التأثير التشغيلي المحتمل |
| 1.1.12 | التأكد من أن قسم /var/tmp يتضمن خيار nodev | نجاح | |
| 1.1.13 | التأكد من أن قسم / var / tmp يتضمن خيار nosuid | نجاح | |
| 1.1.14 | التأكد من أن قسم/ var /tmp يتضمن خيار noexec | نجاح | |
| 1.1.18 | التأكد من أن القسم الرئيسي/ يتضمن خيار nodev | نجاح | |
| 1.1.19 | التأكد من تعيين خيار nodev على أقسام الوسائط القابلة للإزالة | غير منطبق | |
| 1.1.20 | التأكد من تعيين خيار nosuid على أقسام الوسائط القابلة للإزالة | غير منطبق | |
| 1.1.21 | التأكد من تعيين خيار noexec على أقسام الوسائط القابلة للإزالة | غير منطبق | |
| 1.1.22 | التأكد من تعيين البت اللاصق في جميع الدلائل القابلة للكتابة في العالم | فشل | التأثير الخاص بالعملية المحتملة |
| 1.1.23 | تعطيل عملية التحميل التلقائي | نجاح | |
| 1.1.24 | تعطيل عملية تخزين USB | نجاح | |
| 1.2 | التكوين الخاص بتحديثات البرامج | ||
| 1.2.1 | التأكد من تكوين مستودعات مدير الحزم | نجاح | مغطى في مكان آخر |
| 1.2.2 | التأكد من تكوين مفاتيح GPG | غير منطبق | |
| 1.3 | تدقيق عملية تكامل نظام الملفات | ||
| 1.3.1 | التأكد من تركيب AIDE | فشل | مغطى في مكان آخر |
| 1.3.2 | التأكد من التحقق من تكامل نظام الملفات بانتظام | فشل | مغطى في مكان آخر |
| 1.4 | إعدادات عملية التمهيد الآمن | ||
| 1.4.1 | تأكد من عدم تجاوز الأذونات على تكوين bootloader | فشل | |
| 1.4.2 | التأكد من تعيين كلمة مرور bootloader | فشل | غير منطبق |
| 1.4.3 | التأكد من تكوين الأذونات على تكوين برنامج Bootloader | فشل | |
| 1.4.4 | ضمان المصادقة المطلوبة لوضع مستخدم واحد | فشل | غير منطبق |
| 1.5 | تصلب العملية الإضافية | ||
| 1.5.1 | التأكد من تمكين دعم XD/NX | غير منطبق | |
| 1.5.2 | التأكد من تمكين عشوائية تخطيط مساحة العنوان (ASLR) | نجاح | |
| 1.5.3 | التأكد من تعطيل عملية الربط المسبق. | نجاح | |
| 1.5.4 | التأكد من تقييد عمليات تفريغ الذاكرة الأساسية | نجاح | |
| 1.6 | عملية التحكم الإلزامي في الوصول | ||
| 1.6.1 | التكوين الخاص بـ AppArmor | ||
| 1.6.1.1 | التأكد من تركيب AppArmor | نجاح | |
| 1.6.1.2 | التأكد من تمكين AppArmor في تكوين bootloader | فشل | التأثير الخاص بالعملية المحتملة |
| 1.6.1.3 | التأكد من أن جميع ملفات تعريف AppArmor في وضع الفرض أو الشكوى | نجاح | |
| 1.7 | شعارات متعلقة بتحذير سطر الأوامر | ||
| 1.7.1 | التأكد من تكوين رسالة اليوم بشكل صحيح | نجاح | |
| 1.7.2 | التأكد من تكوين أذونات الوصول على /etc/issue.net | نجاح | |
| 1.7.3 | التأكد من تكوين أذونات الوصول على /etc/issue | نجاح | |
| 1.7.4 | التأكد من تكوين أذونات الوصول الخاصة بـ/etc/issue | نجاح | |
| 1.7.5 | التأكد من تكوين شعار تحذير تسجيل الدخول عن بعد بشكل صحيح | نجاح | |
| 1.7.6 | التأكد من تكوين شعار تحذير تسجيل الدخول المحلي بشكل صحيح | نجاح | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | التأكد من تكوين شعار تسجيل الدخول إلى GDM | نجاح | |
| 1.8.3 | التأكد من تمكين تعطيل قائمة المستخدم | نجاح | |
| 1.8.4 | تأكد من عدم تمكين XDCMP | نجاح | |
| 1.9 | التأكد من تثبيت التحديثات والتصحيحات وبرامج الأمان الإضافية | نجاح | |
| 2 | الخدمات | ||
| 2.1 | الخدمات المتعلق بالأغراض الخاصة | ||
| 2.1.1 | مزامنة الوقت | ||
| 2.1.1.1 | التأكد من استخدام مزامنة الوقت | نجاح | |
| 2.1.1.2 | التأكد من تكوين systemd-timesyncd | غير منطبق | تستخدم AKS ntpd للمتزامن الزمني |
| 2.1.1.3 | التأكد من تكوين الترتيب الزمني | فشل | مغطى في مكان آخر |
| 2.1.1.4 | التأكد من تكوين ntp | نجاح | |
| 2.1.2 | تأكد من عدم تثبيت X Window System | نجاح | |
| 2.1.3 | تأكد من عدم تثبيت خادم Avahi | نجاح | |
| 2.1.4 | تأكد من عدم تثبيت CUPS | نجاح | |
| 2.1.5 | تأكد من عدم تثبيت خادم DHCP | نجاح | |
| 2.1.6 | تأكد من عدم تثبيت خادم LDAP | نجاح | |
| 2.1.7 | تأكد من عدم تثبيت NFS | نجاح | |
| 2.1.8 | تأكد من عدم تثبيت خادم DNS | نجاح | |
| 2.1.9 | تأكد من عدم تثبيت خادم FTP | نجاح | |
| 2.1.10 | تأكد من عدم تثبيت خادم HTTP | نجاح | |
| 2.1.11 | تأكد من عدم تثبيت خادم IMAP وPOP3 | نجاح | |
| 2.1.12 | تأكد من عدم تثبيت Samba | نجاح | |
| 2.1.13 | تأكد من عدم تثبيت خادم وكيل HTTP | نجاح | |
| 2.1.14 | تأكد من عدم تثبيت SNMP Server | نجاح | |
| 2.1.15 | التأكد من تكوين وكيل نقل البريد للوضع المحلي فقط | نجاح | |
| 2.1.16 | تأكد من عدم تثبيت خدمة rsync | فشل | |
| 2.1.17 | تأكد من عدم تثبيت خادم NIS | نجاح | |
| 2.2 | عملاء الخدمة | ||
| 2.2.1 | تأكد من عدم تثبيت عميل NIS | نجاح | |
| 2.2.2 | تأكد من عدم تثبيت عميل rsh | نجاح | |
| 2.2.3 | تأكد من عدم تثبيت عميل التحدث | نجاح | |
| 2.2.4 | تأكد من عدم تثبيت عميل telnet | فشل | |
| 2.2.5 | تأكد من عدم تثبيت عميل LDAP | نجاح | |
| 2.2.6 | تأكد من عدم تثبيت RPC | فشل | عملية التأثير التشغيلي المحتمل |
| 2.3 | التأكد من إزالة أو إخفاء الخدمات غير الأساسية | نجاح | |
| 3 | التكوين المتعلق بشبكة الاتصال | ||
| 3.1 | يجب تعطيل بروتوكولات الشبكة والأجهزة غير المستخدمة | ||
| 3.1.2 | التأكد من تعطيل الواجهات اللاسلكية | نجاح | |
| 3.2 | المعلمات الخاصة بالشبكة (المضيف فقط) | ||
| 3.2.1 | تأكد من تعطيل إرسال إعادة توجيه الحزمة | نجاح | |
| 3.2.2 | التأكد من تعطيل إعادة توجيه IP | فشل | غير منطبق |
| 3.3 | المعلمات الخاصة بالشبكة (المضيف والموجه) | ||
| 3.3.1 | تأكد من عدم قبول الحزم التي تم توجيهها من المصدر | نجاح | |
| 3.3.2 | تأكد من عدم قبول عمليات إعادة توجيه ICMP | نجاح | |
| 3.3.3 | تأكد من عدم قبول عمليات إعادة توجيه ICMP الآمنة | نجاح | |
| 3.3.4 | تأكد من تسجيل حزم البيانات المشتبه بها | نجاح | |
| 3.3.5 | التأكد من تجاهل طلبات البث ICMP | نجاح | |
| 3.3.6 | التأكد من تجاهل استجابات ICMP الزائفة | نجاح | |
| 3.3.7 | تأكد من تمكين عامل تصفية المسار العكسي | نجاح | |
| 3.3.8 | التأكد من تمكين ملفات تعريف الارتباط TCP SYN | نجاح | |
| 3.3.9 | تأكد من عدم قبول إعلانات موجه IPv6 | نجاح | |
| 3.4 | البروتوكولات المتعلقة بالشبكة غير الشائعة | ||
| 3.5 | تكوين جدار الحماية | ||
| 3.5.1 | التكوين الخاص بـ UncomplicatedFirewall | ||
| 3.5.1.1 | التأكد من تثبيت ufw | نجاح | |
| 3.5.1.2 | التأكد من عدم تثبيت iptables-persistent مع ufw | نجاح | |
| 3.5.1.3 | التأكد من تمكين خدمة ufw | فشل | مغطى في مكان آخر |
| 3.5.1.4 | التأكد من تكوين حركة مرور ufw loopback | فشل | مغطى في مكان آخر |
| 3.5.1.5 | التأكد من تكوين اتصالات ufw الصادرة | غير منطبق | مغطى في مكان آخر |
| 3.5.1.6 | التأكد من وجود قواعد جدار حماية ufw لجميع المنافذ المفتوحة | غير منطبق | مغطى في مكان آخر |
| 3.5.1.7 | التأكد من رفض نهج جدار الحماية الافتراضي الخاص بـ ufw | فشل | مغطى في مكان آخر |
| 3.5.2 | التكوين الخاص بـ nftables | ||
| 3.5.2.1 | التأكد من تثبيت nftables | فشل | مغطى في مكان آخر |
| 3.5.2.2 | التأكد من إلغاء تثبيت ufw أو تعطيله باستخدام nftables | فشل | مغطى في مكان آخر |
| 3.5.2.3 | التأكد من مسح iptables باستخدام nftables | غير منطبق | مغطى في مكان آخر |
| 3.5.2.4 | التأكد من وجود جدول nftables | فشل | مغطى في مكان آخر |
| 3.5.2.5 | التأكد من وجود سلاسل قاعدة nftables | فشل | مغطى في مكان آخر |
| 3.5.2.6 | التأكد من تكوين نسبة استخدام الشبكة nftables loopback | فشل | مغطى في مكان آخر |
| 3.5.2.7 | التأكد من تكوين الاتصالات الصادرة والمنشأة nftables | غير منطبق | مغطى في مكان آخر |
| 3.5.2.8 | التأكد من رفض نهج جدار الحماية الافتراضي nftables | فشل | مغطى في مكان آخر |
| 3.5.2.9 | التأكد من تمكين خدمة nftables | فشل | مغطى في مكان آخر |
| 3.5.2.10 | التأكد من أن قواعد nftables دائمة | فشل | مغطى في مكان آخر |
| 3.5.3 | التكوين الخاص بـ iptables | ||
| 3.5.3.1 | التكوين الخاص ببرامج iptables | ||
| 3.5.3.1.1 | التأكد من تثبيت حزم iptables | فشل | مغطى في مكان آخر |
| 3.5.3.1.2 | التأكد من عدم تثبيت nftables مع iptables | نجاح | |
| 3.5.3.1.3 | التأكد من إلغاء تثبيت ufw أو تعطيله باستخدام iptables | فشل | مغطى في مكان آخر |
| 3.5.3.2 | التكوين الخاص بـ iPv4 iptables | ||
| 3.5.3.2.1 | التأكد من رفض نهج جدار الحماية الافتراضي iptables | فشل | مغطى في مكان آخر |
| 3.5.3.2.2 | التأكد من تكوين نسبة استخدام الشبكة iptables loopback | فشل | غير منطبق |
| 3.5.3.2.3 | التأكد من تكوين الاتصالات الصادرة والمنشأة iptables | غير منطبق | |
| 3.5.3.2.4 | التأكد من وجود قواعد جدار حماية iptables لجميع المنافذ المفتوحة | فشل | التأثير الخاص بالعملية المحتملة |
| 3.5.3.3 | التكوين الخاص بـ IPv6 ip6tables | ||
| 3.5.3.3.1 | التأكد من سياسة رفض IP6tables الافتراضية لجدار الحماية | فشل | مغطى في مكان آخر |
| 3.5.3.3.2 | التأكد من تكوين حركة مرور استرجاع ip6tables | فشل | مغطى في مكان آخر |
| 3.5.3.3.3 | التأكد من تكوين اتصالات IP6tables الصادرة والقائمة | غير منطبق | مغطى في مكان آخر |
| 3.5.3.3.4 | التأكد من وجود قواعد جدار الحماية ip6tables لجميع المنافذ المفتوحة | فشل | مغطى في مكان آخر |
| 4 | التسجيل والتدقيق | ||
| 4.1 | تكوين محاسبة النظام (تدقيق) | ||
| 4.1.1.2 | التأكد من تمكين التدقيق | ||
| 4.1.2 | التكوين الخاص باستبقاء بالبيانات | ||
| 4.2 | التكوين الخاص بالتسجيل | ||
| 4.2.1 | التكوين الخاص بـ rsyslog | ||
| 4.2.1.1 | التأكد من تثبيت rsyslog | نجاح | |
| 4.2.1.2 | التأكد من تمكين خدمة rsyslog | نجاح | |
| 4.2.1.3 | التأكد من تكوين التسجيل | نجاح | |
| 4.2.1.4 | التأكد من تكوين أذونات ملف rsyslog الافتراضية | نجاح | |
| 4.2.1.5 | التأكد من تكوين rsyslog لإرسال السجلات إلى مضيف سجل بعيد | فشل | مغطى في مكان آخر |
| 4.2.1.6 | التأكد من قبول رسائل rsyslog عن بعد فقط على مضيفي السجل المعينين. | غير منطبق | |
| 4.2.2 | التكوين الخاص بدفتر اليومية | ||
| 4.2.2.1 | التأكد من تكوين دفتر اليومية لإرسال السجلات إلى rsyslog | نجاح | |
| 4.2.2.2 | التأكد من تكوين دفتر اليومية لضغط ملفات السجل الكبيرة | فشل | |
| 4.2.2.3 | التأكد من تكوين دفتر اليومية لكتابة ملفات السجل إلى القرص الثابت | نجاح | |
| 4.2.3 | التأكد من تكوين الأذونات على جميع ملفات السجلات | فشل | |
| 4.3 | التأكد من تكوين logrotate | نجاح | |
| 4.4 | التأكد من تعيين logrotate للأذونات المناسبة | فشل | |
| 5 | عملية مصادقة الوصول والتفويض | ||
| 5.1 | التكوين الخاص بمجدولات الوظائف المستندة إلى الوقت | ||
| 5.1.1 | التأكد من تمكين برنامج cron الخفي وتشغيله | نجاح | |
| 5.1.2 | التأكد من تكوين أذونات الوصول على /etc/crontab | نجاح | |
| 5.1.3 | التأكد من تكوين الأذونات على /etc/cron.hourly | نجاح | |
| 5.1.4 | التأكد من تكوين الأذونات على /etc/cron.daily | نجاح | |
| 5.1.5 | التأكد من تكوين الأذونات على /etc/cron.weekly | نجاح | |
| 5.1.6 | التأكد من تكوين الأذونات على /etc/cron.monthly | نجاح | |
| 5.1.7 | التأكد من تكوين الأذونات على /etc/cron.d | نجاح | |
| 5.1.8 | التأكد من تقييد cron للمستخدمين المعتمدين | فشل | |
| 5.1.9 | التأكد من أنه يقتصر على المستخدمين المصرح لهم | فشل | |
| 5.2 | التكوين الخاص بـ sudo | ||
| 5.2.1 | التأكد من تثبيت sudo | نجاح | |
| 5.2.2 | التأكد من أن أوامر sudo تستخدم pty | فشل | عملية التأثير التشغيلي المحتمل |
| 5.2.3 | التأكد من وجود ملف سجل sudo | فشل | |
| 5.3 | التكوين الخاص بخادم SSH | ||
| 5.3.1 | التأكد من تكوين الأذونات على /etc/ssh/sshd_config | نجاح | |
| 5.3.2 | التأكد من تكوين الأذونات على ملفات مفتاح المضيف الخاص SSH | نجاح | |
| 5.3.3 | التأكد من تكوين الأذونات على ملفات مفتاح المضيف العام SSH | نجاح | |
| 5.3.4 | التأكد من أن وصول SSH محدود | نجاح | |
| 5.3.5 | التأكد من أن SSH LogLevel مناسب | نجاح | |
| 5.3.7 | التأكد من تعيين SSH MaxAuthTries إلى 4 أو أقل | نجاح | |
| 5.3.8 | التأكد من تمكين SSH IgnoreRhosts | نجاح | |
| 5.3.9 | التأكد من تعطيل SSH HostbasedAuthentication | نجاح | |
| 5.3.10 | التأكد من تعطيل تسجيل الدخول إلى جذر SSH | نجاح | |
| 5.3.11 | التأكد من تعطيل SSH PermitEmptyPasswords | نجاح | |
| 5.3.12 | التأكد من تعطيل بيئة مستخدم تصريح SSH | نجاح | |
| 5.3.13 | التأكد من استخدام شفرات قوية فقط | نجاح | |
| 5.3.14 | التأكد من استخدام خوارزميات MAC القوية فقط | نجاح | |
| 5.3.15 | التأكد من استخدام خوارزميات Key Exchange القوية فقط | نجاح | |
| 5.3.16 | التأكد من تكوين فاصل زمني لخمول SSH | فشل | |
| 5.3.17 | التأكد من تعيين SSH LoginGraceTime إلى دقيقة واحدة أو أقل | نجاح | |
| 5.3.18 | التأكد من تكوين شعار تحذير SSH | نجاح | |
| 5.3.19 | التأكد من تمكين SSH PAM | نجاح | |
| 5.3.21 | التأكد من تكوين SSH MaxStartups | فشل | |
| 5.3.22 | التأكد من محدودية SSH MaxSessions | نجاح | |
| 5.4 | تكوين إدارة الوصول المتميز | ||
| 5.4.1 | التأكد من تكوين متطلبات إنشاء كلمة المرور | نجاح | |
| 5.4.2 | التأكد من تكوين تأمين محاولات كلمة المرور الفاشلة | فشل | |
| 5.4.3 | التأكد من أن إعادة استخدام كلمة المرور محدودة | فشل | |
| 5.4.4 | التأكد من أن خوارزمية تجزئة كلمة المرور هي SHA-512 | نجاح | |
| 5.5 | الحسابات الخاصة بالمستخدمين والبيئة | ||
| 5.5.1 | تعيين معلمات مجموعة كلمة المرور الزائفة | ||
| 5.5.1.1 | التأكد من تكوين الحد الأدنى من الأيام بين تغييرات كلمة المرور | نجاح | |
| 5.5.1.2 | التأكد من انتهاء صلاحية كلمة المرور خلال 365 يوماً أو أقل | نجاح | |
| 5.5.1.3 | التأكد من أن أيام تحذير انتهاء صلاحية كلمة المرور هي 7 أو أكثر | نجاح | |
| 5.5.1.4 | التأكد من أن تأمين كلمة المرور غير النشط هو 30 يوماً أو أقل | نجاح | |
| 5.5.1.5 | التأكد من أن تاريخ تغيير كلمة المرور الأخير لجميع المستخدمين في الماضي | فشل | |
| 5.5.2 | التأكد من عملية تأمين حسابات النظام | نجاح | |
| 5.5.3 | التأكد من أن المجموعة الافتراضية للحساب الجذر هي GID 0 | نجاح | |
| 5.5.4 | التأكد من أن مكون تأكد من أن umask المستخدم الافتراضي هو 027 أو أكثر تقييدًا | نجاح | |
| 5.5.5 | التأكد من أن مهلة shell الافتراضية للمستخدم هي 900 ثانية أو أقل | فشل | |
| 5.6 | التأكد من تقييد تسجيل الدخول الجذر إلى وحدة تحكم النظام | غير منطبق | |
| 5.7 | التأكد من تقييد الوصول إلى أمر المستخدم البديل | فشل | التأثير الخاص بالعملية المحتملة |
| 6 | عملية صيانة النظام | ||
| 6.1 | الأذونات الخاصة بملف النظام | ||
| 6.1.2 | التأكد من تكوين الأذونات على / etc/passwd | نجاح | |
| 6.1.3 | التأكد من تكوين الأذونات على / etc/passwd | نجاح | |
| 6.1.4 | التأكد من تكوين الأذونات على / etc / group | نجاح | |
| 6.1.5 | التأكد من تكوين الأذونات على / etc/group | نجاح | |
| 6.1.6 | التأكد من تكوين أذونات الوصول على /etc/shadow | نجاح | |
| 6.1.7 | التأكد من تكوين أذونات الوصول على /etc/shadow | نجاح | |
| 6.1.8 | التأكد من تكوين أذونات الوصول على /etc/gshadow | نجاح | |
| 6.1.9 | التأكد من تكوين أذونات الوصول على /etc/gshadow | نجاح | |
| 6.1.10 | التأكد من عدم وجود ملفات قابلة للكتابة في العالم | فشل | التأثير الخاص بالعملية المحتملة |
| 6.1.11 | التأكد من عدم وجود ملفات أو أدلة غير مملوكة | فشل | التأثير الخاص بالعملية المحتملة |
| 6.1.12 | التأكد من عدم وجود ملفات أو أدلة غير مجمعة | فشل | التأثير الخاص بالعملية المحتملة |
| 6.1.13 | التدقيق الخاص بالملفات التنفيذية فيما يتعلق بـ SUID | غير منطبق | |
| 6.1.14 | التدقيق الخاص بالملفات التنفيذية فيما يتعلق بـ SGID | غير منطبق | |
| 6.2 | الإعدادات المتعلقة بالمستخدم والمجموعة | ||
| 6.2.1 | التأكد من استخدام الحسابات في /etc/passwd كلمات مرور مزيفة | نجاح | |
| 6.2.2 | التأكد من أن حقول كلمة المرور غير فارغة | نجاح | |
| 6.2.3 | التأكد من وجود جميع المجموعات في /etc/passwd في /etc/group | نجاح | |
| 6.2.4 | تأكد من وجود جميع الدلائل الرئيسية للمستخدمين | نجاح | |
| 6.2.5 | التأكد من أن المستخدمين يمتلكون الدلائل الرئيسية الخاصة بهم | نجاح | |
| 6.2.6 | التأكد من أن أذونات الدلائل الرئيسية للمستخدمين 750 أو أكثر تقييدا | نجاح | |
| 6.2.7 | تأكد من أن الملفات المنقطة للمستخدمين غير قابلة للكتابة في المجموعة أو العالم | نجاح | |
| 6.2.8 | التأكد من عدم وجود ملفات .netrc للمستخدمين | نجاح | |
| 6.2.9 | التأكد من عدم وجود ملفات .forward للمستخدمين | نجاح | |
| 6.2.10 | التأكد من عدم وجود مستخدمين لديهم ملفات .rhosts | نجاح | |
| 6.2.11 | التأكد من أن الجذر هو حساب UID 0 الوحيد | نجاح | |
| 6.2.12 | التأكد من تكامل مسار الجذر | نجاح | |
| 6.2.13 | التأكد من عدم وجود واجهات مستخدم مكررة | نجاح | |
| 6.2.14 | التأكد من عدم وجود ملفات GID مكررة | نجاح | |
| 6.2.15 | التأكد من عدم وجود أسماء مستخدمين مكررة | نجاح | |
| 6.2.16 | التأكد من عدم وجود أسماء مجموعات مكررة | نجاح | |
| 6.2.17 | التأكد من أن مجموعة الظل فارغة | نجاح |
الخطوات التالية
لمزيد من المعلومات حول أمان AKS، راجع المقالات التالية:
التعاون معنا على GitHub
يمكن العثور على مصدر هذا المحتوى على GitHub حيث يمكنك أيضاً إضافة مشاكل وطلبات سحب ومراجعتها. للحصول على معلومات إضافية، اطلع على دليل المساهم لدينا.
Azure Kubernetes Service