Freigeben über


Ausrichtung von Azure Kubernetes Service-Ubuntu-Images (AKS) an den Benchmarks des Center for Internet Security (CIS)

Da es sich bei Azure Kubernetes Service (AKS) um einen sicheren Dienst handelt, ist er mit den Standards SOC, ISO, PCI-DSS und HIPAA konform. Dieser Artikel behandelt die Sicherheitskonfiguration des Betriebssystems, die auf das Ubuntu-Image angewandt wird, das von AKS verwendet wird. Diese Sicherheitskonfiguration basiert auf der Azure Linux-Sicherheitsbaseline, die mit der CIS-Benchmark übereinstimmt. Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zum CIS-Benchmark finden Sie unter Center for Internet Security(CIS)-Benchmarks. Weitere Informationen zu den Azure-Sicherheitsgrundlinien für Linux finden Sie unter Linux-Sicherheitsbaseline.

Ubuntu LTS 18.04

AKS-Cluster werden auf virtuellen Hostcomputern bereitgestellt, die ein Betriebssystem mit integrierten sicheren Konfigurationen ausführen. Dieses Betriebssystem wird für Container verwendet, die auf AKS laufen. Dieses Hostbetriebssystem basiert auf einem Ubuntu 18.04.LTS-Image mit angewendeten Sicherheitskonfigurationen.

Als Teil des sicherheitsoptimierten Betriebssystems:

  • AKS bietet standardmäßig ein sicherheitsoptimiertes Hostbetriebssystem, aber keine Option zum Auswählen eines alternativen Betriebssystems.
  • Das sicherheitsoptimierte Host-Betriebssystem wird speziell für AKS erstellt und verwaltet und außerhalb der AKS-Plattform nicht unterstützt.
  • Um die Angriffsfläche zu verringern, wurden einige unnötige Kernelmodultreiber im Betriebssystem deaktiviert.

Hinweis

Nicht im Zusammenhang mit den CIS-Benchmarks wendet Azure tägliche Patches an, einschließlich Sicherheitspatches, auf AKS Hosts für virtuelle Maschinen.

Das Ziel der in das Hostbetriebssystem integrierte sichere Konfiguration ist es, die Angriffsfläche zu verringern und die Bereitstellung von Containern auf sichere Weise zu optimieren.

Nachfolgend sind die Ergebnisse der Empfehlungen von CIS Ubuntu 18.04 LTS Benchmark v2.1.0 aufgeführt.

Empfehlungen können einen der folgenden Gründe aufweisen:

  • Potenzielle Auswirkungen auf den Vorgang – Empfehlung wurde nicht angewendet, weil sie negative Auswirkungen auf den Dienst hätte.
  • An anderer Stelle behandelt – Empfehlung wird von einem anderen Steuerelement in Azure Cloud Compute abgedeckt.

Nachfolgend sind CIS-Regeln implementiert:

CIS-Absatznummer Empfehlungsbeschreibung Status Grund
1 Erstes Setup
1.1 Dateisystemkonfiguration
1.1.1 Nicht verwendete Dateisysteme deaktivieren
1.1.1.1 Sicherstellen, dass die Einbindung von cramfs-Dateisystemen deaktiviert ist Bestanden
1.1.1.2 Sicherstellen, dass die Einbindung von freevxfs-Dateisystemen deaktiviert ist Bestanden
1.1.1.3 Sicherstellen, dass die Einbindung von jffs2-Dateisystemen deaktiviert ist Bestanden
1.1.1.4 Sicherstellen, dass die Einbindung von HFS-Dateisystemen deaktiviert ist Bestanden
1.1.1.5 Sicherstellen, dass die Einbindung von HFSPlus-Dateisystemen deaktiviert ist Bestanden
1.1.1.6 Sicherstellen, dass die Einbindung von UDF-Dateisystemen deaktiviert ist Fehler Potenzielle operative Auswirkungen
1.1.2 Sicherstellen, dass „/tmp“ konfiguriert ist Fehler
1.1.3 Sicherstellen, dass die Option „nodev“ für die Partition „/tmp“ festgelegt ist Fehler
1.1.4 Sicherstellen, dass die Option „nosuid“ für die Partition „/tmp“ festgelegt ist Bestanden
1.1.5 Stellen Sie sicher, dass die „noexec“-Option auf der „tmp“-Partition festgelegt ist Bestanden
1.1.6 Stellen Sie sicher, dass /dev/shm konfiguriert ist Bestanden
1.1.7 Sicherstellen, dass die Option „nodev“ für die Partition „/dev/shm“ festgelegt ist. Bestanden
1.1.8 Sicherstellen, dass die Option „nosuid“ für die Partition „/dev/shm“ festgelegt ist Bestanden
1.1.9 Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist Fehler Potenzielle operative Auswirkungen
1.1.12 Sicherstellen, dass die Partition „/var/tmp“ die Option „nodev“ enthält Bestanden
1.1.13 Sicherstellen, dass die Partition „/var/tmp“ die Option „nosuid“ enthält Bestanden
1.1.14 Sicherstellen, dass die Partition „/var/tmp“ die Option „noexec“ enthält Bestanden
1.1.18 Sicherstellen, dass die Partition „/home“ die Option „nodev“ enthält Bestanden
1.1.19 Sicherstellen, dass die Option „nodev“ auf Wechselmedienpartitionen gesetzt ist Nicht zutreffend
1.1.20 Sicherstellen, dass die Option „nosuid“ auf Wechselmedienpartitionen festgelegt ist Nicht zutreffend
1.1.21 Sicherstellen, dass die Option „noexec“ auf Wechselmedienpartitionen festgelegt ist Nicht zutreffend
1.1.22 Sicherstellen, dass das Sticky Bit in allen generell beschreibbaren Verzeichnissen festgelegt ist Fehler Potenzielle Auswirkungen auf den Betrieb
1.1.23 Automatisches Einbinden deaktivieren Bestanden
1.1.24 Deaktivieren von USB-Speicher Bestanden
1.2 Konfigurieren von Softwareupdates
1.2.1 Sicherstellen, dass Paket-Manager-Repositorys konfiguriert sind Bestanden An anderer Stelle behandelt
1.2.2 Sicherstellen, dass GPG-Schlüssel konfiguriert sind Nicht zutreffend
1.3 Überprüfung der Dateisystemintegrität
1.3.1 Sicherstellen, dass AIDE installiert ist Fehler An anderer Stelle behandelt
1.3.2 Sicherstellen, dass die Dateisystemintegrität regelmäßig überprüft wird Fehler An anderer Stelle behandelt
1.4 Einstellungen für sicheren Start
1.4.1 Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration nicht überschrieben wurden Fehler
1.4.2 Sicherstellen, dass das Kennwort für den Startloader festgelegt ist Fehlschlag Nicht zutreffend
1.4.3 Ensure permissions on bootloader config are configured (Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration festgelegt sind) Fehler
1.4.4 Sicherstellen, dass eine Authentifizierung für den Einzelbenutzermodus erforderlich ist Fehler Nicht zutreffend
1.5 Zusätzliche Prozesshärtung
1.5.1 Sicherstellen, dass die XD/NX-Unterstützung aktiviert ist Nicht zutreffend
1.5.2 Stellen Sie sicher, dass die Funktion zur zufälligen Anordnung von Adressräumen (ASLR) aktiviert ist Bestanden
1.5.3 Sicherstellen, dass Prelinking deaktiviert ist Bestanden
1.5.4 Sicherstellen, dass Kernspeicherabbilder eingeschränkt sind Bestanden
1.6 Obligatorische Zugriffssteuerung
1.6.1 Konfigurieren von AppArmor
1.6.1.1 Sicherstellen, dass AppArmor installiert ist Bestanden
1.6.1.2 Sicherstellen, dass AppArmor in der Bootloaderkonfiguration aktiviert ist Fehler Potenzielle Auswirkungen auf den Betrieb
1.6.1.3 Stellen Sie sicher, dass alle AppArmor-Profile im Durchsetzungs- oder Beschwerdemodus sind Bestanden
1.7 Befehlszeilenwarnungsbanner
1.7.1 Sicherstellen, dass die Nachricht des Tages ordnungsgemäß konfiguriert ist Bestanden
1.7.2 Sicherstellen, dass Berechtigungen für „/etc/issue.net“ konfiguriert sind Bestanden
1.7.3 Sicherstellen, dass Berechtigungen für „/etc/issue“ konfiguriert sind Bestanden
1.7.4 Sicherstellen, dass Berechtigungen für „/etc/motd“ konfiguriert sind Bestanden
1.7.5 Sicherstellen, dass das Warnbanner für Remoteanmeldung richtig konfiguriert ist Bestanden
1.7.6 Sicherstellen, dass das Warnbanner für lokale Anmeldung richtig konfiguriert ist Bestanden
1.8 GNOME Display Manager
1.8.2 Sicherstellen, dass das GDM-Login-Banner konfiguriert ist Bestanden
1.8.3 Sicherstellen, dass die Liste zum Deaktivieren der Benutzer aktiviert ist Bestanden
1.8.4 Sicherstellen, dass XDCMP nicht aktiviert ist Bestanden
1.9 Sicherstellen, dass Updates, Patches und zusätzliche Sicherheitssoftware installiert sind Bestanden
2 Dienste
2.1 Dienstleistungen für besondere Zwecke
2.1.1 Zeitsynchronisierung
2.1.1.1 Sicherstellen, dass die Zeitsynchronisierung verwendet wird Bestanden
2.1.1.2 Sicherstellen, dass systemd-timesyncd konfiguriert ist Nicht zutreffend AKS verwendet ntpd für timesync
2.1.1.3 Sicherstellen, dass chrony konfiguriert ist Fehler An anderer Stelle behandelt
2.1.1.4 Sicherstellen, dass „ntp“ konfiguriert ist Bestanden
2.1.2 Sicherstellen, dass X Window System nicht installiert ist Bestanden
2.1.3 Sicherstellen, dass Avahi Server nicht installiert ist Bestanden
2.1.4 Sicherstellen, dass CUPS nicht installiert ist Bestanden
2.1.5 Sicherstellen, dass kein DHCP-Server installiert ist Bestanden
2.1.6 Sicherstellen, dass kein LDAP-Server installiert ist Bestanden
2.1.7 Sicherstellen, dass NFS nicht installiert ist Bestanden
2.1.8 Sicherstellen, dass kein DNS-Server installiert ist Bestanden
2.1.9 Sicherstellen, dass kein FTP-Server installiert ist Bestanden
2.1.10 Sicherstellen, dass kein HTTP-Server installiert ist Bestanden
2.1.11 Sicherstellen, dass keine IMAP- und POP3-Server installiert sind Bestanden
2.1.12 Sicherstellen, dass Samba nicht installiert ist Bestanden
2.1.13 Sicherstellen, dass kein HTTP-Proxyserver installiert ist Bestanden
2.1.14 Sicherstellen, dass kein SNMP-Server installiert ist Bestanden
2.1.15 Stellen Sie sicher, dass der E-Mail-Übertragungsagent für den reinen lokalen Modus konfiguriert ist Bestanden
2.1.16 Sicherstellen, dass der rsync-Dienst nicht aktiviert ist Fehler
2.1.17 Sicherstellen, dass kein NIS-Server installiert ist Bestanden
2.2 Dienstclients
2.2.1 Sicherstellen, dass kein NIS-Client installiert ist Bestanden
2.2.2 Sicherstellen, dass kein rsh-Client installiert ist Bestanden
2.2.3 Sicherstellen, dass kein talk-Client installiert ist Bestanden
2.2.4 Sicherstellen, dass kein telnet-Client installiert ist Fehler
2.2.5 Sicherstellen, dass kein LDAP-Client installiert ist Bestanden
2.2.6 Sicherstellen, dass RPC nicht installiert ist Fehler Potenzielle operative Auswirkungen
2.3 Sicherstellen, dass nichtessenzielle Dienste entfernt oder maskiert werden Bestanden
3 -Netzwerkkonfiguration
3.1 Deaktivieren nicht verwendeter Netzwerkprotokolle und Geräte
3.1.2 Sicherstellen, dass drahtlose Schnittstellen deaktiviert sind Bestanden
3.2 Netzwerkparameter (nur Host)
3.2.1 Sicherstellen, dass das Senden von Paketumleitungen deaktiviert ist Bestanden
3.2.2 Sicherstellen, dass die IP-Weiterleitung deaktiviert ist Fehler Nicht zutreffend
3.3 Netzwerkparameter (Host und Router)
3.3.1 Sicherstellen, dass geroutete Quellpakete nicht akzeptiert werden Bestanden
3.3.2 Sicherstellen, dass ICMP-Umleitungen nicht akzeptiert werden Bestanden
3.3.3 Sicherstellen, dass sichere ICMP-Umleitungen nicht akzeptiert werden Bestanden
3.3.4 Sicherstellen, dass verdächtige Pakete protokolliert werden Bestanden
3.3.5 Sicherstellen, dass Broadcast-ICMP-Anforderungen ignoriert werden Bestanden
3.3.6 Sicherstellen, dass gefälschte ICMP-Antworten ignoriert werden Bestanden
3.3.7 Sicherstellen, dass die Umkehrpfadfilterung aktiviert ist Bestanden
3.3.8 Sicherstellen, dass „TCP SYN“-Cookies aktiviert sind Bestanden
3.3.9 Sicherstellen, dass IPv6-Routerankündigungen nicht akzeptiert werden Bestanden
3.4 Ungewöhnliche Netzwerkprotokolle
3,5 Firewall-Konfiguration
3.5.1 Konfigurieren von UncomplicatedFirewall
3.5.1.1 Sicherstellen, dass ufw installiert ist Bestanden
3.5.1.2 Sicherstellen, dass iptables-persistent nicht mit ufw installiert ist Bestanden
3.5.1.3 Sicherstellen, dass der ufw-Dienst aktiviert ist Fehler An anderer Stelle behandelt
3.5.1.4 Sicherstellen, dass der UFW-Loopback-Datenverkehr konfiguriert ist Fehler An anderer Stelle behandelt
3.5.1.5 Sicherstellen, dass ausgehende ufw-Verbindungen konfiguriert sind Nicht zutreffend An anderer Stelle behandelt
3.5.1.6 Sicherstellen, dass ufw-Firewallregeln für alle geöffneten Ports vorhanden sind Nicht zutreffend An anderer Stelle behandelt
3.5.1.7 Standardverweigerungsrichtlinie für ufw sicherstellen Fehler An anderer Stelle behandelt
3.5.2 Konfigurieren von nftables
3.5.2.1 Sicherstellen, dass nftables installiert ist Fehler An anderer Stelle behandelt
3.5.2.2 Sicherstellen, dass ufw mit nftables deinstalliert oder deaktiviert ist Fehler An anderer Stelle behandelt
3.5.2.3 Sicherstellen, dass iptables mit nftables geleert werden Nicht zutreffend An anderer Stelle behandelt
3.5.2.4 Sicherstellen, dass eine nftables-Tabelle vorhanden ist Fehlschlag An anderer Stelle behandelt
3.5.2.5 Sicherstellen, dass nftables-Basisketten vorhanden sind Fehler An anderer Stelle behandelt
3.5.2.6 Stellen Sie sicher, dass der nftables-Loopbackdatenverkehr konfiguriert wird. Fehler An anderer Stelle behandelt
3.5.2.7 Sicherstellen, dass ausgehende und etablierte nftables-Verbindungen konfiguriert sind Nicht zutreffend An anderer Stelle behandelt
3.5.2.8 Standardverweigerungsrichtlinie für nftables sicherstellen Fehlschlag An anderer Stelle behandelt
3.5.2.9 Sicherstellen, dass der nftables-Dienst aktiviert ist Misserfolg An anderer Stelle behandelt
3.5.2.10 Sicherstellen, dass nftables-Regeln dauerhaft sind Misserfolg An anderer Stelle behandelt
3.5.3 Konfigurieren von iptables
3.5.3.1 Konfigurieren von iptables-Software
3.5.3.1.1 Sicherstellen, dass die iptables-Pakete installiert sind Fehler An anderer Stelle behandelt
3.5.3.1.2 Sicherstellen, dass nftables nicht mit iptables installiert sind Bestanden
3.5.3.1.3 Sicherstellen, dass ufw mit iptables deinstalliert oder deaktiviert ist Versagen An anderer Stelle behandelt
3.5.3.2 Konfigurieren von iptables für IPv4
3.5.3.2.1 Richtlinie für standardmäßiges iptables-Verweigern sicherstellen Fehler An anderer Stelle behandelt
3.5.3.2.2 Sicherstellen, dass iptables-Loopbackdatenverkehr konfiguriert ist Fehler Nicht zutreffend
3.5.3.2.3 Sicherstellen, dass ausgehende und etablierte iptables-Verbindungen konfiguriert sind Nicht zutreffend
3.5.3.2.4 Sicherstellen, dass iptables-Firewallregeln für alle geöffneten Ports vorhanden sind Fehler Potenzielle Auswirkungen auf den Betrieb
3.5.3.3 Konfigurieren von ip6tables für IPv6
3.5.3.3.1 Sicherstellen, dass die Standard-Deny-Firewall-Richtlinie von ip6tables angewendet wird. Fehlschlag An anderer Stelle behandelt
3.5.3.3.2 Sicherstellen, dass ip6tables-Loopbackdatenverkehr konfiguriert ist Misserfolg An anderer Stelle behandelt
3.5.3.3.3 Stellen Sie sicher, dass ausgehende und etablierte ip6tables-Verbindungen konfiguriert sind. Nicht zutreffend An anderer Stelle behandelt
3.5.3.3.4 Sicherstellen, dass ip6tables-Firewallregeln für alle geöffneten Ports vorhanden sind Fehler An anderer Stelle behandelt
4 Protokollierung und Überwachung
4,1 Konfigurieren der Systemüberwachung (auditd)
4.1.1.2 Sicherstellen, dass die Überwachung aktiviert ist
4.1.2 Konfigurieren der Datenaufbewahrung
4,2 Konfigurieren der Protokollierung
4.2.1 Konfigurieren von rsyslog
4.2.1.1 Sicherstellen, dass rsyslog installiert ist Bestanden
4.2.1.2 Sicherstellen, dass der ryslog-Dienst aktiviert ist Bestanden
4.2.1.3 Sicherstellen, dass die Protokollierung konfiguriert ist Bestanden
4.2.1.4 Sicherstellen, dass rsyslog-Standarddateiberechtigungen konfiguriert sind Bestanden
4.2.1.5 Sicherstellen, dass rsyslog so konfiguriert ist, dass Protokolle an einen Remoteprotokollhost gesendet werden Fehler An anderer Stelle behandelt
4.2.1.6 Sicherstellen, dass Remote-rsyslog-Nachrichten nur auf bestimmten Protokollhosts akzeptiert werden. Nicht zutreffend
4.2.2 Konfigurieren von journald
4.2.2.1 Sicherstellen, dass journald so konfiguriert ist, dass Protokolle an rsyslog gesendet werden Bestanden
4.2.2.2 Sicherstellen, dass journald so konfiguriert ist, um große Protokolldateien zu komprimieren Fehler
4.2.2.3 Sicherstellen, dass journald so konfiguriert ist, um Protokolldateien auf persistenten Datenträger zu schreiben Bestanden
4.2.3 Sicherstellen, dass Berechtigungen für alle Logfiles konfiguriert sind Fehler
4.3 Sicherstellen, dass logrotate konfiguriert ist Bestanden
4.4 Sicherstellen, dass logrotate entsprechende Berechtigungen zugewiesen hat Fehler
5 Zugriff, Authentifizierung und Autorisierung
5,1 Konfigurieren von zeitbasierten Auftragsplanern
5.1.1 Sicherstellen, dass cron-Daemon aktiviert und ausgeführt wird Bestanden
5.1.2 Sicherstellen, dass Berechtigungen für „/etc/crontab“ konfiguriert sind Bestanden
5.1.3 Sicherstellen, dass Berechtigungen für „/etc/cron.hourly“ konfiguriert sind Bestanden
5.1.4 Sicherstellen, dass Berechtigungen für „/etc/cron.daily“ konfiguriert sind Bestanden
5.1.5 Sicherstellen, dass Berechtigungen für „/etc/cron.weekly“ konfiguriert sind Bestanden
5.1.6 Sicherstellen, dass Berechtigungen für „/etc/cron.monthly“ konfiguriert sind Bestanden
5.1.7 Sicherstellen, dass Berechtigungen für „/etc/cron.d“ konfiguriert sind Bestanden
5.1.8 Sicherstellen, dass „cron“ auf autorisierte Benutzer beschränkt ist Versagen
5.1.9 Sicherstellen, dass „at“ auf autorisierte Benutzer beschränkt ist Fehler
5.2 Konfigurieren von sudo
5.2.1 Sicherstellen, dass sudo installiert ist Bestanden
5.2.2 Sicherstellen, dass sudo-Befehle pty verwenden Misserfolg Potenzielle operative Auswirkungen
5.2.3 Sicherstellen, dass die sudo-Protokolldatei vorhanden ist Fehler
5.3 Konfigurieren des SSH-Servers
5.3.1 Sicherstellen, dass Berechtigungen für /etc/ssh/sshd_config konfiguriert sind Bestanden
5.3.2 Sicherstellen, dass Berechtigungen für Dateien mit privaten SSH-Hostschlüsseln konfiguriert sind Bestanden
5.3.3 Sicherstellen, dass Berechtigungen für Dateien mit öffentlichen SSH-Hostschlüsseln konfiguriert sind Bestanden
5.3.4 Sicherstellen, dass der SSH-Zugriff eingeschränkt ist Bestanden
5.3.5 Sicherstellen, dass „SSH LogLevel“ angemessen ist Bestanden
5.3.7 Sicherstellen, dass „MaxAuthTries“ für SSH auf höchstens 4 festgelegt ist Bestanden
5.3.8 Sicherstellen, dass „SSH IgnoreRhosts“ aktiviert ist Bestanden
5.3.9 Sicherstellen, dass „SSH HostbasedAuthentication“ deaktiviert ist Bestanden
5.3.10 Sicherstellen, dass Root-Anmeldung für SSH deaktiviert ist Bestanden
5.3.11 Sicherstellen, dass „SSH PermitEmptyPasswords“ deaktiviert ist Bestanden
5.3.12 Sicherstellen, dass „PermitUserEnvironment“ für SSH deaktiviert ist Bestanden
5.3.13 Sicherstellen, dass nur starke Verschlüsselungsverfahren verwendet werden Bestanden
5.3.14 Sicherstellen, dass nur starke MAC-Algorithmen verwendet werden Bestanden
5.3.15 Sicherstellen, dass nur starke Schlüssel-Exchange-Algorithmen verwendet werden Bestanden
5.3.16 Sicherstellen, dass das Timeout-Intervall für Inaktivität für SSH konfiguriert ist Fehlschlag
5.3.17 Sicherstellen, dass „LoginGraceTime“ für SSH auf höchstens eine Minute festgelegt ist Bestanden
5.3.18 Sicherstellen, dass das Warnbanner für SSH konfiguriert ist Bestanden
5.3.19 Sicherstellen, dass SSH-PAM aktiviert ist Bestanden
5.3.21 Sicherstellen, dass SSH MaxStartups konfiguriert ist Fehler
5.3.22 Sicherstellen, dass SSH MaxSessions begrenzt ist Bestanden
5.4 Konfigurieren von PAM
5.4.1 Sicherstellen, dass Anforderungen für die Kennworterstellung konfiguriert sind Bestanden
5.4.2 Sicherstellen, dass Sperrung für Versuche mit falschem Kennwort konfiguriert ist Fehler
5.4.3 Sicherstellen, dass die Wiederverwendung von Kennwörtern beschränkt ist Fehler
5.4.4 Sicherstellen, dass der Kennworthashalgorithmus SHA-512 lautet Bestanden
5.5 Benutzerkonten und -umgebung
5.5.1 Festlegen von Schattenkennwort-Suite-Parametern
5.5.1.1 Stellen Sie sicher, dass die Mindestanzahl der Tage zwischen Kennwortänderungen konfiguriert ist. Bestanden
5.5.1.2 Sicherstellen, dass der Kennwortablauf höchstens 365 Tage beträgt Bestanden
5.5.1.3 Sicherstellen, dass die Tage der Kennwortablaufwarnung 7 oder mehr betragen. Bestanden
5.5.1.4 Sicherstellen, dass die Sperre für inaktive Kennwörter höchstens 30 Tage beträgt Bestanden
5.5.1.5 Ensure all users last password change date is in the past (Sicherstellen, dass das Datum der letzten Kennwortänderung für alle Benutzer in der Vergangenheit liegt) Misserfolg
5.5.2 Sicherstellen, dass Systemkonten sicher sind Bestanden
5.5.3 Ensure default group for the root account is GID 0 (Sicherstellen, dass die Standardgruppe für das Root-Konto GID 0 lautet) Bestanden
5.5.4 Sicherstellen, dass die standardmäßige Benutzer-Umask auf 027 oder restriktiver eingestellt ist Bestanden
5.5.5 Sicherstellen, dass das Standardtimeout für die Benutzershell 900 Sekunden oder weniger beträgt Fehler
5.6 Sicherstellen, dass die Stammanmeldung auf die Systemkonsole beschränkt ist Nicht zutreffend
5.7 Sicherstellen, dass der Zugriff auf den Befehl „su“ eingeschränkt ist Fehler Potenzielle Auswirkungen auf den Betrieb
6 Systemwartung
6.1 Systemdateiberechtigungen
6.1.2 Sicherstellen, dass die Berechtigungen für „/etc/passwd“ konfiguriert sind Bestanden
6.1.3 Sicherstellen, dass die Berechtigungen für „/etc/passwd-“ konfiguriert sind Bestanden
6.1.4 Sicherstellen, dass die Berechtigungen für „/etc/group“ konfiguriert sind Bestanden
6.1.5 Sicherstellen, dass die Berechtigungen für „/etc/group-“ konfiguriert sind Bestanden
6.1.6 Sicherstellen, dass die Berechtigungen für „/etc/shadow“ konfiguriert sind Bestanden
6.1.7 Sicherstellen, dass die Berechtigungen für „/etc/shadow-“ konfiguriert sind Bestanden
6.1.8 Sicherstellen, dass die Berechtigungen für „/etc/gshadow“ konfiguriert sind Bestanden
6.1.9 Sicherstellen, dass die Berechtigungen für „/etc/gshadow-“ konfiguriert sind Bestanden
6.1.10 Sicherstellen, dass keine weltweit beschreibbaren Dateien vorhanden sind Fehler Potenzielle Auswirkungen auf den Betrieb
6.1.11 Sicherstellen, dass keine nichtverwendeten Dateien oder Verzeichnisse vorhanden sind Fehler Potenzielle Auswirkungen auf den Betrieb
6.1.12 Sicherstellen, dass keine ungruppierten Dateien oder Verzeichnisse vorhanden sind Versagen Potenzielle Auswirkungen auf den Betrieb
6.1.13 SUID-ausführbare Dateien überwachen Nicht zutreffend
6.1.14 SGID-ausführbare Dateien überwachen Nicht zutreffend
6.2 Einstellungen für Benutzer und Gruppen
6.2.1 Sicherstellen, dass Konten in /etc/passwd Schattenkennwörter verwenden Bestanden
6.2.2 Sicherstellen, dass Kennwortfelder nicht leer sind Bestanden
6.2.3 Ensure all groups in /etc/passwd exist in /etc/group (Sicherstellen, dass alle Gruppen in „/etc/passwd“ in „/etc/group“ vorhanden sind) Bestanden
6.2.4 Ensure all users' home directories exist (Sicherstellen, dass die Basisverzeichnisse aller Benutzer vorhanden sind) Bestanden
6.2.5 Ensure users own their home directories (Sicherstellen, dass die Benutzer Besitzer ihrer Basisverzeichnisse sind) Bestanden
6.2.6 Sicherstellen, dass die Berechtigungen für die Homeverzeichnisse der Benutzer 750 oder restriktiver sind Bestanden
6.2.7 Sicherstellen, dass DOT-Dateien von Benutzenden nicht in Gruppen oder generell beschreibbar sind Bestanden
6.2.8 Ensure no users have .netrc files (Sicherstellen, dass keine Benutzer über NETRC-Dateien verfügen) Bestanden
6.2.9 Ensure no users have .forward files (Sicherstellen, dass keine Benutzer über FORWARD-Dateien verfügen) Bestanden
6.2.10 Ensure no users have .rhosts files (Sicherstellen, dass keine Benutzer über RHOSTS-Dateien verfügen) Bestanden
6.2.11 Ensure root is the only UID 0 account (Sicherstellen, dass „root“ das einzige Konto mit UID 0 ist) Bestanden
6.2.12 Sicherstellen der PATH-Stammintegrität Bestanden
6.2.13 Ensure no duplicate UIDs exist (Sicherstellen, dass keine doppelten UIDs vorhanden sind) Bestanden
6.2.14 Ensure no duplicate GIDs exist (Sicherstellen, dass keine doppelten GIDs vorhanden sind) Bestanden
6.2.15 Ensure no duplicate user names exist (Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind) Bestanden
6.2.16 Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind Bestanden
6.2.17 Ensure shadow group is empty (Sicherstellen, dass die Schattengruppe leer ist) Bestanden

Nächste Schritte

Weitere Informationen zur AKS-Sicherheit finden Sie in den folgenden Artikeln: