Az Azure Kubernetes Service (AKS) Ubuntu rendszerképének igazítása a Center for Internet Security (CIS) benchmarktal
Biztonságos szolgáltatásként az Azure Kubernetes Service (AKS) megfelel az SOC, az ISO, a PCI DSS és a HIPAA szabványnak. Ez a cikk az AKS által használt Ubuntu rendszerképre alkalmazott biztonsági operációsrendszer-konfigurációt ismerteti. Ez a biztonsági konfiguráció az Azure Linux biztonsági alapkonfigurációján alapul, amely megfelel a CIS-teljesítménytesztnek. Az AKS biztonságával kapcsolatos további információkért tekintse meg az Azure Kubernetes Service (AKS) alkalmazásainak és fürtjeinek biztonsági alapelveit. Az AKS biztonságával kapcsolatos további információkért tekintse meg az Azure Kubernetes Service (AKS) alkalmazásainak és fürtjeinek biztonsági alapelveit. A CIS-referenciamutatóval kapcsolatos további információkért lásd : Center for Internet Security (CIS) Benchmarks. A Linux azure-beli biztonsági alapkonfigurációiról további információt a Linux biztonsági alapkonfigurációiban talál.
Ubuntu LTS 18.04
Az AKS-fürtök gazdagép virtuális gépeken vannak üzembe helyezve, amelyek beépített biztonságos konfigurációkkal rendelkező operációs rendszert futtatnak. Ez az operációs rendszer az AKS-en futó tárolókhoz használatos. Ez a gazdagép operációs rendszere egy Ubuntu 18.04.LTS rendszerképen alapul, és biztonsági konfigurációkat alkalmaz.
A biztonságra optimalizált operációs rendszer részeként:
- Az AKS alapértelmezés szerint biztonsági szempontból optimalizált gazdagép operációs rendszert biztosít, de nincs lehetőség másik operációs rendszer kiválasztására.
- A biztonságra optimalizált gazdagép operációs rendszere kifejezetten az AKS-hez készült és tartható fenn, és nem támogatott az AKS platformon kívül.
- Néhány szükségtelen kernelmodul-illesztőprogram le lett tiltva az operációs rendszerben a támadási felület csökkentése érdekében.
Feljegyzés
A CIS-teljesítménymutatóktól független Azure napi javításokat alkalmaz, beleértve a biztonsági javításokat is az AKS virtuálisgép-gazdagépekre.
A gazdagép operációs rendszerébe beépített biztonságos konfiguráció célja, hogy csökkentse a támadás felületét, és biztonságos módon optimalizálja a tárolók üzembe helyezését.
Az alábbiakban a CIS Ubuntu 18.04 LTS Benchmark 2.1.0-s verzióra vonatkozó javaslatainak eredményeit mutatjuk be.
A javaslatoknak az alábbi okai lehetnek:
- Lehetséges műveleti hatás – A javaslat nem lett alkalmazva, mert negatív hatással lenne a szolgáltatásra.
- Máshol is lefedve – A javaslatot az Azure Cloud Compute egy másik vezérlője ismerteti.
A ciS-szabályok a következők:
| CIS-bekezdésszám | Javaslat leírása | Állapot | Ok |
|---|---|---|---|
| 0 | Kezdeti beállítás | ||
| 1,1 | Fájlrendszer konfigurálása | ||
| 1.1.1 | Nem használt fájlrendszerek letiltása | ||
| 1.1.1.1 | Győződjön meg arról, hogy a cramfs fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.1.2 | Győződjön meg arról, hogy a freevxfs fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.1.3 | Győződjön meg arról, hogy a jffs2 fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.1.4 | Győződjön meg arról, hogy a hfs fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.1.5 | Győződjön meg arról, hogy a hfsplus fájlrendszerek csatlakoztatása le van tiltva | Sikeres | |
| 1.1.1.6 | Győződjön meg arról, hogy az udf fájlrendszerek csatlakoztatása le van tiltva | Sikertelen | Lehetséges működési hatás |
| 1.1.2 | Győződjön meg arról, hogy a /tmp konfigurálva van | Sikertelen | |
| 1.1.3 | Győződjön meg arról, hogy a nodev beállítás be van állítva a /tmp partíción | Sikertelen | |
| 1.1.4 | Győződjön meg arról, hogy a nosuid beállítás be van állítva a /tmp partíción | Sikeres | |
| 1.1.5 | Győződjön meg arról, hogy a noexec beállítás be van állítva a /tmp partíción | Sikeres | |
| 1.1.6 | Győződjön meg arról, hogy a /dev/shm konfigurálva van | Sikeres | |
| 1.1.7 | Győződjön meg arról, hogy a nodev beállítás be van állítva a /dev/shm partíción | Sikeres | |
| 1.1.8 | Győződjön meg arról, hogy a nosuid beállítás be van állítva a /dev/shm partíción | Sikeres | |
| 1.1.9 | Győződjön meg arról, hogy a noexec beállítás be van állítva a /dev/shm partíción | Sikertelen | Lehetséges működési hatás |
| 1.1.12 | Győződjön meg arról, hogy a /var/tmp partíció tartalmazza a nodev beállítást | Sikeres | |
| 1.1.13 | Győződjön meg arról, hogy a /var/tmp partíció tartalmazza a nosuid beállítást | Sikeres | |
| 1.1.14 | Győződjön meg arról, hogy a /var/tmp partíció tartalmazza a noexec beállítást | Sikeres | |
| 1.1.18 | Győződjön meg arról, hogy a /home partíció tartalmazza a nodev beállítást | Sikeres | |
| 1.1.19 | Győződjön meg arról, hogy a nodev beállítás be van állítva cserélhető médiapartíciókon | Nem alkalmazható | |
| 1.1.20 | Győződjön meg arról, hogy a nosuid beállítás meg van adva a cserélhető médiapartíciókon | Nem alkalmazható | |
| 1.1.21 | Győződjön meg arról, hogy a noexec beállítás be van állítva cserélhető médiapartíciókon | Nem alkalmazható | |
| 1.1.22 | Győződjön meg arról, hogy a ragacsos bit be van állítva az összes világ írható könyvtárában | Sikertelen | Lehetséges műveleti hatás |
| 1.1.23 | Automatikus leválasztás letiltása | Sikeres | |
| 1.1.24 | USB Storage letiltása | Sikeres | |
| 1,2 | Szoftverfrissítések konfigurálása | ||
| 1.2.1 | Győződjön meg arról, hogy a Csomagkezelő-adattárak konfigurálva vannak | Sikeres | Máshol lefedve |
| 1.2.2 | Győződjön meg arról, hogy a GPG-kulcsok konfigurálva vannak | Nem alkalmazható | |
| 1.3 | Fájlrendszer integritásának ellenőrzése | ||
| 1.3.1 | Győződjön meg arról, hogy az AIDE telepítve van | Sikertelen | Máshol lefedve |
| 1.3.2 | A fájlrendszer integritásának rendszeres ellenőrzése | Sikertelen | Máshol lefedve |
| 1.4 | Biztonságos rendszerindítási beállítások | ||
| 1.4.1 | Győződjön meg arról, hogy a rendszerindító konfigurációjának engedélyei nincsenek felülbíráltak | Sikertelen | |
| 1.4.2 | Győződjön meg arról, hogy a rendszerindító jelszava be van állítva | Sikertelen | Nem alkalmazható |
| 1.4.3 | Győződjön meg arról, hogy a rendszerindító konfigurációjának engedélyei konfigurálva vannak | Sikertelen | |
| 1.4.4 | Győződjön meg arról, hogy az egyfelhasználós módhoz szükséges hitelesítés szükséges | Sikertelen | Nem alkalmazható |
| 1,5 | További folyamatkeményítés | ||
| 1.5.1 | Győződjön meg arról, hogy az XD/NX támogatás engedélyezve van | Nem alkalmazható | |
| 1.5.2 | Ellenőrizze, hogy engedélyezve van-e a címtérelrendezés véletlenszerűsítése (ASLR) | Sikeres | |
| 1.5.3 | Győződjön meg arról, hogy az előhivatkozás le van tiltva | Sikeres | |
| 1.5.4 | Győződjön meg arról, hogy az alapvető memóriaképek korlátozottak | Sikeres | |
| 1.6 | Kötelező hozzáférés-vezérlés | ||
| 1.6.1 | AppArmor konfigurálása | ||
| 1.6.1.1 | Győződjön meg arról, hogy az AppArmor telepítve van | Sikeres | |
| 1.6.1.2 | Győződjön meg arról, hogy az AppArmor engedélyezve van a rendszerindító konfigurációjában | Sikertelen | Lehetséges műveleti hatás |
| 1.6.1.3 | Győződjön meg arról, hogy az összes AppArmor-profil kényszerítés vagy panasz módban van | Sikeres | |
| 1,7 | Parancssori figyelmeztető szalagcímek | ||
| 1.7.1 | Győződjön meg arról, hogy a nap üzenete megfelelően van konfigurálva | Sikeres | |
| 1.7.2 | Győződjön meg arról, hogy a /etc/issue.net engedélyei konfigurálva vannak | Sikeres | |
| 1.7.3 | Győződjön meg arról, hogy a /etc/issue engedélyek konfigurálva vannak | Sikeres | |
| 1.7.4 | Győződjön meg arról, hogy a /etc/motd engedélyek konfigurálva vannak | Sikeres | |
| 1.7.5 | Győződjön meg arról, hogy a távoli bejelentkezés figyelmeztető szalagcíme megfelelően van konfigurálva | Sikeres | |
| 1.7.6 | Győződjön meg arról, hogy a helyi bejelentkezési figyelmeztető szalagcím megfelelően van konfigurálva | Sikeres | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Győződjön meg arról, hogy a GDM bejelentkezési szalagcíme konfigurálva van | Sikeres | |
| 1.8.3 | Győződjön meg arról, hogy engedélyezve van a felhasználó letiltása lista | Sikeres | |
| 1.8.4 | Győződjön meg arról, hogy az XDCMP nincs engedélyezve | Sikeres | |
| 1,9 | Győződjön meg arról, hogy a frissítések, javítások és további biztonsági szoftverek telepítve vannak | Sikeres | |
| 2 | Szolgáltatások | ||
| 2.1 | Speciális célú szolgáltatások | ||
| 2.1.1 | Időszinkronizálás | ||
| 2.1.1.1 | Győződjön meg arról, hogy az időszinkronizálás használatban van | Sikeres | |
| 2.1.1.2 | Ellenőrizze, hogy a systemd-timesyncd konfigurálva van-e | Nem alkalmazható | Az AKS ntpd-t használ a timesynchez |
| 2.1.1.3 | Ellenőrizze, hogy a chrony konfigurálva van-e | Sikertelen | Máshol lefedve |
| 2.1.1.4 | Győződjön meg arról, hogy az ntp konfigurálva van | Sikeres | |
| 2.1.2 | Győződjön meg arról, hogy az X Ablakrendszer nincs telepítve | Sikeres | |
| 2.1.3 | Győződjön meg arról, hogy az Avahi Server nincs telepítve | Sikeres | |
| 2.1.4 | Győződjön meg arról, hogy a CUPS nincs telepítve | Sikeres | |
| 2.1.5 | Győződjön meg arról, hogy a DHCP-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.6 | Győződjön meg arról, hogy az LDAP-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.7 | Győződjön meg arról, hogy az NFS nincs telepítve | Sikeres | |
| 2.1.8 | Győződjön meg arról, hogy a DNS-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.9 | Győződjön meg arról, hogy az FTP-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.10 | Győződjön meg arról, hogy a HTTP-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.11 | Győződjön meg arról, hogy az IMAP- és POP3-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.12 | Győződjön meg arról, hogy a Samba nincs telepítve | Sikeres | |
| 2.1.13 | Győződjön meg arról, hogy a HTTP-proxykiszolgáló nincs telepítve | Sikeres | |
| 2.1.14 | Győződjön meg arról, hogy az SNMP-kiszolgáló nincs telepítve | Sikeres | |
| 2.1.15 | Győződjön meg arról, hogy a levelezési ügynök csak helyi módra van konfigurálva | Sikeres | |
| 2.1.16 | Győződjön meg arról, hogy az rsync szolgáltatás nincs telepítve | Sikertelen | |
| 2.1.17 | Győződjön meg arról, hogy a NIS-kiszolgáló nincs telepítve | Sikeres | |
| 2,2 | Szolgáltatás-ügyfelek | ||
| 2.2.1 | Győződjön meg arról, hogy a NIS-ügyfél nincs telepítve | Sikeres | |
| 2.2.2 | Győződjön meg arról, hogy az rsh-ügyfél nincs telepítve | Sikeres | |
| 2.2.3 | Győződjön meg arról, hogy a talk-ügyfél nincs telepítve | Sikeres | |
| 2.2.4 | Győződjön meg arról, hogy a telnet-ügyfél nincs telepítve | Sikertelen | |
| 2.2.5 | Győződjön meg arról, hogy az LDAP-ügyfél nincs telepítve | Sikeres | |
| 2.2.6 | Győződjön meg arról, hogy az RPC nincs telepítve | Sikertelen | Lehetséges működési hatás |
| 2.3 | Győződjön meg arról, hogy a nem fontos szolgáltatások el lettek távolítva vagy maszkolva vannak | Sikeres | |
| 3 | Hálózati konfiguráció | ||
| 3.1 | A nem használt hálózati protokollok és eszközök letiltása | ||
| 3.1.2 | Győződjön meg arról, hogy a vezeték nélküli adapterek le vannak tiltva | Sikeres | |
| 3.2 | Hálózati paraméterek (csak gazdagép) | ||
| 3.2.1 | Győződjön meg arról, hogy a csomagátirányítás küldése le van tiltva | Sikeres | |
| 3.2.2 | Győződjön meg arról, hogy az IP-továbbítás le van tiltva | Sikertelen | Nem alkalmazható |
| 3.3 | Hálózati paraméterek (gazdagép és útválasztó) | ||
| 3.3.1 | Győződjön meg arról, hogy a forrás által irányított csomagok nem fogadhatók el | Sikeres | |
| 3.3.2 | Győződjön meg arról, hogy az ICMP-átirányítások nem fogadhatók el | Sikeres | |
| 3.3.3 | Győződjön meg arról, hogy a biztonságos ICMP-átirányítások nem fogadhatók el | Sikeres | |
| 3.3.4 | Gyanús csomagok naplózásának ellenőrzése | Sikeres | |
| 3.3.5 | Győződjön meg arról, hogy a szórásos ICMP-kérések figyelmen kívül vannak hagyva | Sikeres | |
| 3.3.6 | Győződjön meg arról, hogy a rendszer figyelmen kívül hagyja a hamis ICMP-válaszokat | Sikeres | |
| 3.3.7 | Győződjön meg arról, hogy a fordított elérési út szűrése engedélyezve van | Sikeres | |
| 3.3.8 | Győződjön meg arról, hogy a TCP SYN-cookie-k engedélyezve van | Sikeres | |
| 3.3.9 | Győződjön meg arról, hogy az IPv6-útválasztó hirdetései nem fogadhatók el | Sikeres | |
| 3.4 | Nem gyakori hálózati protokollok | ||
| 3,5 | Tűzfalkonfiguráció | ||
| 3.5.1 | A UncomplicatedFirewall konfigurálása | ||
| 3.5.1.1 | Győződjön meg arról, hogy az ufw telepítve van | Sikeres | |
| 3.5.1.2 | Győződjön meg arról, hogy az iptables-persistent nincs telepítve az ufw használatával | Sikeres | |
| 3.5.1.3 | Győződjön meg arról, hogy az ufw szolgáltatás engedélyezve van | Sikertelen | Máshol lefedve |
| 3.5.1.4 | Győződjön meg arról, hogy az ufw-visszacsatolási forgalom konfigurálva van | Sikertelen | Máshol lefedve |
| 3.5.1.5 | Győződjön meg arról, hogy az ufw kimenő kapcsolatok konfigurálva vannak | Nem alkalmazható | Máshol lefedve |
| 3.5.1.6 | Győződjön meg arról, hogy az ufw tűzfalszabályok minden nyitott portra vonatkoznak | Nem alkalmazható | Máshol lefedve |
| 3.5.1.7 | Győződjön meg arról, hogy az ufw alapértelmezett megtagadási tűzfalszabályzata | Sikertelen | Máshol lefedve |
| 3.5.2 | Nftables konfigurálása | ||
| 3.5.2.1 | Győződjön meg arról, hogy az nftables telepítve van | Sikertelen | Máshol lefedve |
| 3.5.2.2 | Győződjön meg arról, hogy az ufw el lett távolítva vagy letiltva nftables használatával | Sikertelen | Máshol lefedve |
| 3.5.2.3 | Győződjön meg arról, hogy az iptable-k ki vannak ürítve nftables használatával | Nem alkalmazható | Máshol lefedve |
| 3.5.2.4 | Ellenőrizze, hogy létezik-e nftables tábla | Sikertelen | Máshol lefedve |
| 3.5.2.5 | Ellenőrizze, hogy léteznek-e nftables alapláncok | Sikertelen | Máshol lefedve |
| 3.5.2.6 | Győződjön meg arról, hogy az nftables-visszacsatolási forgalom konfigurálva van | Sikertelen | Máshol lefedve |
| 3.5.2.7 | Győződjön meg arról, hogy az nftables kimenő és a létrehozott kapcsolatok konfigurálva vannak | Nem alkalmazható | Máshol lefedve |
| 3.5.2.8 | Győződjön meg arról, hogy az nftables alapértelmezett megtagadási tűzfalszabályzata | Sikertelen | Máshol lefedve |
| 3.5.2.9 | Győződjön meg arról, hogy az nftables szolgáltatás engedélyezve van | Sikertelen | Máshol lefedve |
| 3.5.2.10 | Győződjön meg arról, hogy az nftables-szabályok állandóak | Sikertelen | Máshol lefedve |
| 3.5.3 | Iptables konfigurálása | ||
| 3.5.3.1 | Iptables szoftver konfigurálása | ||
| 3.5.3.1.1 | Győződjön meg arról, hogy az iptables-csomagok telepítve vannak | Sikertelen | Máshol lefedve |
| 3.5.3.1.2 | Győződjön meg arról, hogy az nftables nincs telepítve iptables használatával | Sikeres | |
| 3.5.3.1.3 | Győződjön meg arról, hogy az iptables eltávolítja vagy letiltja az ufw-t | Sikertelen | Máshol lefedve |
| 3.5.3.2 | IPv4 iptables konfigurálása | ||
| 3.5.3.2.1 | Győződjön meg arról, hogy az iptables alapértelmezett megtagadási tűzfalszabályzata | Sikertelen | Máshol lefedve |
| 3.5.3.2.2 | Győződjön meg arról, hogy az iptables-visszacsatolási forgalom konfigurálva van | Sikertelen | Nem alkalmazható |
| 3.5.3.2.3 | Győződjön meg arról, hogy az iptables kimenő és a létrehozott kapcsolatok konfigurálva vannak | Nem alkalmazható | |
| 3.5.3.2.4 | Győződjön meg arról, hogy az iptables tűzfalszabályok minden nyitott portra vonatkoznak | Sikertelen | Lehetséges műveleti hatás |
| 3.5.3.3 | IPv6 ip6tables konfigurálása | ||
| 3.5.3.3.1 | Győződjön meg arról, hogy az ip6tables alapértelmezett megtagadási tűzfalszabályzata | Sikertelen | Máshol lefedve |
| 3.5.3.3.2 | Győződjön meg arról, hogy az ip6tables-visszacsatolási forgalom konfigurálva van | Sikertelen | Máshol lefedve |
| 3.5.3.3.3 | Győződjön meg arról, hogy az ip6tables kimenő és a létrehozott kapcsolatok konfigurálva vannak | Nem alkalmazható | Máshol lefedve |
| 3.5.3.3.4 | Győződjön meg arról, hogy az ip6tables tűzfalszabályok minden nyitott portra vonatkoznak | Sikertelen | Máshol lefedve |
| 4 | Naplózás | ||
| 4.1 | Rendszerkönyvelés konfigurálása (auditált) | ||
| 4.1.1.2 | Győződjön meg arról, hogy a naplózás engedélyezve van | ||
| 4.1.2 | Adatmegőrzés konfigurálása | ||
| 4.2 | Naplózás konfigurálása | ||
| 4.2.1 | Rsyslog konfigurálása | ||
| 4.2.1.1 | Győződjön meg arról, hogy az rsyslog telepítve van | Sikeres | |
| 4.2.1.2 | Győződjön meg arról, hogy az rsyslog szolgáltatás engedélyezve van | Sikeres | |
| 4.2.1.3 | Győződjön meg arról, hogy a naplózás konfigurálva van | Sikeres | |
| 4.2.1.4 | Ellenőrizze, hogy az rsyslog alapértelmezett fájlengedélyei konfigurálva legyenek-e | Sikeres | |
| 4.2.1.5 | Győződjön meg arról, hogy az rsyslog úgy van konfigurálva, hogy naplókat küldjön egy távoli naplógazda számára | Sikertelen | Máshol lefedve |
| 4.2.1.6 | Győződjön meg arról, hogy a távoli rsyslog-üzeneteket csak a kijelölt naplógazdák fogadják el. | Nem alkalmazható | |
| 4.2.2 | Naplózott konfigurálása | ||
| 4.2.2.1 | Győződjön meg arról, hogy a naplók úgy van konfigurálva, hogy naplókat küldjenek az rsyslogba | Sikeres | |
| 4.2.2.2 | Győződjön meg arról, hogy a naplózott fájl nagy méretű naplófájlok tömörítésére van konfigurálva | Sikertelen | |
| 4.2.2.3 | Győződjön meg arról, hogy a naplózva van úgy konfigurálva, hogy naplófájlokat írjon állandó lemezre | Sikeres | |
| 4.2.3 | Győződjön meg arról, hogy az összes naplófájl engedélye konfigurálva van | Sikertelen | |
| 4.3 | Ellenőrizze, hogy a logrotate konfigurálva van-e | Sikeres | |
| 4.4 | Győződjön meg arról, hogy a logrotate megfelelő engedélyeket rendel hozzá | Sikertelen | |
| 5 | Hozzáférés, hitelesítés és engedélyezés | ||
| 5,1 | Időalapú feladatütemezők konfigurálása | ||
| 5.1.1 | Győződjön meg arról, hogy a cron démon engedélyezve van és fut | Sikeres | |
| 5.1.2 | Győződjön meg arról, hogy az /etc/crontab engedélyei konfigurálva vannak | Sikeres | |
| 5.1.3 | Győződjön meg arról, hogy a /etc/cron.hourly engedélyek konfigurálva vannak | Sikeres | |
| 5.1.4 | Győződjön meg arról, hogy a /etc/cron.daily engedélyek konfigurálva vannak | Sikeres | |
| 5.1.5 | Győződjön meg arról, hogy a /etc/cron.heti engedélyek konfigurálva vannak | Sikeres | |
| 5.1.6 | Győződjön meg arról, hogy a /etc/cron.monthly engedélyek konfigurálva vannak | Sikeres | |
| 5.1.7 | Győződjön meg arról, hogy a /etc/cron.d engedélyek konfigurálva vannak | Sikeres | |
| 5.1.8 | Győződjön meg arról, hogy a cron csak jogosult felhasználókra korlátozódik | Sikertelen | |
| 5.1.9 | Győződjön meg arról, hogy a "at" csak a jogosult felhasználókra korlátozódik | Sikertelen | |
| 5,2 | Sudo konfigurálása | ||
| 5.2.1 | Győződjön meg arról, hogy a sudo telepítve van | Sikeres | |
| 5.2.2 | Győződjön meg arról, hogy a sudo parancsok pty-t használnak | Sikertelen | Lehetséges működési hatás |
| 5.2.3 | Győződjön meg arról, hogy a sudo naplófájl létezik | Sikertelen | |
| 5.3 | SSH-kiszolgáló konfigurálása | ||
| 5.3.1 | Győződjön meg arról, hogy a /etc/ssh/sshd_config engedélyei konfigurálva vannak | Sikeres | |
| 5.3.2 | Győződjön meg arról, hogy az SSH privát gazdagépkulcs-fájljaira vonatkozó engedélyek konfigurálva vannak | Sikeres | |
| 5.3.3 | Győződjön meg arról, hogy az SSH nyilvános gazdagépkulcs-fájljaira vonatkozó engedélyek konfigurálva vannak | Sikeres | |
| 5.3.4 | Győződjön meg arról, hogy az SSH-hozzáférés korlátozott | Sikeres | |
| 5.3.5 | Győződjön meg arról, hogy az SSH LogLevel megfelelő | Sikeres | |
| 5.3.7 | Győződjön meg arról, hogy az SSH MaxAuthTries értéke 4 vagy kevesebb | Sikeres | |
| 5.3.8 | Győződjön meg arról, hogy az SSH IgnoreRhosts engedélyezve van | Sikeres | |
| 5.3.9 | Győződjön meg arról, hogy az SSH HostbasedAuthentication le van tiltva | Sikeres | |
| 5.3.10 | Győződjön meg arról, hogy az SSH fő bejelentkezése le van tiltva | Sikeres | |
| 5.3.11 | Győződjön meg arról, hogy az SSH PermitEmptyPasswords le van tiltva | Sikeres | |
| 5.3.12 | Győződjön meg arról, hogy az SSH PermitUserEnvironment le van tiltva | Sikeres | |
| 5.3.13 | Győződjön meg arról, hogy csak erős titkosítások vannak használatban | Sikeres | |
| 5.3.14 | Győződjön meg arról, hogy csak erős MAC-algoritmusok vannak használatban | Sikeres | |
| 5.3.15 | Győződjön meg arról, hogy csak erős Key Exchange-algoritmusok vannak használatban | Sikeres | |
| 5.3.16 | Győződjön meg arról, hogy az SSH tétlen időtúllépési időköze konfigurálva van | Sikertelen | |
| 5.3.17 | Győződjön meg arról, hogy az SSH LoginGraceTime értéke legalább egy perc | Sikeres | |
| 5.3.18 | Győződjön meg arról, hogy az SSH figyelmeztető szalagcíme konfigurálva van | Sikeres | |
| 5.3.19 | Győződjön meg arról, hogy az SSH PAM engedélyezve van | Sikeres | |
| 5.3.21 | Győződjön meg arról, hogy az SSH MaxStartups konfigurálva van | Sikertelen | |
| 5.3.22 | Győződjön meg arról, hogy az SSH MaxSessions korlátozott | Sikeres | |
| 5,4 | A PAM konfigurálása | ||
| 5.4.1 | Győződjön meg arról, hogy a jelszó-létrehozási követelmények konfigurálva vannak | Sikeres | |
| 5.4.2 | Győződjön meg arról, hogy a sikertelen jelszókísérletek zárolása konfigurálva van | Sikertelen | |
| 5.4.3 | Győződjön meg arról, hogy a jelszó újrafelhasználása korlátozott | Sikertelen | |
| 5.4.4 | Győződjön meg arról, hogy a jelszókivonat-algoritmus SHA-512 | Sikeres | |
| 5,5 | Felhasználói fiókok és környezet | ||
| 5.5.1 | Árnyékjelszó-csomag paramétereinek beállítása | ||
| 5.5.1.1 | Győződjön meg arról, hogy a jelszómódosítások közötti minimális napok száma konfigurálva van | Sikeres | |
| 5.5.1.2 | Győződjön meg arról, hogy a jelszó lejárata legalább 365 nap | Sikeres | |
| 5.5.1.3 | Győződjön meg arról, hogy a jelszó lejárati figyelmeztetési napja 7 vagy több | Sikeres | |
| 5.5.1.4 | Győződjön meg arról, hogy az inaktív jelszózárolás legalább 30 nap | Sikeres | |
| 5.5.1.5 | Győződjön meg arról, hogy az összes felhasználó legutóbbi jelszómódosítási dátuma a múltban van | Sikertelen | |
| 5.5.2 | A rendszerfiókok biztonságának biztosítása | Sikeres | |
| 5.5.3 | Győződjön meg arról, hogy a legfelső szintű fiók alapértelmezett csoportja a GID 0 | Sikeres | |
| 5.5.4 | Győződjön meg arról, hogy az alapértelmezett felhasználói umask 027 vagy szigorúbb | Sikeres | |
| 5.5.5 | Győződjön meg arról, hogy a felhasználói felület alapértelmezett időtúllépése legalább 900 másodperc | Sikertelen | |
| 5,6 | Győződjön meg arról, hogy a fő bejelentkezés a rendszerkonzolra korlátozódik | Nem alkalmazható | |
| 5.7 | Győződjön meg arról, hogy a su parancshoz való hozzáférés korlátozott | Sikertelen | Lehetséges műveleti hatás |
| 6 | Rendszerkarbantartás | ||
| 6.1 | Rendszerfájl engedélyei | ||
| 6.1.2 | Győződjön meg arról, hogy a /etc/passwd engedélyek konfigurálva vannak | Sikeres | |
| 6.1.3 | Győződjön meg arról, hogy a /etc/passwd- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.4 | Győződjön meg arról, hogy az /etc/group engedélyei konfigurálva vannak | Sikeres | |
| 6.1.5 | Győződjön meg arról, hogy az /etc/group- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.6 | Győződjön meg arról, hogy az /etc/shadow engedélyek konfigurálva vannak | Sikeres | |
| 6.1.7 | Győződjön meg arról, hogy az /etc/shadow- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.8 | Győződjön meg arról, hogy a /etc/gshadow engedélyei konfigurálva vannak | Sikeres | |
| 6.1.9 | Győződjön meg arról, hogy a /etc/gshadow- engedélyek konfigurálva vannak | Sikeres | |
| 6.1.10 | Győződjön meg arról, hogy a világ írható fájljai nem léteznek | Sikertelen | Lehetséges műveleti hatás |
| 6.1.11 | Győződjön meg arról, hogy nincsenek nem megtagadott fájlok vagy könyvtárak | Sikertelen | Lehetséges műveleti hatás |
| 6.1.12 | Győződjön meg arról, hogy nincsenek nem csoportosított fájlok vagy könyvtárak | Sikertelen | Lehetséges műveleti hatás |
| 6.1.13 | SUID-végrehajtható fájlok naplózása | Nem alkalmazható | |
| 6.1.14 | SGID-végrehajtható fájlok naplózása | Nem alkalmazható | |
| 6,2 | Felhasználói és csoportbeállítások | ||
| 6.2.1 | Győződjön meg arról, hogy a /etc/passwd fiókok árnyékolt jelszavakat használnak | Sikeres | |
| 6.2.2 | Győződjön meg arról, hogy a jelszómezők nem üresek | Sikeres | |
| 6.2.3 | Győződjön meg arról, hogy az /etc/passwd összes csoportja létezik az /etc/group-ban | Sikeres | |
| 6.2.4 | Győződjön meg arról, hogy az összes felhasználó otthoni címtára létezik | Sikeres | |
| 6.2.5 | Győződjön meg arról, hogy a felhasználók birtokolják az otthoni címtáraikat | Sikeres | |
| 6.2.6 | Győződjön meg arról, hogy a felhasználók otthoni címtárengedélyei 750-et vagy szigorúbbak | Sikeres | |
| 6.2.7 | Győződjön meg arról, hogy a felhasználók pontfájljai nem csoportosíthatók vagy írhatóak a világon | Sikeres | |
| 6.2.8 | Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .netrc-fájlokkal | Sikeres | |
| 6.2.9 | Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .forward fájlokkal | Sikeres | |
| 6.2.10 | Győződjön meg arról, hogy a felhasználók nem rendelkeznek .rhosts-fájlokkal | Sikeres | |
| 6.2.11 | Győződjön meg arról, hogy a gyökér az egyetlen UID 0-fiók | Sikeres | |
| 6.2.12 | A gyökér ELÉRÉSI ÚT integritásának biztosítása | Sikeres | |
| 6.2.13 | Győződjön meg arról, hogy nincsenek ismétlődő felhasználói azonosítók | Sikeres | |
| 6.2.14 | Győződjön meg arról, hogy nincsenek ismétlődő GID-k | Sikeres | |
| 6.2.15 | Győződjön meg arról, hogy nincsenek ismétlődő felhasználónevek | Sikeres | |
| 6.2.16 | Győződjön meg arról, hogy nincsenek ismétlődő csoportnevek | Sikeres | |
| 6.2.17 | Ellenőrizze, hogy az árnyékcsoport üres-e | Sikeres |
Következő lépések
Az AKS biztonságával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
Azure Kubernetes Service