Azure Kubernetes Service (AKS) Ubuntu-installatiekopie uitlijning met CIS-benchmark (Center for Internet Security)
Azure Kubernetes Service (AKS) voldoet als een veilige service aan SOC-, ISO-, PCI DSS- en HIPAA-standaarden. In dit artikel wordt de beveiligingsconfiguratie van het besturingssysteem beschreven die wordt toegepast op de Ubuntu-installatiekopie die wordt gebruikt door AKS. Deze beveiligingsconfiguratie is gebaseerd op de Basislijn voor Linux-beveiliging van Azure, die overeenkomt met CIS-benchmark. Zie Beveiligingsconcepten voor toepassingen en clusters in Azure Kubernetes Service (AKS) voor meer informatie over AKS-beveiliging. Zie Beveiligingsconcepten voor toepassingen en clusters in Azure Kubernetes Service (AKS) voor meer informatie over AKS-beveiliging. Zie Center for Internet Security (CIS) Benchmarks voor meer informatie over de CIS-benchmark. Zie de Basislijn voor Linux-beveiliging voor meer informatie over de Azure-beveiligingsbasislijnen voor Linux.
Ubuntu LTS 18.04
AKS-clusters worden geïmplementeerd op virtuele hostmachines, waarop een besturingssysteem met ingebouwde beveiligde configuraties wordt uitgevoerd. Dit besturingssysteem wordt gebruikt voor containers die worden uitgevoerd op AKS. Dit hostbesturingssysteem is gebaseerd op een Ubuntu 18.04.LTS-installatiekopie waarop beveiligingsconfiguraties zijn toegepast.
Als onderdeel van het besturingssysteem dat is geoptimaliseerd voor beveiliging:
- AKS biedt standaard een voor beveiliging geoptimaliseerd hostbesturingssysteem, maar geen optie om een alternatief besturingssysteem te selecteren.
- Het voor beveiliging geoptimaliseerde hostbesturingssysteem wordt speciaal voor AKS gebouwd en onderhouden en wordt niet ondersteund buiten het AKS-platform.
- Sommige onnodige kernelmodulestuurprogramma's zijn uitgeschakeld in het besturingssysteem om het kwetsbaarheid voor aanvallen te verminderen.
Notitie
Azure is niet gerelateerd aan de CIS-benchmarks en past dagelijkse patches, inclusief beveiligingspatches, toe op AKS-hosts voor virtuele machines.
Het doel van de beveiligde configuratie die is ingebouwd in het host-besturingssysteem is om het oppervlak van aanvallen te verminderen en te optimaliseren voor de implementatie van containers op een veilige manier.
Hieronder volgen de resultaten van de aanbevelingen van CIS Ubuntu 18.04 LTS Benchmark v2.1.0 .
Aanbevelingen kunnen een van de volgende redenen hebben:
- Mogelijke impact op bewerkingen : aanbeveling is niet toegepast omdat deze een negatief effect op de service zou hebben.
- Elders behandeld: aanbeveling wordt gedekt door een ander besturingselement in Azure Cloud Compute.
Hier volgen CIS-regels die zijn geïmplementeerd:
| CIS-alineanummer | Beschrijving van aanbeveling | Status | Reden |
|---|---|---|---|
| 1 | Eerste configuratie | ||
| 1.1 | Bestandssysteemconfiguratie | ||
| 1.1.1 | Ongebruikte bestandssysteem uitschakelen | ||
| 1.1.1.1 | Zorg ervoor dat het koppelen van cramfs-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.1.2 | Zorg ervoor dat het koppelen van freevxfs-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.1.3 | Zorg ervoor dat het koppelen van jffs2-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.1.4 | Zorg ervoor dat het koppelen van hfs-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.1.5 | Zorg ervoor dat het koppelen van hfsplus-bestandssysteem is uitgeschakeld | Geslaagd | |
| 1.1.1.6 | Zorg ervoor dat het koppelen van udf-bestandssysteem is uitgeschakeld | Mislukt | Mogelijke operationele impact |
| 1.1.2 | Controleren of /tmp is geconfigureerd | Mislukt | |
| 1.1.3 | Zorg ervoor dat de knooppuntv-optie is ingesteld op /tmp-partitie | Mislukt | |
| 1.1.4 | Zorg ervoor dat de nosuid-optie is ingesteld op /tmp-partitie | Geslaagd | |
| 1.1.5 | Zorg ervoor dat de noexec-optie is ingesteld op /tmp-partitie | Geslaagd | |
| 1.1.6 | Controleren of /dev/shm is geconfigureerd | Geslaagd | |
| 1.1.7 | Zorg ervoor dat de knooppuntv-optie is ingesteld op /dev/shm-partitie | Geslaagd | |
| 1.1.8 | Zorg ervoor dat de nosuid-optie is ingesteld op /dev/shm-partitie | Geslaagd | |
| 1.1.9 | Zorg ervoor dat de noexec-optie is ingesteld op /dev/shm-partitie | Mislukt | Mogelijke operationele impact |
| 1.1.12 | Zorg ervoor dat /var/tmp-partitie de optie nodev bevat | Geslaagd | |
| 1.1.13 | Zorg ervoor dat /var/tmp-partitie de optie nosuid bevat | Geslaagd | |
| 1.1.14 | Zorg ervoor dat /var/tmp-partitie de noexec-optie bevat | Geslaagd | |
| 1.1.18 | Zorg ervoor dat /home-partitie de optie nodev bevat | Geslaagd | |
| 1.1.19 | Zorg ervoor dat de nodev-optie is ingesteld op verwisselbare mediapartities | Niet van toepassing | |
| 1.1.20 | Zorg ervoor dat de nosuid-optie is ingesteld op verwisselbare mediapartities | Niet van toepassing | |
| 1.1.21 | Zorg ervoor dat de noexec-optie is ingesteld op verwisselbare mediapartities | Niet van toepassing | |
| 1.1.22 | Zorg ervoor dat plak-bit is ingesteld op alle wereldschrijfbare mappen | Mislukt | Mogelijke invloed op bewerkingen |
| 1.1.23 | Automatisch ontkoppelen uitschakelen | Geslaagd | |
| 1.1.24 | USB-opslag uitschakelen | Geslaagd | |
| 1.2 | Software-updates configureren | ||
| 1.2.1 | Zorg ervoor dat pakketbeheeropslagplaatsen zijn geconfigureerd | Geslaagd | Elders behandeld |
| 1.2.2 | Controleren of GPG-sleutels zijn geconfigureerd | Niet van toepassing | |
| 1.3 | Integriteitscontrole van bestandssysteem | ||
| 1.3.1 | Controleren of AIDE is geïnstalleerd | Mislukt | Elders behandeld |
| 1.3.2 | Controleren of de integriteit van het bestandssysteem regelmatig wordt gecontroleerd | Mislukt | Elders behandeld |
| 1.4 | Instellingen voor beveiligd opstarten | ||
| 1.4.1 | Zorg ervoor dat machtigingen voor de configuratie van het opstartlaadprogramma niet worden overschreven | Mislukt | |
| 1.4.2 | Zorg ervoor dat het wachtwoord voor het opstartlaadprogramma is ingesteld | Mislukt | Niet van toepassing |
| 1.4.3 | Zorg ervoor dat machtigingen voor de configuratie van het opstartlaadprogramma zijn geconfigureerd | Mislukt | |
| 1.4.4 | Zorg ervoor dat verificatie is vereist voor de modus voor één gebruiker | Mislukt | Niet van toepassing |
| 1.5 | Aanvullende procesbeveiliging | ||
| 1.5.1 | Controleren of XD/NX-ondersteuning is ingeschakeld | Niet van toepassing | |
| 1.5.2 | Zorg ervoor dat randomisatie van de indeling van de adresruimte (ASLR) is ingeschakeld | Geslaagd | |
| 1.5.3 | Controleren of prelink is uitgeschakeld | Geslaagd | |
| 1.5.4 | Controleren of kerndumps zijn beperkt | Geslaagd | |
| 1.6 | Verplicht toegangsbeheer | ||
| 1.6.1 | AppArmor configureren | ||
| 1.6.1.1 | Controleren of AppArmor is geïnstalleerd | Geslaagd | |
| 1.6.1.2 | Zorg ervoor dat AppArmor is ingeschakeld in de configuratie van de bootloader | Mislukt | Mogelijke invloed op bewerkingen |
| 1.6.1.3 | Zorg ervoor dat alle AppArmor-profielen zich in de modus Voor afdwingen of klagen bevinden | Geslaagd | |
| 1,7 | Waarschuwingsbanners voor opdrachtregels | ||
| 1.7.1 | Controleren of het bericht van de dag juist is geconfigureerd | Geslaagd | |
| 1.7.2 | Zorg ervoor dat machtigingen op /etc/issue.net zijn geconfigureerd | Geslaagd | |
| 1.7.3 | Zorg ervoor dat machtigingen voor /etc/issue zijn geconfigureerd | Geslaagd | |
| 1.7.4 | Zorg ervoor dat machtigingen voor /etc/motd zijn geconfigureerd | Geslaagd | |
| 1.7.5 | Controleren of de waarschuwingsbanner voor externe aanmelding correct is geconfigureerd | Geslaagd | |
| 1.7.6 | Controleren of de waarschuwingsbanner voor lokale aanmelding correct is geconfigureerd | Geslaagd | |
| 1.8 | BEHEER VAN DE WEERGAVE VAN EEN KKK | ||
| 1.8.2 | Controleren of de GDM-aanmeldingsbanner is geconfigureerd | Geslaagd | |
| 1.8.3 | Controleren of de lijst met uitgeschakelde gebruikers is ingeschakeld | Geslaagd | |
| 1.8.4 | Controleren of XDCMP niet is ingeschakeld | Geslaagd | |
| 1,9 | Controleren of updates, patches en aanvullende beveiligingssoftware zijn geïnstalleerd | Succes | |
| 2 | Services | ||
| 2.1 | Services voor speciaal doel | ||
| 2.1.1 | Tijdsynchronisatie | ||
| 2.1.1.1 | Controleren of tijdsynchronisatie wordt gebruikt | Geslaagd | |
| 2.1.1.2 | Controleren of systemd-timesyncd is geconfigureerd | Niet van toepassing | AKS gebruikt ntpd voor timesynchronisatie |
| 2.1.1.3 | Controleren of chrony is geconfigureerd | Mislukt | Elders behandeld |
| 2.1.1.4 | Controleren of ntp is geconfigureerd | Geslaagd | |
| 2.1.2 | Controleren of X Window System niet is geïnstalleerd | Geslaagd | |
| 2.1.3 | Controleren of Avahi Server niet is geïnstalleerd | Geslaagd | |
| 2.1.4 | Controleren of CUPS niet is geïnstalleerd | Geslaagd | |
| 2.1.5 | Controleren of DHCP-server niet is geïnstalleerd | Geslaagd | |
| 2.1.6 | Controleren of de LDAP-server niet is geïnstalleerd | Geslaagd | |
| 2.1.7 | Controleren of NFS niet is geïnstalleerd | Geslaagd | |
| 2.1.8 | Controleren of de DNS-server niet is geïnstalleerd | Geslaagd | |
| 2.1.9 | Controleren of FTP-server niet is geïnstalleerd | Geslaagd | |
| 2.1.10 | Controleren of de HTTP-server niet is geïnstalleerd | Geslaagd | |
| 2.1.11 | Controleren of de IMAP- en POP3-server niet zijn geïnstalleerd | Geslaagd | |
| 2.1.12 | Controleren of Samba niet is geïnstalleerd | Geslaagd | |
| 2.1.13 | Controleren of de HTTP-proxyserver niet is geïnstalleerd | Geslaagd | |
| 2.1.14 | Controleren of de SNMP-server niet is geïnstalleerd | Geslaagd | |
| 2.1.15 | Controleren of de agent voor e-mailoverdracht is geconfigureerd voor de modus Alleen-lokaal | Geslaagd | |
| 2.1.16 | Controleren of de rsync-service niet is geïnstalleerd | Mislukt | |
| 2.1.17 | Controleren of NIS-server niet is geïnstalleerd | Geslaagd | |
| 2.2 | Serviceclients | ||
| 2.2.1 | Controleren of NIS-client niet is geïnstalleerd | Geslaagd | |
| 2.2.2 | Controleren of de rsh-client niet is geïnstalleerd | Geslaagd | |
| 2.2.3 | Controleren of de talkclient niet is geïnstalleerd | Geslaagd | |
| 2.2.4 | Controleren of telnet-client niet is geïnstalleerd | Mislukt | |
| 2.2.5 | Controleren of de LDAP-client niet is geïnstalleerd | Geslaagd | |
| 2.2.6 | Controleren of RPC niet is geïnstalleerd | Mislukt | Mogelijke operationele impact |
| 2.3 | Zorg ervoor dat niet-essentiële services worden verwijderd of gemaskeerd | Geslaagd | |
| 3 | Netwerkconfiguratie | ||
| 3.1 | Ongebruikte netwerkprotocollen en -apparaten uitschakelen | ||
| 3.1.2 | Controleren of draadloze interfaces zijn uitgeschakeld | Geslaagd | |
| 3.2 | Netwerkparameters (alleen host) | ||
| 3.2.1 | Controleren of verzenden van pakketomleiding is uitgeschakeld | Geslaagd | |
| 3.2.2 | Controleren of doorsturen via IP is uitgeschakeld | Mislukt | Niet van toepassing |
| 3.3 | Netwerkparameters (host en router) | ||
| 3.3.1 | Zorg ervoor dat bronpakketten niet worden geaccepteerd | Geslaagd | |
| 3.3.2 | Zorg ervoor dat ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.3 | Zorg ervoor dat beveiligde ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.4 | Zorg ervoor dat verdachte pakketten worden geregistreerd | Geslaagd | |
| 3.3.5 | Controleren of ICMP-broadcast-aanvragen worden genegeerd | Geslaagd | |
| 3.3.6 | Zorg ervoor dat valse ICMP-antwoorden worden genegeerd | Geslaagd | |
| 3.3.7 | Controleren of reverse path filtering is ingeschakeld | Geslaagd | |
| 3.3.8 | Controleren of TCP SYN-cookies zijn ingeschakeld | Geslaagd | |
| 3.3.9 | Zorg ervoor dat IPv6-routeradvertenties niet worden geaccepteerd | Geslaagd | |
| 3.4 | Ongebruikelijke netwerkprotocollen | ||
| 3.5 | Firewallconfiguratie | ||
| 3.5.1 | UncomplicatedFirewall configureren | ||
| 3.5.1.1 | Controleren of ufw is geïnstalleerd | Geslaagd | |
| 3.5.1.2 | Controleren of iptables permanent niet zijn geïnstalleerd met ufw | Geslaagd | |
| 3.5.1.3 | Controleren of ufw-service is ingeschakeld | Mislukt | Elders behandeld |
| 3.5.1.4 | Controleren of ufw loopback-verkeer is geconfigureerd | Mislukt | Elders behandeld |
| 3.5.1.5 | Controleren of uitgaande ufw-verbindingen zijn geconfigureerd | Niet van toepassing | Elders behandeld |
| 3.5.1.6 | Zorg ervoor dat er ufw-firewallregels bestaan voor alle geopende poorten | Niet van toepassing | Elders behandeld |
| 3.5.1.7 | Controleren of ufw standaard firewallbeleid weigeren | Mislukt | Elders behandeld |
| 3.5.2 | Nftables configureren | ||
| 3.5.2.1 | Controleren of nftables zijn geïnstalleerd | Mislukt | Elders behandeld |
| 3.5.2.2 | Controleren of ufw is verwijderd of uitgeschakeld met nftables | Mislukt | Elders behandeld |
| 3.5.2.3 | Zorg ervoor dat iptables worden leeggemaakt met nftables | Niet van toepassing | Elders behandeld |
| 3.5.2.4 | Controleren of er een tabel met nftables bestaat | Mislukt | Elders behandeld |
| 3.5.2.5 | Zorg ervoor dat de basisketens van nftables bestaan | Mislukt | Elders behandeld |
| 3.5.2.6 | Controleren of loopback-verkeer van nftables is geconfigureerd | Mislukt | Elders behandeld |
| 3.5.2.7 | Controleren of uitgaande en tot stand gebrachte verbindingen van nftables zijn geconfigureerd | Niet van toepassing | Elders behandeld |
| 3.5.2.8 | Zorg ervoor dat standaardfirewallbeleid voor nftables wordt geweigerd | Mislukt | Elders behandeld |
| 3.5.2.9 | Controleren of de nftables-service is ingeschakeld | Mislukt | Elders behandeld |
| 3.5.2.10 | Zorg ervoor dat regels voor nftables permanent zijn | Mislukt | Elders behandeld |
| 3.5.3 | Iptables configureren | ||
| 3.5.3.1 | Iptables-software configureren | ||
| 3.5.3.1.1 | Zorg ervoor dat iptables-pakketten zijn geïnstalleerd | Mislukt | Elders behandeld |
| 3.5.3.1.2 | Controleren of nftables niet zijn geïnstalleerd met iptables | Geslaagd | |
| 3.5.3.1.3 | Controleren of ufw is verwijderd of uitgeschakeld met iptables | Mislukt | Elders behandeld |
| 3.5.3.2 | IPv4-iptables configureren | ||
| 3.5.3.2.1 | Ervoor zorgen dat iptables standaard firewallbeleid weigeren | Mislukt | Elders behandeld |
| 3.5.3.2.2 | Controleren of iptables loopback-verkeer is geconfigureerd | Mislukt | Niet van toepassing |
| 3.5.3.2.3 | Controleren of iptables uitgaand en tot stand gebrachte verbindingen zijn geconfigureerd | Niet van toepassing | |
| 3.5.3.2.4 | Zorg ervoor dat er iptables-firewallregels bestaan voor alle geopende poorten | Mislukt | Mogelijke invloed op bewerkingen |
| 3.5.3.3 | IPv6 ip6-ip6-schijven configureren | ||
| 3.5.3.3.1 | Ervoor zorgen dat standaard firewallbeleid voor ip6tables wordt geweigerd | Mislukt | Elders behandeld |
| 3.5.3.3.2 | Controleren of ip6tables loopback-verkeer is geconfigureerd | Mislukt | Elders behandeld |
| 3.5.3.3.3 | Controleren of ip6tables uitgaande en tot stand gebrachte verbindingen zijn geconfigureerd | Niet van toepassing | Elders behandeld |
| 3.5.3.3.4 | Zorg ervoor dat er ip6tables-firewallregels bestaan voor alle geopende poorten | Mislukt | Elders behandeld |
| 4 | Logboekregistratie en controle | ||
| 4.1 | Systeemboekhouding configureren (gecontroleerd) | ||
| 4.1.1.2 | Controleren of controle is ingeschakeld | ||
| 4.1.2 | Gegevensretentie configureren | ||
| 4.2 | Logboekregistratie configureren | ||
| 4.2.1 | Rsyslog configureren | ||
| 4.2.1.1 | Controleren of rsyslog is geïnstalleerd | Geslaagd | |
| 4.2.1.2 | Controleren of rsyslog-service is ingeschakeld | Geslaagd | |
| 4.2.1.3 | Controleren of logboekregistratie is geconfigureerd | Geslaagd | |
| 4.2.1.4 | Controleren of standaardbestandsmachtigingen voor rsyslog zijn geconfigureerd | Geslaagd | |
| 4.2.1.5 | Controleren of rsyslog is geconfigureerd voor het verzenden van logboeken naar een externe logboekhost | Mislukt | Elders behandeld |
| 4.2.1.6 | Zorg ervoor dat externe rsyslog-berichten alleen worden geaccepteerd op aangewezen logboekhosts. | Niet van toepassing | |
| 4.2.2 | Logboeken configureren | ||
| 4.2.2.1 | Controleren of logboeken zijn geconfigureerd voor het verzenden van logboeken naar rsyslog | Geslaagd | |
| 4.2.2.2 | Zorg ervoor dat logboeken zijn geconfigureerd voor het comprimeren van grote logboekbestanden | Mislukt | |
| 4.2.2.3 | Zorg ervoor dat logboekbestanden naar een permanente schijf worden geschreven | Geslaagd | |
| 4.2.3 | Zorg ervoor dat machtigingen voor alle logboekbestanden zijn geconfigureerd | Mislukt | |
| 4.3 | Controleren of logrotate is geconfigureerd | Geslaagd | |
| 4.4 | Zorg ervoor dat logrotate de juiste machtigingen toewijst | Mislukt | |
| 5 | Toegang, verificatie en autorisatie | ||
| 5.1 | Op tijd gebaseerde taakplanners configureren | ||
| 5.1.1 | Controleren of cron-daemon is ingeschakeld en wordt uitgevoerd | Geslaagd | |
| 5.1.2 | Zorg ervoor dat machtigingen voor /etc/crontab zijn geconfigureerd | Geslaagd | |
| 5.1.3 | Zorg ervoor dat machtigingen op /etc/cron.hourly zijn geconfigureerd | Geslaagd | |
| 5.1.4 | Zorg ervoor dat machtigingen voor /etc/cron.daily zijn geconfigureerd | Geslaagd | |
| 5.1.5 | Zorg ervoor dat machtigingen voor /etc/cron.wekelijks zijn geconfigureerd | Geslaagd | |
| 5.1.6 | Zorg ervoor dat machtigingen voor /etc/cron.monthly zijn geconfigureerd | Geslaagd | |
| 5.1.7 | Zorg ervoor dat machtigingen voor /etc/cron.d zijn geconfigureerd | Geslaagd | |
| 5.1.8 | Controleren of cron is beperkt tot geautoriseerde gebruikers | Mislukt | |
| 5.1.9 | Controleren op is beperkt tot geautoriseerde gebruikers | Mislukt | |
| 5.2 | sudo configureren | ||
| 5.2.1 | Controleren of sudo is geïnstalleerd | Geslaagd | |
| 5.2.2 | Zorg ervoor dat sudo-opdrachten pty gebruiken | Mislukt | Mogelijke operationele impact |
| 5.2.3 | Controleren of het sudo-logboekbestand bestaat | Mislukt | |
| 5.3 | SSH-server configureren | ||
| 5.3.1 | Zorg ervoor dat machtigingen voor /etc/ssh/sshd_config zijn geconfigureerd | Geslaagd | |
| 5.3.2 | Zorg ervoor dat machtigingen voor persoonlijke SSH-hostsleutelbestanden zijn geconfigureerd | Geslaagd | |
| 5.3.3 | Zorg ervoor dat machtigingen voor bestanden met openbare SSH-hostsleutels zijn geconfigureerd | Geslaagd | |
| 5.3.4 | Zorg ervoor dat SSH-toegang beperkt is | Geslaagd | |
| 5.3.5 | Zorg ervoor dat SSH LogLevel geschikt is | Geslaagd | |
| 5.3.7 | Zorg ervoor dat SSH MaxAuthTries is ingesteld op 4 of minder | Geslaagd | |
| 5.3.8 | Controleren of SSH IgnoreRhosts is ingeschakeld | Geslaagd | |
| 5.3.9 | Zorg ervoor dat SSH HostbasedAuthentication is uitgeschakeld | Geslaagd | |
| 5.3.10 | Controleren of aanmelding via de SSH-hoofdmap is uitgeschakeld | Geslaagd | |
| 5.3.11 | Controleren of SSH PermitEmptyPasswords is uitgeschakeld | Geslaagd | |
| 5.3.12 | Controleren of SSH PermitUserEnvironment is uitgeschakeld | Geslaagd | |
| 5.3.13 | Zorg ervoor dat alleen sterke coderingen worden gebruikt | Geslaagd | |
| 5.3.14 | Zorg ervoor dat alleen sterke MAC-algoritmen worden gebruikt | Geslaagd | |
| 5.3.15 | Zorg ervoor dat alleen sterke algoritmen voor sleuteluitwisseling worden gebruikt | Geslaagd | |
| 5.3.16 | Zorg ervoor dat het time-outinterval voor inactiviteit van SSH is geconfigureerd | Mislukt | |
| 5.3.17 | Zorg ervoor dat SSH LoginGraceTime is ingesteld op één minuut of minder | Geslaagd | |
| 5.3.18 | Controleren of de SSH-waarschuwingsbanner is geconfigureerd | Geslaagd | |
| 5.3.19 | Controleren of SSH PAM is ingeschakeld | Geslaagd | |
| 5.3.21 | Controleren of SSH MaxStartups is geconfigureerd | Mislukt | |
| 5.3.22 | Zorg ervoor dat SSH MaxSessions beperkt is | Geslaagd | |
| 5.4 | PAM configureren | ||
| 5.4.1 | Zorg ervoor dat vereisten voor het maken van wachtwoorden zijn geconfigureerd | Geslaagd | |
| 5.4.2 | Controleren of de vergrendeling voor mislukte wachtwoordpogingen is geconfigureerd | Mislukt | |
| 5.4.3 | Controleren of het opnieuw gebruiken van wachtwoorden beperkt is | Mislukt | |
| 5.4.4 | Controleren of het algoritme voor wachtwoord-hashing SHA-512 is | Geslaagd | |
| 5.5 | Gebruikersaccounts en -omgeving | ||
| 5.5.1 | Parameters voor Shadow Password Suite instellen | ||
| 5.5.1.1 | Zorg ervoor dat minimale dagen tussen wachtwoordwijzigingen zijn geconfigureerd | Geslaagd | |
| 5.5.1.2 | Controleren of het verlopen van wachtwoorden 365 dagen of minder is | Geslaagd | |
| 5.5.1.3 | Zorg ervoor dat de waarschuwingsdagen voor wachtwoordverlooptijd 7 of meer zijn | Geslaagd | |
| 5.5.1.4 | Zorg ervoor dat de inactieve wachtwoordvergrendeling 30 dagen of minder is | Geslaagd | |
| 5.5.1.5 | Zorg ervoor dat alle gebruikers de laatste datum van wachtwoordwijziging in het verleden hebben | Mislukt | |
| 5.5.2 | Controleren of systeemaccounts zijn beveiligd | Geslaagd | |
| 5.5.3 | Zorg ervoor dat de standaardgroep voor het hoofdaccount GID 0 is | Geslaagd | |
| 5.5.4 | Zorg ervoor dat de standaardgebruikers-umask 027 of meer beperkend is | Geslaagd | |
| 5.5.5 | Zorg ervoor dat de standaard time-out voor gebruikersshell 900 seconden of minder is | Mislukt | |
| 5.6 | Controleren of de hoofdaanmelding is beperkt tot de systeemconsole | Niet van toepassing | |
| 5.7 | Zorg ervoor dat de toegang tot de su-opdracht is beperkt | Mislukt | Mogelijke invloed op bewerkingen |
| 6 | Systeemonderhoud | ||
| 6.1 | Machtigingen voor systeembestanden | ||
| 6.1.2 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.3 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.4 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.5 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.6 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.7 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.8 | Zorg ervoor dat machtigingen voor /etc/gshadow zijn geconfigureerd | Geslaagd | |
| 6.1.9 | Zorg ervoor dat machtigingen voor /etc/gshadow- zijn geconfigureerd | Geslaagd | |
| 6.1.10 | Zorg ervoor dat er geen schrijfbare wereldbestanden bestaan | Mislukt | Mogelijke invloed op bewerkingen |
| 6.1.11 | Zorg ervoor dat er geen niet-vertrouwde bestanden of mappen bestaan | Mislukt | Mogelijke invloed op bewerkingen |
| 6.1.12 | Zorg ervoor dat er geen niet-gegroepeerde bestanden of mappen bestaan | Mislukt | Mogelijke invloed op bewerkingen |
| 6.1.13 | Uitvoerbare SUID-bestanden controleren | Niet van toepassing | |
| 6.1.14 | Uitvoerbare SGID-bestanden controleren | Niet van toepassing | |
| 6,2 | Instellingen voor gebruikers en groepen | ||
| 6.2.1 | Zorg ervoor dat accounts in /etc/passwd schaduwwachtwoorden gebruiken | Geslaagd | |
| 6.2.2 | Zorg ervoor dat wachtwoordvelden niet leeg zijn | Geslaagd | |
| 6.2.3 | Zorg ervoor dat alle groepen in /etc/passwd aanwezig zijn in /etc/group | Geslaagd | |
| 6.2.4 | Zorg ervoor dat de basismappen van alle gebruikers bestaan | Geslaagd | |
| 6.2.5 | Ervoor zorgen dat gebruikers eigenaar zijn van hun thuismappen | Geslaagd | |
| 6.2.6 | Zorg ervoor dat de machtigingen voor thuismappen van gebruikers 750 of meer beperkend zijn | Geslaagd | |
| 6.2.7 | Zorg ervoor dat de dot-bestanden van gebruikers niet zijn gegroepeerd of schrijfbaar zijn | Geslaagd | |
| 6.2.8 | Zorg ervoor dat er geen .netrc-bestanden zijn | Geslaagd | |
| 6.2.9 | Zorg ervoor dat er geen gebruikers .forward-bestanden hebben | Geslaagd | |
| 6.2.10 | Zorg ervoor dat er geen gebruikers .rhosts-bestanden hebben | Geslaagd | |
| 6.2.11 | Controleren of de hoofdmap het enige UID 0-account is | Geslaagd | |
| 6.2.12 | Hoofdpadintegriteit garanderen | Geslaagd | |
| 6.2.13 | Zorg ervoor dat er geen dubbele UID's bestaan | Geslaagd | |
| 6.2.14 | Zorg ervoor dat er geen dubbele GID's bestaan | Geslaagd | |
| 6.2.15 | Zorg ervoor dat er geen dubbele gebruikersnamen bestaan | Geslaagd | |
| 6.2.16 | Zorg ervoor dat er geen dubbele groepsnamen bestaan | Geslaagd | |
| 6.2.17 | Zorg ervoor dat de schaduwgroep leeg is | Geslaagd |
Volgende stappen
Zie de volgende artikelen voor meer informatie over AKS-beveiliging:
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
Azure Kubernetes Service