Srovnávací test Center for Internet Security (CIS) Azure Linux
Konfigurace operačního systému zabezpečení použitá pro image kontejneru Azure Linux pro AKS je založená na standardních hodnotách zabezpečení Azure Linuxu, které odpovídají srovnávacímu testu CIS. Jako zabezpečená služba splňuje AKS standardy SOC, ISO, PCI DSS a HIPAA. Další informace o zabezpečení azure Linux Container Host najdete v tématu Koncepty zabezpečení pro clustery v AKS. Další informace o srovnávacím testuCISch Další informace o standardních hodnotách zabezpečení Azure pro Linux najdete v tématu Standardní hodnoty zabezpečení Pro Linux.
Azure Linux 2.0
Tento operační systém Azure Linux Container Host je založený na imagi Azure Linux 2.0 s použitými integrovanými konfiguracemi zabezpečení.
Jako součást operačního systému optimalizovaného pro zabezpečení:
- AKS a Azure Linux poskytují ve výchozím nastavení hostitelský operační systém optimalizovaný pro zabezpečení bez možnosti výběru alternativního operačního systému.
- Hostitelský operační systém optimalizovaný pro zabezpečení je sestavený a udržovaný speciálně pro AKS a není podporovaný mimo platformu AKS.
- Nepotřebné ovladače modulu jádra byly v operačním systému zakázány, aby se snížil prostor pro útok.
Doporučení
Následující tabulka obsahuje čtyři části:
- ID CIS: Přidružené ID pravidla se jednotlivými pravidly směrného plánu.
- Popis doporučení: Popis doporučení vydaného srovnávacím testem CIS.
- Úroveň: L1 nebo úroveň 1 doporučuje základní základní požadavky na zabezpečení, které je možné konfigurovat v jakémkoli systému a které by měly způsobit malé nebo žádné přerušení služby nebo omezené funkčnosti.
- Stav:
- Pass – Doporučení bylo použito.
- Selhání – Doporučení se nepoužílo.
- Není k dispozici – Doporučení se vztahuje k požadavkům na oprávnění souboru manifestu, které nejsou pro AKS relevantní.
- Závisí na prostředí – Doporučení se použije v konkrétním prostředí uživatele a není řízeno službou AKS.
- Ekvivalentní řízení – Doporučení bylo implementováno jiným ekvivalentním způsobem.
- Důvod:
- Potenciální dopad na operaci – Doporučení se nepoužovalo, protože by to mělo negativní vliv na službu.
- Pokryté jinde – Doporučení se vztahuje na jiný ovládací prvek v cloudových výpočetních prostředcích Azure.
Následuje výsledek doporučení srovnávacího testu CIS Azure Linux 2.0 v1.0 na základě pravidel CIS:
| CIS ID | Popis doporučení | Stav | Důvod |
|---|---|---|---|
| 1.1.4 | Zakázání automatického připojování | Úspěšné absolvování | |
| 1.1.1.1 | Ujistěte se, že je zakázané připojení systému souborů cramfs. | Úspěšné absolvování | |
| 1.1.2.1 | Ujistěte se, že /tmp je samostatný oddíl. | Úspěšné absolvování | |
| 1.1.2.2 | Ujistěte se, že možnost nodev je nastavená v oddílu /tmp. | Úspěšné absolvování | |
| 1.1.2.3 | Ujistěte se, že možnost nosid nastavená na oddílu /tmp | Úspěšné absolvování | |
| 1.1.8.1 | Ujistěte se, že možnost nodev je nastavená na oddílu /dev/shm. | Úspěšné absolvování | |
| 1.1.8.2 | Ujistěte se, že možnost nosid je nastavená na oddílu /dev/shm. | Úspěšné absolvování | |
| 1.2.1 | Ujistěte se, že je globálně aktivovaný dnF gpgcheck. | Úspěšné absolvování | |
| 1.2.2 | Ujistěte se, že je globálně aktivovaná kontrola zásad skupiny TDNF. | Úspěšné absolvování | |
| 1.5.1 | Ujistěte se, že je zakázané úložiště výpisu paměti jádra. | Úspěšné absolvování | |
| 1.5.2 | Ujistěte se, že jsou zakázané backtrace výpisu stavu jádra. | Úspěšné absolvování | |
| 1.5.3 | Ujistěte se, že je povolené náhodné rozložení adresního prostoru (ASLR). | Úspěšné absolvování | |
| 1.7.1 | Ujistěte se, že je banner s upozorněním místního přihlášení správně nakonfigurovaný. | Úspěšné absolvování | |
| 1.7.2 | Ujistěte se, že je správně nakonfigurovaný banner upozornění vzdáleného přihlášení. | Úspěšné absolvování | |
| 1.7.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/motd. | Úspěšné absolvování | |
| 1.7.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue. | Úspěšné absolvování | |
| 1.7.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue.net. | Úspěšné absolvování | |
| 2.1.1 | Ujistěte se, že se používá synchronizace času. | Úspěšné absolvování | |
| 2.1.2 | Ujistěte se, že je nakonfigurovaná chrony. | Úspěšné absolvování | |
| 2.2.1 | Ujistěte se, že není nainstalovaný xinetd. | Úspěšné absolvování | |
| 2.2.2 | Ujistěte se, že není nainstalovaný xorg-x11-server-common. | Úspěšné absolvování | |
| 2.2.3 | Ujistěte se, že není nainstalovaný avahi. | Úspěšné absolvování | |
| 2.2.4 | Ujistěte se, že není nainstalovaný tiskový server. | Úspěšné absolvování | |
| 2.2.5 | Ujistěte se, že není nainstalovaný server DHCP. | Úspěšné absolvování | |
| 2.2.6 | Ujistěte se, že není nainstalovaný server DNS. | Úspěšné absolvování | |
| 2.2.7 | Ujistěte se, že není nainstalovaný klient FTP. | Úspěšné absolvování | |
| 2.2.8 | Ujistěte se, že není nainstalovaný server FTP. | Úspěšné absolvování | |
| 2.2.9 | Ujistěte se, že server tftp není nainstalovaný. | Úspěšné absolvování | |
| 2.2.10 | Ujistěte se, že není nainstalovaný webový server. | Úspěšné absolvování | |
| 2.2.11 | Ujistěte se, že není nainstalovaný server IMAP a POP3. | Úspěšné absolvování | |
| 2.2.12 | Ujistěte se, že není nainstalovaný Samba. | Úspěšné absolvování | |
| 2.2.13 | Ujistěte se, že není nainstalovaný proxy server HTTP. | Úspěšné absolvování | |
| 2.2.14 | Ujistěte se, že není nainstalovaný net-snmp nebo není povolená služba snmpd. | Úspěšné absolvování | |
| 2.2.15 | Ujistěte se, že není nainstalovaný server NIS. | Úspěšné absolvování | |
| 2.2.16 | Ujistěte se, že není nainstalovaný telnet-server. | Úspěšné absolvování | |
| 2.2.17 | Ujistěte se, že je agent přenosu pošty nakonfigurovaný pro místní režim. | Úspěšné absolvování | |
| 2.2.18 | Ujistěte se, že nfs-utils není nainstalovaný nebo je maskovaná služba nfs-server. | Úspěšné absolvování | |
| 2.2.19 | Ujistěte se, že není nainstalovaný proces rsync-démon nebo je maskovaná služba rsyncd. | Úspěšné absolvování | |
| 2.3.1 | Ujistěte se, že není nainstalovaný klient NIS. | Úspěšné absolvování | |
| 2.3.2 | Ujistěte se, že není nainstalovaný klient rsh. | Úspěšné absolvování | |
| 2.3.3 | Ujistěte se, že není nainstalovaný klient talk. | Úspěšné absolvování | |
| 2.3.4 | Ujistěte se, že není nainstalovaný klient telnet. | Úspěšné absolvování | |
| 2.3.5 | Ujistěte se, že není nainstalovaný klient LDAP. | Úspěšné absolvování | |
| 2.3.6 | Ujistěte se, že není nainstalovaný klient TFTP. | Úspěšné absolvování | |
| 3.1.1 | Ujistěte se, že je povolený protokol IPv6. | Úspěšné absolvování | |
| 3.2.1 | Ujistěte se, že odesílání přesměrovávání paketů je zakázané. | Úspěšné absolvování | |
| 3.3.1 | Ujistěte se, že zdrojové směrované pakety nejsou přijaté. | Úspěšné absolvování | |
| 3.3.2 | Ujistěte se, že se nepřijímají přesměrování PROTOKOLU ICMP. | Úspěšné absolvování | |
| 3.3.3 | Ujistěte se, že zabezpečené přesměrování PROTOKOLU ICMP není přijato. | Úspěšné absolvování | |
| 3.3.4 | Ujistěte se, že se protokolují podezřelé pakety. | Úspěšné absolvování | |
| 3.3.5 | Ujistěte se, že se ignorují požadavky ICMP všesměrového vysílání. | Úspěšné absolvování | |
| 3.3.6 | Ujistěte se, že jsou ignorované odpovědi ICMP. | Úspěšné absolvování | |
| 3.3.7 | Ujistěte se, že je povolené filtrování zpětné cesty. | Úspěšné absolvování | |
| 3.3.8 | Ujistěte se, že jsou povolené soubory cookie TCP SYN. | Úspěšné absolvování | |
| 3.3.9 | Ujistěte se, že se nepřijímají inzerované směrovače IPv6. | Úspěšné absolvování | |
| 3.4.3.1.1 | Ujistěte se, že je nainstalovaný balíček iptables. | Úspěšné absolvování | |
| 3.4.3.1.2 | Ujistěte se, že se neinstalují nftables s iptables. | Úspěšné absolvování | |
| 3.4.3.1.3 | Ujistěte se, že brána firewall není nainstalovaná nebo maskovaná pomocí iptables. | Úspěšné absolvování | |
| 4.2 | Ujistěte se, že je nakonfigurované protokolování. | Úspěšné absolvování | |
| 4.2.2 | Ujistěte se, že všechny soubory protokolu mají nakonfigurovaný odpovídající přístup. | Úspěšné absolvování | |
| 4.2.1.1 | Ujistěte se, že je nainstalovaný rsyslog. | Úspěšné absolvování | |
| 4.2.1.2 | Ujistěte se, že je povolená služba rsyslog. | Úspěšné absolvování | |
| 4.2.1.3 | Ujistěte se, že jsou nakonfigurovaná výchozí oprávnění souborů rsyslog. | Úspěšné absolvování | |
| 4.2.1.4 | Ujistěte se, že je nakonfigurované protokolování. | Úspěšné absolvování | |
| 4.2.1.5 | Ujistěte se, že rsyslog není nakonfigurovaný tak, aby přijímal protokoly ze vzdáleného klienta. | Úspěšné absolvování | |
| 5.1.1 | Ujistěte se, že je povolený démon Cron. | Úspěšné absolvování | |
| 5.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/crontab. | Úspěšné absolvování | |
| 5.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.hourly. | Úspěšné absolvování | |
| 5.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.daily. | Úspěšné absolvování | |
| 5.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.weekly. | Úspěšné absolvování | |
| 5.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.monthly. | Úspěšné absolvování | |
| 5.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.d. | Úspěšné absolvování | |
| 5.1.8 | Ujistěte se, že je cron omezený na oprávněné uživatele. | Úspěšné absolvování | |
| 5.1.9 | Ujistěte se, že je omezený na oprávněné uživatele. | Úspěšné absolvování | |
| 5.2.1 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/ssh/sshd_config. | Úspěšné absolvování | |
| 5.2.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům privátního klíče hostitele SSH. | Úspěšné absolvování | |
| 5.2.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům veřejného klíče hostitele SSH. | Úspěšné absolvování | |
| 5.2.4 | Ujistěte se, že je omezený přístup SSH. | Úspěšné absolvování | |
| 5.2.5 | Ujistěte se, že je odpovídající úroveň protokolu SSH. | Úspěšné absolvování | |
| 5.2.6 | Ujistěte se, že je povolená služba SSH PAM. | Úspěšné absolvování | |
| 5.2.7 | Ujistěte se, že je zakázané kořenové přihlášení SSH. | Úspěšné absolvování | |
| 5.2.8 | Ujistěte se, že je zakázané ověřování hostbasedAuthentication SSH. | Úspěšné absolvování | |
| 5.2.9 | Ujistěte se, že je zakázané povolení SSH PermitEmptyPasswords. | Úspěšné absolvování | |
| 5.2.10 | Ujistěte se, že je zakázané povolení SSH PermitUserEnvironment. | Úspěšné absolvování | |
| 5.2.11 | Ujistěte se, že je povolený SSH IgnoreRhosts. | Úspěšné absolvování | |
| 5.2.12 | Ujistěte se, že se používají pouze silné šifry. | Úspěšné absolvování | |
| 5.2.13 | Ujistěte se, že se používají pouze silné algoritmy MAC. | Úspěšné absolvování | |
| 5.2.14 | Ujistěte se, že se používají pouze silné algoritmy výměny klíčů. | Úspěšné absolvování | |
| 5.2.15 | Ujistěte se, že je nakonfigurovaný banner upozornění SSH. | Úspěšné absolvování | |
| 5.2.16 | Ujistěte se, že je SSH MaxAuthTries nastavená na 4 nebo méně. | Úspěšné absolvování | |
| 5.2.17 | Ujistěte se, že je nakonfigurovaný maxstartups SSH. | Úspěšné absolvování | |
| 5.2.18 | Ujistěte se, že je SSH LoginGraceTime nastavená na jednu minutu nebo méně. | Úspěšné absolvování | |
| 5.2.19 | Ujistěte se, že je hodnota maxSession SSH nastavená na 10 nebo méně. | Úspěšné absolvování | |
| 5.2.20 | Ujistěte se, že je nakonfigurovaný interval časového limitu nečinnosti SSH. | Úspěšné absolvování | |
| 5.3.1 | Ujistěte se, že je nainstalovaný sudo. | Úspěšné absolvování | |
| 5.3.2 | Ujistěte se, že se globálně nezakáží opětovné ověřování pro eskalaci oprávnění. | Úspěšné absolvování | |
| 5.3.3 | Ujistěte se, že je správně nakonfigurovaný časový limit ověřování sudo. | Úspěšné absolvování | |
| 5.4.1 | Ujistěte se, že jsou nakonfigurované požadavky na vytvoření hesla. | Úspěšné absolvování | |
| 5.4.2 | Ujistěte se, že je nakonfigurované uzamčení neúspěšných pokusů o heslo. | Úspěšné absolvování | |
| 5.4.3 | Ujistěte se, že algoritmus hash hesel je SHA-512. | Úspěšné absolvování | |
| 5.4.4 | Ujistěte se, že je opakované použití hesla omezené. | Úspěšné absolvování | |
| 5.5.2 | Zajištění zabezpečení systémových účtů | Úspěšné absolvování | |
| 5.5.3 | Ujistěte se, že výchozí skupina kořenového účtu je GID 0. | Úspěšné absolvování | |
| 5.5.4 | Ujistěte se, že výchozí hodnota umask uživatele je 027 nebo více omezující. | Úspěšné absolvování | |
| 5.5.1.1 | Ujistěte se, že vypršení platnosti hesla je 365 dnů nebo méně. | Úspěšné absolvování | |
| 5.5.1.2 | Ujistěte se, že jsou nakonfigurované minimální dny mezi změnami hesla. | Úspěšné absolvování | |
| 5.5.1.3 | Ujistěte se, že dny upozornění na vypršení platnosti hesla jsou 7 nebo více. | Úspěšné absolvování | |
| 5.5.1.4 | Ujistěte se, že neaktivní zámek hesla je 30 dnů nebo méně. | Úspěšné absolvování | |
| 5.5.1.5 | Ujistěte se, že je datum poslední změny hesla všech uživatelů v minulosti. | Úspěšné absolvování | |
| 6.1.1 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Úspěšné absolvování | |
| 6.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Úspěšné absolvování | |
| 6.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Úspěšné absolvování | |
| 6.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Úspěšné absolvování | |
| 6.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Úspěšné absolvování | |
| 6.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Úspěšné absolvování | |
| 6.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Úspěšné absolvování | |
| 6.1.8 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Úspěšné absolvování | |
| 6.1.9 | Ujistěte se, že neexistují žádné neseskupené nebo neseskupené soubory nebo adresáře. | Úspěšné absolvování | |
| 6.1.10 | Zajištění zabezpečení souborů a adresářů s možností zápisu na světě | Úspěšné absolvování | |
| 6.2.1 | Ujistěte se, že pole hesel nejsou prázdná. | Úspěšné absolvování | |
| 6.2.2 | Ujistěte se, že všechny skupiny v /etc/passwd existují ve skupině /etc/group. | Úspěšné absolvování | |
| 6.2.3 | Ujistěte se, že neexistují žádné duplicitní identifikátory UID. | Úspěšné absolvování | |
| 6.2.4 | Ujistěte se, že neexistují žádné duplicitní identifikátory GID. | Úspěšné absolvování | |
| 6.2.5 | Ujistěte se, že neexistují žádná duplicitní uživatelská jména. | Úspěšné absolvování | |
| 6.2.6 | Ujistěte se, že neexistují žádné duplicitní názvy skupin. | Úspěšné absolvování | |
| 6.2.7 | Zajištění integrity kořenové cesty | Úspěšné absolvování | |
| 6.2.8 | Ujistěte se, že kořenovým účtem je jediný účet UID 0. | Úspěšné absolvování | |
| 6.2.9 | Ujistěte se, že existují domovské adresáře všech uživatelů. | Úspěšné absolvování | |
| 6.2.10 | Zajištění, aby uživatelé měli své domovské adresáře | Úspěšné absolvování | |
| 6.2.11 | Ujistěte se, že jsou oprávnění domovské adresáře uživatelů 750 nebo více omezující. | Úspěšné absolvování | |
| 6.2.12 | Ujistěte se, že soubory s tečkou uživatele nejsou seskupitelné nebo se dají zapisovat do světa. | Úspěšné absolvování | |
| 6.2.13 | Ujistěte se, že soubory .netrc uživatelů nejsou seskupené nebo přístupné z celého světa. | Úspěšné absolvování | |
| 6.2.14 | Ujistěte se, že žádní uživatelé nemají soubory .forward. | Úspěšné absolvování | |
| 6.2.15 | Ujistěte se, že žádní uživatelé nemají soubory .netrc. | Úspěšné absolvování | |
| 6.2.16 | Ujistěte se, že žádní uživatelé nemají soubory .rhosts. | Úspěšné absolvování |
Další kroky
Další informace o zabezpečení azure Linux Container Host najdete v následujících článcích:
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service