A Center for Internet Security (CIS) Azure Linux-teljesítménytesztje
Az Azure Linux Container Host for AKS rendszerképre alkalmazott biztonsági operációsrendszer-konfiguráció az Azure Linux biztonsági alapkonfigurációján alapul, amely megfelel a CIS-teljesítménytesztnek. Biztonságos szolgáltatásként az AKS megfelel az SOC, az ISO, a PCI DSS és a HIPAA szabványoknak. Az Azure Linux Container Host biztonságával kapcsolatos további információkért tekintse meg az AKS-beli fürtök biztonsági alapelveit. A CIS-teljesítménytesztről további információt a Center for Internet Security (CIS) benchmarks című témakörben talál. A Linux azure-beli biztonsági alapkonfigurációiról további információt a Linux biztonsági alapkonfigurációiban talál.
Azure Linux 2.0
Ez az Azure Linux Container Host operációs rendszer az Azure Linux 2.0 rendszerképen alapul, beépített biztonsági konfigurációkkal.
A biztonságra optimalizált operációs rendszer részeként:
- Az AKS és az Azure Linux alapértelmezés szerint biztonsági szempontból optimalizált gazdagép operációs rendszert biztosít, és nincs lehetőség alternatív operációs rendszer kiválasztására.
- A biztonságra optimalizált gazdagép operációs rendszere kifejezetten az AKS-hez készült és tartható fenn, és nem támogatott az AKS platformon kívül.
- Szükségtelen kernelmodul-illesztőprogramok le lettek tiltva az operációs rendszerben a támadási felület csökkentése érdekében.
Ajánlások
Az alábbi táblázat négy szakaszból áll:
- CIS-azonosító: A társított szabályazonosító az alapkonfigurációs szabályok mindegyikével.
- Javaslat leírása: A CIS-referenciamutató által kiadott ajánlás leírása.
- Szint: Az L1 vagy az 1. szint olyan alapvető biztonsági követelményeket javasol, amelyek bármely rendszeren konfigurálhatók, és a szolgáltatás vagy a funkciók minimális vagy egyáltalán nem zavarhatók.
- Állapot:
- Pass – A javaslat alkalmazása megtörtént.
- Sikertelen – A javaslat nem lett alkalmazva.
- N/A – A javaslat olyan jegyzékfájl-engedélykövetelményekre vonatkozik, amelyek nem relevánsak az AKS-hez.
- A környezettől függ – A javaslat a felhasználó adott környezetében van alkalmazva, és az AKS nem szabályozza.
- Egyenértékű ellenőrzés – A javaslat más módon lett implementálva.
- Ok:
- Lehetséges műveleti hatás – A javaslat nem lett alkalmazva, mert negatív hatással lenne a szolgáltatásra.
- Máshol is lefedve – A javaslatot az Azure Cloud Compute egy másik vezérlője is tartalmazza.
A CIS-szabályok alapján a CIS Azure Linux 2.0 Benchmark 1.0-s verzióra vonatkozó javaslatainak eredményei a következők:
| CIS-azonosító | Javaslat leírása | Állapot | Ok |
|---|---|---|---|
| 1.1.4 | Automatikus leválasztás letiltása | Sikeres | |
| 1.1.1.1 | Győződjön meg arról, hogy a cramfs fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.2.1 | Győződjön meg arról, hogy a /tmp egy külön partíció | Sikeres | |
| 1.1.2.2 | Győződjön meg arról, hogy a nodev beállítás be van állítva a /tmp partíción | Sikeres | |
| 1.1.2.3 | Győződjön meg arról, hogy a nosuid beállítás be van állítva a /tmp partíción | Sikeres | |
| 1.1.8.1 | Győződjön meg arról, hogy a nodev beállítás be van állítva a /dev/shm partíción | Sikeres | |
| 1.1.8.2 | Győződjön meg arról, hogy a nosuid beállítás be van állítva a /dev/shm partíción | Sikeres | |
| 1.2.1 | Győződjön meg arról, hogy a DNF gpgcheck globálisan aktiválva van | Sikeres | |
| 1.2.2 | Győződjön meg arról, hogy a TDNF gpgcheck globálisan aktiválva van | Sikeres | |
| 1.5.1 | Győződjön meg arról, hogy az alapvető memóriakép-tároló le van tiltva | Sikeres | |
| 1.5.2 | Győződjön meg arról, hogy az alapvető memóriakép-visszasávok le vannak tiltva | Sikeres | |
| 1.5.3 | Ellenőrizze, hogy engedélyezve van-e a címtérelrendezés véletlenszerűsítése (ASLR) | Sikeres | |
| 1.7.1 | Győződjön meg arról, hogy a helyi bejelentkezési figyelmeztető szalagcím megfelelően van konfigurálva | Sikeres | |
| 1.7.2 | Győződjön meg arról, hogy a távoli bejelentkezés figyelmeztető szalagcíme megfelelően van konfigurálva | Sikeres | |
| 1.7.3 | Győződjön meg arról, hogy a /etc/motd engedélyek konfigurálva vannak | Sikeres | |
| 1.7.4 | Győződjön meg arról, hogy a /etc/issue engedélyek konfigurálva vannak | Sikeres | |
| 1.7.5 | Győződjön meg arról, hogy a /etc/issue.net engedélyei konfigurálva vannak | Sikeres | |
| 2.1.1 | Győződjön meg arról, hogy az időszinkronizálás használatban van | Sikeres | |
| 2.1.2 | Ellenőrizze, hogy a chrony konfigurálva van-e | Sikeres | |
| 2.2.1 | Győződjön meg arról, hogy a xinetd nincs telepítve | Sikeres | |
| 2.2.2 | Győződjön meg arról, hogy az xorg-x11-server-common nincs telepítve | Sikeres | |
| 2.2.3 | Győződjön meg arról, hogy az avahi nincs telepítve | Sikeres | |
| 2.2.4 | Győződjön meg arról, hogy nincs telepítve nyomtatókiszolgáló | Sikeres | |
| 2.2.5 | Győződjön meg arról, hogy a dhcp-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.6 | Győződjön meg arról, hogy a DNS-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.7 | Győződjön meg arról, hogy az FTP-ügyfél nincs telepítve | Sikeres | |
| 2.2.8 | Győződjön meg arról, hogy az FTP-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.9 | Győződjön meg arról, hogy a tftp-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.10 | Győződjön meg arról, hogy a webkiszolgáló nincs telepítve | Sikeres | |
| 2.2.11 | Győződjön meg arról, hogy az IMAP- és POP3-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.12 | Győződjön meg arról, hogy a Samba nincs telepítve | Sikeres | |
| 2.2.13 | Győződjön meg arról, hogy a HTTP-proxykiszolgáló nincs telepítve | Sikeres | |
| 2.2.14 | Győződjön meg arról, hogy a net-snmp nincs telepítve, vagy az snmpd szolgáltatás nincs engedélyezve | Sikeres | |
| 2.2.15 | Győződjön meg arról, hogy a NIS-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.16 | Győződjön meg arról, hogy a telnet-kiszolgáló nincs telepítve | Sikeres | |
| 2.2.17 | Győződjön meg arról, hogy a levelezési ügynök csak helyi módra van konfigurálva | Sikeres | |
| 2.2.18 | Győződjön meg arról, hogy az nfs-utils nincs telepítve, vagy az nfs-server szolgáltatás maszkolt | Sikeres | |
| 2.2.19 | Győződjön meg arról, hogy az rsync-démon nincs telepítve, vagy az rsyncd szolgáltatás maszkolt | Sikeres | |
| 2.3.1 | Győződjön meg arról, hogy a NIS-ügyfél nincs telepítve | Sikeres | |
| 2.3.2 | Győződjön meg arról, hogy az rsh-ügyfél nincs telepítve | Sikeres | |
| 2.3.3 | Győződjön meg arról, hogy a talk-ügyfél nincs telepítve | Sikeres | |
| 2.3.4 | Győződjön meg arról, hogy a telnet-ügyfél nincs telepítve | Sikeres | |
| 2.3.5 | Győződjön meg arról, hogy az LDAP-ügyfél nincs telepítve | Sikeres | |
| 2.3.6 | Győződjön meg arról, hogy a TFTP-ügyfél nincs telepítve | Sikeres | |
| 3.1.1 | Győződjön meg arról, hogy az IPv6 engedélyezve van | Sikeres | |
| 3.2.1 | Győződjön meg arról, hogy a csomagátirányítás küldése le van tiltva | Sikeres | |
| 3.3.1 | Győződjön meg arról, hogy a forrás által irányított csomagok nem fogadhatók el | Sikeres | |
| 3.3.2 | Győződjön meg arról, hogy az ICMP-átirányítások nem fogadhatók el | Sikeres | |
| 3.3.3 | Győződjön meg arról, hogy a biztonságos ICMP-átirányítások nem fogadhatók el | Sikeres | |
| 3.3.4 | Gyanús csomagok naplózásának ellenőrzése | Sikeres | |
| 3.3.5 | Győződjön meg arról, hogy a szórásos ICMP-kérések figyelmen kívül vannak hagyva | Sikeres | |
| 3.3.6 | Győződjön meg arról, hogy a rendszer figyelmen kívül hagyja a hamis ICMP-válaszokat | Sikeres | |
| 3.3.7 | Győződjön meg arról, hogy a fordított elérési út szűrése engedélyezve van | Sikeres | |
| 3.3.8 | Győződjön meg arról, hogy a TCP SYN-cookie-k engedélyezve van | Sikeres | |
| 3.3.9 | Győződjön meg arról, hogy az IPv6-útválasztó hirdetései nem fogadhatók el | Sikeres | |
| 3.4.3.1.1 | Győződjön meg arról, hogy az iptables-csomag telepítve van | Sikeres | |
| 3.4.3.1.2 | Győződjön meg arról, hogy az nftables nincs telepítve iptables használatával | Sikeres | |
| 3.4.3.1.3 | Győződjön meg arról, hogy a tűzfal nincs telepítve, vagy iptables maszkolással van elfedve | Sikeres | |
| 4.2 | Ellenőrizze, hogy a logrotate konfigurálva van-e | Sikeres | |
| 4.2.2 | Győződjön meg arról, hogy minden naplófájl megfelelő hozzáféréssel rendelkezik | Sikeres | |
| 4.2.1.1 | Győződjön meg arról, hogy az rsyslog telepítve van | Sikeres | |
| 4.2.1.2 | Győződjön meg arról, hogy az rsyslog szolgáltatás engedélyezve van | Sikeres | |
| 4.2.1.3 | Győződjön meg arról, hogy az rsyslog alapértelmezett fájlengedélyei konfigurálva vannak | Sikeres | |
| 4.2.1.4 | Győződjön meg arról, hogy a naplózás konfigurálva van | Sikeres | |
| 4.2.1.5 | Győződjön meg arról, hogy az rsyslog nincs úgy konfigurálva, hogy naplókat fogadjon távoli ügyféltől | Sikeres | |
| 5.1.1 | Győződjön meg arról, hogy a cron démon engedélyezve van | Sikeres | |
| 5.1.2 | Győződjön meg arról, hogy az /etc/crontab engedélyei konfigurálva vannak | Sikeres | |
| 5.1.3 | Győződjön meg arról, hogy a /etc/cron.hourly engedélyek konfigurálva vannak | Sikeres | |
| 5.1.4 | Győződjön meg arról, hogy a /etc/cron.daily engedélyek konfigurálva vannak | Sikeres | |
| 5.1.5 | Győződjön meg arról, hogy a /etc/cron.heti engedélyek konfigurálva vannak | Sikeres | |
| 5.1.6 | Győződjön meg arról, hogy a /etc/cron.monthly engedélyek konfigurálva vannak | Sikeres | |
| 5.1.7 | Győződjön meg arról, hogy a /etc/cron.d engedélyek konfigurálva vannak | Sikeres | |
| 5.1.8 | Győződjön meg arról, hogy a cron csak jogosult felhasználókra korlátozódik | Sikeres | |
| 5.1.9 | Győződjön meg arról, hogy a "at" csak a jogosult felhasználókra korlátozódik | Sikeres | |
| 5.2.1 | Győződjön meg arról, hogy a /etc/ssh/sshd_config engedélyei konfigurálva vannak | Sikeres | |
| 5.2.2 | Győződjön meg arról, hogy az SSH privát gazdagépkulcs-fájljaira vonatkozó engedélyek konfigurálva vannak | Sikeres | |
| 5.2.3 | Győződjön meg arról, hogy az SSH nyilvános gazdagépkulcs-fájljaira vonatkozó engedélyek konfigurálva vannak | Sikeres | |
| 5.2.4 | Győződjön meg arról, hogy az SSH-hozzáférés korlátozott | Sikeres | |
| 5.2.5 | Győződjön meg arról, hogy az SSH LogLevel megfelelő | Sikeres | |
| 5.2.6 | Győződjön meg arról, hogy az SSH PAM engedélyezve van | Sikeres | |
| 5.2.7 | Győződjön meg arról, hogy az SSH fő bejelentkezése le van tiltva | Sikeres | |
| 5.2.8 | Győződjön meg arról, hogy az SSH HostbasedAuthentication le van tiltva | Sikeres | |
| 5.2.9 | Győződjön meg arról, hogy az SSH PermitEmptyPasswords le van tiltva | Sikeres | |
| 5.2.10 | Győződjön meg arról, hogy az SSH PermitUserEnvironment le van tiltva | Sikeres | |
| 5.2.11 | Győződjön meg arról, hogy az SSH IgnoreRhosts engedélyezve van | Sikeres | |
| 5.2.12 | Győződjön meg arról, hogy csak erős titkosítások vannak használatban | Sikeres | |
| 5.2.13 | Győződjön meg arról, hogy csak erős MAC-algoritmusok vannak használatban | Sikeres | |
| 5.2.14 | Győződjön meg arról, hogy csak erős Key Exchange-algoritmusok vannak használatban | Sikeres | |
| 5.2.15 | Győződjön meg arról, hogy az SSH figyelmeztető szalagcíme konfigurálva van | Sikeres | |
| 5.2.16 | Győződjön meg arról, hogy az SSH MaxAuthTries értéke 4 vagy kevesebb | Sikeres | |
| 5.2.17 | Győződjön meg arról, hogy az SSH MaxStartups konfigurálva van | Sikeres | |
| 5.2.18 | Győződjön meg arról, hogy az SSH LoginGraceTime értéke legalább egy perc | Sikeres | |
| 5.2.19 | Győződjön meg arról, hogy az SSH MaxSessions értéke 10 vagy kevesebb | Sikeres | |
| 5.2.20 | Győződjön meg arról, hogy az SSH tétlen időtúllépési időköze konfigurálva van | Sikeres | |
| 5.3.1 | Győződjön meg arról, hogy a sudo telepítve van | Sikeres | |
| 5.3.2 | Győződjön meg arról, hogy a jogosultságok eszkalálásának újbóli hitelesítése globálisan nincs letiltva | Sikeres | |
| 5.3.3 | Győződjön meg arról, hogy a sudo-hitelesítés időtúllépése megfelelően van konfigurálva | Sikeres | |
| 5.4.1 | Győződjön meg arról, hogy a jelszó-létrehozási követelmények konfigurálva vannak | Sikeres | |
| 5.4.2 | Győződjön meg arról, hogy a sikertelen jelszókísérletek zárolása konfigurálva van | Sikeres | |
| 5.4.3 | Győződjön meg arról, hogy a jelszókivonat-algoritmus SHA-512 | Sikeres | |
| 5.4.4 | Győződjön meg arról, hogy a jelszó újrafelhasználása korlátozott | Sikeres | |
| 5.5.2 | A rendszerfiókok biztonságának biztosítása | Sikeres | |
| 5.5.3 | Győződjön meg arról, hogy a legfelső szintű fiók alapértelmezett csoportja a GID 0 | Sikeres | |
| 5.5.4 | Győződjön meg arról, hogy az alapértelmezett felhasználói umask 027 vagy szigorúbb | Sikeres | |
| 5.5.1.1 | Győződjön meg arról, hogy a jelszó lejárata legalább 365 nap | Sikeres | |
| 5.5.1.2 | Győződjön meg arról, hogy a jelszómódosítások között minimális napok vannak konfigurálva | Sikeres | |
| 5.5.1.3 | Győződjön meg arról, hogy a jelszó lejárati figyelmeztetési napja 7 vagy több | Sikeres | |
| 5.5.1.4 | Győződjön meg arról, hogy az inaktív jelszózárolás legalább 30 nap | Sikeres | |
| 5.5.1.5 | Győződjön meg arról, hogy az összes felhasználó legutóbbi jelszómódosítási dátuma a múltban van | Sikeres | |
| 6.1.1 | Győződjön meg arról, hogy a /etc/passwd engedélyek konfigurálva vannak | Sikeres | |
| 6.1.2 | Győződjön meg arról, hogy a /etc/passwd- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.3 | Győződjön meg arról, hogy az /etc/group engedélyei konfigurálva vannak | Sikeres | |
| 6.1.4 | Győződjön meg arról, hogy az /etc/group- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.5 | Győződjön meg arról, hogy az /etc/shadow engedélyek konfigurálva vannak | Sikeres | |
| 6.1.6 | Győződjön meg arról, hogy az /etc/shadow- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.7 | Győződjön meg arról, hogy a /etc/gshadow engedélyei konfigurálva vannak | Sikeres | |
| 6.1.8 | Győződjön meg arról, hogy a /etc/gshadow- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.9 | Győződjön meg arról, hogy nincsenek nem felügyelt vagy nem csoportosított fájlok vagy könyvtárak | Sikeres | |
| 6.1.10 | Győződjön meg arról, hogy a világ írható fájljai és könyvtárai biztonságban vannak | Sikeres | |
| 6.2.1 | Győződjön meg arról, hogy a jelszómezők nem üresek | Sikeres | |
| 6.2.2 | Győződjön meg arról, hogy az /etc/passwd összes csoportja létezik az /etc/group-ban | Sikeres | |
| 6.2.3 | Győződjön meg arról, hogy nincsenek ismétlődő felhasználói azonosítók | Sikeres | |
| 6.2.4 | Győződjön meg arról, hogy nincsenek ismétlődő GID-k | Sikeres | |
| 6.2.5 | Győződjön meg arról, hogy nincsenek ismétlődő felhasználónevek | Sikeres | |
| 6.2.6 | Győződjön meg arról, hogy nincsenek ismétlődő csoportnevek | Sikeres | |
| 6.2.7 | A gyökér ELÉRÉSI ÚT integritásának biztosítása | Sikeres | |
| 6.2.8 | Győződjön meg arról, hogy a gyökér az egyetlen UID 0-fiók | Sikeres | |
| 6.2.9 | Győződjön meg arról, hogy az összes felhasználó otthoni címtára létezik | Sikeres | |
| 6.2.10 | Győződjön meg arról, hogy a felhasználók saját otthoni címtáraik | Sikeres | |
| 6.2.11 | Győződjön meg arról, hogy a felhasználók otthoni címtárengedélyei 750-et vagy szigorúbbak | Sikeres | |
| 6.2.12 | Győződjön meg arról, hogy a felhasználók pontfájljai nem csoportosíthatók vagy írhatóak a világon | Sikeres | |
| 6.2.13 | Győződjön meg arról, hogy a felhasználók .netrc fájljai nem csoporthoz vagy világhoz érhetők el | Sikeres | |
| 6.2.14 | Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .forward fájlokkal | Sikeres | |
| 6.2.15 | Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .netrc-fájlokkal | Sikeres | |
| 6.2.16 | Győződjön meg arról, hogy a felhasználók nem rendelkeznek .rhosts-fájlokkal | Sikeres |
Következő lépések
Az Azure Linux Container Host biztonságával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
Azure Kubernetes Service