Guia de início rápido: aplicar de controle de postura SSH a uma máquina de teste

Nas etapas a seguir, você usará a Política do Azure para implantar configurações de Controle de Postura SSH em uma VM Linux de teste.

Para referência de fundo e conceitual, consulte O que é o Controle de Postura SSH?.

Para obter um passo a passo mais avançado, consulte Gerenciar suas configurações de sshd usando o Controle de Postura SSH.

Se não tiver uma conta do Azure, pode criar uma versão de avaliação gratuita.

Atenção

• Este Guia de início rápido demonstra a aplicação de uma configuração sshd restritiva destinada a uma nova máquina de teste descartável. Se você aplicasse essa configuração a outras máquinas, poderia bloquear-se a si mesmo. Ao experimentar controles de segurança, como o Controle de Postura SSH, use um ambiente de área restrita isolado para que mesmo um erro na atribuição de políticas não reconfigure máquinas não intencionais.

Pré-requisitos

Antes de tentar as etapas neste artigo, verifique se você já tem:

1. Uma conta do Azure onde você tem direitos para criar um grupo de recursos, atribuições de política e uma máquina virtual.
2. Seu ambiente preferido para interagir com o Azure, como:
   1. do Azure Cloud Shell (recomendado)
      1. Nota: Os exemplos usarão o modo bash. Os leitores podem adaptar exemplos a outros ambientes de shell, incluindo o PowerShell.
   2. ou seu próprio ambiente de shell com a CLI do Azure instalada e conectada
   3. ouPortal do Azure em um navegador da Web

Verifique se você está conectado ao seu ambiente de teste

1. Use as informações da conta no portal para ver seu contexto atual.

   

1. Você pode usar az account show para ver seu contexto atual. Para iniciar sessão ou alterar contextos, utilize az account login.

Criar um grupo de recursos

A escolha de eastus local neste exemplo não é significativa. Você pode usar qualquer local disponível do Azure.

az group create --name sshdemo01 --location eastus

Atribuir a política ao grupo de recursos

Este Guia de início rápido aplica o comportamento de auditoria e configuração, usando a definição de política interna Configure SSH Posture Control on Linux machines.

A atribuição de exemplo dependerá em grande parte dos padrões do Controle de Postura SSH (por exemplo, porta 22, acesso raiz não permitido), com personalização limitada (texto do banner).

1. Navegue até Política e, em seguida, Definições
2. Filtre a lista para localizar e selecionar Configure SSH Posture Control on Linux machines
3. Na página de definição de política, clique em Atribuir
4. No fluxo de trabalho de atribuição de política
   1. Escolha o novo grupo de recursos vazio (criado anteriormente) como escopo.
   2. Opcional: escolha um nome para esta atribuição de política. Por padrão, o nome da definição de política é usado.
   3. Opcional: na guia parâmetros, substitua um valor padrão, como o valor "banner".
   4. Nota: A regra 'porta' deve ser configurada com um único valor para garantir a funcionalidade e conformidade adequadas para auditoria e configuração de cenários.
   5. Conclua a criação da atribuição de política.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Atenção

Se você usou o Portal ou a CLI, inspecione o escopo da atribuição de política que acabou de criar antes de prosseguir. Se o escopo foi definido erroneamente para algo diferente do novo grupo de recursos vazio criado anteriormente, ele deve ser corrigido imediatamente para evitar a configuração de máquinas não intencionais.

Criar uma VM de teste e prepará-la para a Configuração da Máquina

1. Criar uma máquina virtual Linux
2. Adicionar uma identidade atribuída ao sistema, se ainda não estiver presente
3. Adicione a extensão Configuração da Máquina (rotulada no portal como Configuração de Máquina do Azure para Linux)

1. Criar uma VM Linux com uma identidade atribuída ao sistema

   az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]
   

2. Instalar o agente de Configuração de Máquina, como uma extensão de VM do Azure

   az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

Dica

Neste Guia de início rápido, os pré-requisitos para Configuração da Máquina (a VM gerenciou a identidade e a extensão do agente) foram abordados diretamente durante a criação da VM. Em grande escala, estes pré-requisitos podem ser satisfeitos utilizando a Deploy prerequisites to enable Guest Configuration policies on virtual machines Iniciativa Política incorporada.

Faça uma pausa antes de prosseguir

Várias etapas agora acontecerão automaticamente. Cada um destes passos pode demorar alguns minutos. Por conseguinte, aguarde pelo menos 15 minutos antes de prosseguir.

Observe os resultados

Usando as seguintes etapas, você pode ver:

1. Quantas máquinas estão em conformidade (ou não)
   1. Particularmente útil em escalas de produção, onde você pode ter milhares de máquinas
2. Quais máquinas estão em conformidade (ou não)
3. Para uma determinada máquina, quais regras individuais estão em conformidade (ou não)

Os exemplos de CLI do Azure a seguir são de um ambiente de bash . Para usar outro ambiente de shell, talvez seja necessário ajustar exemplos para comportamento de terminação de linha, regras de aspas, fuga de caracteres e assim por diante.

1. Quantas máquinas estão em conformidade (ou não):

   QUERY="guestconfigurationresources
      | where name contains 'LinuxSshServerSecurityBaseline'
      | extend complianceStatus = tostring(properties.complianceStatus)
      | summarize machineCount = count() by complianceStatus
   "
   az graph query -q "$QUERY" --query data --output table
   
   # Sample output from an environment with two machines:
   # 
   # complianceStatus machineCount
   # ---------------- ------------
   # Pending                     1
   # Compliant                   1
   

2. Quais máquinas estão em conformidade (ou não):

   QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | project 
       machine = split(properties.targetResourceId,'/')[-1],
       complianceStatus = properties.complianceStatus,
       lastComplianceStatusChecked = properties.lastComplianceStatusChecked
   "
   
   az graph query -q "$QUERY" --query data --output table
   
   # Sample output from an environment with two machines:
   #
   # machine     complianceStatus lastComplianceStatusChecked
   # -------     ---------------- ---------------------------
   # sshdemovm01 Compliant        2/15/2024 11:07:21 PM
   # sshdemovm02 Pending          1/1/0001 12:00:00 AM
   

3. Para uma determinada máquina, quais regras individuais estão em conformidade (ou não):

   QUERY="GuestConfigurationResources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | project report = properties.latestAssignmentReport,
     machine = split(properties.targetResourceId,'/')[-1],
     lastComplianceStatusChecked=properties.lastComplianceStatusChecked
   | mv-expand report.resources
   | project machine,
     rule = report_resources.resourceId,
     ruleComplianceStatus = report_resources.complianceStatus,
     ruleComplianceReason = report_resources.reasons[0].phrase,
     lastComplianceStatusChecked
   "
   az graph query -q "$QUERY" --query data --output table
   # Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
   # 
   # machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
   # -------     ---------------                                                  ------               ------
   # sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
   # sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
   # sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
   # sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
   # sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
   # sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
   # sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
   # sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
   # sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
   # sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
   # ...
   

Opcional: adicione mais máquinas de teste para experimentar a escala

Neste artigo, a política foi atribuída a um grupo de recursos que estava inicialmente vazio e, em seguida, ganhou uma VM. Embora isso demonstre que o sistema funciona de ponta a ponta, não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.

Considere adicionar mais máquinas de teste ao grupo de recursos, seja manualmente ou por meio de automação. Essas podem ser VMs do Azure ou máquinas habilitadas para Arc. À medida que você vê essas máquinas entrarem em conformidade (ou até mesmo falharem), você pode ganhar uma sensação mais apurada de operacionalizar o Controle de Postura SSH em escala.

Opcional: inspecione manualmente a máquina de teste para confirmar os resultados

Ao começar com um novo recurso, como o Controle de Postura SSH, pode ser valioso inspecionar manualmente os resultados fora da banda. Isto ajuda a criar confiança e clareza. As etapas neste artigo, por exemplo, devem ter resultado em uma configuração de banner de logon modificada em sua VM de teste. Você pode confirmar isso tentando uma conexão SSH com a máquina para ver o banner ou inspecionando o arquivo sshd_config.

Limpar recursos

Para evitar cobranças contínuas, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "sshdemo01"

---

Conteúdo relacionado

• O que é o Controle de Postura SSH?
• Implantando com segurança as configurações do servidor SSH com a Política do Azure
• Para fornecer comentários, discutir solicitações de recursos, etc., entre em contato com: linux_sec_config_mgmt@service.microsoft.com