Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Linux, önyükleme, çalışma zamanı ve güncelleştirme iş akışlarında varsayılan olarak güvenli bir temel ve katmanlı korumalarla oluşturulur. Bu makale, Azure Linux'ta güvenlik ayarlarını doğrulamaya yönelik güvenlik modelini, temel özellikleri ve önerileri kapsar.
Note
Azure Linux 4.0 artık preview içindedir ve kesinlikle değerlendirme ve test amaçlarıyla sınırlıdır. Üretim kullanımı için uygun değildir.
Güvenlik modeli
Aşağıdaki tabloda, Azure Linux tasarımına ve bunların platform genelinde nasıl uygulandığına yol gösteren temel güvenlik ilkeleri özetlenmiştir:
| Güvenlik ilkesi | Azure Linux'ta uygulama |
|---|---|
| Varsayılan olarak güvenli | En düşük paket kümesi, yalnızca anahtar SSH kimlik doğrulaması, güvenlik duvarı etkin |
| Katmanlı savunma | SELinux zorunlu erişim denetimi, ağ sağlamlaştırma |
| En az ayrıcalık | SELinux ilkeleri, çekirdek yetenek kısıtlamaları |
Temel güvenlik özellikleri
Varsayılan olarak güvenli temel yapılandırma
- Sağlamlaştırılmış çekirdek: ASLR, yığın kanaryaları ve işaretçi kısıtlamaları özellikleriyle.
- En az paket kümesi: Yalnızca çekirdek işletim sistemi (OS) işlevselliği için temel paketler. Temel görüntüde eski protokoller, geliştirme araçları veya temel olmayan daemon'lar yoktur.
- Varsayılan olarak dış ağ bağlantısı yoktur: Güvenlik duvarı SSH dışındaki tüm gelen trafiği reddeder.
- Yalnızca anahtar SSH kimlik doğrulaması: Parola kimlik doğrulaması devre dışı bırakıldı.
- Paket bütünlüğü: Tüm paketler ve depo meta verileri GPG imzalıdır.
Çalışma zamanı korumaları
- Selinux: Zorlama modunda. Önceden etiketlenmiş paketlerle hedeflenen ilke.
- eBPF sertleştirmesi: Ayrıcalıksız BPF devre dışı bırakıldı, yorumlayıcı da JIT lehine devre dışı bırakıldı.
Ağ güvenliği
- firewalld: nftables arka ucuyla varsayılan olarak etkin.
- Ağ sysctl sıkılaştırması: Katı ters yol filtrelemesi, ICMP yeniden yönlendirmeleri devre dışı bırakıldı, SYN çerezleri etkinleştirildi.
- IPv6: Sağlamlaştırma ayarları uygulanmış olarak etkinleştirilir.
Kimlik ve erişim
- SSSD/realmd: Active Directory ve LDAP ile karma kimlik senaryoları için Azure Linux depolarından kullanılabilir.
Cryptography
- FIPS 140-3: Basit bir etkinleştirme mekanizması ile doğrulanmış şifreleme modülleri.
- Kuantum sonrası şifreleme: karma anahtar değişimi desteği ML-KEM.
- Sistem şifreleme kitaplıkları: Uygulamalar işletim sistemi düzeyinde şifreleme kullanabilir.
Günlükleme, denetim ve izleme
- auditd: varsayılan olarak etkindir; kural profilleri /usr/share/audit-rules/ altında sunulur ve ihtiyaç duyduğunuz profil /etc/audit/rules.d/ içine kopyalanarak etkinleştirilebilir.
- journald: Yapılandırılmış JSON çıkışına sahip kalıcı depolama.
Güvenlik açığı tarama tümleştirmeleri
Azure Linux, yaygın güvenlik açığı tarama ve güvenlik araçlarıyla tümleştirmeyi destekler. Desteklenen araçların listesi için bkz. Azure Linux iş ortağı çözümleri.
İlgili içerik
Azure Linux ve Azure Container Linux (ACL) - Azure Linux Özellik Yol Haritası