Porównanie obrazów usługi Azure Kubernetes Service (AKS) z systemem Ubuntu z testem porównawczym Usługi Center for Internet Security (CIS)
Jako bezpieczna usługa usługa Azure Kubernetes Service (AKS) jest zgodna ze standardami SOC, ISO, PCI DSS i HIPAA. W tym artykule opisano konfigurację systemu operacyjnego zabezpieczeń zastosowaną do obrazu systemu Ubuntu używanego przez usługę AKS. Ta konfiguracja zabezpieczeń jest oparta na punkcie odniesienia zabezpieczeń systemu Linux platformy Azure, który jest zgodny z testem porównawczym ciS. Aby uzyskać więcej informacji na temat zabezpieczeń usługi AKS, zobacz Pojęcia dotyczące zabezpieczeń aplikacji i klastrów w usłudze Azure Kubernetes Service (AKS). Aby uzyskać więcej informacji na temat zabezpieczeń usługi AKS, zobacz Pojęcia dotyczące zabezpieczeń aplikacji i klastrów w usłudze Azure Kubernetes Service (AKS). Aby uzyskać więcej informacji na temat testu porównawczego CIS, zobacz Centrum testów porównawczych zabezpieczeń internetowych (CIS). Aby uzyskać więcej informacji na temat punktów odniesienia zabezpieczeń platformy Azure dla systemu Linux, zobacz Punkt odniesienia zabezpieczeń systemu Linux.
Ubuntu LTS 18.04
Klastry AKS są wdrażane na maszynach wirtualnych hosta, które uruchamiają system operacyjny z wbudowanymi bezpiecznymi konfiguracjami. Ten system operacyjny jest używany w przypadku kontenerów działających w usłudze AKS. Ten system operacyjny hosta jest oparty na obrazie ubuntu 18.04.LTS z zastosowanymi konfiguracjami zabezpieczeń.
W ramach systemu operacyjnego zoptymalizowanego pod kątem zabezpieczeń:
- Usługa AKS domyślnie zapewnia system operacyjny hosta zoptymalizowany pod kątem zabezpieczeń, ale nie ma opcji wybrania alternatywnego systemu operacyjnego.
- System operacyjny hosta zoptymalizowany pod kątem zabezpieczeń jest kompilowany i obsługiwany specjalnie dla usługi AKS i nie jest obsługiwany poza platformą AKS.
- Niektóre niepotrzebne sterowniki modułów jądra zostały wyłączone w systemie operacyjnym, aby zmniejszyć obszar powierzchni podatnej na ataki.
Uwaga
Niezwiązane z testami porównawczymi CIS platforma Azure stosuje codzienne poprawki, w tym poprawki zabezpieczeń, do hostów maszyn wirtualnych usługi AKS.
Celem bezpiecznej konfiguracji wbudowanej w system operacyjny hosta jest zmniejszenie obszaru podatnego na ataki i zoptymalizowanie pod kątem bezpiecznego wdrażania kontenerów.
Poniżej przedstawiono wyniki zaleceń CIS Ubuntu 18.04 LTS Benchmark 2.1.0 .
Rekomendacje może mieć jedną z następujących przyczyn:
- Potencjalny wpływ operacji — zalecenie nie zostało zastosowane, ponieważ miałoby to negatywny wpływ na usługę.
- Omówione w innym miejscu — zalecenie jest objęte inną kontrolą w obliczeniach w chmurze platformy Azure.
Poniżej przedstawiono zaimplementowane reguły ciągłej integracji:
| Numer akapitu ciS | Opis rekomendacji | Status | Przyczyna |
|---|---|---|---|
| 1 | Konfiguracja początkowa | ||
| 1,1 | Konfiguracja systemu plików | ||
| 1.1.1 | Wyłączanie nieużywanych systemów plików | ||
| 1.1.1.1 | Upewnij się, że instalowanie systemu plików cramfs jest wyłączone | Zaliczenie | |
| 1.1.1.2 | Upewnij się, że instalowanie systemów plików freevxfs jest wyłączone | Zaliczenie | |
| 1.1.1.3 | Upewnij się, że instalowanie systemów plików jffs2 jest wyłączone | Zaliczenie | |
| 1.1.1.4 | Upewnij się, że instalowanie systemów plików hfs jest wyłączone | Zaliczenie | |
| 1.1.1.5 | Upewnij się, że instalowanie systemów plików hfsplus jest wyłączone | Zaliczenie | |
| 1.1.1.6 | Upewnij się, że instalowanie systemów plików udf jest wyłączone | Niepowodzenie | Potencjalny wpływ operacyjny |
| 1.1.2 | Upewnij się, że /tmp jest skonfigurowany | Niepowodzenie | |
| 1.1.3 | Upewnij się, że opcja nodev jest ustawiona na partycji /tmp | Niepowodzenie | |
| 1.1.4 | Upewnij się, że opcja nosuid ustawiona na partycji /tmp | Zaliczenie | |
| 1.1.5 | Upewnij się, że opcja noexec jest ustawiona na partycji /tmp | Zaliczenie | |
| 1.1.6 | Upewnij się, że skonfigurowano /dev/shm | Zaliczenie | |
| 1.1.7 | Upewnij się, że opcja nodev jest ustawiona na partycji /dev/shm | Zaliczenie | |
| 1.1.8 | Upewnij się, że opcja nosuid jest ustawiona na partycji /dev/shm | Zaliczenie | |
| 1.1.9 | Upewnij się, że opcja noexec jest ustawiona na partycji /dev/shm | Niepowodzenie | Potencjalny wpływ operacyjny |
| 1.1.12 | Upewnij się, że partycja /var/tmp zawiera opcję nodev | Zaliczenie | |
| 1.1.13 | Upewnij się, że partycja /var/tmp zawiera opcję nosuid | Zaliczenie | |
| 1.1.14 | Upewnij się, że partycja /var/tmp zawiera opcję noexec | Zaliczenie | |
| 1.1.18 | Upewnij się, że /home partition zawiera opcję nodev | Zaliczenie | |
| 1.1.19 | Upewnij się, że opcja nodev jest ustawiona na partycjach nośnika wymiennego | Nie dotyczy | |
| 1.1.20 | Upewnij się, że opcja nosuid jest ustawiona na partycjach nośnika wymiennego | Nie dotyczy | |
| 1.1.21 | Upewnij się, że opcja noexec jest ustawiona na partycjach nośnika wymiennego | Nie dotyczy | |
| 1.1.22 | Upewnij się, że bit sticky jest ustawiony na wszystkie światowe katalogi z możliwością zapisu | Niepowodzenie | Potencjalny wpływ operacji |
| 1.1.23 | Wyłączanie autoinstalowania | Zaliczenie | |
| 1.1.24 | Wyłączanie pamięci masowej USB | Zaliczenie | |
| 1.2 | Konfigurowanie Aktualizacje oprogramowania | ||
| 1.2.1 | Upewnij się, że repozytoria menedżera pakietów są skonfigurowane | Zaliczenie | Pokryte gdzie indziej |
| 1.2.2 | Upewnij się, że klucze grupy zasad grupy są skonfigurowane | Nie dotyczy | |
| 1.3 | Sprawdzanie integralności systemu plików | ||
| 1.3.1 | Upewnij się, że program AIDE jest zainstalowany | Niepowodzenie | Pokryte gdzie indziej |
| 1.3.2 | Upewnij się, że integralność systemu plików jest regularnie sprawdzana | Niepowodzenie | Pokryte gdzie indziej |
| 1.4 | Bezpieczny rozruch Ustawienia | ||
| 1.4.1 | Upewnij się, że uprawnienia do konfiguracji modułu ładującego rozruchu nie są zastępowane | Niepowodzenie | |
| 1.4.2 | Upewnij się, że ustawiono hasło modułu ładującego rozruchu | Niepowodzenie | Nie dotyczy |
| 1.4.3 | Upewnij się, że skonfigurowano uprawnienia do konfiguracji modułu ładującego rozruchu | Niepowodzenie | |
| 1.4.4 | Upewnij się, że wymagane jest uwierzytelnianie w trybie pojedynczego użytkownika | Niepowodzenie | Nie dotyczy |
| 1,5 | Dodatkowe wzmacnianie zabezpieczeń procesów | ||
| 1.5.1 | Upewnij się, że obsługa XD/NX jest włączona | Nie dotyczy | |
| 1.5.2 | Upewnij się, że włączono losowość układu przestrzeni adresowej (ASLR) | Zaliczenie | |
| 1.5.3 | Upewnij się, że link wstępny jest wyłączony | Zaliczenie | |
| 1.5.4 | Upewnij się, że zrzuty rdzeni są ograniczone | Zaliczenie | |
| 1.6 | Obowiązkowa kontrola dostępu | ||
| 1.6.1 | Konfigurowanie aplikacji AppArmor | ||
| 1.6.1.1 | Upewnij się, że zainstalowano aplikację AppArmor | Zaliczenie | |
| 1.6.1.2 | Upewnij się, że aplikacja AppArmor jest włączona w konfiguracji modułu ładującego rozruchu | Niepowodzenie | Potencjalny wpływ operacji |
| 1.6.1.3 | Upewnij się, że wszystkie profile AppArmor są w trybie wymuszania lub narzekania | Zaliczenie | |
| 1,7 | Banery ostrzegawcze wiersza polecenia | ||
| 1.7.1 | Upewnij się, że komunikat dnia jest prawidłowo skonfigurowany | Zaliczenie | |
| 1.7.2 | Upewnij się, że skonfigurowano uprawnienia w pliku /etc/issue.net | Zaliczenie | |
| 1.7.3 | Upewnij się, że skonfigurowano uprawnienia dotyczące /etc/issue | Zaliczenie | |
| 1.7.4 | Upewnij się, że skonfigurowano uprawnienia dla /etc/motd | Zaliczenie | |
| 1.7.5 | Upewnij się, że baner ostrzeżenia o zdalnym logowaniu jest prawidłowo skonfigurowany | Zaliczenie | |
| 1.7.6 | Upewnij się, że lokalny baner ostrzegawczy logowania został prawidłowo skonfigurowany | Zaliczenie | |
| 1.8 | Menedżer wyświetlania GNOMA | ||
| 1.8.2 | Upewnij się, że skonfigurowano baner logowania GDM | Zaliczenie | |
| 1.8.3 | Upewnij się, że opcja disable-user-list jest włączona | Zaliczenie | |
| 1.8.4 | Upewnij się, że XDCMP nie jest włączona | Zaliczenie | |
| 1,9 | Upewnij się, że zainstalowano aktualizacje, poprawki i dodatkowe oprogramowanie zabezpieczające | Zaliczenie | |
| 2 | Usługi | ||
| 2.1 | Usługi specjalne | ||
| 2.1.1 | Synchronizacja czasu | ||
| 2.1.1.1 | Upewnij się, że synchronizacja czasu jest używana | Zaliczenie | |
| 2.1.1.2 | Upewnij się, że skonfigurowano synchronizację systemd-timesyncd | Nie dotyczy | Usługa AKS używa ntpd na potrzeby synchronizacji czasowej |
| 2.1.1.3 | Upewnij się, że synchronizacja jest skonfigurowana | Niepowodzenie | Pokryte gdzie indziej |
| 2.1.1.4 | Upewnij się, że protokół NTP jest skonfigurowany | Zaliczenie | |
| 2.1.2 | Upewnij się, że system okien X nie jest zainstalowany | Zaliczenie | |
| 2.1.3 | Upewnij się, że serwer Avahi nie jest zainstalowany | Zaliczenie | |
| 2.1.4 | Upewnij się, że usługa CUPS nie jest zainstalowana | Zaliczenie | |
| 2.1.5 | Upewnij się, że serwer DHCP nie jest zainstalowany | Zaliczenie | |
| 2.1.6 | Upewnij się, że serwer LDAP nie jest zainstalowany | Zaliczenie | |
| 2.1.7 | Upewnij się, że system plików NFS nie jest zainstalowany | Zaliczenie | |
| 2.1.8 | Upewnij się, że serwer DNS nie jest zainstalowany | Zaliczenie | |
| 2.1.9 | Upewnij się, że serwer FTP nie jest zainstalowany | Zaliczenie | |
| 2.1.10 | Upewnij się, że serwer HTTP nie jest zainstalowany | Zaliczenie | |
| 2.1.11 | Upewnij się, że serwer IMAP i POP3 nie są zainstalowane | Zaliczenie | |
| 2.1.12 | Upewnij się, że Samba nie jest zainstalowana | Zaliczenie | |
| 2.1.13 | Upewnij się, że serwer proxy HTTP nie jest zainstalowany | Zaliczenie | |
| 2.1.14 | Upewnij się, że serwer SNMP nie jest zainstalowany | Zaliczenie | |
| 2.1.15 | Upewnij się, że agent transferu poczty jest skonfigurowany dla trybu lokalnego | Zaliczenie | |
| 2.1.16 | Upewnij się, że usługa rsync nie jest zainstalowana | Niepowodzenie | |
| 2.1.17 | Upewnij się, że serwer NIS nie jest zainstalowany | Zaliczenie | |
| 2,2 | Klienci usługi | ||
| 2.2.1 | Upewnij się, że klient usługi NIS nie jest zainstalowany | Zaliczenie | |
| 2.2.2 | Upewnij się, że klient rsh nie jest zainstalowany | Zaliczenie | |
| 2.2.3 | Upewnij się, że klient rozmów nie jest zainstalowany | Zaliczenie | |
| 2.2.4 | Upewnij się, że klient telnet nie jest zainstalowany | Niepowodzenie | |
| 2.2.5 | Upewnij się, że klient LDAP nie jest zainstalowany | Zaliczenie | |
| 2.2.6 | Upewnij się, że RPC nie jest zainstalowany | Niepowodzenie | Potencjalny wpływ operacyjny |
| 2.3 | Upewnij się, że usługi nonessential zostały usunięte lub zamaskowane | Zaliczenie | |
| 3 | Konfiguracja sieci | ||
| 3.1 | Wyłączanie nieużywanych protokołów sieciowych i urządzeń | ||
| 3.1.2 | Upewnij się, że interfejsy bezprzewodowe są wyłączone | Zaliczenie | |
| 3,2 | Parametry sieci (tylko host) | ||
| 3.2.1 | Upewnij się, że wysyłanie przekierowania pakietów jest wyłączone | Zaliczenie | |
| 3.2.2 | Upewnij się, że przekazywanie adresów IP jest wyłączone | Niepowodzenie | Nie dotyczy |
| 3.3 | Parametry sieci (host i router) | ||
| 3.3.1 | Upewnij się, że pakiety kierowane przez źródło nie są akceptowane | Zaliczenie | |
| 3.3.2 | Upewnij się, że przekierowania protokołu ICMP nie są akceptowane | Zaliczenie | |
| 3.3.3 | Upewnij się, że bezpieczne przekierowania protokołu ICMP nie są akceptowane | Zaliczenie | |
| 3.3.4 | Upewnij się, że są rejestrowane podejrzane pakiety | Zaliczenie | |
| 3.3.5 | Upewnij się, że żądania ICMP emisji są ignorowane | Zaliczenie | |
| 3.3.6 | Upewnij się, że fałszywe odpowiedzi protokołu ICMP są ignorowane | Zaliczenie | |
| 3.3.7 | Upewnij się, że włączono filtrowanie ścieżki odwrotnej | Zaliczenie | |
| 3.3.8 | Upewnij się, że włączono pliki cookie SYN protokołu TCP | Zaliczenie | |
| 3.3.9 | Upewnij się, że anonse routerów IPv6 nie są akceptowane | Zaliczenie | |
| 3.4 | Nietypowe protokoły sieciowe | ||
| 3.5 | Konfiguracja zapory | ||
| 3.5.1 | Konfigurowanie nieskomplikowanej aplikacjiFirewall | ||
| 3.5.1.1 | Upewnij się, że zainstalowano aplikację ufw | Zaliczenie | |
| 3.5.1.2 | Upewnij się, że funkcja iptables-persistent nie jest zainstalowana w systemie ufw | Zaliczenie | |
| 3.5.1.3 | Upewnij się, że usługa ufw jest włączona | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.1.4 | Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego ufw | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.1.5 | Upewnij się, że skonfigurowano połączenia wychodzące ufw | Nie dotyczy | Pokryte gdzie indziej |
| 3.5.1.6 | Upewnij się, że istnieją reguły zapory ufw dla wszystkich otwartych portów | Nie dotyczy | Pokryte gdzie indziej |
| 3.5.1.7 | Upewnij się, że domyślne zasady odmowy zapory ufw | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2 | Konfigurowanie tabel nftable | ||
| 3.5.2.1 | Upewnij się, że zainstalowano tabele nftables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.2 | Upewnij się, że ufw został odinstalowany lub wyłączony z tabelami nftable | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.3 | Upewnij się, że tabele iptable są opróżniane za pomocą tabel nftable | Nie dotyczy | Pokryte gdzie indziej |
| 3.5.2.4 | Upewnij się, że istnieje tabela nftables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.5 | Upewnij się, że istnieją łańcuchy bazowe tabel nftables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.6 | Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego tabel nftables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.7 | Upewnij się, że skonfigurowano wychodzące tabele nftables i nawiązane połączenia | Nie dotyczy | Pokryte gdzie indziej |
| 3.5.2.8 | Upewnij się, że domyślne zasady zapory odmowy tabel nftables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.9 | Upewnij się, że usługa nftables jest włączona | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.2.10 | Upewnij się, że reguły tabel nftables są trwałe | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3 | Konfigurowanie tabel iptable | ||
| 3.5.3.1 | Konfigurowanie oprogramowania iptables | ||
| 3.5.3.1.1 | Upewnij się, że pakiety iptables są zainstalowane | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3.1.2 | Upewnij się, że tabele nftables nie są zainstalowane z tabelami iptable | Zaliczenie | |
| 3.5.3.1.3 | Upewnij się, że ufw został odinstalowany lub wyłączony z tabelami iptable | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3.2 | Konfigurowanie tabel ipPv4 | ||
| 3.5.3.2.1 | Upewnij się, że domyślne zasady zapory odmowy iptables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3.2.2 | Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego iptables | Niepowodzenie | Nie dotyczy |
| 3.5.3.2.3 | Upewnij się, że skonfigurowano wychodzące i nawiązane połączenia iptables | Nie dotyczy | |
| 3.5.3.2.4 | Upewnij się, że istnieją reguły zapory iptables dla wszystkich otwartych portów | Niepowodzenie | Potencjalny wpływ operacji |
| 3.5.3.3 | Konfigurowanie tabel ip6 protokołu IPv6 | ||
| 3.5.3.3.1 | Upewnij się, że ustawienia ip6tables domyślne zasady odmowy zapory | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3.3.2 | Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego ip6tables | Niepowodzenie | Pokryte gdzie indziej |
| 3.5.3.3.3 | Upewnij się, że skonfigurowano wychodzące i nawiązane połączenia ip6tables | Nie dotyczy | Pokryte gdzie indziej |
| 3.5.3.3.4 | Upewnij się, że istnieją reguły zapory ip6tables dla wszystkich otwartych portów | Niepowodzenie | Pokryte gdzie indziej |
| 4 | Rejestrowanie i inspekcja | ||
| 4.1 | Konfigurowanie ewidencjonowania aktywności systemu (inspekcja) | ||
| 4.1.1.2 | Upewnij się, że inspekcja jest włączona | ||
| 4.1.2 | Konfigurowanie przechowywania danych | ||
| 4.2 | Konfigurowanie rejestrowania | ||
| 4.2.1 | Konfigurowanie serwera rsyslog | ||
| 4.2.1.1 | Upewnij się, że zainstalowano serwer rsyslog | Zaliczenie | |
| 4.2.1.2 | Upewnij się, że usługa rsyslog jest włączona | Zaliczenie | |
| 4.2.1.3 | Upewnij się, że rejestrowanie zostało skonfigurowane | Zaliczenie | |
| 4.2.1.4 | Upewnij się, że skonfigurowano domyślne uprawnienia pliku rsyslog | Zaliczenie | |
| 4.2.1.5 | Upewnij się, że serwer rsyslog jest skonfigurowany do wysyłania dzienników do hosta dziennika zdalnego | Niepowodzenie | Pokryte gdzie indziej |
| 4.2.1.6 | Upewnij się, że zdalne komunikaty rsyslog są akceptowane tylko na wyznaczonych hostach dziennika. | Nie dotyczy | |
| 4.2.2 | Konfigurowanie dziennika | ||
| 4.2.2.1 | Upewnij się, że dziennik jest skonfigurowany do wysyłania dzienników do serwera rsyslog | Zaliczenie | |
| 4.2.2.2 | Upewnij się, że dziennik jest skonfigurowany do kompresowania dużych plików dziennika | Niepowodzenie | |
| 4.2.2.3 | Upewnij się, że dziennik jest skonfigurowany do zapisywania plików dziennika na dysku trwałym | Zaliczenie | |
| 4.2.3 | Upewnij się, że skonfigurowano uprawnienia do wszystkich plików dziennika | Niepowodzenie | |
| 4.3 | Upewnij się, że skonfigurowano logrotate | Zaliczenie | |
| 4.4 | Upewnij się, że logrotate przypisuje odpowiednie uprawnienia | Niepowodzenie | |
| 5 | Dostęp, uwierzytelnianie i autoryzacja | ||
| 5,1 | Konfigurowanie harmonogramów zadań opartych na czasie | ||
| 5.1.1 | Upewnij się, że demon cron jest włączony i uruchomiony | Zaliczenie | |
| 5.1.2 | Upewnij się, że skonfigurowano uprawnienia na /etc/crontab | Zaliczenie | |
| 5.1.3 | Upewnij się, że skonfigurowano uprawnienia /etc/cron.hourly | Zaliczenie | |
| 5.1.4 | Upewnij się, że skonfigurowano uprawnienia /etc/cron.daily | Zaliczenie | |
| 5.1.5 | Upewnij się, że skonfigurowano uprawnienia dla /etc/cron.weekly | Zaliczenie | |
| 5.1.6 | Upewnij się, że skonfigurowano uprawnienia /etc/cron.monthly | Zaliczenie | |
| 5.1.7 | Upewnij się, że skonfigurowano uprawnienia w pliku /etc/cron.d | Zaliczenie | |
| 5.1.8 | Upewnij się, że cron jest ograniczony do autoryzowanych użytkowników | Niepowodzenie | |
| 5.1.9 | Upewnij się, że użytkownik jest ograniczony do autoryzowanych użytkowników | Niepowodzenie | |
| 5.2 | Konfigurowanie programu sudo | ||
| 5.2.1 | Upewnij się, że program sudo jest zainstalowany | Zaliczenie | |
| 5.2.2 | Upewnij się, że polecenia sudo używają pty | Niepowodzenie | Potencjalny wpływ operacyjny |
| 5.2.3 | Upewnij się, że plik dziennika sudo istnieje | Niepowodzenie | |
| 5.3 | Konfigurowanie serwera SSH | ||
| 5.3.1 | Upewnij się, że skonfigurowano uprawnienia dla /etc/ssh/sshd_config | Zaliczenie | |
| 5.3.2 | Upewnij się, że skonfigurowano uprawnienia do plików klucza prywatnego hosta SSH | Zaliczenie | |
| 5.3.3 | Upewnij się, że skonfigurowano uprawnienia do plików kluczy publicznego hosta SSH | Zaliczenie | |
| 5.3.4 | Upewnij się, że dostęp SSH jest ograniczony | Zaliczenie | |
| 5.3.5 | Upewnij się, że poziom loglevel protokołu SSH jest odpowiedni | Zaliczenie | |
| 5.3.7 | Upewnij się, że dla protokołu SSH MaxAuthTries ustawiono wartość 4 lub mniejszą | Zaliczenie | |
| 5.3.8 | Upewnij się, że hosty IgnoreRhost protokołu SSH są włączone | Zaliczenie | |
| 5.3.9 | Upewnij się, że host SSHbasedAuthentication jest wyłączony | Zaliczenie | |
| 5.3.10 | Upewnij się, że logowanie główne protokołu SSH jest wyłączone | Zaliczenie | |
| 5.3.11 | Upewnij się, że ustawienie SSH PermitEmptyPasswords jest wyłączone | Zaliczenie | |
| 5.3.12 | Upewnij się, że ustawienie SSH PermitUserEnvironment jest wyłączone | Zaliczenie | |
| 5.3.13 | Upewnij się, że są używane tylko silne szyfry | Zaliczenie | |
| 5.3.14 | Upewnij się, że są używane tylko silne algorytmy MAC | Zaliczenie | |
| 5.3.15 | Upewnij się, że są używane tylko silne algorytmy wymiany kluczy | Zaliczenie | |
| 5.3.16 | Upewnij się, że skonfigurowano interwał limitu czasu bezczynności protokołu SSH | Niepowodzenie | |
| 5.3.17 | Upewnij się, że parametr SSH LoginGraceTime jest ustawiony na minutę lub mniej | Zaliczenie | |
| 5.3.18 | Upewnij się, że skonfigurowano transparent ostrzegawczy SSH | Zaliczenie | |
| 5.3.19 | Upewnij się, że włączono protokół SSH PAM | Zaliczenie | |
| 5.3.21 | Upewnij się, że skonfigurowano ustawienia MaxStartups protokołu SSH | Niepowodzenie | |
| 5.3.22 | Upewnij się, że maksymalna liczba sSH jest ograniczona | Zaliczenie | |
| 5,4 | Konfigurowanie usługi PAM | ||
| 5.4.1 | Upewnij się, że skonfigurowano wymagania dotyczące tworzenia haseł | Zaliczenie | |
| 5.4.2 | Upewnij się, że skonfigurowano blokadę dla nieudanych prób haseł | Niepowodzenie | |
| 5.4.3 | Upewnij się, że ponowne użycie hasła jest ograniczone | Niepowodzenie | |
| 5.4.4 | Upewnij się, że algorytm wyznaczania skrótów haseł to SHA-512 | Zaliczenie | |
| 5,5 | Konta użytkowników i środowisko | ||
| 5.5.1 | Ustawianie parametrów zestawu haseł w tle | ||
| 5.5.1.1 | Upewnij się, że skonfigurowano minimalną liczbę dni między zmianami haseł | Zaliczenie | |
| 5.5.1.2 | Upewnij się, że wygaśnięcie hasła wynosi 365 dni lub mniej | Zaliczenie | |
| 5.5.1.3 | Upewnij się, że liczba dni ostrzeżenia o wygaśnięciu hasła wynosi 7 lub więcej | Zaliczenie | |
| 5.5.1.4 | Upewnij się, że nieaktywna blokada hasła wynosi 30 dni lub mniej | Zaliczenie | |
| 5.5.1.5 | Upewnij się, że wszyscy użytkownicy ostatnio zmienili datę zmiany hasła w przeszłości | Niepowodzenie | |
| 5.5.2 | Upewnij się, że konta systemowe są zabezpieczone | Zaliczenie | |
| 5.5.3 | Upewnij się, że domyślna grupa dla konta głównego to GID 0 | Zaliczenie | |
| 5.5.4 | Upewnij się, że domyślna maska użytkownika to 027 lub bardziej restrykcyjne | Zaliczenie | |
| 5.5.5 | Upewnij się, że domyślny limit czasu powłoki użytkownika wynosi 900 sekund lub mniej | Niepowodzenie | |
| 5,6 | Upewnij się, że logowanie główne jest ograniczone do konsoli systemowej | Nie dotyczy | |
| 5.7 | Upewnij się, że dostęp do polecenia su jest ograniczony | Niepowodzenie | Potencjalny wpływ operacji |
| 6 | Konserwacja systemu | ||
| 6.1 | Uprawnienia do plików systemowych | ||
| 6.1.2 | Upewnij się, że skonfigurowano uprawnienia dla /etc/passwd | Zaliczenie | |
| 6.1.3 | Upewnij się, że skonfigurowano uprawnienia dla /etc/passwd | Zaliczenie | |
| 6.1.4 | Upewnij się, że skonfigurowano uprawnienia dla /etc/group | Zaliczenie | |
| 6.1.5 | Upewnij się, że skonfigurowano uprawnienia dla /etc/group | Zaliczenie | |
| 6.1.6 | Upewnij się, że skonfigurowano uprawnienia do /etc/shadow | Zaliczenie | |
| 6.1.7 | Upewnij się, że skonfigurowano uprawnienia do /etc/shadow | Zaliczenie | |
| 6.1.8 | Upewnij się, że skonfigurowano uprawnienia w /etc/gshadow | Zaliczenie | |
| 6.1.9 | Upewnij się, że skonfigurowano uprawnienia w /etc/gshadow | Zaliczenie | |
| 6.1.10 | Upewnij się, że nie istnieją żadne pliki zapisywalne w świecie | Niepowodzenie | Potencjalny wpływ operacji |
| 6.1.11 | Upewnij się, że nie istnieją żadne nieuowne pliki lub katalogi | Niepowodzenie | Potencjalny wpływ operacji |
| 6.1.12 | Upewnij się, że nie istnieją żadne niezgrupowane pliki ani katalogi | Niepowodzenie | Potencjalny wpływ operacji |
| 6.1.13 | Inspekcja plików wykonywalnych SUID | Nie dotyczy | |
| 6.1.14 | Inspekcja plików wykonywalnych SGID | Nie dotyczy | |
| 6,2 | Ustawienia użytkowników i grup | ||
| 6.2.1 | Upewnij się, że konta w /etc/passwd używają haseł w tle | Zaliczenie | |
| 6.2.2 | Upewnij się, że pola haseł nie są puste | Zaliczenie | |
| 6.2.3 | Upewnij się, że wszystkie grupy w /etc/passwd istnieją w /etc/group | Zaliczenie | |
| 6.2.4 | Upewnij się, że wszystkie katalogi główne użytkowników istnieją | Zaliczenie | |
| 6.2.5 | Upewnij się, że użytkownicy są właścicielami katalogów domowych | Zaliczenie | |
| 6.2.6 | Upewnij się, że uprawnienia katalogów domowych użytkowników są 750 lub bardziej restrykcyjne | Zaliczenie | |
| 6.2.7 | Upewnij się, że pliki kropkowe użytkowników nie są grupowalne ani nie są zapisywalne w świecie | Zaliczenie | |
| 6.2.8 | Upewnij się, że żaden użytkownik nie ma plików .netrc | Zaliczenie | |
| 6.2.9 | Upewnij się, że żaden użytkownik nie ma plików przekazywania dalej | Zaliczenie | |
| 6.2.10 | Upewnij się, że żaden użytkownik nie ma plików rhosts | Zaliczenie | |
| 6.2.11 | Upewnij się, że katalog główny jest jedynym kontem UID 0 | Zaliczenie | |
| 6.2.12 | Upewnij się, że integralność ścieżki głównej | Zaliczenie | |
| 6.2.13 | Upewnij się, że nie istnieją zduplikowane identyfikatory UID | Zaliczenie | |
| 6.2.14 | Upewnij się, że nie istnieją zduplikowane identyfikatory GID | Zaliczenie | |
| 6.2.15 | Upewnij się, że nie istnieją zduplikowane nazwy użytkowników | Zaliczenie | |
| 6.2.16 | Upewnij się, że nie istnieją zduplikowane nazwy grup | Zaliczenie | |
| 6.2.17 | Upewnij się, że grupa w tle jest pusta | Zaliczenie |
Następne kroki
Aby uzyskać więcej informacji na temat zabezpieczeń usługi AKS, zobacz następujące artykuły: