Azure Kubernetes Service (AKS) Ubuntu-Image-Ausrichtung mit Center for Internet Security (CIS) Benchmark

Da es sich bei Azure Kubernetes Service (AKS) um einen sicheren Dienst handelt, ist er mit den Standards SOC, ISO, PCI-DSS und HIPAA konform. Dieser Artikel behandelt die Sicherheitskonfiguration des Betriebssystems, die auf das Ubuntu-Image angewandt wird, das von AKS verwendet wird. Diese Sicherheitskonfiguration basiert auf der Azure Linux-Sicherheitsbaseline, die mit der CIS-Benchmark übereinstimmt. Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zum CIS-Benchmark finden Sie unter Center for Internet Security(CIS)-Benchmarks. Weitere Informationen zu den Azure-Sicherheitsgrundlinien für Linux finden Sie unter Linux-Sicherheitsbaseline.

Ubuntu LTS ab 18.04

AKS-Cluster werden auf virtuellen Hostcomputern bereitgestellt, die ein Betriebssystem mit integrierten sicheren Konfigurationen ausführen. Dieses Betriebssystem wird für Container verwendet, die auf AKS ausgeführt werden. Dieses Hostbetriebssystem basiert auf einem Ubuntu 18.04.LTS-Image mit angewendeten Sicherheitskonfigurationen.

Als Teil des sicherheitsoptimierten Betriebssystems:

  • AKS bietet standardmäßig ein sicherheitsoptimiertes Hostbetriebssystem, aber keine Option zum Auswählen eines alternativen Betriebssystems.
  • Das sicherheitsoptimierte Host-Betriebssystem wird speziell für AKS erstellt und verwaltet und außerhalb der AKS-Plattform nicht unterstützt.
  • Um die Angriffsfläche zu verringern, wurden einige unnötige Kernelmodultreiber im Betriebssystem deaktiviert.

Hinweis

Nicht im Zusammenhang mit den CIS-Benchmarks wendet Azure tägliche Patches an, einschließlich Sicherheitspatches, auf AKS Hosts für virtuelle Maschinen.

Das Ziel der in das Hostbetriebssystem integrierte sichere Konfiguration ist es, die Angriffsfläche zu verringern und die Bereitstellung von Containern auf sichere Weise zu optimieren.

Nachfolgend sind die Ergebnisse der Empfehlungen von CIS Ubuntu 18.04 LTS Benchmark v2.1.0 aufgeführt.

Empfehlungen können einen der folgenden Gründe aufweisen:

  • Potenzielle Auswirkungen auf den Vorgang – Empfehlung wurde nicht angewendet, weil sie negative Auswirkungen auf den Dienst hätte.
  • An anderer Stelle behandelt – Empfehlung wird von einem anderen Steuerelement in Azure Cloud Compute abgedeckt.

Nachfolgend sind CIS-Regeln implementiert:

CIS-Absatznummer Empfehlungsbeschreibung Status `Reason`
1 Erste Einrichtung
1.1 Dateisystemkonfiguration
1.1.1 Nicht verwendete Dateisysteme deaktivieren
1.1.1.1 Sicherstellen, dass die Einbindung von cramfs-Dateisystemen deaktiviert ist Pass
1.1.1.2 Sicherstellen, dass die Einbindung von freevxfs-Dateisystemen deaktiviert ist Pass
1.1.1.3 Sicherstellen, dass die Einbindung von jffs2-Dateisystemen deaktiviert ist Pass
1.1.1.4 Sicherstellen, dass die Einbindung von HFS-Dateisystemen deaktiviert ist Pass
1.1.1.5 Sicherstellen, dass die Einbindung von HFSPlus-Dateisystemen deaktiviert ist Pass
1.1.1.6 Sicherstellen, dass die Einbindung von UDF-Dateisystemen deaktiviert ist Fehler Potenzielle operative Auswirkungen
1.1.2 Sicherstellen, dass „/tmp“ konfiguriert ist Fehler
1.1.3 Sicherstellen, dass die Option „nodev“ für die Partition „/tmp“ festgelegt ist Fehler
1.1.4 Sicherstellen, dass die Option „nosuid“ für die Partition „/tmp“ festgelegt ist Pass
1.1.5 Stellen Sie sicher, dass die „noexec“-Option auf der „tmp“-Partition festgelegt ist Pass
1.1.6 Stellen Sie sicher, dass /dev/shm konfiguriert ist Pass
1.1.7 Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist Pass
1.1.8 Sicherstellen, dass die Option „nosuid“ für die Partition „/dev/shm“ festgelegt ist Pass
1.1.9 Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist Fehler Potenzielle operative Auswirkungen
1.1.12 Sicherstellen, dass die Partition „/var/tmp“ die Option „nodev“ enthält Pass
1.1.13 Sicherstellen, dass die Partition „/var/tmp“ die Option „nosuid“ enthält Pass
1.1.14 Sicherstellen, dass die Partition „/var/tmp“ die Option „noexec“ enthält Pass
1.1.18 Sicherstellen, dass die Partition „/home“ die Option „nodev“ enthält Pass
1.1.19 Sicherstellen, dass die Option „nodev“ auf Wechselmedienpartitionen festgelegt ist Nicht zutreffend
1.1.20 Sicherstellen, dass die Option „nosuid“ auf Wechselmedienpartitionen festgelegt ist Nicht zutreffend
1.1.21 Sicherstellen, dass die Option „noexec“ auf Wechselmedienpartitionen festgelegt ist Nicht zutreffend
1.1.22 Sicherstellen, dass das Sticky Bit in allen generell beschreibbaren Verzeichnissen festgelegt ist Fehler Potenzielle Auswirkungen auf den Vorgang
1.1.23 Automatisches Einbinden deaktivieren Pass
1.1.24 Deaktivieren von USB-Speicher Pass
1.2 Konfigurieren von Softwareupdates
1.2.1 Sicherstellen, dass Paket-Manager-Repositorys konfiguriert sind Pass An anderer Stelle behandelt
1.2.2 Sicherstellen, dass GPG-Schlüssel konfiguriert sind Nicht zutreffend
1.3 Überprüfung der Dateisystemintegrität
1.3.1 Sicherstellen, dass AIDE installiert ist Fehler An anderer Stelle behandelt
1.3.2 Sicherstellen, dass die Dateisystemintegrität regelmäßig überprüft wird Fehler An anderer Stelle behandelt
1.4 Einstellungen für sicheren Start
1.4.1 Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration nicht überschrieben wurden Fehler
1.4.2 Sicherstellen, dass das Kennwort für den Startloader festgelegt ist Fehler Nicht zutreffend
1.4.3 Ensure permissions on bootloader config are configured (Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration festgelegt sind) Fehler
1.4.4 Sicherstellen, dass eine Authentifizierung für den Einzelbenutzermodus erforderlich ist Fehler Nicht zutreffend
1.5 Zusätzliche Prozesshärtung
1.5.1 Sicherstellen, dass die XD/NX-Unterstützung aktiviert ist Nicht zutreffend
1.5.2 Stellen Sie sicher, dass die Funktion zur zufälligen Anordnung von Adressräumen (ASLR) aktiviert ist Pass
1.5.3 Sicherstellen, dass Prelinking deaktiviert ist Pass
1.5.4 Sicherstellen, dass Kernspeicherabbilder eingeschränkt sind Pass
1.6 Obligatorische Zugriffssteuerung
1.6.1 Konfigurieren von AppArmor
1.6.1.1 Sicherstellen, dass AppArmor installiert ist Pass
1.6.1.2 Sicherstellen, dass AppArmor in der Bootloaderkonfiguration aktiviert ist Fehler Potenzielle Auswirkungen auf den Vorgang
1.6.1.3 Stellen Sie sicher, dass alle AppArmor-Profile im Durchsetzungs- oder Beschwerdemodus sind Pass
1.7 Befehlszeilenwarnung Banner
1.7.1 Sicherstellen, dass die Nachricht des Tages ordnungsgemäß konfiguriert ist Pass
1.7.2 Sicherstellen, dass Berechtigungen für „/etc/issue.net“ konfiguriert sind Pass
1.7.3 Sicherstellen, dass Berechtigungen für „/etc/issue“ konfiguriert sind Pass
1.7.4 Sicherstellen, dass Berechtigungen für „/etc/motd“ konfiguriert sind Pass
1.7.5 Sicherstellen, dass das Warnbanner für Remoteanmeldung richtig konfiguriert ist Pass
1.7.6 Sicherstellen, dass das Warnbanner für lokale Anmeldung richtig konfiguriert ist Pass
1.8 GNOME Display Manager
1.8.2 Sicherstellen, dass das GDM-Login-Banner konfiguriert ist Pass
1.8.3 Sicherstellen, dass die Liste zum Deaktivieren der Benutzer aktiviert ist Pass
1.8.4 Sicherstellen, dass XDCMP nicht aktiviert ist Pass
1.9 Sicherstellen, dass Updates, Patches und zusätzliche Sicherheitssoftware installiert sind Pass
2 Dienste
2.1 Spezielle Dienste
2.1.1 Zeitsynchronisierung
2.1.1.1 Sicherstellen, dass die Zeitsynchronisierung verwendet wird Pass
2.1.1.2 Sicherstellen, dass systemd-timesyncd konfiguriert ist Nicht zutreffend AKS verwendet ntpd für timesync
2.1.1.3 Sicherstellen, dass chrony konfiguriert ist Fehler An anderer Stelle behandelt
2.1.1.4 Sicherstellen, dass „ntp“ konfiguriert ist Pass
2.1.2 Sicherstellen, dass X Window System nicht installiert ist Pass
2.1.3 Sicherstellen, dass Avahi Server nicht installiert ist Pass
2.1.4 Sicherstellen, dass CUPS nicht installiert ist Pass
2.1.5 Sicherstellen, dass kein DHCP-Server installiert ist Pass
2.1.6 Sicherstellen, dass kein LDAP-Server installiert ist Pass
2.1.7 Sicherstellen, dass NFS nicht installiert ist Pass
2.1.8 Sicherstellen, dass kein DNS-Server installiert ist Pass
2.1.9 Sicherstellen, dass kein FTP-Server installiert ist Pass
2.1.10 Sicherstellen, dass kein HTTP-Server installiert ist Pass
2.1.11 Sicherstellen, dass keine IMAP- und POP3-Server installiert sind Pass
2.1.12 Sicherstellen, dass Samba nicht installiert ist Pass
2.1.13 Sicherstellen, dass kein HTTP-Proxyserver installiert ist Pass
2.1.14 Sicherstellen, dass kein SNMP-Server installiert ist Pass
2.1.15 Stellen Sie sicher, dass der E-Mail-Übertragungsagent für den reinen lokalen Modus konfiguriert ist Pass
2.1.16 Sicherstellen, dass der rsync-Dienst nicht aktiviert ist Fehler
2.1.17 Sicherstellen, dass kein NIS-Server installiert ist Pass
2.2 Dienstclients
2.2.1 Sicherstellen, dass kein NIS-Client installiert ist Pass
2.2.2 Sicherstellen, dass kein rsh-Client installiert ist Pass
2.2.3 Sicherstellen, dass kein talk-Client installiert ist Pass
2.2.4 Sicherstellen, dass kein telnet-Client installiert ist Fehler
2.2.5 Sicherstellen, dass kein LDAP-Client installiert ist Pass
2.2.6 Sicherstellen, dass RPC nicht installiert ist Fehler Potenzielle operative Auswirkungen
2.3 Sicherstellen, dass nichtessenzielle Dienste entfernt oder maskiert werden Pass
3 -Netzwerkkonfiguration
3.1 Deaktivieren nicht verwendeter Netzwerkprotokolle und Geräte
3.1.2 Sicherstellen, dass drahtlose Schnittstellen deaktiviert sind Pass
3.2 Netzwerkparameter (nur Host)
3.2.1 Sicherstellen, dass das Senden von Paketumleitungen deaktiviert ist Pass
3.2.2 Sicherstellen, dass die IP-Weiterleitung deaktiviert ist Fehler Nicht zutreffend
3.3 Netzwerkparameter (Host und Router)
3.3.1 Sicherstellen, dass geroutete Quellpakete nicht akzeptiert werden Pass
3.3.2 Sicherstellen, dass ICMP-Umleitungen nicht akzeptiert werden Pass
3.3.3 Sicherstellen, dass sichere ICMP-Umleitungen nicht akzeptiert werden Pass
3.3.4 Sicherstellen, dass verdächtige Pakete protokolliert werden Pass
3.3.5 Sicherstellen, dass Broadcast-ICMP-Anforderungen ignoriert werden Pass
3.3.6 Sicherstellen, dass gefälschte ICMP-Antworten ignoriert werden Pass
3.3.7 Sicherstellen, dass die Umkehrpfadfilterung aktiviert ist Pass
3.3.8 Sicherstellen, dass „TCP SYN“-Cookies aktiviert sind Pass
3.3.9 Sicherstellen, dass IPv6-Routerankündigungen nicht akzeptiert werden Pass
3.4 Ungewöhnliche Netzwerkprotokolle
3,5 Firewall-Konfiguration
3.5.1 Konfigurieren von UncomplicatedFirewall
3.5.1.1 Sicherstellen, dass ufw installiert ist Pass
3.5.1.2 Sicherstellen, dass iptables-persistent nicht mit ufw installiert ist Pass
3.5.1.3 Sicherstellen, dass der ufw-Dienst aktiviert ist Fehler An anderer Stelle behandelt
3.5.1.4 Sicherstellen, dass der Loopbackdatenverkehr konfiguriert ist Fehler An anderer Stelle behandelt
3.5.1.5 Sicherstellen, dass ausgehende ufw-Verbindungen konfiguriert sind Nicht zutreffend An anderer Stelle behandelt
3.5.1.6 Sicherstellen, dass Firewallregeln für alle geöffneten Ports vorhanden sind Nicht zutreffend An anderer Stelle behandelt
3.5.1.7 Richtlinie für standardmäßiges ufw-Verweigern sicherstellen Fehler An anderer Stelle behandelt
3.5.2 Konfigurieren von nftables
3.5.2.1 Sicherstellen, dass nftables installiert ist Fehler An anderer Stelle behandelt
3.5.2.2 Sicherstellen, dass ufw mit nftables deinstalliert oder deaktiviert ist Fehler An anderer Stelle behandelt
3.5.2.3 Sicherstellen, dass iptables mit nftables geleert werden Nicht zutreffend An anderer Stelle behandelt
3.5.2.4 Sicherstellen, dass eine nftables-Tabelle vorhanden ist Fehler An anderer Stelle behandelt
3.5.2.5 Sicherstellen, dass nftables-Basisketten vorhanden sind Fehler An anderer Stelle behandelt
3.5.2.6 Sicherstellen, dass nftables-Loopbackdatenverkehr konfiguriert ist Fehler An anderer Stelle behandelt
3.5.2.7 Sicherstellen, dass ausgehende und etablierte nftables-Verbindungen konfiguriert sind Nicht zutreffend An anderer Stelle behandelt
3.5.2.8 Richtlinie für standardmäßiges Verweigern sicherstellen Fehler An anderer Stelle behandelt
3.5.2.9 Sicherstellen, dass der nftables-Dienst aktiviert ist Fehler An anderer Stelle behandelt
3.5.2.10 Sicherstellen, dass nftables-Regeln dauerhaft sind Fehler An anderer Stelle behandelt
3.5.3 Konfigurieren von iptables
3.5.3.1 Konfigurieren von iptables-Software
3.5.3.1.1 Sicherstellen, dass die iptables-Pakete installiert sind Fehler An anderer Stelle behandelt
3.5.3.1.2 Sicherstellen, dass nftables nicht mit iptables installiert sind Pass
3.5.3.1.3 Sicherstellen, dass ufw mit nftables deinstalliert oder deaktiviert ist Fehler An anderer Stelle behandelt
3.5.3.2 Konfigurieren von IPv4 iptables
3.5.3.2.1 Richtlinie für standardmäßiges iptables-Verweigern sicherstellen Fehler An anderer Stelle behandelt
3.5.3.2.2 Sicherstellen, dass iptables-Loopbackdatenverkehr konfiguriert ist Fehler Nicht zutreffend
3.5.3.2.3 Sicherstellen, dass ausgehende und etablierte iptables-Verbindungen konfiguriert sind Nicht zutreffend
3.5.3.2.4 Sicherstellen, dass iptables-Firewallregeln für alle geöffneten Ports vorhanden sind Fehler Potenzielle Auswirkungen auf den Vorgang
3.5.3.3 Konfigurieren von IPv6 ip6tables
3.5.3.3.1 Richtlinie für standardmäßiges ip6tables-Verweigern sicherstellen Fehler An anderer Stelle behandelt
3.5.3.3.2 Sicherstellen, dass ip6tables-Loopbackdatenverkehr konfiguriert ist Fehler An anderer Stelle behandelt
3.5.3.3.3 Sicherstellen, dass ausgehende und etablierte ip6tables-Verbindungen konfiguriert sind Nicht zutreffend An anderer Stelle behandelt
3.5.3.3.4 Sicherstellen, dass ip6tables-Firewallregeln für alle geöffneten Ports vorhanden sind Fehler An anderer Stelle behandelt
4 Protokollierung und Überwachung
4,1 Konfigurieren der Systemrechnung (überwacht)
4.1.1.2 Sicherstellen, dass die Überwachung aktiviert ist
4.1.2 Konfigurieren der Datenaufbewahrung
4,2 Konfigurieren der Protokollierung
4.2.1 Konfigurieren von rsyslog
4.2.1.1 Sicherstellen, dass rsyslog installiert ist Pass
4.2.1.2 Sicherstellen, dass der ryslog-Dienst aktiviert ist Pass
4.2.1.3 Sicherstellen, dass die Protokollierung konfiguriert ist Pass
4.2.1.4 Sicherstellen, dass rsyslog-Standarddateiberechtigungen konfiguriert sind Pass
4.2.1.5 Sicherstellen, dass rsyslog so konfiguriert ist, dass Protokolle an einen Remoteprotokollhost gesendet werden Fehler An anderer Stelle behandelt
4.2.1.6 Sicherstellen, dass Remote-rsyslog-Nachrichten nur auf bestimmten Protokollhosts akzeptiert werden. Nicht zutreffend
4.2.2 Konfigurieren von journald
4.2.2.1 Sicherstellen, dass journald so konfiguriert ist, dass Protokolle an rsyslog gesendet werden Pass
4.2.2.2 Sicherstellen, dass journald so konfiguriert ist, um große Protokolldateien zu komprimieren Fehler
4.2.2.3 Sicherstellen, dass journald so konfiguriert ist, um Protokolldateien auf persistenten Datenträger zu schreiben Pass
4.2.3 Sicherstellen, dass Berechtigungen für alle Logfiles konfiguriert sind Fehler
4.3 Sicherstellen, dass logrotate konfiguriert ist Pass
4.4 Sicherstellen, dass logrotate entsprechende Berechtigungen zugewiesen hat Fehler
5 Zugriff, Authentifizierung und Autorisierung
5,1 Konfigurieren von zeitbasierten Auftragsplanern
5.1.1 Sicherstellen, dass cron-Daemon aktiviert und ausgeführt wird Pass
5.1.2 Sicherstellen, dass Berechtigungen für „/etc/crontab“ konfiguriert sind Pass
5.1.3 Sicherstellen, dass Berechtigungen für „/etc/cron.hourly“ konfiguriert sind Pass
5.1.4 Sicherstellen, dass Berechtigungen für „/etc/cron.daily“ konfiguriert sind Pass
5.1.5 Sicherstellen, dass Berechtigungen für „/etc/cron.weekly“ konfiguriert sind Pass
5.1.6 Sicherstellen, dass Berechtigungen für „/etc/cron.monthly“ konfiguriert sind Pass
5.1.7 Sicherstellen, dass Berechtigungen für „/etc/cron.d“ konfiguriert sind Pass
5.1.8 Sicherstellen, dass „cron“ auf autorisierte Benutzer beschränkt ist Fehler
5.1.9 Sicherstellen, dass „a“ auf autorisierte Benutzer beschränkt ist Fehler
5,2 Konfigurieren von sudo
5.2.1 Sicherstellen, dass sudo installiert ist Pass
5.2.2 Sicherstellen, dass sudo-Befehle pty verwenden Fehler Potenzielle operative Auswirkungen
5.2.3 Sicherstellen, dass die sudo-Protokolldatei vorhanden ist Fehler
5.3 Konfigurieren des SSH-Servers
5.3.1 Sicherstellen, dass Berechtigungen für /etc/ssh/sshd_config konfiguriert sind Pass
5.3.2 Sicherstellen, dass Berechtigungen für Dateien mit privaten SSH-Hostschlüsseln konfiguriert sind Pass
5.3.3 Sicherstellen, dass Berechtigungen für Dateien mit öffentlichen SSH-Hostschlüsseln konfiguriert sind Pass
5.3.4 Sicherstellen, dass der SSH-Zugriff eingeschränkt ist Pass
5.3.5 Sicherstellen, dass „SSH LogLevel“ angemessen ist Pass
5.3.7 Sicherstellen, dass „MaxAuthTries“ für SSH auf höchstens 4 festgelegt ist Pass
5.3.8 Sicherstellen, dass „SSH IgnoreRhosts“ aktiviert ist Pass
5.3.9 Sicherstellen, dass „SSH HostbasedAuthentication“ deaktiviert ist Pass
5.3.10 Sicherstellen, dass Root-Anmeldung für SSH deaktiviert ist Pass
5.3.11 Sicherstellen, dass „SSH PermitEmptyPasswords“ deaktiviert ist Pass
5.3.12 Sicherstellen, dass „PermitUserEnvironment“ für SSH deaktiviert ist Pass
5.3.13 Sicherstellen, dass nur starke Verschlüsselungsverfahren verwendet werden Pass
5.3.14 Sicherstellen, dass nur genehmigte MAC-Algorithmen verwendet werden Pass
5.3.15 Sicherstellen, dass nur starke Schlüssel-Exchange-Algorithmen verwendet werden Pass
5.3.16 Sicherstellen, dass das Timeoutintervall für Leerlauf für SSH konfiguriert ist Fehler
5.3.17 Sicherstellen, dass „LoginGraceTime“ für SSH auf höchstens eine Minute festgelegt ist Pass
5.3.18 Sicherstellen, dass das Warnbanner für SSH konfiguriert ist Pass
5.3.19 Sicherstellen, dass SSH-PAM aktiviert ist Pass
5.3.21 Sicherstellen, dass SSH MaxStartups konfiguriert ist Fehler
5.3.22 Sicherstellen, dass SSH MaxSessions begrenzt ist Pass
5.4 Konfigurieren von PAM
5.4.1 Sicherstellen, dass Anforderungen für die Kennworterstellung konfiguriert sind Pass
5.4.2 Sicherstellen, dass Sperrung für Versuche mit falschem Kennwort konfiguriert ist Fehler
5.4.3 Sicherstellen, dass die Wiederverwendung von Kennwörtern beschränkt ist Fehler
5.4.4 Ensure password hashing algorithm is SHA-512 (Sicherstellen, dass der Kennworthashalgorithmus SHA-512 lautet) Pass
5.5 Benutzerkonten und -umgebung
5.5.1 Festlegen von Schattenkennwort-Suite-Parametern
5.5.1.1 Sicherstellen, dass die Anzahl der Tage zwischen Kennwortänderungen konfiguriert ist Pass
5.5.1.2 Sicherstellen, dass der Kennwortablauf höchstens 365 Tage beträgt Pass
5.5.1.3 Sicherstellen, dass die Anzahl der Tage vor einer Warnung zum Kennwortablauf mindestens 7 Tage beträgt Pass
5.5.1.4 Sicherstellen, dass die Sperre für inaktive Kennwörter höchstens 30 Tage beträgt Pass
5.5.1.5 Ensure all users last password change date is in the past (Sicherstellen, dass das Datum der letzten Kennwortänderung für alle Benutzer in der Vergangenheit liegt) Fehler
5.5.2 Sicherstellen, dass Systemkonten sicher sind Pass
5.5.3 Ensure default group for the root account is GID 0 (Sicherstellen, dass die Standardgruppe für das Root-Konto GID 0 lautet) Pass
5.5.4 Sicherstellen, dass der Befehl „umask“ für Standardbenutzer 027 oder stärker einschränkend ist Pass
5.5.5 Sicherstellen, dass das Standardtimeout für die Benutzershell 900 Sekunden oder weniger beträgt Fehler
5.6 Sicherstellen, dass die Stammanmeldung auf die Systemkonsole beschränkt ist Nicht zutreffend
5.7 Sicherstellen, dass der Zugriff auf den Befehl „su“ eingeschränkt ist Fehler Potenzielle Auswirkungen auf den Vorgang
6 Systemwartung
6.1 Systemdateiberechtigungen
6.1.2 Sicherstellen, dass die Berechtigungen für „/etc/passwd“ konfiguriert sind Pass
6.1.3 Sicherstellen, dass die Berechtigungen für „/etc/passwd-“ konfiguriert sind Pass
6.1.4 Sicherstellen, dass die Berechtigungen für „/etc/group“ konfiguriert sind Pass
6.1.5 Sicherstellen, dass die Berechtigungen für „/etc/group-“ konfiguriert sind Pass
6.1.6 Sicherstellen, dass die Berechtigungen für „/etc/shadow“ konfiguriert sind Pass
6.1.7 Sicherstellen, dass die Berechtigungen für „/etc/shadow-“ konfiguriert sind Pass
6.1.8 Sicherstellen, dass die Berechtigungen für „/etc/gshadow“ konfiguriert sind Pass
6.1.9 Sicherstellen, dass die Berechtigungen für „/etc/gshadow-“ konfiguriert sind Pass
6.1.10 Sicherstellen, dass keine beschreibbaren Dateien vorhanden sind Fehler Potenzielle Auswirkungen auf den Vorgang
6.1.11 Sicherstellen, dass keine nichtverwendeten Dateien oder Verzeichnisse vorhanden sind Fehler Potenzielle Auswirkungen auf den Vorgang
6.1.12 Sicherstellen, dass keine ungruppierten Dateien oder Verzeichnisse vorhanden sind Fehler Potenzielle Auswirkungen auf den Vorgang
6.1.13 SUID-ausführbare Dateien überwachen Nicht zutreffend
6.1.14 SGID-ausführbare Dateien überwachen Nicht zutreffend
6.2 Einstellungen für Benutzer und Gruppen
6.2.1 Sicherstellen, dass Konten in /etc/passwd Schattenkennwörter verwenden Pass
6.2.2 Sicherstellen, dass Kennwortfelder nicht leer sind Pass
6.2.3 Ensure all groups in /etc/passwd exist in /etc/group (Sicherstellen, dass alle Gruppen in „/etc/passwd“ in „/etc/group“ vorhanden sind) Pass
6.2.4 Ensure all users' home directories exist (Sicherstellen, dass die Basisverzeichnisse aller Benutzer vorhanden sind) Pass
6.2.5 Ensure users own their home directories (Sicherstellen, dass die Benutzer Besitzer ihrer Basisverzeichnisse sind) Pass
6.2.6 Sicherstellen, dass die Berechtigungen für die Homeverzeichnisse der Benutzer 750 oder restriktiver sind Pass
6.2.7 Sicherstellen, dass DOT-Dateien von Benutzern nicht group-writable oder world-writable sind Pass
6.2.8 Ensure no users have .netrc files (Sicherstellen, dass keine Benutzer über NETRC-Dateien verfügen) Pass
6.2.9 Ensure no users have .forward files (Sicherstellen, dass keine Benutzer über FORWARD-Dateien verfügen) Pass
6.2.10 Ensure no users have .rhosts files (Sicherstellen, dass keine Benutzer über RHOSTS-Dateien verfügen) Pass
6.2.11 Ensure root is the only UID 0 account (Sicherstellen, dass „root“ das einzige Konto mit UID 0 ist) Pass
6.2.12 Sicherstellen der StammPFADintegrität Pass
6.2.13 Ensure no duplicate UIDs exist (Sicherstellen, dass keine doppelten UIDs vorhanden sind) Pass
6.2.14 Ensure no duplicate GIDs exist (Sicherstellen, dass keine doppelten GIDs vorhanden sind) Pass
6.2.15 Ensure no duplicate user names exist (Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind) Pass
6.2.16 Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind Pass
6.2.17 Ensure shadow group is empty (Sicherstellen, dass die Schattengruppe leer ist) Pass

Nächste Schritte

Weitere Informationen zur AKS-Sicherheit finden Sie in den folgenden Artikeln: