Zarovnání imagí Ubuntu (AKS) Azure Kubernetes Service s srovnávacím testem Center for Internet Security (CIS)
Azure Kubernetes Service (AKS) jako zabezpečená služba splňuje standardy SOC, ISO, PCI DSS a HIPAA. Tento článek popisuje konfiguraci operačního systému zabezpečení použitou na image Ubuntu používanou službou AKS. Tato konfigurace zabezpečení je založená na standardních hodnotách zabezpečení Pro Linux v Azure, které odpovídají srovnávacímu testu CIS. Další informace o zabezpečení AKS najdete v tématu Koncepty zabezpečení pro aplikace a clustery ve službě Azure Kubernetes Service (AKS). Další informace o zabezpečení AKS najdete v tématu Koncepty zabezpečení pro aplikace a clustery ve službě Azure Kubernetes Service (AKS). Další informace o srovnávacím testu CIS naleznete v tématu Center for Internet Security (CIS) Benchmarks. Další informace o standardních hodnotách zabezpečení Azure pro Linux najdete v tématu Standardní hodnoty zabezpečení Pro Linux.
Ubuntu LTS 18.04
Clustery AKS se nasazují na hostitelské virtuální počítače, na kterých běží operační systém s integrovanými zabezpečenými konfiguracemi. Tento operační systém se používá pro kontejnery spuštěné v AKS. Tento hostitelský operační systém je založený na imagi Ubuntu 18.04.LTS s použitými konfiguracemi zabezpečení.
Jako součást operačního systému optimalizovaného pro zabezpečení:
- AKS ve výchozím nastavení poskytuje hostitelský operační systém optimalizovaný pro zabezpečení, ale není možné vybrat alternativní operační systém.
- Hostitelský operační systém optimalizovaný pro zabezpečení je sestavený a udržovaný speciálně pro AKS a není podporovaný mimo platformu AKS.
- Některé nepotřebné ovladače modulu jádra byly v operačním systému zakázány, aby se snížil prostor pro útok.
Poznámka:
Azure na hostitele virtuálních počítačů AKS používá každodenní opravy, včetně oprav zabezpečení, nesouvisející s srovnávacími testy CIS.
Cílem zabezpečené konfigurace integrované do hostitelského operačního systému je snížit prostor útoku a optimalizovat nasazení kontejnerů bezpečným způsobem.
Následuje výsledek doporučení CIS Ubuntu 18.04 LTS Benchmark v2.1.0 .
Doporučení můžou mít jeden z následujících důvodů:
- Potenciální dopad na operaci – Doporučení se nepoužovalo, protože by to mělo negativní vliv na službu.
- Pokryté jinde – Doporučení se vztahuje na jiný ovládací prvek v cloudových výpočetních prostředcích Azure.
Implementují se následující pravidla CIS:
| Číslo odstavce CIS | Popis doporučení | Stav | Důvod |
|---|---|---|---|
| 0 | Počáteční nastavení | ||
| 1,1 | Konfigurace systému souborů | ||
| 1.1.1 | Zakázání nepoužívaných systémů souborů | ||
| 1.1.1.1 | Ujistěte se, že je zakázané připojení systému souborů cramfs. | Úspěšné absolvování | |
| 1.1.1.2 | Ujistěte se, že je zakázané připojení systému souborů freevxfs. | Úspěšné absolvování | |
| 1.1.1.3 | Ujistěte se, že je zakázané připojení systému souborů jffs2. | Úspěšné absolvování | |
| 1.1.1.4 | Ujistěte se, že je zakázané připojení systému souborů HFS. | Úspěšné absolvování | |
| 1.1.1.5 | Ujistěte se, že je zakázané připojení systému souborů hfsplus. | Úspěšné absolvování | |
| 1.1.1.6 | Ujistěte se, že je zakázané připojení systému souborů udf. | Neúspěch | Potenciální provozní dopad |
| 1.1.2 | Ujistěte se, že je nakonfigurovaný /tmp. | Neúspěch | |
| 1.1.3 | Ujistěte se, že možnost nodev je nastavená v oddílu /tmp. | Neúspěch | |
| 1.1.4 | Ujistěte se, že možnost nosid nastavená na oddílu /tmp | Úspěšné absolvování | |
| 1.1.5 | Ujistěte se, že je v oddílu /tmp nastavená možnost noexec. | Úspěšné absolvování | |
| 1.1.6 | Ujistěte se, že je nakonfigurovaný /dev/shm. | Úspěšné absolvování | |
| 1.1.7 | Ujistěte se, že možnost nodev je nastavená na oddílu /dev/shm. | Úspěšné absolvování | |
| 1.1.8 | Ujistěte se, že možnost nosid je nastavená na oddílu /dev/shm. | Úspěšné absolvování | |
| 1.1.9 | Ujistěte se, že je v oddílu /dev/shm nastavená možnost noexec. | Neúspěch | Potenciální provozní dopad |
| 1.1.12 | Ujistěte se, že oddíl /var/tmp obsahuje možnost nodev. | Úspěšné absolvování | |
| 1.1.13 | Ujistěte se, že oddíl /var/tmp obsahuje možnost nosuid. | Úspěšné absolvování | |
| 1.1.14 | Ujistěte se, že oddíl /var/tmp obsahuje možnost noexec. | Úspěšné absolvování | |
| 1.1.18 | Ujistěte se, že /home oddíl obsahuje možnost nodev. | Úspěšné absolvování | |
| 1.1.19 | Ujistěte se, že možnost nodev je nastavená na vyměnitelných oddílech médií. | Neuvedeno | |
| 1.1.20 | Ujistěte se, že možnost nosid nastavená na vyměnitelných oddílech médií | Neuvedeno | |
| 1.1.21 | Ujistěte se, že možnost noexec je nastavená na vyměnitelných oddílech médií. | Neuvedeno | |
| 1.1.22 | Ujistěte se, že je bit sticky nastavený na všechny světové zapisovatelné adresáře. | Neúspěch | Potenciální dopad operace |
| 1.1.23 | Zakázání automatického připojování | Úspěšné absolvování | |
| 1.1.24 | Zakázání úložiště USB | Úspěšné absolvování | |
| 1.2 | Konfigurace aktualizací softwaru | ||
| 1.2.1 | Ujistěte se, že jsou nakonfigurovaná úložiště správce balíčků. | Úspěšné absolvování | Pokryto jinde |
| 1.2.2 | Ujistěte se, že jsou nakonfigurované klíče GPG. | Neuvedeno | |
| 1.3 | Kontrola integrity systému souborů | ||
| 1.3.1 | Ujistěte se, že je nainstalovaný AIDE. | Neúspěch | Pokryto jinde |
| 1.3.2 | Zajištění pravidelné kontroly integrity systému souborů | Neúspěch | Pokryto jinde |
| 1.4 | Nastavení zabezpečeného spouštění | ||
| 1.4.1 | Ujistěte se, že oprávnění ke konfiguraci zavaděče nejsou přepsána. | Neúspěch | |
| 1.4.2 | Ujistěte se, že je nastavené heslo bootloaderu. | Neúspěch | Neuvedeno |
| 1.4.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění ke konfiguraci zavaděče spouštění. | Neúspěch | |
| 1.4.4 | Ujistěte se, že ověřování vyžaduje režim jednoho uživatele. | Neúspěch | Neuvedeno |
| 1.5 | Další posílení zabezpečení procesů | ||
| 1.5.1 | Ujistěte se, že je povolená podpora XD/NX. | Neuvedeno | |
| 1.5.2 | Ujistěte se, že je povolené náhodné rozložení adresního prostoru (ASLR). | Úspěšné absolvování | |
| 1.5.3 | Ujistěte se, že je předlink zakázaný. | Úspěšné absolvování | |
| 1.5.4 | Ujistěte se, že jsou omezené základní výpisy paměti. | Úspěšné absolvování | |
| 1.6 | Povinné řízení přístupu | ||
| 1.6.1 | Konfigurace AppArmoru | ||
| 1.6.1.1 | Ujistěte se, že je nainstalovaný AppArmor. | Úspěšné absolvování | |
| 1.6.1.2 | Ujistěte se, že je v konfiguraci zavaděče spouštění povolený AppArmor. | Neúspěch | Potenciální dopad operace |
| 1.6.1.3 | Ujistěte se, že jsou všechny profily AppArmor vynucování nebo stěžování. | Úspěšné absolvování | |
| 1,7 | Bannery s upozorněním příkazového řádku | ||
| 1.7.1 | Ujistěte se, že je zpráva dne správně nakonfigurovaná. | Úspěšné absolvování | |
| 1.7.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue.net. | Úspěšné absolvování | |
| 1.7.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue. | Úspěšné absolvování | |
| 1.7.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/motd. | Úspěšné absolvování | |
| 1.7.5 | Ujistěte se, že je správně nakonfigurovaný banner upozornění vzdáleného přihlášení. | Úspěšné absolvování | |
| 1.7.6 | Ujistěte se, že je banner s upozorněním místního přihlášení správně nakonfigurovaný. | Úspěšné absolvování | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Ujistěte se, že je nakonfigurovaný banner pro přihlášení GDM. | Úspěšné absolvování | |
| 1.8.3 | Ujistěte se, že je povolený seznam zákazu uživatele. | Úspěšné absolvování | |
| 1.8.4 | Ujistěte se, že XDCMP není povolené. | Úspěšné absolvování | |
| 1,9 | Ujistěte se, že jsou nainstalované aktualizace, opravy a další software zabezpečení. | Předání | |
| 2 | Služby | ||
| 2.1 | Služby pro zvláštní účely | ||
| 2.1.1 | Synchronizace času | ||
| 2.1.1.1 | Ujistěte se, že se používá synchronizace času. | Úspěšné absolvování | |
| 2.1.1.2 | Ujistěte se, že je nakonfigurovaná systemd-timesyncd. | Neuvedeno | AKS používá ntpd pro časovou synchronizaci. |
| 2.1.1.3 | Ujistěte se, že je nakonfigurovaná chrony. | Neúspěch | Pokryto jinde |
| 2.1.1.4 | Ujistěte se, že je nakonfigurovaný protokol ntp. | Úspěšné absolvování | |
| 2.1.2 | Ujistěte se, že systém X Window System není nainstalovaný. | Úspěšné absolvování | |
| 2.1.3 | Ujistěte se, že server Avahi není nainstalovaný. | Úspěšné absolvování | |
| 2.1.4 | Ujistěte se, že není nainstalovaný CUPS. | Úspěšné absolvování | |
| 2.1.5 | Ujistěte se, že server DHCP není nainstalovaný. | Úspěšné absolvování | |
| 2.1.6 | Ujistěte se, že není nainstalovaný server LDAP. | Úspěšné absolvování | |
| 2.1.7 | Ujistěte se, že systém souborů NFS není nainstalovaný. | Úspěšné absolvování | |
| 2.1.8 | Ujistěte se, že není nainstalovaný server DNS. | Úspěšné absolvování | |
| 2.1.9 | Ujistěte se, že server FTP není nainstalovaný. | Úspěšné absolvování | |
| 2.1.10 | Ujistěte se, že není nainstalovaný server HTTP. | Úspěšné absolvování | |
| 2.1.11 | Ujistěte se, že není nainstalovaný server IMAP a POP3. | Úspěšné absolvování | |
| 2.1.12 | Ujistěte se, že není nainstalovaný Samba. | Úspěšné absolvování | |
| 2.1.13 | Ujistěte se, že není nainstalovaný proxy server HTTP. | Úspěšné absolvování | |
| 2.1.14 | Ujistěte se, že server SNMP není nainstalovaný. | Úspěšné absolvování | |
| 2.1.15 | Ujistěte se, že je agent přenosu pošty nakonfigurovaný pro místní režim. | Úspěšné absolvování | |
| 2.1.16 | Ujistěte se, že není nainstalovaná služba rsync. | Neúspěch | |
| 2.1.17 | Ujistěte se, že server NIS není nainstalovaný. | Úspěšné absolvování | |
| 2,2 | Klienti služeb | ||
| 2.2.1 | Ujistěte se, že není nainstalovaný klient NIS. | Úspěšné absolvování | |
| 2.2.2 | Ujistěte se, že není nainstalovaný klient rsh. | Úspěšné absolvování | |
| 2.2.3 | Ujistěte se, že není nainstalovaný klient talk. | Úspěšné absolvování | |
| 2.2.4 | Ujistěte se, že není nainstalovaný klient telnet. | Neúspěch | |
| 2.2.5 | Ujistěte se, že není nainstalovaný klient LDAP. | Úspěšné absolvování | |
| 2.2.6 | Ujistěte se, že není nainstalovaný RPC. | Neúspěch | Potenciální provozní dopad |
| 2.3 | Ujistěte se, že se neodeberou nebo maskují žádné služby. | Úspěšné absolvování | |
| 3 | Konfigurace sítě | ||
| 3.1 | Zakázání nepoužívaných síťových protokolů a zařízení | ||
| 3.1.2 | Ujistěte se, že jsou bezdrátová rozhraní zakázaná. | Úspěšné absolvování | |
| 3.2 | Síťové parametry (pouze hostitel) | ||
| 3.2.1 | Ujistěte se, že odesílání přesměrovávání paketů je zakázané. | Úspěšné absolvování | |
| 3.2.2 | Ujistěte se, že je zakázané předávání IP. | Neúspěch | Neuvedeno |
| 3.3 | Síťové parametry (hostitel a směrovač) | ||
| 3.3.1 | Ujistěte se, že zdrojové směrované pakety nejsou přijaté. | Úspěšné absolvování | |
| 3.3.2 | Ujistěte se, že se nepřijímají přesměrování PROTOKOLU ICMP. | Úspěšné absolvování | |
| 3.3.3 | Ujistěte se, že zabezpečené přesměrování PROTOKOLU ICMP není přijato. | Úspěšné absolvování | |
| 3.3.4 | Ujistěte se, že se protokolují podezřelé pakety. | Úspěšné absolvování | |
| 3.3.5 | Ujistěte se, že se ignorují požadavky ICMP všesměrového vysílání. | Úspěšné absolvování | |
| 3.3.6 | Ujistěte se, že jsou ignorované odpovědi ICMP. | Úspěšné absolvování | |
| 3.3.7 | Ujistěte se, že je povolené filtrování zpětné cesty. | Úspěšné absolvování | |
| 3.3.8 | Ujistěte se, že jsou povolené soubory cookie TCP SYN. | Úspěšné absolvování | |
| 3.3.9 | Ujistěte se, že se nepřijímají inzerované směrovače IPv6. | Úspěšné absolvování | |
| 3.4 | Méně časté síťové protokoly | ||
| 3.5 | Konfigurace brány firewall | ||
| 3.5.1 | Konfigurace nekomplikovanéhoFirewallu | ||
| 3.5.1.1 | Ujistěte se, že je nainstalovaný ufw. | Úspěšné absolvování | |
| 3.5.1.2 | Ujistěte se, že u nástroje ufw není nainstalovaná trvalá iptables. | Úspěšné absolvování | |
| 3.5.1.3 | Ujistěte se, že je povolená služba ufw. | Neúspěch | Pokryto jinde |
| 3.5.1.4 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky ufw. | Neúspěch | Pokryto jinde |
| 3.5.1.5 | Ujistěte se, že jsou nakonfigurovaná odchozí připojení ufw. | Neuvedeno | Pokryto jinde |
| 3.5.1.6 | Ujistěte se, že pro všechny otevřené porty existují pravidla brány firewall ufw. | Neuvedeno | Pokryto jinde |
| 3.5.1.7 | Ujistěte se, že výchozí zásady odepření brány firewall ufw | Neúspěch | Pokryto jinde |
| 3.5.2 | Konfigurace nftables | ||
| 3.5.2.1 | Ujistěte se, že jsou nainstalované nftables. | Neúspěch | Pokryto jinde |
| 3.5.2.2 | Ujistěte se, že je ufw odinstalovaný nebo zakázaný pomocí nftables. | Neúspěch | Pokryto jinde |
| 3.5.2.3 | Ujistěte se, že jsou iptables vyprázdněné nftables. | Neuvedeno | Pokryto jinde |
| 3.5.2.4 | Ujistěte se, že tabulka nftables existuje. | Neúspěch | Pokryto jinde |
| 3.5.2.5 | Ujistěte se, že existují základní řetězy nftables. | Neúspěch | Pokryto jinde |
| 3.5.2.6 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky nftables. | Neúspěch | Pokryto jinde |
| 3.5.2.7 | Ujistěte se, že jsou nakonfigurovaná odchozí a navázáná připojení nftables. | Neuvedeno | Pokryto jinde |
| 3.5.2.8 | Ujistěte se, že výchozí zásady odepření brány firewall nftables | Neúspěch | Pokryto jinde |
| 3.5.2.9 | Ujistěte se, že je povolená služba nftables. | Neúspěch | Pokryto jinde |
| 3.5.2.10 | Ujistěte se, že pravidla nftables jsou trvalá. | Neúspěch | Pokryto jinde |
| 3.5.3 | Konfigurace iptables | ||
| 3.5.3.1 | Konfigurace softwaru iptables | ||
| 3.5.3.1.1 | Ujistěte se, že jsou nainstalované balíčky iptables. | Neúspěch | Pokryto jinde |
| 3.5.3.1.2 | Ujistěte se, že není nainstalovaný nástroj nftables s tabulkami IPtables. | Úspěšné absolvování | |
| 3.5.3.1.3 | Ujistěte se, že je ufw odinstalovaný nebo zakázaný pomocí iptables. | Neúspěch | Pokryto jinde |
| 3.5.3.2 | Konfigurace iptables IPv4 | ||
| 3.5.3.2.1 | Ujistěte se, že výchozí zásady brány firewall odepřít iptables | Neúspěch | Pokryto jinde |
| 3.5.3.2.2 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky iptables. | Neúspěch | Neuvedeno |
| 3.5.3.2.3 | Ujistěte se, že jsou nakonfigurovaná odchozí a vytvořená připojení iptables. | Neuvedeno | |
| 3.5.3.2.4 | Ujistěte se, že pro všechny otevřené porty existují pravidla firewallu iptables. | Neúspěch | Potenciální dopad operace |
| 3.5.3.3 | Konfigurace ip6tables IPv6 | ||
| 3.5.3.3.1 | Ujistěte se, že výchozí zásady brány firewall pro odepření ip6tables | Neúspěch | Pokryto jinde |
| 3.5.3.3.2 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky ip6tables. | Neúspěch | Pokryto jinde |
| 3.5.3.3.3 | Ujistěte se, že jsou nakonfigurovaná odchozí a vytvořená připojení ip6tables. | Neuvedeno | Pokryto jinde |
| 3.5.3.3.4 | Ujistěte se, že pro všechny otevřené porty existují pravidla brány firewall ip6tables. | Neúspěch | Pokryto jinde |
| 4 | Protokolování a auditování | ||
| 4.1 | Konfigurace systémového účetnictví (auditováno) | ||
| 4.1.1.2 | Ujistěte se, že je povolené auditování. | ||
| 4.1.2 | Konfigurace uchovávání dat | ||
| 4.2 | Konfigurace protokolování | ||
| 4.2.1 | Konfigurace rsyslogu | ||
| 4.2.1.1 | Ujistěte se, že je nainstalovaný rsyslog. | Úspěšné absolvování | |
| 4.2.1.2 | Ujistěte se, že je povolená služba rsyslog. | Úspěšné absolvování | |
| 4.2.1.3 | Ujistěte se, že je nakonfigurované protokolování. | Úspěšné absolvování | |
| 4.2.1.4 | Ujistěte se, že jsou nakonfigurovaná výchozí oprávnění souborů rsyslog. | Úspěšné absolvování | |
| 4.2.1.5 | Ujistěte se, že je rsyslog nakonfigurovaný tak, aby odesílal protokoly vzdálenému hostiteli protokolů. | Neúspěch | Pokryto jinde |
| 4.2.1.6 | Ujistěte se, že vzdálené zprávy rsyslogu jsou přijímány pouze u určených hostitelů protokolů. | Neuvedeno | |
| 4.2.2 | Konfigurace deníku | ||
| 4.2.2.1 | Ujistěte se, že je deník nakonfigurovaný tak, aby odesílal protokoly do rsyslogu. | Úspěšné absolvování | |
| 4.2.2.2 | Ujistěte se, že je deník nakonfigurovaný tak, aby komprimoval velké soubory protokolů. | Neúspěch | |
| 4.2.2.3 | Ujistěte se, že je deník nakonfigurovaný tak, aby zapisoval protokoly na trvalý disk. | Úspěšné absolvování | |
| 4.2.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění u všech souborů protokolu. | Neúspěch | |
| 4.3 | Ujistěte se, že je nakonfigurované protokolování. | Úspěšné absolvování | |
| 4.4 | Ujistěte se, že logrotate přiřazuje příslušná oprávnění. | Neúspěch | |
| 5 | Přístup, ověřování a autorizace | ||
| 5,1 | Konfigurace plánovačů úloh založených na čase | ||
| 5.1.1 | Ujistěte se, že je démon Cron povolený a spuštěný. | Úspěšné absolvování | |
| 5.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/crontab. | Úspěšné absolvování | |
| 5.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.hourly. | Úspěšné absolvování | |
| 5.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.daily. | Úspěšné absolvování | |
| 5.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.weekly. | Úspěšné absolvování | |
| 5.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.monthly. | Úspěšné absolvování | |
| 5.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.d. | Úspěšné absolvování | |
| 5.1.8 | Ujistěte se, že je cron omezený na oprávněné uživatele. | Neúspěch | |
| 5.1.9 | Ujistěte se, že je omezený na oprávněné uživatele. | Neúspěch | |
| 5.2 | Konfigurace sudo | ||
| 5.2.1 | Ujistěte se, že je nainstalovaný sudo. | Úspěšné absolvování | |
| 5.2.2 | Ujistěte se, že příkazy sudo používají pty. | Neúspěch | Potenciální provozní dopad |
| 5.2.3 | Ujistěte se, že soubor protokolu sudo existuje. | Neúspěch | |
| 5.3 | Konfigurace serveru SSH | ||
| 5.3.1 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/ssh/sshd_config. | Úspěšné absolvování | |
| 5.3.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům privátního klíče hostitele SSH. | Úspěšné absolvování | |
| 5.3.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům veřejného klíče hostitele SSH. | Úspěšné absolvování | |
| 5.3.4 | Ujistěte se, že je omezený přístup SSH. | Úspěšné absolvování | |
| 5.3.5 | Ujistěte se, že je odpovídající úroveň protokolu SSH. | Úspěšné absolvování | |
| 5.3.7 | Ujistěte se, že je SSH MaxAuthTries nastavená na 4 nebo méně. | Úspěšné absolvování | |
| 5.3.8 | Ujistěte se, že je povolený SSH IgnoreRhosts. | Úspěšné absolvování | |
| 5.3.9 | Ujistěte se, že je zakázané ověřování hostbasedAuthentication SSH. | Úspěšné absolvování | |
| 5.3.10 | Ujistěte se, že je zakázané kořenové přihlášení SSH. | Úspěšné absolvování | |
| 5.3.11 | Ujistěte se, že je zakázané povolení SSH PermitEmptyPasswords. | Úspěšné absolvování | |
| 5.3.12 | Ujistěte se, že je zakázané povolení SSH PermitUserEnvironment. | Úspěšné absolvování | |
| 5.3.13 | Ujistěte se, že se používají pouze silné šifry. | Úspěšné absolvování | |
| 5.3.14 | Ujistěte se, že se používají pouze silné algoritmy MAC. | Úspěšné absolvování | |
| 5.3.15 | Ujistěte se, že se používají pouze silné algoritmy výměny klíčů. | Úspěšné absolvování | |
| 5.3.16 | Ujistěte se, že je nakonfigurovaný interval časového limitu nečinnosti SSH. | Neúspěch | |
| 5.3.17 | Ujistěte se, že je SSH LoginGraceTime nastavená na jednu minutu nebo méně. | Úspěšné absolvování | |
| 5.3.18 | Ujistěte se, že je nakonfigurovaný banner upozornění SSH. | Úspěšné absolvování | |
| 5.3.19 | Ujistěte se, že je povolená služba SSH PAM. | Úspěšné absolvování | |
| 5.3.21 | Ujistěte se, že je nakonfigurovaný maxstartups SSH. | Neúspěch | |
| 5.3.22 | Ujistěte se, že je maximální počet instancí SSH omezený. | Úspěšné absolvování | |
| 5.4 | Konfigurace PAM | ||
| 5.4.1 | Ujistěte se, že jsou nakonfigurované požadavky na vytvoření hesla. | Úspěšné absolvování | |
| 5.4.2 | Ujistěte se, že je nakonfigurované uzamčení neúspěšných pokusů o heslo. | Neúspěch | |
| 5.4.3 | Ujistěte se, že je opakované použití hesla omezené. | Neúspěch | |
| 5.4.4 | Ujistěte se, že algoritmus hash hesel je SHA-512. | Úspěšné absolvování | |
| 5.5 | Uživatelské účty a prostředí | ||
| 5.5.1 | Nastavení parametrů stínové sady hesel | ||
| 5.5.1.1 | Ujistěte se, že jsou nakonfigurované minimální dny mezi změnami hesla. | Úspěšné absolvování | |
| 5.5.1.2 | Ujistěte se, že vypršení platnosti hesla je 365 dnů nebo méně. | Úspěšné absolvování | |
| 5.5.1.3 | Ujistěte se, že upozornění na vypršení platnosti hesla je 7 nebo více. | Úspěšné absolvování | |
| 5.5.1.4 | Ujistěte se, že neaktivní zámek hesla je 30 dnů nebo méně. | Úspěšné absolvování | |
| 5.5.1.5 | Ujistěte se, že je datum poslední změny hesla všech uživatelů v minulosti. | Neúspěch | |
| 5.5.2 | Zajištění zabezpečení systémových účtů | Úspěšné absolvování | |
| 5.5.3 | Ujistěte se, že výchozí skupina kořenového účtu je GID 0. | Úspěšné absolvování | |
| 5.5.4 | Ujistěte se, že výchozí hodnota umask uživatele je 027 nebo více omezující. | Úspěšné absolvování | |
| 5.5.5 | Ujistěte se, že výchozí časový limit uživatelského prostředí je 900 sekund nebo méně. | Neúspěch | |
| 5.6 | Ujistěte se, že je kořenové přihlášení omezené na systémovou konzolu. | Neuvedeno | |
| 5.7 | Ujistěte se, že je přístup k příkazu su omezený. | Neúspěch | Potenciální dopad operace |
| 6 | Údržba systému | ||
| 6.1 | Oprávnění systémových souborů | ||
| 6.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Úspěšné absolvování | |
| 6.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Úspěšné absolvování | |
| 6.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Úspěšné absolvování | |
| 6.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Úspěšné absolvování | |
| 6.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Úspěšné absolvování | |
| 6.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Úspěšné absolvování | |
| 6.1.8 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Úspěšné absolvování | |
| 6.1.9 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Úspěšné absolvování | |
| 6.1.10 | Ujistěte se, že neexistují žádné soubory s možností zápisu do světa. | Neúspěch | Potenciální dopad operace |
| 6.1.11 | Ujistěte se, že neexistují žádné nesměněné soubory ani adresáře. | Neúspěch | Potenciální dopad operace |
| 6.1.12 | Ujistěte se, že neexistují žádné neseskupené soubory ani adresáře. | Neúspěch | Potenciální dopad operace |
| 6.1.13 | Audit spustitelných souborů SUID | Neuvedeno | |
| 6.1.14 | Audit spustitelných souborů SGID | Neuvedeno | |
| 6,2 | Nastavení uživatele a skupiny | ||
| 6.2.1 | Ujistěte se, že účty v /etc/passwd používají stínovaná hesla. | Úspěšné absolvování | |
| 6.2.2 | Ujistěte se, že pole hesel nejsou prázdná. | Úspěšné absolvování | |
| 6.2.3 | Ujistěte se, že všechny skupiny v /etc/passwd existují ve skupině /etc/group. | Úspěšné absolvování | |
| 6.2.4 | Ujistěte se, že existují domovské adresáře všech uživatelů. | Úspěšné absolvování | |
| 6.2.5 | Zajištění, aby uživatelé vlastní své domovské adresáře | Úspěšné absolvování | |
| 6.2.6 | Ujistěte se, že jsou oprávnění domovské adresáře uživatelů 750 nebo více omezující. | Úspěšné absolvování | |
| 6.2.7 | Ujistěte se, že soubory s tečkou uživatele nejsou seskupitelné nebo se dají zapisovat do světa. | Úspěšné absolvování | |
| 6.2.8 | Ujistěte se, že žádní uživatelé nemají soubory .netrc. | Úspěšné absolvování | |
| 6.2.9 | Ujistěte se, že žádní uživatelé nemají soubory .forward. | Úspěšné absolvování | |
| 6.2.10 | Ujistěte se, že žádní uživatelé nemají soubory .rhosts. | Úspěšné absolvování | |
| 6.2.11 | Ujistěte se, že kořenovým účtem je jediný účet UID 0. | Úspěšné absolvování | |
| 6.2.12 | Zajištění integrity kořenové cesty | Úspěšné absolvování | |
| 6.2.13 | Ujistěte se, že neexistují žádné duplicitní identifikátory UID. | Úspěšné absolvování | |
| 6.2.14 | Ujistěte se, že neexistují žádné duplicitní identifikátory GID. | Úspěšné absolvování | |
| 6.2.15 | Ujistěte se, že neexistují žádná duplicitní uživatelská jména. | Úspěšné absolvování | |
| 6.2.16 | Ujistěte se, že neexistují žádné duplicitní názvy skupin. | Úspěšné absolvování | |
| 6.2.17 | Ujistěte se, že je stínová skupina prázdná. | Úspěšné absolvování |
Další kroky
Další informace o zabezpečení AKS najdete v následujících článcích:
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service