Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Viktigt!
Den här artikeln och rekommendationerna nedan gäller endast för Azure Linux 2.0. Konfigurationsstatusen och vägledningen återspeglar CIS Azure Linux 2.0 Benchmark v1.0 och Azure Linux 2.0 Container Host-avbildningen som används av AKS. De kanske inte gäller för andra Azure Linux-versioner, anpassade avbildningar eller distributioner från tredje part.
Viktigt!
Från och med den 30 november 2025 har Azure Kubernetes Service (AKS) inte längre stöd för eller tillhandahåller säkerhetsuppdateringar för Azure Linux 2.0. Azure Linux 2.0-nodbilden är låst i 202512.06.0-versionen. Från och med den 31 mars 2026 tas nodbilder bort och du kan inte skala dina nodpooler. Migrera till en Azure Linux-version som stöds genom att uppgradera dina nodpooler till en Kubernetes-version som stöds eller migrera till osSku AzureLinux3. Mer information finns i [Pensionering] Azure Linux 2.0-nodpooler på AKS.
Konfigurationen av säkerhetsoperativsystemet som tillämpas på Azure Linux 2.0 Container Host for AKS-avbildningen baseras på Säkerhetsbaslinjen för Azure Linux, som överensstämmer med CIS-riktmärket. Som en säker tjänst uppfyller AKS SOC-, ISO-, PCI DSS- och HIPAA-standarder. Mer information om Säkerhet för Azure Linux Container Host finns i Säkerhetsbegrepp för kluster i AKS. Mer information om CIS-benchmark finns i Center for Internet Security (CIS) Benchmarks. Mer information om Azures säkerhetsbaslinjer för Linux finns i Säkerhetsbaslinje för Linux.
Översikt över Azure Linux 2.0
Det här operativsystemet för Azure Linux 2.0 Container Host baseras på Azure Linux 2.0-avbildningen med inbyggda säkerhetskonfigurationer.
Som en del av det säkerhetsoptimerade operativsystemet:
- AKS och Azure Linux 2.0 tillhandahåller som standard ett säkerhetsoptimerad värdoperativsystem utan alternativ för att välja ett alternativt operativsystem.
- Det säkerhetsoptimerade värdoperativsystemet skapas och underhålls specifikt för AKS och stöds inte utanför AKS-plattformen.
- Onödiga kernelmoduldrivrutiner har inaktiverats i operativsystemet för att minska attackytan.
Rekommendationer
Tabellen nedan innehåller fyra avsnitt:
- CIS-ID: Det associerade regel-ID:t med var och en av baslinjereglerna.
- Rekommendationsbeskrivning: En beskrivning av rekommendationen som utfärdats av CIS-riktmärket.
- Nivå: L1, eller Nivå 1, rekommenderar grundläggande grundläggande säkerhetskrav som kan konfigureras på alla system och bör orsaka lite eller inget avbrott i tjänsten eller nedsatt funktionalitet.
-
Status:
- Pass – rekommendationen har tillämpats.
- Misslyckas – rekommendationen har inte tillämpats.
- N/A – rekommendationen gäller behörighetskrav för manifestfiler som inte är relevanta för AKS.
- Beror på miljö – Rekommendationen tillämpas i användarens specifika miljö och styrs inte av AKS.
- Motsvarande kontroll – rekommendationen har implementerats på ett annat motsvarande sätt.
-
Orsak:
- Potentiell åtgärdspåverkan – rekommendationen tillämpades inte eftersom den skulle ha en negativ effekt på tjänsten.
- Omfattas någon annanstans – rekommendationen omfattas av en annan kontroll i Azure Cloud Compute.
Prestandamått för Azure Linux 2.0
Följande är resultaten från CIS Azure Linux 2.0 Benchmark v1.0-rekommendationerna baserat på CIS-reglerna:
| CIS-ID | Beskrivning av rekommendation | Status | Anledning |
|---|---|---|---|
| 1.1.4 | Inaktivera automontering | Godkänd | |
| 1.1.1.1 | Se till att monteringen av cramfs-filsystem är inaktiverad | Godkänd | |
| 1.1.2.1 | Kontrollera att /tmp är en separat partition | Godkänd | |
| 1.1.2.2 | Kontrollera att nodev-alternativet är inställt på /tmp-partitionen | Godkänd | |
| 1.1.2.3 | Se till att alternativet nosuid är inställt på /tmp-partitionen | Godkänd | |
| 1.1.8.1 | Kontrollera att alternativet nodev har angetts för partitionen /dev/shm | Godkänd | |
| 1.1.8.2 | Se till att alternativet nosuid är inställt på /dev/shm-partitionen | Godkänd | |
| 1.2.1 | Kontrollera att DNF gpgcheck är globalt aktiverat | Godkänd | |
| 1.2.2 | Kontrollera att TDNF gpgcheck är globalt aktiverat | Godkänd | |
| 1.5.1 | Se till att lagring av kärndumpar är inaktiverat | Godkänd | |
| 1.5.2 | Säkerställ att backtraces för kärndumpar är inaktiverade | Godkänd | |
| 1.5.3 | Se till att slumpmässig adressutrymmeslayout (ASLR) är aktiverat | Godkänd | |
| 1.7.1 | Kontrollera att den lokala inloggningsvarningsbanderollen är korrekt konfigurerad | Godkänd | |
| 1.7.2 | Kontrollera att varningsbanderollen för fjärrinloggning är korrekt konfigurerad | Godkänd | |
| 1.7.3 | Se till att behörigheter för /etc/motd är konfigurerade | Godkänd | |
| 1.7.4 | Se till att behörigheter för /etc/issue har konfigurerats | Godkänd | |
| 1.7.5 | Se till att behörigheter för /etc/issue.net är konfigurerade | Godkänd | |
| 2.1.1 | Kontrollera att tidssynkronisering används | Godkänd | |
| 2.1.2 | Kontrollera att chrony har konfigurerats | Godkänd | |
| 2.2.1 | Kontrollera att xinetd inte är installerat | Godkänd | |
| 2.2.2 | Kontrollera att xorg-x11-server-common inte är installerat | Godkänd | |
| 2.2.3 | Kontrollera att avahi inte är installerat | Godkänd | |
| 2.2.4 | Kontrollera att en utskriftsserver inte är installerad | Godkänd | |
| 2.2.5 | Kontrollera att en dhcp-server inte är installerad | Godkänd | |
| 2.2.6 | Kontrollera att en DNS-server inte är installerad | Godkänd | |
| 2.2.7 | Kontrollera att FTP-klienten inte är installerad | Godkänd | |
| 2.2.8 | Kontrollera att en ftp-server inte är installerad | Godkänd | |
| 2.2.9 | Kontrollera att en tftp-server inte är installerad | Godkänd | |
| 2.2.10 | Kontrollera att en webbserver inte är installerad | Godkänd | |
| 2.2.11 | Kontrollera att IMAP- och POP3-servern inte är installerade | Godkänd | |
| 2.2.12 | Kontrollera att Samba inte är installerat | Godkänd | |
| 2.2.13 | Kontrollera att HTTP-proxyservern inte är installerad | Godkänd | |
| 2.2.14 | Kontrollera att net-snmp inte är installerat eller att snmpd-tjänsten inte är aktiverad | Godkänd | |
| 2.2.15 | Kontrollera att NIS-servern inte är installerad | Godkänd | |
| 2.2.16 | Kontrollera att telnet-server inte är installerad | Godkänd | |
| 2.2.17 | Kontrollera att e-postöverföringsagenten är konfigurerad för lokalt läge | Godkänd | |
| 2.2.18 | Kontrollera att nfs-utils inte är installerat eller att nfs-servertjänsten är maskerad | Godkänd | |
| 2.2.19 | Kontrollera att rsync-daemon inte är installerat eller att rsyncd-tjänsten är maskerad | Godkänd | |
| 2.3.1 | Kontrollera att NIS-klienten inte är installerad | Godkänd | |
| 2.3.2 | Kontrollera att rsh-klienten inte är installerad | Godkänd | |
| 2.3.3 | Kontrollera att talk-klienten inte är installerad | Godkänd | |
| 2.3.4 | Kontrollera att telnet-klienten inte är installerad | Godkänd | |
| 2.3.5 | Kontrollera att LDAP-klienten inte är installerad | Godkänd | |
| 2.3.6 | Kontrollera att TFTP-klienten inte är installerad | Godkänd | |
| 3.1.1 | Kontrollera att IPv6 är aktiverat | Godkänd | |
| 3.2.1 | Se till att sändning av paketomdirigering är inaktiverad | Godkänd | |
| 3.3.1 | Se till att källroutade paket inte accepteras | Godkänd | |
| 3.3.2 | Se till att ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.3 | Se till att säkra ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.4 | Se till att misstänkta paket loggas | Godkänd | |
| 3.3.5 | Se till att sändnings-ICMP-begäranden ignoreras | Godkänd | |
| 3.3.6 | Se till att falska ICMP-svar ignoreras | Godkänd | |
| 3.3.7 | Kontrollera att filtrering av omvänd sökväg är aktiverat | Godkänd | |
| 3.3.8 | Kontrollera att TCP SYN Cookies är aktiverat | Godkänd | |
| 3.3.9 | Se till att IPv6-routerannonser inte accepteras | Godkänd | |
| 3.4.3.1.1 | Kontrollera att iptables-paketet är installerat | Godkänd | |
| 3.4.3.1.2 | Kontrollera att varken nftables eller iptables är installerade tillsammans | Godkänd | |
| 3.4.3.1.3 | Kontrollera att brandväggen antingen inte är installerad eller maskerad med iptables | Godkänd | |
| 4.2 | Kontrollera att logrotate har konfigurerats | Godkänd | |
| 4.2.2 | Kontrollera att alla loggfiler har rätt åtkomst konfigurerad | Godkänd | |
| 4.2.1.1 | Kontrollera att rsyslog är installerat | Godkänd | |
| 4.2.1.2 | Kontrollera att rsyslog-tjänsten är aktiverad | Godkänd | |
| 4.2.1.3 | Kontrollera att rsyslog att standardfilbehörigheter har konfigurerats | Godkänd | |
| 4.2.1.4 | Kontrollera att loggningen är konfigurerad | Godkänd | |
| 4.2.1.5 | Kontrollera att rsyslog inte är konfigurerat för att ta emot loggar från en fjärrklient | Godkänd | |
| 5.1.1 | Kontrollera att cron-daemon är aktiverat | Godkänd | |
| 5.1.2 | Se till att behörigheter på /etc/crontab är konfigurerade | Godkänd | |
| 5.1.3 | Kontrollera att behörigheter för /etc/cron.hourly är konfigurerade | Godkänd | |
| 5.1.4 | Se till att behörigheter för /etc/cron.daily har konfigurerats | Godkänd | |
| 5.1.5 | Se till att behörigheter för /etc/cron.weekly har konfigurerats | Godkänd | |
| 5.1.6 | Se till att behörigheter för /etc/cron.monthly har konfigurerats | Godkänd | |
| 5.1.7 | Se till att behörigheter för /etc/cron.d har konfigurerats | Godkänd | |
| 5.1.8 | Se till att cron är begränsad till behöriga användare | Godkänd | |
| 5.1.9 | Se till att at är begränsad till behöriga användare | Godkänd | |
| 5.2.1 | Se till att behörigheter för /etc/ssh/sshd_config har konfigurerats | Godkänd | |
| 5.2.2 | Se till att behörigheter för privata SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.2.3 | Se till att behörigheter för offentliga SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.2.4 | Se till att SSH-åtkomsten är begränsad | Godkänd | |
| 5.2.5 | Kontrollera att SSH LogLevel är lämpligt | Godkänd | |
| 5.2.6 | Kontrollera att SSH PAM är aktiverat | Godkänd | |
| 5.2.7 | Kontrollera att SSH-rotinloggning är inaktiverad | Godkänd | |
| 5.2.8 | Kontrollera att SSH HostbasedAuthentication är inaktiverat | Godkänd | |
| 5.2.9 | Kontrollera att SSH PermitEmptyPasswords är inaktiverat | Godkänd | |
| 5.2.10 | Kontrollera att SSH PermitUserEnvironment är inaktiverat | Godkänd | |
| 5.2.11 | Kontrollera att SSH IgnoreRhosts är aktiverat | Godkänd | |
| 5.2.12 | Se till att endast starka chiffer används | Godkänd | |
| 5.2.13 | Se till att endast starka MAC-algoritmer används | Godkänd | |
| 5.2.14 | Se till att endast starka Key Exchange-algoritmer används | Godkänd | |
| 5.2.15 | Kontrollera att SSH-varningsbanderollen är konfigurerad | Godkänd | |
| 5.2.16 | Kontrollera att SSH MaxAuthTries är inställt på 4 eller mindre | Godkänd | |
| 5.2.17 | Kontrollera att SSH MaxStartups har konfigurerats | Godkänd | |
| 5.2.18 | Kontrollera att SSH LoginGraceTime är inställt på en minut eller mindre | Godkänd | |
| 5.2.19 | Kontrollera att SSH MaxSessions är inställt på 10 eller mindre | Godkänd | |
| 5.2.20 | Kontrollera att tidsgränsintervallet för SSH-inaktivitet är konfigurerat | Godkänd | |
| 5.3.1 | Kontrollera att sudo är installerat | Godkänd | |
| 5.3.2 | Se till att återautentisering för behörighetseskalering inte är inaktiverad globalt | Godkänd | |
| 5.3.3 | Kontrollera att tidsgränsen för sudo-autentisering är korrekt konfigurerad | Godkänd | |
| 5.4.1 | Se till att kraven för att skapa lösenord är konfigurerade | Godkänd | |
| 5.4.2 | Se till att utelåsning för misslyckade lösenordsförsök har konfigurerats | Godkänd | |
| 5.4.3 | Kontrollera att algoritmen för lösenordshashing är SHA-512 | Godkänd | |
| 5.4.4 | Se till att återanvändning av lösenord är begränsad | Godkänd | |
| 5.5.2 | Se till att systemkonton är skyddade | Godkänd | |
| 5.5.3 | Kontrollera att standardgruppen för rotkontot är GID 0 | Godkänd | |
| 5.5.4 | Kontrollera att standardanvändarens umask är 027 eller mer restriktiv | Godkänd | |
| 5.5.1.1 | Kontrollera att lösenordets giltighetstid är 365 dagar eller mindre | Godkänd | |
| 5.5.1.2 | Se till att minsta antal dagar mellan lösenordsändringar har konfigurerats | Godkänd | |
| 5.5.1.3 | Kontrollera att varningsdagarna för lösenordets giltighetstid är 7 eller fler | Godkänd | |
| 5.5.1.4 | Kontrollera att inaktivt lösenordslås är 30 dagar eller mindre | Godkänd | |
| 5.5.1.5 | Kontrollera att alla användares senaste datum för lösenordsändring är tidigare | Godkänd | |
| 6.1.1 | Se till att behörigheter för /etc/passwd har konfigurerats | Godkänd | |
| 6.1.2 | Se till att behörigheter för /etc/passwd – har konfigurerats | Godkänd | |
| 6.1.3 | Se till att behörigheter för /etc/group har konfigurerats | Godkänd | |
| 6.1.4 | Se till att behörigheter för /etc/group – har konfigurerats | Godkänd | |
| 6.1.5 | Se till att behörigheter för /etc/shadow är konfigurerade | Godkänd | |
| 6.1.6 | Se till att behörigheter för /etc/shadow - har konfigurerats | Godkänd | |
| 6.1.7 | Se till att behörigheter för /etc/gshadow är konfigurerade | Godkänd | |
| 6.1.8 | Se till att behörigheter för /etc/gshadow – har konfigurerats | Godkänd | |
| 6.1.9 | Se till att det inte finns några filer eller kataloger som inte är ägda eller inte grupperade | Godkänd | |
| 6.1.10 | Se till att skrivbara filer och kataloger i världen skyddas | Godkänd | |
| 6.2.1 | Kontrollera att lösenordsfälten inte är tomma | Godkänd | |
| 6.2.2 | Se till att alla grupper i /etc/passwd finns i /etc/group | Godkänd | |
| 6.2.3 | Kontrollera att inga dubbla unika identifierare finns | Godkänd | |
| 6.2.4 | Kontrollera att inga duplicerade GID:er finns | Godkänd | |
| 6.2.5 | Kontrollera att inga duplicerade användarnamn finns | Godkänd | |
| 6.2.6 | Kontrollera att det inte finns några duplicerade gruppnamn | Godkänd | |
| 6.2.7 | Säkerställ root-PATH-integritet | Godkänd | |
| 6.2.8 | Kontrollera att roten är det enda UID 0-kontot | Godkänd | |
| 6.2.9 | Se till att alla användares hemkataloger finns | Godkänd | |
| 6.2.10 | Se till att användarna äger sina hemkataloger | Godkänd | |
| 6.2.11 | Se till att användarnas behörigheter för hemkataloger är 750 eller mer restriktiva | Godkänd | |
| 6.2.12 | Se till att användarnas punktfiler inte är skrivbara i grupp eller i världen | Godkänd | |
| 6.2.13 | Se till att användarnas .netrc-filer inte är grupp- eller världstillgängliga | Godkänd | |
| 6.2.14 | Se till att inga användare har vidarebefordrade filer | Godkänd | |
| 6.2.15 | Se till att inga användare har .netrc-filer | Godkänd | |
| 6.2.16 | Kontrollera att inga användare har .rhosts-filer | Godkänd |
Nästa steg
Mer information om Azure Linux Container Host-säkerhet finns i följande artiklar: