Démarrage rapide : Appliquer ssh Posture Control à un ordinateur de test

2025-04-16

Dans les étapes suivantes, vous allez utiliser Azure Policy pour déployer des paramètres ssh Posture Control sur une machine virtuelle Linux de test.

Pour obtenir des informations de référence conceptuelles et en arrière-plan, consultez Qu’est-ce que le contrôle de posture SSH ?.

Pour obtenir une procédure pas à pas plus avancée, consultez Gérer vos paramètres sshd à l’aide du contrôle de posture SSH.

Si vous n’avez pas de compte Azure, vous pouvez créer une version d’évaluation gratuite.

Prudence

Ce guide de démarrage rapide montre l’application d’une configuration sshd restrictive destinée à un nouvel ordinateur de test jetable. Si vous deviez appliquer cette configuration à d’autres ordinateurs, vous pourriez se verrouiller. Lorsque vous essayez des contrôles de sécurité tels que SSH Posture Control, utilisez un environnement de bac à sable isolé, de sorte qu’une erreur dans l’attribution de stratégie ne réappraîne pas les machines involontaires.

Conditions préalables

Avant d’essayer les étapes décrites dans cet article, vérifiez que vous disposez déjà des points suivants :

Un compte Azure dans lequel vous avez des droits pour créer un groupe de ressources, des affectations de stratégie et une machine virtuelle.
Votre environnement préféré pour interagir avec Azure, par exemple :
1. azure Cloud Shell (recommandé)
  1. Remarque : Les exemples utilisent le mode bash. Les lecteurs peuvent adapter des exemples à d’autres environnements shell, notamment PowerShell.
2. ou votre propre environnement shell avec Azure CLI installé et connecté
3. ouportail Azure dans un navigateur web

Vérifiez que vous êtes connecté à votre environnement de test

portail Azure
Azure CLI

Utilisez les informations de compte dans le portail pour afficher votre contexte actuel.

capture d’écran

Créer un groupe de ressources

Le choix de eastus emplacement dans cet exemple n’est pas significatif. Vous pouvez utiliser n’importe quel emplacement Azure disponible.

portail Azure
Azure CLI

capture d’écran de création d’un groupe de ressources via le portail

az group create --name sshdemo01 --location eastus

Affecter la stratégie au groupe de ressources

Ce guide de démarrage rapide applique le comportement d’audit et de configuration à l’aide de la définition de stratégie intégrée Configure SSH Posture Control on Linux machines.

L’exemple d’affectation s’appuie en grande partie sur les valeurs par défaut du contrôle de posture SSH (par exemple, le port 22, l’accès racine non autorisé), avec une personnalisation limitée (texte de bannière).

portail Azure
Azure CLI

Accédez à la stratégie, puis définitions
Filtrez la liste pour rechercher et sélectionner Configure SSH Posture Control on Linux machines
Dans la page définition de stratégie, cliquez sur Affecter
Dans le flux de travail d’affectation de stratégie
1. Choisissez le nouveau groupe de ressources vide (créé précédemment) comme étendue.
2. Facultatif : choisissez un nom pour cette attribution de stratégie. Par défaut, le nom de la définition de stratégie est utilisé.
3. Facultatif : sous l’onglet paramètres, remplacez une valeur par défaut telle que la valeur « bannière ».
4. Remarque : La règle « port » doit être configurée avec une valeur unique pour garantir une fonctionnalité et une conformité appropriées pour l’audit et la configuration des scénarios.
5. Terminez la création de l’attribution de stratégie.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Prudence

Que vous utilisiez le portail ou l’interface CLI, inspectez l’étendue de l’attribution de stratégie que vous venez de créer avant de continuer. Si l’étendue a été définie par erreur sur autre chose que le nouveau groupe de ressources vide créé précédemment, elle doit être corrigée immédiatement pour éviter de configurer des machines involontaires.

Créer une machine virtuelle de test et la préparer pour la configuration de l’ordinateur

portail Azure
Azure CLI

Créer une machine virtuelle Linux
Ajouter une identité affectée par le système, s’il n’est pas déjà présent
Ajoutez l’extension Machine Configuration (étiquetée dans le portail en tant que Configuration de machine Azure pour Linux)

Créer une machine virtuelle Linux avec une identité affectée par le système

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

Installer l’agent Machine Configuration en tant qu’extension de machine virtuelle Azure

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Pourboire

Dans ce guide de démarrage rapide, les conditions préalables à la configuration de la machine (la machine virtuelle possède une identité managée et une extension d’agent) ont été traitées directement lors de la création de la machine virtuelle. À grande échelle, ces conditions préalables peuvent être satisfaites à l’aide de l’initiative de stratégie intégrée Deploy prerequisites to enable Guest Configuration policies on virtual machines.

Prendre une pause avant de continuer

Plusieurs étapes se produisent désormais automatiquement. Chacune de ces étapes peut prendre quelques minutes. En conséquence, veuillez patienter à moins de 15 minutes avant de continuer.

Observer les résultats

À l’aide des étapes suivantes, vous pouvez voir :

Nombre de machines conformes (ou non)
1. Particulièrement utile à l’échelle de production, où vous pouvez avoir des milliers de machines
Quelles machines sont conformes (ou non)
Pour une machine donnée, quelles règles individuelles sont conformes (ou non)

portail Azure
Azure CLI

Les exemples Azure CLI suivants proviennent d’un environnement bash. Pour utiliser un autre environnement d’interpréteur de commandes, vous devrez peut-être ajuster des exemples pour le comportement de fin de ligne, les règles de guillemets, l’échappement de caractères, et ainsi de suite.

Nombre de machines conformes (ou non) :

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Quelles machines sont conformes (ou non) :

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Pour une machine donnée, quelles règles individuelles sont conformes (ou non) :

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Facultatif : Ajouter d’autres machines de test à une mise à l’échelle

Dans cet article, la stratégie a été affectée à un groupe de ressources qui a été initialement vide, puis gagné une machine virtuelle. Bien que cela montre que le système fonctionne de bout en bout, il ne fournit pas de sens des opérations à grande échelle. Par exemple, dans l’affichage conformité des affectations de stratégie, un graphique en secteurs d’une machine peut se sentir artificiel.

Envisagez d’ajouter d’autres machines de test au groupe de ressources, que ce soit manuellement ou via automation. Il peut s’agir de machines virtuelles Azure ou d’ordinateurs avec Arc. Comme vous voyez que ces machines entrent en conformité (ou même échouent), vous pouvez avoir un sens plus vif de l’opérationnalisation du contrôle de posture SSH à grande échelle.

Facultatif : inspecter manuellement la machine de test pour confirmer les résultats

Lors de la prise en main d’une nouvelle fonctionnalité telle que SSH Posture Control, il peut être utile d’inspecter manuellement les résultats hors bande. Cela permet de renforcer la confiance et la clarté. Les étapes décrites dans cet article, par exemple, doivent avoir entraîné une configuration de bannière d’ouverture de session modifiée sur votre machine virtuelle de test. Vous pouvez le confirmer en essayant une connexion SSH à l’ordinateur pour afficher la bannière ou en inspectant le fichier sshd_config.

Nettoyer les ressources

Pour éviter les frais en cours, envisagez de supprimer le groupe de ressources utilisé dans cet article. Par exemple, la commande Azure CLI serait az group delete --name "sshdemo01"

Qu’est-ce que le contrôle de posture SSH ?
Déploiement sécurisé des paramètres de serveur SSH avec Azure Policy
Pour fournir des commentaires, discuter des demandes de fonctionnalités, etc. contactez : linux_sec_config_mgmt@service.microsoft.com

Partager via