İnternet Güvenliği Merkezi (CIS) karşılaştırması ile Azure Kubernetes Service (AKS) Ubuntu görüntü hizalaması
Azure Kubernetes Service (AKS), güvenli bir hizmet olarak SOC, ISO, PCI DSS ve HIPAA standartlarına uygundur. Bu makale, AKS tarafından kullanılan Ubuntu görüntüsüne uygulanan güvenlik işletim sistemi yapılandırmasını kapsar. Bu güvenlik yapılandırması, CIS karşılaştırmasıyla uyumlu olan Azure Linux güvenlik temelini temel alır. AKS güvenliği hakkında daha fazla bilgi için bkz. Azure Kubernetes Service'te (AKS) uygulamalar ve kümeler için güvenlik kavramları. AKS güvenliği hakkında daha fazla bilgi için bkz . Azure Kubernetes Service'te (AKS) uygulamalar ve kümeler için güvenlik kavramları. CIS karşılaştırması hakkında daha fazla bilgi için bkz . Internet Güvenliği Merkezi (CIS) Karşılaştırmaları. Linux için Azure güvenlik temelleri hakkında daha fazla bilgi için bkz . Linux güvenlik temeli.
Ubuntu LTS 18.04
AKS kümeleri, yerleşik güvenli yapılandırmalara sahip bir işletim sistemi çalıştıran konak sanal makinelerine dağıtılır. Bu işletim sistemi AKS üzerinde çalışan kapsayıcılar için kullanılır. Bu konak işletim sistemi, güvenlik yapılandırmalarının uygulandığı bir Ubuntu 18.04.LTS görüntüsünü temel alır.
Güvenlik için iyileştirilmiş işletim sisteminin bir parçası olarak:
- AKS varsayılan olarak güvenlik için iyileştirilmiş bir ana bilgisayar işletim sistemi sağlar, ancak alternatif bir işletim sistemi seçme seçeneği yoktur.
- Güvenlik için iyileştirilmiş ana bilgisayar işletim sistemi aks için özel olarak derlenir ve korunur ve AKS platformu dışında desteklenmez .
- Saldırı yüzeyi alanını azaltmak için işletim sisteminde bazı gereksiz çekirdek modülü sürücüleri devre dışı bırakıldı.
Dekont
CIS karşılaştırmalarıyla ilgisi olmayan Azure, AKS sanal makine konaklarına güvenlik düzeltme ekleri de dahil olmak üzere günlük düzeltme ekleri uygular.
Konak işletim sisteminde yerleşik olarak bulunan güvenli yapılandırmanın amacı, saldırının yüzey alanını azaltmak ve kapsayıcıların güvenli bir şekilde dağıtımı için iyileştirme yapmaktır.
CIS Ubuntu 18.04 LTS Benchmark v2.1.0 önerilerinden elde edilen sonuçlar aşağıdadır.
Öneriler aşağıdaki nedenlerden biri olabilir:
- Olası İşlem Etkisi - Hizmet üzerinde olumsuz bir etkisi olacağından öneri uygulanmadı.
- Başka Bir Yerde Ele Alınmıştır - Öneri, Azure bulut işlemindeki başka bir denetim tarafından ele alınmıştır.
Uygulanan CIS kuralları şunlardır:
| CIS paragraf numarası | Öneri açıklaması | Status | Nedeni |
|---|---|---|---|
| Kategori 1 | Başlangıç Kurulumu | ||
| 1.1 | Dosya Sistemi Yapılandırması | ||
| 1.1.1 | Kullanılmayan dosya sistemlerini devre dışı bırakma | ||
| 1.1.1.1 | Cramfs dosya sistemlerinin montajının devre dışı bırakıldığından emin olun | Geçer | |
| 1.1.1.2 | freevxfs dosya sistemlerinin bağlamasının devre dışı bırakıldığından emin olun | Geçer | |
| 1.1.1.3 | jffs2 dosya sistemlerinin bağlamasının devre dışı bırakıldığından emin olun | Geçer | |
| 1.1.1.4 | hfs dosya sistemlerinin bağlamasının devre dışı bırakıldığından emin olun | Geçer | |
| 1.1.1.5 | hfsplus dosya sistemlerinin bağlamasının devre dışı bırakıldığından emin olun | Geçer | |
| 1.1.1.6 | udf dosya sistemlerinin bağlamasının devre dışı bırakıldığından emin olun | Başarısız | Olası operasyonel etki |
| 1.1.2 | /tmp'nin yapılandırıldığından emin olun | Başarısız | |
| 1.1.3 | /tmp bölümünde nodev seçeneğinin ayarlandığından emin olun | Başarısız | |
| 1.1.4 | /tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun | Geçer | |
| 1.1.5 | /tmp bölümünde noexec seçeneğinin ayarlandığından emin olun | Geçer | |
| 1.1.6 | /dev/shm'nin yapılandırıldığından emin olun | Geçer | |
| 1.1.7 | /dev/shm bölümünde nodev seçeneğinin ayarlandığından emin olun | Geçer | |
| 1.1.8 | /dev/shm bölümünde nosuid seçeneğinin ayarlandığından emin olun | Geçer | |
| 1.1.9 | /dev/shm bölümünde noexec seçeneğinin ayarlandığından emin olun | Başarısız | Olası operasyonel etki |
| 1.1.12 | /var/tmp bölümünün nodev seçeneğini içerdiğinden emin olun | Geçer | |
| 1.1.13 | /var/tmp bölümünün nosuid seçeneğini içerdiğinden emin olun | Geçer | |
| 1.1.14 | /var/tmp bölümünün noexec seçeneğini içerdiğinden emin olun | Geçer | |
| 1.1.18 | /home bölümünün nodev seçeneğini içerdiğinden emin olun | Geçer | |
| 1.1.19 | Çıkarılabilir medya bölümlerinde nodev seçeneğinin ayarlandığından emin olun | Geçerli değil | |
| 1.1.20 | Çıkarılabilir medya bölümlerinde nosuid seçeneğinin ayarlandığından emin olun | Geçerli değil | |
| 1.1.21 | Çıkarılabilir medya bölümlerinde noexec seçeneğinin ayarlandığından emin olun | Geçerli değil | |
| 1.1.22 | Yapışkan bitin tüm dünya tarafından yazılabilir dizinlerde ayarlandığından emin olun | Başarısız | Olası İşlem Etkisi |
| 1.1.23 | Otomatik Bağlamayı Devre Dışı Bırak | Geçer | |
| 1.1.24 | USB Depolama devre dışı bırakma | Geçer | |
| 1.2 | Yazılım Güncelleştirmeler Yapılandırma | ||
| 1.2.1 | Paket yöneticisi depolarının yapılandırıldığından emin olun | Geçer | Başka Bir Yerde Ele Alınmıştır |
| 1.2.2 | GPG anahtarlarının yapılandırıldığından emin olun | Geçerli değil | |
| 1.3 | Dosya Sistemi Bütünlük Denetimi | ||
| 1.3.1 | AIDE'nin yüklü olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 1.3.2 | Dosya sistemi bütünlüğünün düzenli olarak denetlendiğinden emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 1.4 | Güvenli Önyükleme Ayarlar | ||
| 1.4.1 | Önyükleyici yapılandırmasındaki izinlerin geçersiz kılınmadığından emin olun | Başarısız | |
| 1.4.2 | Önyükleyici parolasının ayarlandığından emin olun | Başarısız | Geçerli değil |
| 1.4.3 | Önyükleyici yapılandırması izinlerinin yapılandırıldığından emin olun | Başarısız | |
| 1.4.4 | Tek kullanıcı modu için kimlik doğrulaması gerektiğinden emin olun | Başarısız | Geçerli değil |
| 1.5 | Ek İşlem Sağlamlaştırma | ||
| 1.5.1 | XD/NX desteğinin etkinleştirildiğinden emin olun | Geçerli değil | |
| 1.5.2 | Adres alanı düzeni rastgele seçiminin (ASLR) etkinleştirildiğinden emin olun | Geçer | |
| 1.5.3 | Ön bağlantının devre dışı bırakıldığından emin olun | Geçer | |
| 1.5.4 | Çekirdek dökümlerinin kısıtlandığından emin olun | Geçer | |
| 1.6 | Zorunlu Erişim Denetimi | ||
| 1.6.1 | AppArmor'ı yapılandırma | ||
| 1.6.1.1 | AppArmor'un yüklü olduğundan emin olun | Geçer | |
| 1.6.1.2 | Önyükleyici yapılandırmasında AppArmor'un etkinleştirildiğinden emin olun | Başarısız | Olası İşlem Etkisi |
| 1.6.1.3 | Tüm AppArmor Profillerinin zorlama veya şikayet modunda olduğundan emin olun | Geçer | |
| 1.7 | Komut Satırı Uyarı Başlıkları | ||
| 1.7.1 | Günün iletisinin düzgün yapılandırıldığından emin olun | Geçer | |
| 1.7.2 | /etc/issue.net üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 1.7.3 | /etc/issue üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 1.7.4 | /etc/motd üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 1.7.5 | Uzaktan oturum açma uyarı başlığının düzgün yapılandırıldığından emin olun | Geçer | |
| 1.7.6 | Yerel oturum açma uyarısı başlığının düzgün yapılandırıldığından emin olun | Geçer | |
| 1.8 | GNOME Görüntü Yöneticisi | ||
| 1.8.2 | GDM oturum açma başlığının yapılandırıldığından emin olun | Geçer | |
| 1.8.3 | Disable-user-list seçeneğinin etkinleştirildiğinden emin olun | Geçer | |
| 1.8.4 | XDCMP'nin etkinleştirilmediğinden emin olun | Geçer | |
| 1.9 | Güncelleştirmelerin, düzeltme eklerinin ve ek güvenlik yazılımlarının yüklendiğinden emin olun | Geçer | |
| 2 | Hizmetler | ||
| 2.1 | Özel Amaçlı Hizmetler | ||
| 2.1.1 | Zaman Eşitleme | ||
| 2.1.1.1 | Zaman eşitlemenin kullanımda olduğundan emin olun | Geçer | |
| 2.1.1.2 | Sistemli zaman uyumsuz'un yapılandırıldığından emin olun | Geçerli değil | AKS, zaman uyumsuzluğu için ntpd kullanır |
| 2.1.1.3 | Kroni'nin yapılandırıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 2.1.1.4 | ntp'nin yapılandırıldığından emin olun | Geçer | |
| 2.1.2 | X Pencere Sistemi'nin yüklü olmadığından emin olun | Geçer | |
| 2.1.3 | Avahi Server'ın yüklü olmadığından emin olun | Geçer | |
| 2.1.4 | CUPS'ın yüklü olmadığından emin olun | Geçer | |
| 2.1.5 | DHCP Sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.6 | LDAP sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.7 | NFS'nin yüklü olmadığından emin olun | Geçer | |
| 2.1.8 | DNS Sunucusu'nun yüklü olmadığından emin olun | Geçer | |
| 2.1.9 | FTP Sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.10 | HTTP sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.11 | IMAP ve POP3 sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.12 | Samba'nın yüklü olmadığından emin olun | Geçer | |
| 2.1.13 | HTTP Proxy Sunucusu'nun yüklü olmadığından emin olun | Geçer | |
| 2.1.14 | SNMP Sunucusunun yüklü olmadığından emin olun | Geçer | |
| 2.1.15 | Posta aktarım aracısının yalnızca yerel mod için yapılandırıldığından emin olun | Geçer | |
| 2.1.16 | Rsync hizmetinin yüklü olmadığından emin olun | Başarısız | |
| 2.1.17 | NIS Sunucusu'nun yüklü olmadığından emin olun | Geçer | |
| 2.2 | Hizmet İstemcileri | ||
| 2.2.1 | NIS İstemcisi'nin yüklü olmadığından emin olun | Geçer | |
| 2.2.2 | rsh istemcisinin yüklü olmadığından emin olun | Geçer | |
| 2.2.3 | Talk istemcisinin yüklü olmadığından emin olun | Geçer | |
| 2.2.4 | Telnet istemcisinin yüklü olmadığından emin olun | Başarısız | |
| 2.2.5 | LDAP istemcisinin yüklü olmadığından emin olun | Geçer | |
| 2.2.6 | RPC'nin yüklü olmadığından emin olun | Başarısız | Olası operasyonel etki |
| 2.3 | Gereksiz hizmetlerin kaldırıldığından veya maskelendiklerinden emin olun | Geçer | |
| 3 | Ağ Yapılandırması | ||
| 3.1 | Kullanılmayan ağ protokollerini ve cihazları devre dışı bırakma | ||
| 3.1.2 | Kablosuz arabirimlerin devre dışı bırakıldığından emin olun | Geçer | |
| 3.2 | Ağ Parametreleri (Yalnızca Konak) | ||
| 3.2.1 | Paket yeniden yönlendirme göndermenin devre dışı bırakıldığından emin olun | Geçer | |
| 3.2.2 | IP iletmenin devre dışı bırakıldığından emin olun | Başarısız | Geçerli değil |
| 3.3 | Ağ Parametreleri (Konak ve Yönlendirici) | ||
| 3.3.1 | Kaynak yönlendirilmiş paketlerin kabul etmediğinden emin olun | Geçer | |
| 3.3.2 | ICMP yeniden yönlendirmelerinin kabul etmediğinden emin olun | Geçer | |
| 3.3.3 | Güvenli ICMP yeniden yönlendirmelerinin kabul etmediğinden emin olun | Geçer | |
| 3.3.4 | Şüpheli paketlerin günlüğe kaydedildiğinden emin olun | Geçer | |
| 3.3.5 | Yayın ICMP isteklerinin yoksayıldığından emin olun | Geçer | |
| 3.3.6 | Sahte ICMP yanıtlarının yoksayıldığından emin olun | Geçer | |
| 3.3.7 | Ters Yol Filtreleme'nin etkinleştirildiğinden emin olun | Geçer | |
| 3.3.8 | TCP SYN Tanımlama Bilgilerinin etkinleştirildiğinden emin olun | Geçer | |
| 3.3.9 | IPv6 yönlendirici tanıtımlarının kabul etmediğinden emin olun | Geçer | |
| 3.4 | Yaygın Olmayan Ağ Protokolleri | ||
| 3.5 | Güvenlik Duvarı Yapılandırması | ||
| 3.5.1 | UncomplicatedFirewall'ı yapılandırma | ||
| 3.5.1.1 | Ufw'un yüklü olduğundan emin olun | Geçer | |
| 3.5.1.2 | iptables-persistent'ın ufw ile yüklenmediğinden emin olun | Geçer | |
| 3.5.1.3 | Ufw hizmetinin etkinleştirildiğinden emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.1.4 | ufw geri döngü trafiğinin yapılandırıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.1.5 | Son giden bağlantıların yapılandırıldığından emin olun | Geçerli değil | Başka Bir Yerde Ele Alınmıştır |
| 3.5.1.6 | Tüm açık bağlantı noktaları için güvenlik duvarı kurallarının mevcut olduğundan emin olun | Geçerli değil | Başka Bir Yerde Ele Alınmıştır |
| 3.5.1.7 | Ufw varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2 | Nftable'ları yapılandırma | ||
| 3.5.2.1 | Nftable'ların yüklü olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.2 | Nftable'larla ufw'un kaldırıldığından veya devre dışı bırakıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.3 | Iptable'ların nftable'larla boşaltıldığından emin olun | Geçerli değil | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.4 | Nftables tablosunun mevcut olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.5 | Nftable'ların temel zincirlerinin mevcut olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.6 | nftables geri döngü trafiğinin yapılandırıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.7 | Nftable'ların giden ve kurulan bağlantıların yapılandırıldığından emin olun | Geçerli değil | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.8 | Nftable'ların varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.9 | nftables hizmetinin etkinleştirildiğinden emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.2.10 | nftables kurallarının kalıcı olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3 | Iptable'ları yapılandırma | ||
| 3.5.3.1 | Iptables yazılımını yapılandırma | ||
| 3.5.3.1.1 | Iptables paketlerinin yüklendiğinden emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.1.2 | nftable'ların iptable'larla yüklenmediğinden emin olun | Geçer | |
| 3.5.3.1.3 | Iptable'larla ufw'un kaldırıldığından veya devre dışı bırakıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.2 | IPv4 iptable'larını yapılandırma | ||
| 3.5.3.2.1 | Iptable'ların varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.2.2 | Iptables geri döngü trafiğinin yapılandırıldığından emin olun | Başarısız | Geçerli değil |
| 3.5.3.2.3 | Giden iptable'ların ve kurulan bağlantıların yapılandırıldığından emin olun | Geçerli değil | |
| 3.5.3.2.4 | Tüm açık bağlantı noktaları için iptable güvenlik duvarı kurallarının mevcut olduğundan emin olun | Başarısız | Olası İşlem Etkisi |
| 3.5.3.3 | IPv6 ip6tables yapılandırma | ||
| 3.5.3.3.1 | ip6tables varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.3.2 | Ip6tables geri döngü trafiğinin yapılandırıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.3.3 | Ip6table'ların giden ve kurulan bağlantıların yapılandırıldığından emin olun | Geçerli değil | Başka Bir Yerde Ele Alınmıştır |
| 3.5.3.3.4 | Tüm açık bağlantı noktaları için ip6tables güvenlik duvarı kurallarının mevcut olduğundan emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 4 | Günlüğe Kaydetme ve Denetim | ||
| 4.1 | Sistem Hesaplamayı Yapılandırma (denetlendi) | ||
| 4.1.1.2 | Denetimin etkinleştirildiğinden emin olun | ||
| 4.1.2 | Veri Saklamayı Yapılandırma | ||
| 4.2 | Günlüğü Yapılandırma | ||
| 4.2.1 | rsyslog'ı yapılandırma | ||
| 4.2.1.1 | rsyslog'un yüklü olduğundan emin olun | Geçer | |
| 4.2.1.2 | rsyslog Hizmetinin etkinleştirildiğinden emin olun | Geçer | |
| 4.2.1.3 | Günlüğün yapılandırıldığından emin olun | Geçer | |
| 4.2.1.4 | rsyslog varsayılan dosya izinlerinin yapılandırıldığından emin olun | Geçer | |
| 4.2.1.5 | rsyslog'un günlükleri uzak günlük konağına gönderecek şekilde yapılandırıldığından emin olun | Başarısız | Başka Bir Yerde Ele Alınmıştır |
| 4.2.1.6 | Uzak rsyslog iletilerinin yalnızca belirlenen günlük konaklarında kabul edildiğine emin olun. | Geçerli değil | |
| 4.2.2 | Günlük kaydı yapılandırma | ||
| 4.2.2.1 | Günlük kaydı'nın günlükleri rsyslog'a gönderecek şekilde yapılandırıldığından emin olun | Geçer | |
| 4.2.2.2 | Günlüğe kaydetmenin büyük günlük dosyalarını sıkıştıracak şekilde yapılandırıldığından emin olun | Başarısız | |
| 4.2.2.3 | Günlük kaydının günlük dosyalarını kalıcı diske yazacak şekilde yapılandırıldığından emin olun | Geçer | |
| 4.2.3 | Tüm logfile'lardaki izinlerin yapılandırıldığından emin olun | Başarısız | |
| 4.3 | Logrotate'in yapılandırıldığından emin olun | Geçer | |
| 4.4 | Logrotate'ın uygun izinleri atadığından emin olun | Başarısız | |
| 5 | Erişim, Kimlik Doğrulaması ve Yetkilendirme | ||
| 5.1 | Zamana bağlı iş zamanlayıcılarını yapılandırma | ||
| 5.1.1 | Cron daemon'un etkinleştirildiğinden ve çalıştığından emin olun | Geçer | |
| 5.1.2 | /etc/crontab üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.3 | /etc/cron.hourly üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.4 | /etc/cron.daily üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.5 | /etc/cron.weekly üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.6 | /etc/cron.monthly üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.7 | /etc/cron.d üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.1.8 | Cron'un yetkili kullanıcılarla sınırlı olduğundan emin olun | Başarısız | |
| 5.1.9 | konumunda yetkili kullanıcılarla sınırlı olduğundan emin olun | Başarısız | |
| 5.2 | Sudo yapılandırma | ||
| 5.2.1 | Sudo'un yüklü olduğundan emin olun | Geçer | |
| 5.2.2 | Sudo komutlarının pty kullandığına emin olun | Başarısız | Olası operasyonel etki |
| 5.2.3 | Sudo günlük dosyasının mevcut olduğundan emin olun | Başarısız | |
| 5.3 | SSH Sunucusunu Yapılandırma | ||
| 5.3.1 | /etc/ssh/sshd_config izinlerinin yapılandırıldığından emin olun | Geçer | |
| 5.3.2 | SSH özel ana bilgisayar anahtarı dosyalarındaki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.3.3 | SSH ortak ana bilgisayar anahtarı dosyalarındaki izinlerin yapılandırıldığından emin olun | Geçer | |
| 5.3.4 | SSH erişiminin sınırlı olduğundan emin olun | Geçer | |
| 5.3.5 | SSH LogLevel'in uygun olduğundan emin olun | Geçer | |
| 5.3.7 | SSH MaxAuthTries değerinin 4 veya daha az olarak ayarlandığından emin olun | Geçer | |
| 5.3.8 | SSH IgnoreRhosts'un etkinleştirildiğinden emin olun | Geçer | |
| 5.3.9 | SSH HostbasedAuthentication'ın devre dışı bırakıldığından emin olun | Geçer | |
| 5.3.10 | SSH kök oturum açmanın devre dışı bırakıldığından emin olun | Geçer | |
| 5.3.11 | SSH PermitEmptyPasswords'un devre dışı bırakıldığından emin olun | Geçer | |
| 5.3.12 | SSH PermitUserEnvironment'ın devre dışı bırakıldığından emin olun | Geçer | |
| 5.3.13 | Yalnızca güçlü Şifrelemelerin kullanıldığından emin olun | Geçer | |
| 5.3.14 | Yalnızca güçlü MAC algoritmalarının kullanıldığından emin olun | Geçer | |
| 5.3.15 | Yalnızca güçlü Anahtar Değişimi algoritmalarının kullanıldığından emin olun | Geçer | |
| 5.3.16 | SSH Boşta Kalma Zaman Aşımı Aralığı'nın yapılandırıldığından emin olun | Başarısız | |
| 5.3.17 | SSH LoginGraceTime değerinin bir dakika veya daha kısa olarak ayarlandığından emin olun | Geçer | |
| 5.3.18 | SSH uyarı başlığının yapılandırıldığından emin olun | Geçer | |
| 5.3.19 | SSH PAM'nin etkinleştirildiğinden emin olun | Geçer | |
| 5.3.21 | SSH MaxStartups'ın yapılandırıldığından emin olun | Başarısız | |
| 5.3.22 | SSH MaxSessions'ın sınırlı olduğundan emin olun | Geçer | |
| 5,4 | PAM'yi yapılandırma | ||
| 5.4.1 | Parola oluşturma gereksinimlerinin yapılandırıldığından emin olun | Geçer | |
| 5.4.2 | Başarısız parola girişimleri için kilitlemenin yapılandırıldığından emin olun | Başarısız | |
| 5.4.3 | Parola yeniden kullanmanın sınırlı olduğundan emin olun | Başarısız | |
| 5.4.4 | Parola karma algoritmasının SHA-512 olduğundan emin olun | Geçer | |
| 5.5 | Kullanıcı Hesapları ve Ortamı | ||
| 5.5.1 | Gölge Parola Paketi Parametrelerini Ayarlama | ||
| 5.5.1.1 | Parola değişiklikleri arasındaki minimum günlerin yapılandırıldığından emin olun | Geçer | |
| 5.5.1.2 | Parola süre sonunun 365 gün veya daha kısa olduğundan emin olun | Geçer | |
| 5.5.1.3 | Parola süre sonu uyarı günlerinin 7 veya daha fazla olduğundan emin olun | Geçer | |
| 5.5.1.4 | Etkin olmayan parola kilidinin 30 gün veya daha kısa olduğundan emin olun | Geçer | |
| 5.5.1.5 | Tüm kullanıcıların son parola değiştirme tarihinin geçmişte olduğundan emin olun | Başarısız | |
| 5.5.2 | Sistem hesaplarının güvenliğinin sağlandığından emin olun | Geçer | |
| 5.5.3 | Kök hesabın varsayılan grubunun GID 0 olduğundan emin olun | Geçer | |
| 5.5.4 | Varsayılan kullanıcı umask değerinin 027 veya daha kısıtlayıcı olduğundan emin olun | Geçer | |
| 5.5.5 | Varsayılan kullanıcı kabuğu zaman aşımının 900 saniye veya daha kısa olduğundan emin olun | Başarısız | |
| 5.6 | Kök oturum açmanın sistem konsoluyla sınırlı olduğundan emin olun | Geçerli değil | |
| 5.7 | su komutuna erişimin kısıtlandığından emin olun | Başarısız | Olası İşlem Etkisi |
| 6 | Sistem Bakımı | ||
| 6.1 | Sistem Dosyası İzinleri | ||
| 6.1.2 | /etc/passwd üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.3 | /etc/passwd- üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.4 | /etc/group üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.5 | /etc/group- üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.6 | /etc/shadow üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.7 | /etc/shadow- üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.8 | /etc/gshadow üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.9 | /etc/gshadow- üzerindeki izinlerin yapılandırıldığından emin olun | Geçer | |
| 6.1.10 | Dünya yazılabilir dosyalarının mevcut olmadığından emin olun | Başarısız | Olası İşlem Etkisi |
| 6.1.11 | Eklenmemiş dosya veya dizin olmadığından emin olun | Başarısız | Olası İşlem Etkisi |
| 6.1.12 | Gruplandırılmamış dosya veya dizin olmadığından emin olun | Başarısız | Olası İşlem Etkisi |
| 6.1.13 | SUID yürütülebilir dosyaları denetleme | Geçerli değil | |
| 6.1.14 | SGID yürütülebilir dosyaları denetleme | Geçerli değil | |
| 6.2 | Kullanıcı ve Grup Ayarlar | ||
| 6.2.1 | /etc/passwd içindeki hesapların gölgeli parolalar kullandığına emin olun | Geçer | |
| 6.2.2 | Parola alanlarının boş olmadığından emin olun | Geçer | |
| 6.2.3 | /etc/passwd içindeki tüm grupların /etc/group içinde mevcut olduğundan emin olun | Geçer | |
| 6.2.4 | Tüm kullanıcıların giriş dizinlerinin mevcut olduğundan emin olun | Geçer | |
| 6.2.5 | Kullanıcıların kendi giriş dizinlerine sahip olduğundan emin olun | Geçer | |
| 6.2.6 | Kullanıcıların giriş dizinlerinin izinlerinin 750 veya daha fazla kısıtlayıcı olduğundan emin olun | Geçer | |
| 6.2.7 | Kullanıcıların nokta dosyalarının gruplanabilir veya dünya yazılabilir olmadığından emin olun | Geçer | |
| 6.2.8 | Hiçbir kullanıcının .netrc dosyası olmadığından emin olun | Geçer | |
| 6.2.9 | Hiçbir kullanıcının .forward dosyası olmadığından emin olun | Geçer | |
| 6.2.10 | Kullanıcıların .rhosts dosyası olmadığından emin olun | Geçer | |
| 6.2.11 | Kökün tek UID 0 hesabı olduğundan emin olun | Geçer | |
| 6.2.12 | Kök PATH Bütünlüğünü Sağlama | Geçer | |
| 6.2.13 | Yinelenen UID olmadığından emin olun | Geçer | |
| 6.2.14 | Yinelenen GUID olmadığından emin olun | Geçer | |
| 6.2.15 | Yinelenen kullanıcı adlarının olmadığından emin olun | Geçer | |
| 6.2.16 | Yinelenen grup adı olmadığından emin olun | Geçer | |
| 6.2.17 | Gölge grubun boş olduğundan emin olun | Geçer |
Sonraki adımlar
AKS güvenliği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
Azure Kubernetes Service
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin