Azure Kubernetes Service (AKS) Ubuntu-Image-Ausrichtung mit Center for Internet Security (CIS) Benchmark
Da es sich bei Azure Kubernetes Service (AKS) um einen sicheren Dienst handelt, ist er mit den Standards SOC, ISO, PCI-DSS und HIPAA konform. Dieser Artikel behandelt die Sicherheitskonfiguration des Betriebssystems, die auf das Ubuntu-Image angewandt wird, das von AKS verwendet wird. Diese Sicherheitskonfiguration basiert auf der Azure Linux-Sicherheitsbaseline, die mit der CIS-Benchmark übereinstimmt. Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zur AKS-Sicherheit finden Sie unter Sicherheitskonzepte für Anwendungen und Cluster in Azure Kubernetes Service (AKS). Weitere Informationen zum CIS-Benchmark finden Sie unter Center for Internet Security(CIS)-Benchmarks. Weitere Informationen zu den Azure-Sicherheitsgrundlinien für Linux finden Sie unter Linux-Sicherheitsbaseline.
Ubuntu LTS ab 18.04
AKS-Cluster werden auf virtuellen Hostcomputern bereitgestellt, die ein Betriebssystem mit integrierten sicheren Konfigurationen ausführen. Dieses Betriebssystem wird für Container verwendet, die auf AKS ausgeführt werden. Dieses Hostbetriebssystem basiert auf einem Ubuntu 18.04.LTS-Image mit angewendeten Sicherheitskonfigurationen.
Als Teil des sicherheitsoptimierten Betriebssystems:
- AKS bietet standardmäßig ein sicherheitsoptimiertes Hostbetriebssystem, aber keine Option zum Auswählen eines alternativen Betriebssystems.
- Das sicherheitsoptimierte Host-Betriebssystem wird speziell für AKS erstellt und verwaltet und außerhalb der AKS-Plattform nicht unterstützt.
- Um die Angriffsfläche zu verringern, wurden einige unnötige Kernelmodultreiber im Betriebssystem deaktiviert.
Hinweis
Nicht im Zusammenhang mit den CIS-Benchmarks wendet Azure tägliche Patches an, einschließlich Sicherheitspatches, auf AKS Hosts für virtuelle Maschinen.
Das Ziel der in das Hostbetriebssystem integrierte sichere Konfiguration ist es, die Angriffsfläche zu verringern und die Bereitstellung von Containern auf sichere Weise zu optimieren.
Nachfolgend sind die Ergebnisse der Empfehlungen von CIS Ubuntu 18.04 LTS Benchmark v2.1.0 aufgeführt.
Empfehlungen können einen der folgenden Gründe aufweisen:
- Potenzielle Auswirkungen auf den Vorgang – Empfehlung wurde nicht angewendet, weil sie negative Auswirkungen auf den Dienst hätte.
- An anderer Stelle behandelt – Empfehlung wird von einem anderen Steuerelement in Azure Cloud Compute abgedeckt.
Nachfolgend sind CIS-Regeln implementiert:
| CIS-Absatznummer | Empfehlungsbeschreibung | Status | `Reason` |
|---|---|---|---|
| 1 | Erste Einrichtung | ||
| 1.1 | Dateisystemkonfiguration | ||
| 1.1.1 | Nicht verwendete Dateisysteme deaktivieren | ||
| 1.1.1.1 | Sicherstellen, dass die Einbindung von cramfs-Dateisystemen deaktiviert ist | Pass | |
| 1.1.1.2 | Sicherstellen, dass die Einbindung von freevxfs-Dateisystemen deaktiviert ist | Pass | |
| 1.1.1.3 | Sicherstellen, dass die Einbindung von jffs2-Dateisystemen deaktiviert ist | Pass | |
| 1.1.1.4 | Sicherstellen, dass die Einbindung von HFS-Dateisystemen deaktiviert ist | Pass | |
| 1.1.1.5 | Sicherstellen, dass die Einbindung von HFSPlus-Dateisystemen deaktiviert ist | Pass | |
| 1.1.1.6 | Sicherstellen, dass die Einbindung von UDF-Dateisystemen deaktiviert ist | Fehler | Potenzielle operative Auswirkungen |
| 1.1.2 | Sicherstellen, dass „/tmp“ konfiguriert ist | Fehler | |
| 1.1.3 | Sicherstellen, dass die Option „nodev“ für die Partition „/tmp“ festgelegt ist | Fehler | |
| 1.1.4 | Sicherstellen, dass die Option „nosuid“ für die Partition „/tmp“ festgelegt ist | Pass | |
| 1.1.5 | Stellen Sie sicher, dass die „noexec“-Option auf der „tmp“-Partition festgelegt ist | Pass | |
| 1.1.6 | Stellen Sie sicher, dass /dev/shm konfiguriert ist | Pass | |
| 1.1.7 | Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist | Pass | |
| 1.1.8 | Sicherstellen, dass die Option „nosuid“ für die Partition „/dev/shm“ festgelegt ist | Pass | |
| 1.1.9 | Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist | Fehler | Potenzielle operative Auswirkungen |
| 1.1.12 | Sicherstellen, dass die Partition „/var/tmp“ die Option „nodev“ enthält | Pass | |
| 1.1.13 | Sicherstellen, dass die Partition „/var/tmp“ die Option „nosuid“ enthält | Pass | |
| 1.1.14 | Sicherstellen, dass die Partition „/var/tmp“ die Option „noexec“ enthält | Pass | |
| 1.1.18 | Sicherstellen, dass die Partition „/home“ die Option „nodev“ enthält | Pass | |
| 1.1.19 | Sicherstellen, dass die Option „nodev“ auf Wechselmedienpartitionen festgelegt ist | Nicht zutreffend | |
| 1.1.20 | Sicherstellen, dass die Option „nosuid“ auf Wechselmedienpartitionen festgelegt ist | Nicht zutreffend | |
| 1.1.21 | Sicherstellen, dass die Option „noexec“ auf Wechselmedienpartitionen festgelegt ist | Nicht zutreffend | |
| 1.1.22 | Sicherstellen, dass das Sticky Bit in allen generell beschreibbaren Verzeichnissen festgelegt ist | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 1.1.23 | Automatisches Einbinden deaktivieren | Pass | |
| 1.1.24 | Deaktivieren von USB-Speicher | Pass | |
| 1.2 | Konfigurieren von Softwareupdates | ||
| 1.2.1 | Sicherstellen, dass Paket-Manager-Repositorys konfiguriert sind | Pass | An anderer Stelle behandelt |
| 1.2.2 | Sicherstellen, dass GPG-Schlüssel konfiguriert sind | Nicht zutreffend | |
| 1.3 | Überprüfung der Dateisystemintegrität | ||
| 1.3.1 | Sicherstellen, dass AIDE installiert ist | Fehler | An anderer Stelle behandelt |
| 1.3.2 | Sicherstellen, dass die Dateisystemintegrität regelmäßig überprüft wird | Fehler | An anderer Stelle behandelt |
| 1.4 | Einstellungen für sicheren Start | ||
| 1.4.1 | Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration nicht überschrieben wurden | Fehler | |
| 1.4.2 | Sicherstellen, dass das Kennwort für den Startloader festgelegt ist | Fehler | Nicht zutreffend |
| 1.4.3 | Ensure permissions on bootloader config are configured (Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration festgelegt sind) | Fehler | |
| 1.4.4 | Sicherstellen, dass eine Authentifizierung für den Einzelbenutzermodus erforderlich ist | Fehler | Nicht zutreffend |
| 1.5 | Zusätzliche Prozesshärtung | ||
| 1.5.1 | Sicherstellen, dass die XD/NX-Unterstützung aktiviert ist | Nicht zutreffend | |
| 1.5.2 | Stellen Sie sicher, dass die Funktion zur zufälligen Anordnung von Adressräumen (ASLR) aktiviert ist | Pass | |
| 1.5.3 | Sicherstellen, dass Prelinking deaktiviert ist | Pass | |
| 1.5.4 | Sicherstellen, dass Kernspeicherabbilder eingeschränkt sind | Pass | |
| 1.6 | Obligatorische Zugriffssteuerung | ||
| 1.6.1 | Konfigurieren von AppArmor | ||
| 1.6.1.1 | Sicherstellen, dass AppArmor installiert ist | Pass | |
| 1.6.1.2 | Sicherstellen, dass AppArmor in der Bootloaderkonfiguration aktiviert ist | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 1.6.1.3 | Stellen Sie sicher, dass alle AppArmor-Profile im Durchsetzungs- oder Beschwerdemodus sind | Pass | |
| 1.7 | Befehlszeilenwarnung Banner | ||
| 1.7.1 | Sicherstellen, dass die Nachricht des Tages ordnungsgemäß konfiguriert ist | Pass | |
| 1.7.2 | Sicherstellen, dass Berechtigungen für „/etc/issue.net“ konfiguriert sind | Pass | |
| 1.7.3 | Sicherstellen, dass Berechtigungen für „/etc/issue“ konfiguriert sind | Pass | |
| 1.7.4 | Sicherstellen, dass Berechtigungen für „/etc/motd“ konfiguriert sind | Pass | |
| 1.7.5 | Sicherstellen, dass das Warnbanner für Remoteanmeldung richtig konfiguriert ist | Pass | |
| 1.7.6 | Sicherstellen, dass das Warnbanner für lokale Anmeldung richtig konfiguriert ist | Pass | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Sicherstellen, dass das GDM-Login-Banner konfiguriert ist | Pass | |
| 1.8.3 | Sicherstellen, dass die Liste zum Deaktivieren der Benutzer aktiviert ist | Pass | |
| 1.8.4 | Sicherstellen, dass XDCMP nicht aktiviert ist | Pass | |
| 1.9 | Sicherstellen, dass Updates, Patches und zusätzliche Sicherheitssoftware installiert sind | Pass | |
| 2 | Dienste | ||
| 2.1 | Spezielle Dienste | ||
| 2.1.1 | Zeitsynchronisierung | ||
| 2.1.1.1 | Sicherstellen, dass die Zeitsynchronisierung verwendet wird | Pass | |
| 2.1.1.2 | Sicherstellen, dass systemd-timesyncd konfiguriert ist | Nicht zutreffend | AKS verwendet ntpd für timesync |
| 2.1.1.3 | Sicherstellen, dass chrony konfiguriert ist | Fehler | An anderer Stelle behandelt |
| 2.1.1.4 | Sicherstellen, dass „ntp“ konfiguriert ist | Pass | |
| 2.1.2 | Sicherstellen, dass X Window System nicht installiert ist | Pass | |
| 2.1.3 | Sicherstellen, dass Avahi Server nicht installiert ist | Pass | |
| 2.1.4 | Sicherstellen, dass CUPS nicht installiert ist | Pass | |
| 2.1.5 | Sicherstellen, dass kein DHCP-Server installiert ist | Pass | |
| 2.1.6 | Sicherstellen, dass kein LDAP-Server installiert ist | Pass | |
| 2.1.7 | Sicherstellen, dass NFS nicht installiert ist | Pass | |
| 2.1.8 | Sicherstellen, dass kein DNS-Server installiert ist | Pass | |
| 2.1.9 | Sicherstellen, dass kein FTP-Server installiert ist | Pass | |
| 2.1.10 | Sicherstellen, dass kein HTTP-Server installiert ist | Pass | |
| 2.1.11 | Sicherstellen, dass keine IMAP- und POP3-Server installiert sind | Pass | |
| 2.1.12 | Sicherstellen, dass Samba nicht installiert ist | Pass | |
| 2.1.13 | Sicherstellen, dass kein HTTP-Proxyserver installiert ist | Pass | |
| 2.1.14 | Sicherstellen, dass kein SNMP-Server installiert ist | Pass | |
| 2.1.15 | Stellen Sie sicher, dass der E-Mail-Übertragungsagent für den reinen lokalen Modus konfiguriert ist | Pass | |
| 2.1.16 | Sicherstellen, dass der rsync-Dienst nicht aktiviert ist | Fehler | |
| 2.1.17 | Sicherstellen, dass kein NIS-Server installiert ist | Pass | |
| 2.2 | Dienstclients | ||
| 2.2.1 | Sicherstellen, dass kein NIS-Client installiert ist | Pass | |
| 2.2.2 | Sicherstellen, dass kein rsh-Client installiert ist | Pass | |
| 2.2.3 | Sicherstellen, dass kein talk-Client installiert ist | Pass | |
| 2.2.4 | Sicherstellen, dass kein telnet-Client installiert ist | Fehler | |
| 2.2.5 | Sicherstellen, dass kein LDAP-Client installiert ist | Pass | |
| 2.2.6 | Sicherstellen, dass RPC nicht installiert ist | Fehler | Potenzielle operative Auswirkungen |
| 2.3 | Sicherstellen, dass nichtessenzielle Dienste entfernt oder maskiert werden | Pass | |
| 3 | -Netzwerkkonfiguration | ||
| 3.1 | Deaktivieren nicht verwendeter Netzwerkprotokolle und Geräte | ||
| 3.1.2 | Sicherstellen, dass drahtlose Schnittstellen deaktiviert sind | Pass | |
| 3.2 | Netzwerkparameter (nur Host) | ||
| 3.2.1 | Sicherstellen, dass das Senden von Paketumleitungen deaktiviert ist | Pass | |
| 3.2.2 | Sicherstellen, dass die IP-Weiterleitung deaktiviert ist | Fehler | Nicht zutreffend |
| 3.3 | Netzwerkparameter (Host und Router) | ||
| 3.3.1 | Sicherstellen, dass geroutete Quellpakete nicht akzeptiert werden | Pass | |
| 3.3.2 | Sicherstellen, dass ICMP-Umleitungen nicht akzeptiert werden | Pass | |
| 3.3.3 | Sicherstellen, dass sichere ICMP-Umleitungen nicht akzeptiert werden | Pass | |
| 3.3.4 | Sicherstellen, dass verdächtige Pakete protokolliert werden | Pass | |
| 3.3.5 | Sicherstellen, dass Broadcast-ICMP-Anforderungen ignoriert werden | Pass | |
| 3.3.6 | Sicherstellen, dass gefälschte ICMP-Antworten ignoriert werden | Pass | |
| 3.3.7 | Sicherstellen, dass die Umkehrpfadfilterung aktiviert ist | Pass | |
| 3.3.8 | Sicherstellen, dass „TCP SYN“-Cookies aktiviert sind | Pass | |
| 3.3.9 | Sicherstellen, dass IPv6-Routerankündigungen nicht akzeptiert werden | Pass | |
| 3.4 | Ungewöhnliche Netzwerkprotokolle | ||
| 3,5 | Firewall-Konfiguration | ||
| 3.5.1 | Konfigurieren von UncomplicatedFirewall | ||
| 3.5.1.1 | Sicherstellen, dass ufw installiert ist | Pass | |
| 3.5.1.2 | Sicherstellen, dass iptables-persistent nicht mit ufw installiert ist | Pass | |
| 3.5.1.3 | Sicherstellen, dass der ufw-Dienst aktiviert ist | Fehler | An anderer Stelle behandelt |
| 3.5.1.4 | Sicherstellen, dass der Loopbackdatenverkehr konfiguriert ist | Fehler | An anderer Stelle behandelt |
| 3.5.1.5 | Sicherstellen, dass ausgehende ufw-Verbindungen konfiguriert sind | Nicht zutreffend | An anderer Stelle behandelt |
| 3.5.1.6 | Sicherstellen, dass Firewallregeln für alle geöffneten Ports vorhanden sind | Nicht zutreffend | An anderer Stelle behandelt |
| 3.5.1.7 | Richtlinie für standardmäßiges ufw-Verweigern sicherstellen | Fehler | An anderer Stelle behandelt |
| 3.5.2 | Konfigurieren von nftables | ||
| 3.5.2.1 | Sicherstellen, dass nftables installiert ist | Fehler | An anderer Stelle behandelt |
| 3.5.2.2 | Sicherstellen, dass ufw mit nftables deinstalliert oder deaktiviert ist | Fehler | An anderer Stelle behandelt |
| 3.5.2.3 | Sicherstellen, dass iptables mit nftables geleert werden | Nicht zutreffend | An anderer Stelle behandelt |
| 3.5.2.4 | Sicherstellen, dass eine nftables-Tabelle vorhanden ist | Fehler | An anderer Stelle behandelt |
| 3.5.2.5 | Sicherstellen, dass nftables-Basisketten vorhanden sind | Fehler | An anderer Stelle behandelt |
| 3.5.2.6 | Sicherstellen, dass nftables-Loopbackdatenverkehr konfiguriert ist | Fehler | An anderer Stelle behandelt |
| 3.5.2.7 | Sicherstellen, dass ausgehende und etablierte nftables-Verbindungen konfiguriert sind | Nicht zutreffend | An anderer Stelle behandelt |
| 3.5.2.8 | Richtlinie für standardmäßiges Verweigern sicherstellen | Fehler | An anderer Stelle behandelt |
| 3.5.2.9 | Sicherstellen, dass der nftables-Dienst aktiviert ist | Fehler | An anderer Stelle behandelt |
| 3.5.2.10 | Sicherstellen, dass nftables-Regeln dauerhaft sind | Fehler | An anderer Stelle behandelt |
| 3.5.3 | Konfigurieren von iptables | ||
| 3.5.3.1 | Konfigurieren von iptables-Software | ||
| 3.5.3.1.1 | Sicherstellen, dass die iptables-Pakete installiert sind | Fehler | An anderer Stelle behandelt |
| 3.5.3.1.2 | Sicherstellen, dass nftables nicht mit iptables installiert sind | Pass | |
| 3.5.3.1.3 | Sicherstellen, dass ufw mit nftables deinstalliert oder deaktiviert ist | Fehler | An anderer Stelle behandelt |
| 3.5.3.2 | Konfigurieren von IPv4 iptables | ||
| 3.5.3.2.1 | Richtlinie für standardmäßiges iptables-Verweigern sicherstellen | Fehler | An anderer Stelle behandelt |
| 3.5.3.2.2 | Sicherstellen, dass iptables-Loopbackdatenverkehr konfiguriert ist | Fehler | Nicht zutreffend |
| 3.5.3.2.3 | Sicherstellen, dass ausgehende und etablierte iptables-Verbindungen konfiguriert sind | Nicht zutreffend | |
| 3.5.3.2.4 | Sicherstellen, dass iptables-Firewallregeln für alle geöffneten Ports vorhanden sind | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 3.5.3.3 | Konfigurieren von IPv6 ip6tables | ||
| 3.5.3.3.1 | Richtlinie für standardmäßiges ip6tables-Verweigern sicherstellen | Fehler | An anderer Stelle behandelt |
| 3.5.3.3.2 | Sicherstellen, dass ip6tables-Loopbackdatenverkehr konfiguriert ist | Fehler | An anderer Stelle behandelt |
| 3.5.3.3.3 | Sicherstellen, dass ausgehende und etablierte ip6tables-Verbindungen konfiguriert sind | Nicht zutreffend | An anderer Stelle behandelt |
| 3.5.3.3.4 | Sicherstellen, dass ip6tables-Firewallregeln für alle geöffneten Ports vorhanden sind | Fehler | An anderer Stelle behandelt |
| 4 | Protokollierung und Überwachung | ||
| 4,1 | Konfigurieren der Systemrechnung (überwacht) | ||
| 4.1.1.2 | Sicherstellen, dass die Überwachung aktiviert ist | ||
| 4.1.2 | Konfigurieren der Datenaufbewahrung | ||
| 4,2 | Konfigurieren der Protokollierung | ||
| 4.2.1 | Konfigurieren von rsyslog | ||
| 4.2.1.1 | Sicherstellen, dass rsyslog installiert ist | Pass | |
| 4.2.1.2 | Sicherstellen, dass der ryslog-Dienst aktiviert ist | Pass | |
| 4.2.1.3 | Sicherstellen, dass die Protokollierung konfiguriert ist | Pass | |
| 4.2.1.4 | Sicherstellen, dass rsyslog-Standarddateiberechtigungen konfiguriert sind | Pass | |
| 4.2.1.5 | Sicherstellen, dass rsyslog so konfiguriert ist, dass Protokolle an einen Remoteprotokollhost gesendet werden | Fehler | An anderer Stelle behandelt |
| 4.2.1.6 | Sicherstellen, dass Remote-rsyslog-Nachrichten nur auf bestimmten Protokollhosts akzeptiert werden. | Nicht zutreffend | |
| 4.2.2 | Konfigurieren von journald | ||
| 4.2.2.1 | Sicherstellen, dass journald so konfiguriert ist, dass Protokolle an rsyslog gesendet werden | Pass | |
| 4.2.2.2 | Sicherstellen, dass journald so konfiguriert ist, um große Protokolldateien zu komprimieren | Fehler | |
| 4.2.2.3 | Sicherstellen, dass journald so konfiguriert ist, um Protokolldateien auf persistenten Datenträger zu schreiben | Pass | |
| 4.2.3 | Sicherstellen, dass Berechtigungen für alle Logfiles konfiguriert sind | Fehler | |
| 4.3 | Sicherstellen, dass logrotate konfiguriert ist | Pass | |
| 4.4 | Sicherstellen, dass logrotate entsprechende Berechtigungen zugewiesen hat | Fehler | |
| 5 | Zugriff, Authentifizierung und Autorisierung | ||
| 5,1 | Konfigurieren von zeitbasierten Auftragsplanern | ||
| 5.1.1 | Sicherstellen, dass cron-Daemon aktiviert und ausgeführt wird | Pass | |
| 5.1.2 | Sicherstellen, dass Berechtigungen für „/etc/crontab“ konfiguriert sind | Pass | |
| 5.1.3 | Sicherstellen, dass Berechtigungen für „/etc/cron.hourly“ konfiguriert sind | Pass | |
| 5.1.4 | Sicherstellen, dass Berechtigungen für „/etc/cron.daily“ konfiguriert sind | Pass | |
| 5.1.5 | Sicherstellen, dass Berechtigungen für „/etc/cron.weekly“ konfiguriert sind | Pass | |
| 5.1.6 | Sicherstellen, dass Berechtigungen für „/etc/cron.monthly“ konfiguriert sind | Pass | |
| 5.1.7 | Sicherstellen, dass Berechtigungen für „/etc/cron.d“ konfiguriert sind | Pass | |
| 5.1.8 | Sicherstellen, dass „cron“ auf autorisierte Benutzer beschränkt ist | Fehler | |
| 5.1.9 | Sicherstellen, dass „a“ auf autorisierte Benutzer beschränkt ist | Fehler | |
| 5,2 | Konfigurieren von sudo | ||
| 5.2.1 | Sicherstellen, dass sudo installiert ist | Pass | |
| 5.2.2 | Sicherstellen, dass sudo-Befehle pty verwenden | Fehler | Potenzielle operative Auswirkungen |
| 5.2.3 | Sicherstellen, dass die sudo-Protokolldatei vorhanden ist | Fehler | |
| 5.3 | Konfigurieren des SSH-Servers | ||
| 5.3.1 | Sicherstellen, dass Berechtigungen für /etc/ssh/sshd_config konfiguriert sind | Pass | |
| 5.3.2 | Sicherstellen, dass Berechtigungen für Dateien mit privaten SSH-Hostschlüsseln konfiguriert sind | Pass | |
| 5.3.3 | Sicherstellen, dass Berechtigungen für Dateien mit öffentlichen SSH-Hostschlüsseln konfiguriert sind | Pass | |
| 5.3.4 | Sicherstellen, dass der SSH-Zugriff eingeschränkt ist | Pass | |
| 5.3.5 | Sicherstellen, dass „SSH LogLevel“ angemessen ist | Pass | |
| 5.3.7 | Sicherstellen, dass „MaxAuthTries“ für SSH auf höchstens 4 festgelegt ist | Pass | |
| 5.3.8 | Sicherstellen, dass „SSH IgnoreRhosts“ aktiviert ist | Pass | |
| 5.3.9 | Sicherstellen, dass „SSH HostbasedAuthentication“ deaktiviert ist | Pass | |
| 5.3.10 | Sicherstellen, dass Root-Anmeldung für SSH deaktiviert ist | Pass | |
| 5.3.11 | Sicherstellen, dass „SSH PermitEmptyPasswords“ deaktiviert ist | Pass | |
| 5.3.12 | Sicherstellen, dass „PermitUserEnvironment“ für SSH deaktiviert ist | Pass | |
| 5.3.13 | Sicherstellen, dass nur starke Verschlüsselungsverfahren verwendet werden | Pass | |
| 5.3.14 | Sicherstellen, dass nur genehmigte MAC-Algorithmen verwendet werden | Pass | |
| 5.3.15 | Sicherstellen, dass nur starke Schlüssel-Exchange-Algorithmen verwendet werden | Pass | |
| 5.3.16 | Sicherstellen, dass das Timeoutintervall für Leerlauf für SSH konfiguriert ist | Fehler | |
| 5.3.17 | Sicherstellen, dass „LoginGraceTime“ für SSH auf höchstens eine Minute festgelegt ist | Pass | |
| 5.3.18 | Sicherstellen, dass das Warnbanner für SSH konfiguriert ist | Pass | |
| 5.3.19 | Sicherstellen, dass SSH-PAM aktiviert ist | Pass | |
| 5.3.21 | Sicherstellen, dass SSH MaxStartups konfiguriert ist | Fehler | |
| 5.3.22 | Sicherstellen, dass SSH MaxSessions begrenzt ist | Pass | |
| 5.4 | Konfigurieren von PAM | ||
| 5.4.1 | Sicherstellen, dass Anforderungen für die Kennworterstellung konfiguriert sind | Pass | |
| 5.4.2 | Sicherstellen, dass Sperrung für Versuche mit falschem Kennwort konfiguriert ist | Fehler | |
| 5.4.3 | Sicherstellen, dass die Wiederverwendung von Kennwörtern beschränkt ist | Fehler | |
| 5.4.4 | Ensure password hashing algorithm is SHA-512 (Sicherstellen, dass der Kennworthashalgorithmus SHA-512 lautet) | Pass | |
| 5.5 | Benutzerkonten und -umgebung | ||
| 5.5.1 | Festlegen von Schattenkennwort-Suite-Parametern | ||
| 5.5.1.1 | Sicherstellen, dass die Anzahl der Tage zwischen Kennwortänderungen konfiguriert ist | Pass | |
| 5.5.1.2 | Sicherstellen, dass der Kennwortablauf höchstens 365 Tage beträgt | Pass | |
| 5.5.1.3 | Sicherstellen, dass die Anzahl der Tage vor einer Warnung zum Kennwortablauf mindestens 7 Tage beträgt | Pass | |
| 5.5.1.4 | Sicherstellen, dass die Sperre für inaktive Kennwörter höchstens 30 Tage beträgt | Pass | |
| 5.5.1.5 | Ensure all users last password change date is in the past (Sicherstellen, dass das Datum der letzten Kennwortänderung für alle Benutzer in der Vergangenheit liegt) | Fehler | |
| 5.5.2 | Sicherstellen, dass Systemkonten sicher sind | Pass | |
| 5.5.3 | Ensure default group for the root account is GID 0 (Sicherstellen, dass die Standardgruppe für das Root-Konto GID 0 lautet) | Pass | |
| 5.5.4 | Sicherstellen, dass der Befehl „umask“ für Standardbenutzer 027 oder stärker einschränkend ist | Pass | |
| 5.5.5 | Sicherstellen, dass das Standardtimeout für die Benutzershell 900 Sekunden oder weniger beträgt | Fehler | |
| 5.6 | Sicherstellen, dass die Stammanmeldung auf die Systemkonsole beschränkt ist | Nicht zutreffend | |
| 5.7 | Sicherstellen, dass der Zugriff auf den Befehl „su“ eingeschränkt ist | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 6 | Systemwartung | ||
| 6.1 | Systemdateiberechtigungen | ||
| 6.1.2 | Sicherstellen, dass die Berechtigungen für „/etc/passwd“ konfiguriert sind | Pass | |
| 6.1.3 | Sicherstellen, dass die Berechtigungen für „/etc/passwd-“ konfiguriert sind | Pass | |
| 6.1.4 | Sicherstellen, dass die Berechtigungen für „/etc/group“ konfiguriert sind | Pass | |
| 6.1.5 | Sicherstellen, dass die Berechtigungen für „/etc/group-“ konfiguriert sind | Pass | |
| 6.1.6 | Sicherstellen, dass die Berechtigungen für „/etc/shadow“ konfiguriert sind | Pass | |
| 6.1.7 | Sicherstellen, dass die Berechtigungen für „/etc/shadow-“ konfiguriert sind | Pass | |
| 6.1.8 | Sicherstellen, dass die Berechtigungen für „/etc/gshadow“ konfiguriert sind | Pass | |
| 6.1.9 | Sicherstellen, dass die Berechtigungen für „/etc/gshadow-“ konfiguriert sind | Pass | |
| 6.1.10 | Sicherstellen, dass keine beschreibbaren Dateien vorhanden sind | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 6.1.11 | Sicherstellen, dass keine nichtverwendeten Dateien oder Verzeichnisse vorhanden sind | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 6.1.12 | Sicherstellen, dass keine ungruppierten Dateien oder Verzeichnisse vorhanden sind | Fehler | Potenzielle Auswirkungen auf den Vorgang |
| 6.1.13 | SUID-ausführbare Dateien überwachen | Nicht zutreffend | |
| 6.1.14 | SGID-ausführbare Dateien überwachen | Nicht zutreffend | |
| 6.2 | Einstellungen für Benutzer und Gruppen | ||
| 6.2.1 | Sicherstellen, dass Konten in /etc/passwd Schattenkennwörter verwenden | Pass | |
| 6.2.2 | Sicherstellen, dass Kennwortfelder nicht leer sind | Pass | |
| 6.2.3 | Ensure all groups in /etc/passwd exist in /etc/group (Sicherstellen, dass alle Gruppen in „/etc/passwd“ in „/etc/group“ vorhanden sind) | Pass | |
| 6.2.4 | Ensure all users' home directories exist (Sicherstellen, dass die Basisverzeichnisse aller Benutzer vorhanden sind) | Pass | |
| 6.2.5 | Ensure users own their home directories (Sicherstellen, dass die Benutzer Besitzer ihrer Basisverzeichnisse sind) | Pass | |
| 6.2.6 | Sicherstellen, dass die Berechtigungen für die Homeverzeichnisse der Benutzer 750 oder restriktiver sind | Pass | |
| 6.2.7 | Sicherstellen, dass DOT-Dateien von Benutzern nicht group-writable oder world-writable sind | Pass | |
| 6.2.8 | Ensure no users have .netrc files (Sicherstellen, dass keine Benutzer über NETRC-Dateien verfügen) | Pass | |
| 6.2.9 | Ensure no users have .forward files (Sicherstellen, dass keine Benutzer über FORWARD-Dateien verfügen) | Pass | |
| 6.2.10 | Ensure no users have .rhosts files (Sicherstellen, dass keine Benutzer über RHOSTS-Dateien verfügen) | Pass | |
| 6.2.11 | Ensure root is the only UID 0 account (Sicherstellen, dass „root“ das einzige Konto mit UID 0 ist) | Pass | |
| 6.2.12 | Sicherstellen der StammPFADintegrität | Pass | |
| 6.2.13 | Ensure no duplicate UIDs exist (Sicherstellen, dass keine doppelten UIDs vorhanden sind) | Pass | |
| 6.2.14 | Ensure no duplicate GIDs exist (Sicherstellen, dass keine doppelten GIDs vorhanden sind) | Pass | |
| 6.2.15 | Ensure no duplicate user names exist (Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind) | Pass | |
| 6.2.16 | Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind | Pass | |
| 6.2.17 | Ensure shadow group is empty (Sicherstellen, dass die Schattengruppe leer ist) | Pass |
Nächste Schritte
Weitere Informationen zur AKS-Sicherheit finden Sie in den folgenden Artikeln:
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Azure Kubernetes Service