Alineación de imágenes de Ubuntu de Azure Kubernetes Service (AKS) con el punto de referencia de Center for Internet Security (CIS)
Como servicio seguro, Azure Kubernetes Service (AKS) es compatible con los estándares SOC, ISO, PCI DSS e HIPAA. En este artículo se describe la configuración del sistema operativo de seguridad aplicada a la imagen de Ubuntu usada por AKS. Esta configuración de seguridad se basa en la línea base de seguridad de Linux de Azure que se alinea con el punto de referencia CIS. Para más información acerca de la seguridad de AKS, consulte Conceptos de seguridad de las aplicaciones y los clústeres en Azure Kubernetes Service (AKS). Para más información acerca de la seguridad de AKS, consulte Conceptos de seguridad de las aplicaciones y los clústeres en Azure Kubernetes Service (AKS). Para obtener más información sobre el punto de referencia de CIS, vea Puntos de referencia de Center for Internet Security (CIS). Para más información sobre las líneas base de seguridad de Azure para Linux, consulte Línea de base de seguridad de Linux.
Ubuntu LTS 18.04
Los clústeres de AKS se implementan en las máquinas virtuales del host, que ejecutan un sistema operativo con configuraciones seguras integradas. Este sistema operativo se usa para contenedores que se ejecutan en AKS. Este sistema operativo host se basa en una imagen de Ubuntu 18.04.LTS con configuraciones de seguridad aplicadas.
Como parte del sistema operativo optimizado para seguridad:
- AKS proporciona un sistema operativo de host optimizado para seguridad de manera predeterminada, pero ninguna opción para seleccionar un sistema operativo alternativo.
- El sistema operativo del host con seguridad optimizada se crea y se mantiene específicamente para AKS y no se admite fuera de la plataforma AKS.
- Para reducir el área expuesta a ataques, se han deshabilitado en el sistema operativo algunos controladores de módulos de kernel que no eran necesarios.
Nota
Sin relación con los puntos de referencia de CIS, Azure aplica revisiones diarias, lo que incluye revisiones de seguridad, a los hosts de máquina virtual de AKS.
El objetivo de la configuración segura integrada en el sistema operativo del host es reducir el área expuesta de ataque y optimizar la implementación de contenedores de forma segura.
A continuación se muestran los resultados de las recomendaciones de CIS Ubuntu 18.04 LTS Benchmark v2.1.0.
Las recomendaciones pueden tener una de las siguientes razones:
- Posible impacto en la operación: no se aplicó la recomendación porque tendría un efecto negativo en el servicio.
- Cubierto en otro lugar: la recomendación está cubierta por otro control en el proceso en la nube de Azure.
A continuación se muestran las reglas de CIS implementadas:
| Número de párrafo de CIS | Descripción de la recomendación | Status | Motivo |
|---|---|---|---|
| 1 | Programa de instalación inicial | ||
| 1.1 | Configuración del sistema de archivos | ||
| 1.1.1 | Deshabilitar sistemas de archivos no usados | ||
| 1.1.1.1 | Asegurarse de que el montaje de sistemas de archivos cramfs está deshabilitado | Aprobado | |
| 1.1.1.2 | Asegurarse de que el montaje de sistemas de archivos freevxfs está deshabilitado | Aprobado | |
| 1.1.1.3 | Asegurarse de que el montaje de sistemas de archivos jffs2 está deshabilitado | Aprobado | |
| 1.1.1.4 | Asegurarse de que el montaje de sistemas de archivos hfs está deshabilitado | Aprobado | |
| 1.1.1.5 | Asegurarse de que el montaje de sistemas de archivos hfsplus está deshabilitado | Aprobado | |
| 1.1.1.6 | Asegurarse de que el montaje de sistemas de archivos udf está deshabilitado | Suspenso | Posible impacto operacional |
| 1.1.2 | Asegurarse de que /tmp está configurado | Suspenso | |
| 1.1.3 | Asegurarse de que la opción nodev está establecida en la partición /tmp | Suspenso | |
| 1.1.4 | Asegurarse de que la opción nosuid está establecida en la partición /tmp | Aprobado | |
| 1.1.5 | Asegurarse de que la opción noexec está establecida en la partición /tmp | Aprobado | |
| 1.1.6 | Asegúrese de que /dev/shm está configurado | Aprobado | |
| 1.1.7 | Asegurarse de que la opción nodev está establecida en la partición /dev/shm | Aprobado | |
| 1.1.8 | Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | Aprobado | |
| 1.1.9 | Asegurarse de que la opción noexec está establecida en la partición /dev/shm | Suspenso | Posible impacto operacional |
| 1.1.12 | Asegurarse de que la partición /var/tmp incluye la opción nodev | Aprobado | |
| 1.1.13 | Asegurarse de que la partición /var/tmp incluye la opción nosuid | Aprobado | |
| 1.1.14 | Asegurarse de que la partición /var/tmp incluye la opción noexec | Aprobado | |
| 1.1.18 | Asegurarse de que la partición /home incluye la opción nodev | Aprobado | |
| 1.1.19 | Asegurarse de que la opción nodev está establecida en particiones de medios extraíbles | No es aplicable | |
| 1.1.20 | Asegurarse de que la opción nosuid está establecida en particiones de medios extraíbles | No es aplicable | |
| 1.1.21 | Asegurarse de que la opción noexec está establecida en particiones de medios extraíbles | No es aplicable | |
| 1.1.22 | Asegurarse de que el bit permanente está establecido en todos los directorios grabables de manera global | Suspenso | Posible impacto en la operación |
| 1.1.23 | Deshabilitar el montaje automático | Aprobado | |
| 1.1.24 | Deshabilitar el almacenamiento USB | Aprobado | |
| 1.2 | Configuración de las actualizaciones de software | ||
| 1.2.1 | Asegurarse de que los repositorios del administrador de paquetes están configurados | Aprobado | Cubierto en otro lugar |
| 1.2.2 | Asegúrese de que las claves de GPG están configuradas | No es aplicable | |
| 1.3 | Comprobación de integridad del sistema de archivos | ||
| 1.3.1 | Asegurarse de que AIDE está instalado | Suspenso | Cubierto en otro lugar |
| 1.3.2 | Asegurarse de que la integridad del sistema de archivos se comprueba periódicamente | Suspenso | Cubierto en otro lugar |
| 1.4 | Configuración de arranque seguro | ||
| 1.4.1 | Asegúrese de que no estén invalidados los permisos en la configuración del cargador de arranque | Suspenso | |
| 1.4.2 | Asegurarse de que la contraseña del cargador de arranque está establecida | Suspenso | No es aplicable |
| 1.4.3 | Asegurarse de que están configurados los permisos en la configuración del cargador de arranque. | Suspenso | |
| 1.4.4 | Asegurarse de la autenticación que se requiere para el modo de usuario único | Suspenso | No es aplicable |
| 1.5 | Protección de procesos adicionales | ||
| 1.5.1 | Asegurarse de que la compatibilidad con XD/NX está habilitada | No es aplicable | |
| 1.5.2 | Asegurarse de que la selección aleatoria del diseño del espacio de direcciones (ASLR) está habilitada | Aprobado | |
| 1.5.3 | Asegurarse de que la vinculación previa está deshabilitada | Aprobado | |
| 1.5.4 | Asegurarse de que los volcados de memoria están restringidos | Aprobado | |
| 1.6 | Control de acceso obligatorio | ||
| 1.6.1 | Configuración de AppArmor | ||
| 1.6.1.1 | Asegurarse de que AppArmor está instalado | Aprobado | |
| 1.6.1.2 | Asegurarse de que AppArmor está habilitado en la configuración del cargador de arranque | Suspenso | Posible impacto en la operación |
| 1.6.1.3 | Asegurarse de que todos los perfiles de AppArmor estén en modo de aplicación o queja | Aprobado | |
| 1.7 | Banners de advertencia de la línea de comandos | ||
| 1.7.1 | Asegurarse de que el mensaje del día está configurado correctamente | Aprobado | |
| 1.7.2 | Asegurarse de que están configurados los permisos en/etc/issue.net | Aprobado | |
| 1.7.3 | Asegurarse de que están configurados los permisos en/etc/issue | Aprobado | |
| 1.7.4 | Asegurarse de que los permisos en /etc/motd están configurados | Aprobado | |
| 1.7.5 | Asegurarse de que el banner de advertencia de inicio de sesión remoto está configurado correctamente | Aprobado | |
| 1.7.6 | Asegurarse de que el banner de advertencia de inicio de sesión local está configurado correctamente | Aprobado | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Asegurarse de que el banner de inicio de sesión de GDM está configurado | Aprobado | |
| 1.8.3 | Asegurarse de que disable-user-list está habilitado | Aprobado | |
| 1.8.4 | Asegúrese de que XDCMP no esté habilitado | Aprobado | |
| 1,9 | Asegurarse de que están instaladas las actualizaciones, las revisiones y el software de seguridad adicional | Aprobado | |
| 2 | Servicios | ||
| 2.1 | Servicios de uso especial | ||
| 2.1.1 | Sincronización de la hora | ||
| 2.1.1.1 | Asegurarse de que la sincronización de hora está en uso | Aprobado | |
| 2.1.1.2 | Asegurarse de que systemd-timesyncd está configurado | No es aplicable | AKS usa ntpd para timesync |
| 2.1.1.3 | Asegurarse de que chrony está configurado | Suspenso | Cubierto en otro lugar |
| 2.1.1.4 | Asegurarse de que ntp está configurado | Aprobado | |
| 2.1.2 | Asegúrese de que el sistema de ventanas X no esté instalado | Aprobado | |
| 2.1.3 | Asegúrese de que el servidor de Avahi no esté instalado | Aprobado | |
| 2.1.4 | Asegúrese de que CUPS no esté instalado | Aprobado | |
| 2.1.5 | Asegúrese de que el servidor DHCP no esté instalado | Aprobado | |
| 2.1.6 | Asegúrese de que el servidor LDAP no esté instalado | Aprobado | |
| 2.1.7 | Asegúrese de que NFS no esté instalado | Aprobado | |
| 2.1.8 | Asegúrese de que el servidor DNS no esté instalado | Aprobado | |
| 2.1.9 | Asegúrese de que el servidor FTP no esté instalado | Aprobado | |
| 2.1.10 | Asegúrese de que el servidor FTP no esté instalado | Aprobado | |
| 2.1.11 | Asegúrese de que los servidores IMAP y POP3 no estén instalados | Aprobado | |
| 2.1.12 | Asegúrese de que Samba no esté instalado | Aprobado | |
| 2.1.13 | Asegúrese de que el servidor proxy HTTP no esté instalado | Aprobado | |
| 2.1.14 | Asegúrese de que el servidor SNMP no esté instalado | Aprobado | |
| 2.1.15 | Asegurarse de que el agente de transferencia de correo está configurado para el modo solo local | Aprobado | |
| 2.1.16 | Asegúrese de que el servicio rsync no esté instalado | Suspenso | |
| 2.1.17 | Asegúrese de que el servidor NIS no esté instalado | Aprobado | |
| 2,2 | Clientes de servicio | ||
| 2.2.1 | Asegúrese de que el cliente NIS no esté instalado | Aprobado | |
| 2.2.2 | Asegúrese de que el cliente rsh no esté instalado | Aprobado | |
| 2.2.3 | Asegúrese de que el cliente talk no esté instalado | Aprobado | |
| 2.2.4 | Asegúrese de que el cliente telnet no esté instalado | Suspenso | |
| 2.2.5 | Asegúrese de que el cliente LDAP no esté instalado | Aprobado | |
| 2.2.6 | Asegúrese de que RPC no esté instalado | Suspenso | Posible impacto operacional |
| 2.3 | Asegurarse de que se quitan o enmascaran los servicios no esenciales | Aprobado | |
| 3 | Configuración de red | ||
| 3.1 | Deshabilitar protocolos y dispositivos de red sin usar | ||
| 3.1.2 | Asegurarse de que las interfaces inalámbricas están deshabilitadas | Aprobado | |
| 3.2 | Parámetros de red (solo host) | ||
| 3.2.1 | Asegurarse de que el envío de redireccionamiento de paquetes está deshabilitado | Aprobado | |
| 3.2.2 | Asegurarse de que el reenvío IP está deshabilitado | Suspenso | No es aplicable |
| 3.3 | Parámetros de red (host y enrutador) | ||
| 3.3.1 | Asegúrese de que no se acepten paquetes enrutados de origen | Aprobado | |
| 3.3.2 | Asegúrese de que no se acepten los redireccionamientos de ICMP | Aprobado | |
| 3.3.3 | Asegúrese de que no se acepten los redireccionamientos de ICMP seguros | Aprobado | |
| 3.3.4 | Asegurarse de que se registran los paquetes sospechosos | Aprobado | |
| 3.3.5 | Asegurarse de que se omiten las solicitudes ICMP de difusión | Aprobado | |
| 3.3.6 | Asegurarse de que se omiten las respuestas ICMP ficticias | Aprobado | |
| 3.3.7 | Asegurarse de que el filtrado de Invertir trazado está habilitado | Aprobado | |
| 3.3.8 | Asegurarse de que las cookies SYN de TCP están habilitadas | Aprobado | |
| 3.3.9 | Asegúrese de que no se acepten anuncios de enrutadores IPv6 | Aprobado | |
| 3.4 | Protocolos de red poco comunes | ||
| 3,5 | Configuración del firewall | ||
| 3.5.1 | Configuración de UncomplicatedFirewall | ||
| 3.5.1.1 | Asegurarse de que ufw está instalado | Aprobado | |
| 3.5.1.2 | Asegurarse de que iptables-persistent no está instalado con ufw | Aprobado | |
| 3.5.1.3 | Asegurarse de que el servicio ufw está habilitado | Suspenso | Cubierto en otro lugar |
| 3.5.1.4 | Asegurarse de que el tráfico de bucle invertido de ufw está configurado | Suspenso | Cubierto en otro lugar |
| 3.5.1.5 | Asegurarse de que las conexiones salientes de ufw están configuradas | No es aplicable | Cubierto en otro lugar |
| 3.5.1.6 | Asegurarse de que existen reglas de firewall de ufw para todos los puertos abiertos | No es aplicable | Cubierto en otro lugar |
| 3.5.1.7 | Garantizar la directiva de firewall de denegación predeterminada de ufw | Suspenso | Cubierto en otro lugar |
| 3.5.2 | Configuración de nftables | ||
| 3.5.2.1 | Asegurarse de que nftables está instalado | Suspenso | Cubierto en otro lugar |
| 3.5.2.2 | Asegurarse de que ufw está desinstalado o deshabilitado con nftables | Suspenso | Cubierto en otro lugar |
| 3.5.2.3 | Asegurarse de que las tablas iptables se vacían con nftables | No es aplicable | Cubierto en otro lugar |
| 3.5.2.4 | Asegurarse de que existe una tabla nftables | Suspenso | Cubierto en otro lugar |
| 3.5.2.5 | Asegurarse de que existen cadenas base de nftables | Suspenso | Cubierto en otro lugar |
| 3.5.2.6 | Asegurarse de que el tráfico de bucle invertido de nftables está configurado | Suspenso | Cubierto en otro lugar |
| 3.5.2.7 | Asegurarse de que las conexiones salientes y establecidas de nftables estén configuradas | No es aplicable | Cubierto en otro lugar |
| 3.5.2.8 | Garantizar la directiva de firewall de denegación predeterminada de nftables | Suspenso | Cubierto en otro lugar |
| 3.5.2.9 | Asegurarse de que el servicio nftables está habilitado | Suspenso | Cubierto en otro lugar |
| 3.5.2.10 | Asegurarse de que las reglas de nftables son permanentes | Suspenso | Cubierto en otro lugar |
| 3.5.3 | Configuración de iptables | ||
| 3.5.3.1 | Configuración del software de iptables | ||
| 3.5.3.1.1 | Asegurarse de que los paquetes de iptables están instalados | Suspenso | Cubierto en otro lugar |
| 3.5.3.1.2 | Asegurarse de que nftables no está instalado con iptables | Aprobado | |
| 3.5.3.1.3 | Asegurarse de que ufw está desinstalado o deshabilitado con iptables | Suspenso | Cubierto en otro lugar |
| 3.5.3.2 | Configuración de iptables IPv4 | ||
| 3.5.3.2.1 | Garantizar la directiva de firewall de denegación predeterminada de iptables | Suspenso | Cubierto en otro lugar |
| 3.5.3.2.2 | Asegurarse de que el tráfico de bucle invertido de iptables está configurado | Suspenso | No es aplicable |
| 3.5.3.2.3 | Asegurarse de que las conexiones salientes y establecidas de iptables estén configuradas | No es aplicable | |
| 3.5.3.2.4 | Asegurarse de que existen reglas de firewall de iptables para todos los puertos abiertos | Suspenso | Posible impacto en la operación |
| 3.5.3.3 | Configuración de ip6tables IPv6 | ||
| 3.5.3.3.1 | Garantizar la directiva de firewall de denegación predeterminada de ip6tables | Suspenso | Cubierto en otro lugar |
| 3.5.3.3.2 | Asegurarse de que el tráfico de bucle invertido de ip6tables está configurado | Suspenso | Cubierto en otro lugar |
| 3.5.3.3.3 | Asegurarse de que las conexiones salientes y establecidas de ip6tables estén configuradas | No es aplicable | Cubierto en otro lugar |
| 3.5.3.3.4 | Asegurarse de que existen reglas de firewall de ip6tables para todos los puertos abiertos | Suspenso | Cubierto en otro lugar |
| 4 | Registro y auditoría | ||
| 4,1 | Configuración de la contabilidad del sistema (auditd) | ||
| 4.1.1.2 | Asegurarse de que la auditoría está habilitada | ||
| 4.1.2 | Configuración de la retención de datos | ||
| 4,2 | Configuración del registro | ||
| 4.2.1 | Configuración de rsyslog | ||
| 4.2.1.1 | Asegurarse de que rsyslog está instalado | Aprobado | |
| 4.2.1.2 | Asegurarse de que el servicio rsyslog está habilitado | Aprobado | |
| 4.2.1.3 | Asegurarse de que el registro está configurado | Aprobado | |
| 4.2.1.4 | Asegurarse de que los permisos de archivo predeterminados de rsyslog estén configurados | Aprobado | |
| 4.2.1.5 | Asegurarse de que rsyslog está configurado para enviar registros a un host de registro remoto | Suspenso | Cubierto en otro lugar |
| 4.2.1.6 | Asegurarse de que los mensajes remotos de rsyslog solo se aceptan en los hosts de registro designados. | No es aplicable | |
| 4.2.2 | Configuración de journald | ||
| 4.2.2.1 | Asegurarse de que journald está configurado para enviar registros a rsyslog | Aprobado | |
| 4.2.2.2 | Asegurarse de que journald está configurado para comprimir archivos de registro grandes | Suspenso | |
| 4.2.2.3 | Asegurarse de que journald está configurado para escribir archivos de registro en un disco persistente | Aprobado | |
| 4.2.3 | Asegurarse de que los permisos de todos los archivos de registro están configurados | Suspenso | |
| 4.3 | Asegurarse de que logrotate está configurado | Aprobado | |
| 4.4. | Asegurarse de que logrotate asigna los permisos adecuados | Suspenso | |
| 5 | Acceso, autenticación y autorización | ||
| 5,1 | Configuración de los programadores de trabajos basados en tiempo | ||
| 5.1.1 | Asegurarse de que el demonio cron está habilitado y en ejecución | Aprobado | |
| 5.1.2 | Asegurarse de que están configurados los permisos en/etc/crontab | Aprobado | |
| 5.1.3 | Asegurarse de que los permisos en /etc/cron.hourly están configurados | Aprobado | |
| 5.1.4 | Asegurarse de que los permisos en /etc/cron.daily están configurados | Aprobado | |
| 5.1.5 | Asegurarse de que los permisos en /etc/cron.weekly están configurados | Aprobado | |
| 5.1.6 | Asegurarse de que los permisos en /etc/cron.monthly están configurados | Aprobado | |
| 5.1.7 | Asegurarse de que los permisos en /etc/cron.d están configurados | Aprobado | |
| 5.1.8 | Asegurarse de cron está restringido a los usuarios autorizados | Suspenso | |
| 5.1.9 | Asegurarse de que at está restringido a los usuarios autorizados | Suspenso | |
| 5.2 | Configuración de sudo | ||
| 5.2.1 | Asegurarse de que sudo está instalado | Aprobado | |
| 5.2.2 | Asegurarse de que los comandos sudo usan pty | Suspenso | Posible impacto operacional |
| 5.2.3 | Asegurarse de que existe el archivo de registro de sudo | Suspenso | |
| 5.3 | Configuración del servidor SSH | ||
| 5.3.1 | Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config | Aprobado | |
| 5.3.2 | Asegurarse de que los permisos en los archivos de clave privada de host SSH están configurados | Aprobado | |
| 5.3.3 | Asegurarse de que los permisos en los archivos de clave pública de host SSH están configurados | Aprobado | |
| 5.3.4 | Asegúrese de que el acceso SSH esté limitado. | Aprobado | |
| 5.3.5 | Asegurarse de que LogLevel de SSH es apropiado | Aprobado | |
| 5.3.7 | Asegúrese de que el valor de SSH MaxAuthTries es 4, o menos | Aprobado | |
| 5.3.8 | Asegurarse de que IgnoreRhosts de SSH está habilitado | Aprobado | |
| 5.3.9 | Asegurarse de que HostbasedAuthentication de SSH está deshabilitado | Aprobado | |
| 5.3.10 | Asegurarse de que el inicio de sesión de la raíz de SSH está deshabilitado | Aprobado | |
| 5.3.11 | Asegurarse de que PermitEmptyPasswords de SSH está deshabilitado | Aprobado | |
| 5.3.12 | Asegúrese de que SSH PermitUserEnvironment está deshabilitado | Aprobado | |
| 5.3.13 | Asegurarse de que solo se usan cifrados seguros | Aprobado | |
| 5.3.14 | Asegurarse de que solo se usen algoritmos MAC seguros | Aprobado | |
| 5.3.15 | Asegurarse de que solo se usan algoritmos de intercambio de claves seguros | Aprobado | |
| 5.3.16 | Asegúrese de que está configurado el intervalo de tiempo de espera de inactividad de SSH | Suspenso | |
| 5.3.17 | Asegúrese de que el valor de LoginGraceTime de SSH es un minuto, o menos | Aprobado | |
| 5.3.18 | Asegurarse de que está configurado el banner de advertencia de SSH | Aprobado | |
| 5.3.19 | Asegurarse de que PAM de SSH está habilitado | Aprobado | |
| 5.3.21 | Asegurarse de que SSH MaxStartups está configurado | Suspenso | |
| 5.3.22 | Asegurarse de que SSH MaxSessions está limitado | Aprobado | |
| 5.4 | Configuración de PAM | ||
| 5.4.1 | Asegurarse de que están configurados los requisitos para la creación de contraseñas | Aprobado | |
| 5.4.2 | Asegurarse de que se ha configurado el bloqueo de intentos de contraseña erróneos | Suspenso | |
| 5.4.3 | Asegurarse de que la reutilización de la contraseña está limitada | Suspenso | |
| 5.4.4 | Asegurarse de que el algoritmo de hash de contraseña es SHA-512. | Aprobado | |
| 5.5 | Cuentas y entorno de usuario | ||
| 5.5.1 | Establecer parámetros de Shadow Password Suite | ||
| 5.5.1.1 | Asegurarse de que el número mínimo de días entre los cambios de contraseña está configurado | Aprobado | |
| 5.5.1.2 | Asegurarse de que la contraseña expira en un plazo máximo de 365 días | Aprobado | |
| 5.5.1.3 | Asegurarse de que los días de advertencia para la expiración de contraseña es 7 o más | Aprobado | |
| 5.5.1.4 | Asegurarse de que el plazo máximo del bloqueo de contraseñas inactivas es 30 días | Aprobado | |
| 5.5.1.5 | Asegurarse de que todos los usuarios tienen la última fecha de cambio de contraseña en el pasado. | Suspenso | |
| 5.5.2 | Asegurarse de que las cuentas del sistema están protegidas | Aprobado | |
| 5.5.3 | Asegurarse de que el grupo predeterminado de la cuenta raíz es GID 0. | Aprobado | |
| 5.5.4 | Asegurarse de que el umask de usuario predeterminado es 027, o incluso más restrictivo | Aprobado | |
| 5.5.5 | Asegurarse de que el tiempo de espera predeterminado de shell de usuario sea de 900 segundos o menos | Suspenso | |
| 5.6 | Asegurarse de que el inicio de sesión raíz está restringido a la consola del sistema | No es aplicable | |
| 5.7 | Asegurarse de que está restringido el acceso al comando su | Suspenso | Posible impacto en la operación |
| 6 | Mantenimiento del sistema | ||
| 6.1 | Cambie los permisos del sistema de archivos | ||
| 6.1.2 | Asegurarse de que los permisos de /etc/passwd están configurados | Aprobado | |
| 6.1.3 | Asegurarse de que los permisos de /etc/passwd- están configurados | Aprobado | |
| 6.1.4 | Asegurarse de que los permisos de /etc/group están configurados | Aprobado | |
| 6.1.5 | Asegurarse de que los permisos de /etc/group- están configurados | Aprobado | |
| 6.1.6 | Asegurarse de que los permisos de /etc/shadow están configurados | Aprobado | |
| 6.1.7 | Asegurarse de que los permisos de /etc/shadow- están configurados | Aprobado | |
| 6.1.8 | Asegurarse de que los permisos de /etc/gshadow están configurados | Aprobado | |
| 6.1.9 | Asegurarse de que los permisos de /etc/gshadow- están configurados | Aprobado | |
| 6.1.10 | Asegurarse de que no existen archivos grabables de manera global | Suspenso | Posible impacto en la operación |
| 6.1.11 | Asegurarse de que no existen archivos o directorios sin propietarios | Suspenso | Posible impacto en la operación |
| 6.1.12 | Asegurarse de que no existen archivos o directorios desagrupados | Suspenso | Posible impacto en la operación |
| 6.1.13 | Auditar ejecutables de SUID | No es aplicable | |
| 6.1.14 | Auditar ejecutables de SGID | No es aplicable | |
| 6,2 | Configuración de usuario y de grupo | ||
| 6.2.1 | Asegurarse de que las cuentas de /etc/passwd usan contraseñas sombreadas | Aprobado | |
| 6.2.2 | Asegúrese de que los campos de contraseña no estén vacíos | Aprobado | |
| 6.2.3 | Asegurarse de que todos los grupos en /etc/passwd existen en /etc/group. | Aprobado | |
| 6.2.4 | Asegurarse de que existen todos los directorios principales de los usuarios. | Aprobado | |
| 6.2.5 | Asegurarse de que los usuarios son propietarios de sus directorios principales. | Aprobado | |
| 6.2.6 | Asegurarse de que los permisos de los directorios principales de los usuarios sean 750 o más restrictivos | Aprobado | |
| 6.2.7 | Asegúrese de que los archivos que comiencen por punto de los usuarios no sean de grupo ni de escritura internacional | Aprobado | |
| 6.2.8 | Asegurarse de que ningún usuario tiene archivos .netrc. | Aprobado | |
| 6.2.9 | Asegurarse de que ningún usuario tiene archivos .forward. | Aprobado | |
| 6.2.10 | Asegurarse de que ningún usuario tiene archivos .rhosts. | Aprobado | |
| 6.2.11 | Asegurarse de que la raíz es la única cuenta de UID 0. | Aprobado | |
| 6.2.12 | Garantizar la integridad de la variable PATH raíz | Aprobado | |
| 6.2.13 | Asegurarse de que no existen UID duplicados. | Aprobado | |
| 6.2.14 | Asegurarse de que no existe ningún GID duplicado. | Aprobado | |
| 6.2.15 | Asegurarse de que no existe ningún nombre de usuario duplicado. | Aprobado | |
| 6.2.16 | Asegurarse de que no existe ningún nombre de grupo duplicado | Aprobado | |
| 6.2.17 | Asegurarse de que el grupo de instantáneas está vacío. | Aprobado |
Pasos siguientes
Para más información acerca de la seguridad de AKS, consulte los siguientes artículos:
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Azure Kubernetes Service