Zarovnání imagí Ubuntu (AKS) Azure Kubernetes Service s srovnávacím testem Center for Internet Security (CIS)
Azure Kubernetes Service (AKS) jako zabezpečená služba splňuje standardy SOC, ISO, PCI DSS a HIPAA. Tento článek popisuje konfiguraci operačního systému zabezpečení použitou na image Ubuntu používanou službou AKS. Tato konfigurace zabezpečení je založená na standardních hodnotách zabezpečení Pro Linux v Azure, které odpovídají srovnávacímu testu CIS. Další informace o zabezpečení AKS najdete v tématu Koncepty zabezpečení pro aplikace a clustery ve službě Azure Kubernetes Service (AKS). Další informace o zabezpečení AKS najdete v tématu Koncepty zabezpečení pro aplikace a clustery ve službě Azure Kubernetes Service (AKS). Další informace o srovnávacím testu CIS naleznete v tématu Center for Internet Security (CIS) Benchmarks. Další informace o standardních hodnotách zabezpečení Azure pro Linux najdete v tématu Standardní hodnoty zabezpečení Pro Linux.
Ubuntu LTS 18.04
Clustery AKS se nasazují na hostitelské virtuální počítače, na kterých běží operační systém s integrovanými zabezpečenými konfiguracemi. Tento operační systém se používá pro kontejnery spuštěné v AKS. Tento hostitelský operační systém je založený na imagi Ubuntu 18.04.LTS s použitými konfiguracemi zabezpečení.
Jako součást operačního systému optimalizovaného pro zabezpečení:
- AKS ve výchozím nastavení poskytuje hostitelský operační systém optimalizovaný pro zabezpečení, ale není možné vybrat alternativní operační systém.
- Hostitelský operační systém optimalizovaný pro zabezpečení je sestavený a udržovaný speciálně pro AKS a není podporovaný mimo platformu AKS.
- Některé nepotřebné ovladače modulu jádra byly v operačním systému zakázány, aby se snížil prostor pro útok.
Poznámka:
Azure na hostitele virtuálních počítačů AKS používá každodenní opravy, včetně oprav zabezpečení, nesouvisející s srovnávacími testy CIS.
Cílem zabezpečené konfigurace integrované do hostitelského operačního systému je snížit prostor útoku a optimalizovat nasazení kontejnerů bezpečným způsobem.
Následuje výsledek doporučení CIS Ubuntu 18.04 LTS Benchmark v2.1.0 .
Doporučení můžou mít jeden z následujících důvodů:
- Potenciální dopad na operaci – Doporučení se nepoužovalo, protože by to mělo negativní vliv na službu.
- Pokryté jinde – Doporučení se vztahuje na jiný ovládací prvek v cloudových výpočetních prostředcích Azure.
Implementují se následující pravidla CIS:
| Číslo odstavce CIS | Popis doporučení | Stav | Důvod |
|---|---|---|---|
| 0 | Počáteční nastavení | ||
| 1,1 | Konfigurace systému souborů | ||
| 1.1.1 | Zakázání nepoužívaných systémů souborů | ||
| 1.1.1.1 | Ujistěte se, že je zakázané připojení systému souborů cramfs. | Předání | |
| 1.1.1.2 | Ujistěte se, že je zakázané připojení systému souborů freevxfs. | Předání | |
| 1.1.1.3 | Ujistěte se, že je zakázané připojení systému souborů jffs2. | Předání | |
| 1.1.1.4 | Ujistěte se, že je zakázané připojení systému souborů HFS. | Předání | |
| 1.1.1.5 | Ujistěte se, že je zakázané připojení systému souborů hfsplus. | Předání | |
| 1.1.1.6 | Ujistěte se, že je zakázané připojení systému souborů udf. | Chyba | Potenciální provozní dopad |
| 1.1.2 | Ujistěte se, že je nakonfigurovaný /tmp. | Chyba | |
| 1.1.3 | Ujistěte se, že možnost nodev je nastavená v oddílu /tmp. | Chyba | |
| 1.1.4 | Ujistěte se, že možnost nosid nastavená na oddílu /tmp | Předání | |
| 1.1.5 | Ujistěte se, že je v oddílu /tmp nastavená možnost noexec. | Předání | |
| 1.1.6 | Ujistěte se, že je nakonfigurovaný /dev/shm. | Předání | |
| 1.1.7 | Ujistěte se, že možnost nodev je nastavená na oddílu /dev/shm. | Předání | |
| 1.1.8 | Ujistěte se, že možnost nosid je nastavená na oddílu /dev/shm. | Předání | |
| 1.1.9 | Ujistěte se, že je v oddílu /dev/shm nastavená možnost noexec. | Chyba | Potenciální provozní dopad |
| 1.1.12 | Ujistěte se, že oddíl /var/tmp obsahuje možnost nodev. | Předání | |
| 1.1.13 | Ujistěte se, že oddíl /var/tmp obsahuje možnost nosuid. | Předání | |
| 1.1.14 | Ujistěte se, že oddíl /var/tmp obsahuje možnost noexec. | Předání | |
| 1.1.18 | Ujistěte se, že /home oddíl obsahuje možnost nodev. | Předání | |
| 1.1.19 | Ujistěte se, že možnost nodev je nastavená na vyměnitelných oddílech médií. | Neuvedeno | |
| 1.1.20 | Ujistěte se, že možnost nosid nastavená na vyměnitelných oddílech médií | Neuvedeno | |
| 1.1.21 | Ujistěte se, že možnost noexec je nastavená na vyměnitelných oddílech médií. | Neuvedeno | |
| 1.1.22 | Ujistěte se, že je bit sticky nastavený na všechny světové zapisovatelné adresáře. | Chyba | Potenciální dopad operace |
| 1.1.23 | Zakázání automatického připojování | Předání | |
| 1.1.24 | Zakázání úložiště USB | Předání | |
| 1.2 | Konfigurace softwarového Aktualizace | ||
| 1.2.1 | Ujistěte se, že jsou nakonfigurovaná úložiště správce balíčků. | Předání | Pokryto jinde |
| 1.2.2 | Ujistěte se, že jsou nakonfigurované klíče GPG. | Neuvedeno | |
| 1.3 | Kontrola integrity systému souborů | ||
| 1.3.1 | Ujistěte se, že je nainstalovaný AIDE. | Chyba | Pokryto jinde |
| 1.3.2 | Zajištění pravidelné kontroly integrity systému souborů | Chyba | Pokryto jinde |
| 1.4 | Nastavení zabezpečeného spouštění | ||
| 1.4.1 | Ujistěte se, že oprávnění ke konfiguraci zavaděče nejsou přepsána. | Chyba | |
| 1.4.2 | Ujistěte se, že je nastavené heslo bootloaderu. | Chyba | Neuvedeno |
| 1.4.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění ke konfiguraci zavaděče spouštění. | Chyba | |
| 1.4.4 | Ujistěte se, že ověřování vyžaduje režim jednoho uživatele. | Chyba | Neuvedeno |
| 1.5 | Další posílení zabezpečení procesů | ||
| 1.5.1 | Ujistěte se, že je povolená podpora XD/NX. | Neuvedeno | |
| 1.5.2 | Ujistěte se, že je povolené náhodné rozložení adresního prostoru (ASLR). | Předání | |
| 1.5.3 | Ujistěte se, že je předlink zakázaný. | Předání | |
| 1.5.4 | Ujistěte se, že jsou omezené základní výpisy paměti. | Předání | |
| 1.6 | Povinné řízení přístupu | ||
| 1.6.1 | Konfigurace AppArmoru | ||
| 1.6.1.1 | Ujistěte se, že je nainstalovaný AppArmor. | Předání | |
| 1.6.1.2 | Ujistěte se, že je v konfiguraci zavaděče spouštění povolený AppArmor. | Chyba | Potenciální dopad operace |
| 1.6.1.3 | Ujistěte se, že jsou všechny profily AppArmor vynucování nebo stěžování. | Předání | |
| 1,7 | Bannery s upozorněním příkazového řádku | ||
| 1.7.1 | Ujistěte se, že je zpráva dne správně nakonfigurovaná. | Předání | |
| 1.7.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue.net. | Předání | |
| 1.7.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue. | Předání | |
| 1.7.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/motd. | Předání | |
| 1.7.5 | Ujistěte se, že je správně nakonfigurovaný banner upozornění vzdáleného přihlášení. | Předání | |
| 1.7.6 | Ujistěte se, že je banner s upozorněním místního přihlášení správně nakonfigurovaný. | Předání | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Ujistěte se, že je nakonfigurovaný banner pro přihlášení GDM. | Předání | |
| 1.8.3 | Ujistěte se, že je povolený seznam zákazu uživatele. | Předání | |
| 1.8.4 | Ujistěte se, že XDCMP není povolené. | Předání | |
| 1,9 | Ujistěte se, že jsou nainstalované aktualizace, opravy a další software zabezpečení. | Předání | |
| 2 | Služby | ||
| 2.1 | Služby pro zvláštní účely | ||
| 2.1.1 | Synchronizace času | ||
| 2.1.1.1 | Ujistěte se, že se používá synchronizace času. | Předání | |
| 2.1.1.2 | Ujistěte se, že je nakonfigurovaná systemd-timesyncd. | Neuvedeno | AKS používá ntpd pro časovou synchronizaci. |
| 2.1.1.3 | Ujistěte se, že je nakonfigurovaná chrony. | Chyba | Pokryto jinde |
| 2.1.1.4 | Ujistěte se, že je nakonfigurovaný protokol ntp. | Předání | |
| 2.1.2 | Ujistěte se, že systém X Window System není nainstalovaný. | Předání | |
| 2.1.3 | Ujistěte se, že server Avahi není nainstalovaný. | Předání | |
| 2.1.4 | Ujistěte se, že není nainstalovaný CUPS. | Předání | |
| 2.1.5 | Ujistěte se, že server DHCP není nainstalovaný. | Předání | |
| 2.1.6 | Ujistěte se, že není nainstalovaný server LDAP. | Předání | |
| 2.1.7 | Ujistěte se, že systém souborů NFS není nainstalovaný. | Předání | |
| 2.1.8 | Ujistěte se, že není nainstalovaný server DNS. | Předání | |
| 2.1.9 | Ujistěte se, že server FTP není nainstalovaný. | Předání | |
| 2.1.10 | Ujistěte se, že není nainstalovaný server HTTP. | Předání | |
| 2.1.11 | Ujistěte se, že není nainstalovaný server IMAP a POP3. | Předání | |
| 2.1.12 | Ujistěte se, že není nainstalovaný Samba. | Předání | |
| 2.1.13 | Ujistěte se, že není nainstalovaný proxy server HTTP. | Předání | |
| 2.1.14 | Ujistěte se, že server SNMP není nainstalovaný. | Předání | |
| 2.1.15 | Ujistěte se, že je agent přenosu pošty nakonfigurovaný pro místní režim. | Předání | |
| 2.1.16 | Ujistěte se, že není nainstalovaná služba rsync. | Chyba | |
| 2.1.17 | Ujistěte se, že server NIS není nainstalovaný. | Předání | |
| 2,2 | Klienti služeb | ||
| 2.2.1 | Ujistěte se, že není nainstalovaný klient NIS. | Předání | |
| 2.2.2 | Ujistěte se, že není nainstalovaný klient rsh. | Předání | |
| 2.2.3 | Ujistěte se, že není nainstalovaný klient talk. | Předání | |
| 2.2.4 | Ujistěte se, že není nainstalovaný klient telnet. | Chyba | |
| 2.2.5 | Ujistěte se, že není nainstalovaný klient LDAP. | Předání | |
| 2.2.6 | Ujistěte se, že není nainstalovaný RPC. | Chyba | Potenciální provozní dopad |
| 2.3 | Ujistěte se, že se neodeberou nebo maskují žádné služby. | Předání | |
| 3 | Konfigurace sítě | ||
| 3.1 | Zakázání nepoužívaných síťových protokolů a zařízení | ||
| 3.1.2 | Ujistěte se, že jsou bezdrátová rozhraní zakázaná. | Předání | |
| 3.2 | Síťové parametry (pouze hostitel) | ||
| 3.2.1 | Ujistěte se, že odesílání přesměrovávání paketů je zakázané. | Předání | |
| 3.2.2 | Ujistěte se, že je zakázané předávání IP. | Chyba | Neuvedeno |
| 3.3 | Síťové parametry (hostitel a směrovač) | ||
| 3.3.1 | Ujistěte se, že zdrojové směrované pakety nejsou přijaté. | Předání | |
| 3.3.2 | Ujistěte se, že se nepřijímají přesměrování PROTOKOLU ICMP. | Předání | |
| 3.3.3 | Ujistěte se, že zabezpečené přesměrování PROTOKOLU ICMP není přijato. | Předání | |
| 3.3.4 | Ujistěte se, že se protokolují podezřelé pakety. | Předání | |
| 3.3.5 | Ujistěte se, že se ignorují požadavky ICMP všesměrového vysílání. | Předání | |
| 3.3.6 | Ujistěte se, že jsou ignorované odpovědi ICMP. | Předání | |
| 3.3.7 | Ujistěte se, že je povolené filtrování zpětné cesty. | Předání | |
| 3.3.8 | Ujistěte se, že jsou povolené soubory cookie TCP SYN. | Předání | |
| 3.3.9 | Ujistěte se, že se nepřijímají inzerované směrovače IPv6. | Předání | |
| 3.4 | Méně časté síťové protokoly | ||
| 3.5 | Konfigurace brány firewall | ||
| 3.5.1 | Konfigurace nekomplikovanéhoFirewallu | ||
| 3.5.1.1 | Ujistěte se, že je nainstalovaný ufw. | Předání | |
| 3.5.1.2 | Ujistěte se, že u nástroje ufw není nainstalovaná trvalá iptables. | Předání | |
| 3.5.1.3 | Ujistěte se, že je povolená služba ufw. | Chyba | Pokryto jinde |
| 3.5.1.4 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky ufw. | Chyba | Pokryto jinde |
| 3.5.1.5 | Ujistěte se, že jsou nakonfigurovaná odchozí připojení ufw. | Neuvedeno | Pokryto jinde |
| 3.5.1.6 | Ujistěte se, že pro všechny otevřené porty existují pravidla brány firewall ufw. | Neuvedeno | Pokryto jinde |
| 3.5.1.7 | Ujistěte se, že výchozí zásady odepření brány firewall ufw | Chyba | Pokryto jinde |
| 3.5.2 | Konfigurace nftables | ||
| 3.5.2.1 | Ujistěte se, že jsou nainstalované nftables. | Chyba | Pokryto jinde |
| 3.5.2.2 | Ujistěte se, že je ufw odinstalovaný nebo zakázaný pomocí nftables. | Chyba | Pokryto jinde |
| 3.5.2.3 | Ujistěte se, že jsou iptables vyprázdněné nftables. | Neuvedeno | Pokryto jinde |
| 3.5.2.4 | Ujistěte se, že tabulka nftables existuje. | Chyba | Pokryto jinde |
| 3.5.2.5 | Ujistěte se, že existují základní řetězy nftables. | Chyba | Pokryto jinde |
| 3.5.2.6 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky nftables. | Chyba | Pokryto jinde |
| 3.5.2.7 | Ujistěte se, že jsou nakonfigurovaná odchozí a navázáná připojení nftables. | Neuvedeno | Pokryto jinde |
| 3.5.2.8 | Ujistěte se, že výchozí zásady odepření brány firewall nftables | Chyba | Pokryto jinde |
| 3.5.2.9 | Ujistěte se, že je povolená služba nftables. | Chyba | Pokryto jinde |
| 3.5.2.10 | Ujistěte se, že pravidla nftables jsou trvalá. | Chyba | Pokryto jinde |
| 3.5.3 | Konfigurace iptables | ||
| 3.5.3.1 | Konfigurace softwaru iptables | ||
| 3.5.3.1.1 | Ujistěte se, že jsou nainstalované balíčky iptables. | Chyba | Pokryto jinde |
| 3.5.3.1.2 | Ujistěte se, že není nainstalovaný nástroj nftables s tabulkami IPtables. | Předání | |
| 3.5.3.1.3 | Ujistěte se, že je ufw odinstalovaný nebo zakázaný pomocí iptables. | Chyba | Pokryto jinde |
| 3.5.3.2 | Konfigurace iptables IPv4 | ||
| 3.5.3.2.1 | Ujistěte se, že výchozí zásady brány firewall odepřít iptables | Chyba | Pokryto jinde |
| 3.5.3.2.2 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky iptables. | Chyba | Neuvedeno |
| 3.5.3.2.3 | Ujistěte se, že jsou nakonfigurovaná odchozí a vytvořená připojení iptables. | Neuvedeno | |
| 3.5.3.2.4 | Ujistěte se, že pro všechny otevřené porty existují pravidla firewallu iptables. | Chyba | Potenciální dopad operace |
| 3.5.3.3 | Konfigurace ip6tables IPv6 | ||
| 3.5.3.3.1 | Ujistěte se, že výchozí zásady brány firewall pro odepření ip6tables | Chyba | Pokryto jinde |
| 3.5.3.3.2 | Ujistěte se, že je nakonfigurovaný provoz zpětné smyčky ip6tables. | Chyba | Pokryto jinde |
| 3.5.3.3.3 | Ujistěte se, že jsou nakonfigurovaná odchozí a vytvořená připojení ip6tables. | Neuvedeno | Pokryto jinde |
| 3.5.3.3.4 | Ujistěte se, že pro všechny otevřené porty existují pravidla brány firewall ip6tables. | Chyba | Pokryto jinde |
| 4 | Protokolování a auditování | ||
| 4.1 | Konfigurace systémového účetnictví (auditováno) | ||
| 4.1.1.2 | Ujistěte se, že je povolené auditování. | ||
| 4.1.2 | Konfigurace uchovávání dat | ||
| 4.2 | Konfigurace protokolování | ||
| 4.2.1 | Konfigurace rsyslogu | ||
| 4.2.1.1 | Ujistěte se, že je nainstalovaný rsyslog. | Předání | |
| 4.2.1.2 | Ujistěte se, že je povolená služba rsyslog. | Předání | |
| 4.2.1.3 | Ujistěte se, že je nakonfigurované protokolování. | Předání | |
| 4.2.1.4 | Ujistěte se, že jsou nakonfigurovaná výchozí oprávnění souborů rsyslog. | Předání | |
| 4.2.1.5 | Ujistěte se, že je rsyslog nakonfigurovaný tak, aby odesílal protokoly vzdálenému hostiteli protokolů. | Chyba | Pokryto jinde |
| 4.2.1.6 | Ujistěte se, že vzdálené zprávy rsyslogu jsou přijímány pouze u určených hostitelů protokolů. | Neuvedeno | |
| 4.2.2 | Konfigurace deníku | ||
| 4.2.2.1 | Ujistěte se, že je deník nakonfigurovaný tak, aby odesílal protokoly do rsyslogu. | Předání | |
| 4.2.2.2 | Ujistěte se, že je deník nakonfigurovaný tak, aby komprimoval velké soubory protokolů. | Chyba | |
| 4.2.2.3 | Ujistěte se, že je deník nakonfigurovaný tak, aby zapisoval protokoly na trvalý disk. | Předání | |
| 4.2.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění u všech souborů protokolu. | Chyba | |
| 4.3 | Ujistěte se, že je nakonfigurované protokolování. | Předání | |
| 4.4 | Ujistěte se, že logrotate přiřazuje příslušná oprávnění. | Chyba | |
| 5 | Přístup, ověřování a autorizace | ||
| 5,1 | Konfigurace plánovačů úloh založených na čase | ||
| 5.1.1 | Ujistěte se, že je démon Cron povolený a spuštěný. | Předání | |
| 5.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/crontab. | Předání | |
| 5.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.hourly. | Předání | |
| 5.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.daily. | Předání | |
| 5.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.weekly. | Předání | |
| 5.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.monthly. | Předání | |
| 5.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.d. | Předání | |
| 5.1.8 | Ujistěte se, že je cron omezený na oprávněné uživatele. | Chyba | |
| 5.1.9 | Ujistěte se, že je omezený na oprávněné uživatele. | Chyba | |
| 5.2 | Konfigurace sudo | ||
| 5.2.1 | Ujistěte se, že je nainstalovaný sudo. | Předání | |
| 5.2.2 | Ujistěte se, že příkazy sudo používají pty. | Chyba | Potenciální provozní dopad |
| 5.2.3 | Ujistěte se, že soubor protokolu sudo existuje. | Chyba | |
| 5.3 | Konfigurace serveru SSH | ||
| 5.3.1 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/ssh/sshd_config. | Předání | |
| 5.3.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům privátního klíče hostitele SSH. | Předání | |
| 5.3.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění k souborům veřejného klíče hostitele SSH. | Předání | |
| 5.3.4 | Ujistěte se, že je omezený přístup SSH. | Předání | |
| 5.3.5 | Ujistěte se, že je odpovídající úroveň protokolu SSH. | Předání | |
| 5.3.7 | Ujistěte se, že je SSH MaxAuthTries nastavená na 4 nebo méně. | Předání | |
| 5.3.8 | Ujistěte se, že je povolený SSH IgnoreRhosts. | Předání | |
| 5.3.9 | Ujistěte se, že je zakázané ověřování hostbasedAuthentication SSH. | Předání | |
| 5.3.10 | Ujistěte se, že je zakázané kořenové přihlášení SSH. | Předání | |
| 5.3.11 | Ujistěte se, že je zakázané povolení SSH PermitEmptyPasswords. | Předání | |
| 5.3.12 | Ujistěte se, že je zakázané povolení SSH PermitUserEnvironment. | Předání | |
| 5.3.13 | Ujistěte se, že se používají pouze silné šifry. | Předání | |
| 5.3.14 | Ujistěte se, že se používají pouze silné algoritmy MAC. | Předání | |
| 5.3.15 | Ujistěte se, že se používají pouze silné algoritmy výměny klíčů. | Předání | |
| 5.3.16 | Ujistěte se, že je nakonfigurovaný interval časového limitu nečinnosti SSH. | Chyba | |
| 5.3.17 | Ujistěte se, že je SSH LoginGraceTime nastavená na jednu minutu nebo méně. | Předání | |
| 5.3.18 | Ujistěte se, že je nakonfigurovaný banner upozornění SSH. | Předání | |
| 5.3.19 | Ujistěte se, že je povolená služba SSH PAM. | Předání | |
| 5.3.21 | Ujistěte se, že je nakonfigurovaný maxstartups SSH. | Chyba | |
| 5.3.22 | Ujistěte se, že je maximální počet instancí SSH omezený. | Předání | |
| 5.4 | Konfigurace PAM | ||
| 5.4.1 | Ujistěte se, že jsou nakonfigurované požadavky na vytvoření hesla. | Předání | |
| 5.4.2 | Ujistěte se, že je nakonfigurované uzamčení neúspěšných pokusů o heslo. | Chyba | |
| 5.4.3 | Ujistěte se, že je opakované použití hesla omezené. | Chyba | |
| 5.4.4 | Ujistěte se, že algoritmus hash hesel je SHA-512. | Předání | |
| 5.5 | Uživatelské účty a prostředí | ||
| 5.5.1 | Nastavení parametrů stínové sady hesel | ||
| 5.5.1.1 | Ujistěte se, že jsou nakonfigurované minimální dny mezi změnami hesla. | Předání | |
| 5.5.1.2 | Ujistěte se, že vypršení platnosti hesla je 365 dnů nebo méně. | Předání | |
| 5.5.1.3 | Ujistěte se, že upozornění na vypršení platnosti hesla je 7 nebo více. | Předání | |
| 5.5.1.4 | Ujistěte se, že neaktivní zámek hesla je 30 dnů nebo méně. | Předání | |
| 5.5.1.5 | Ujistěte se, že je datum poslední změny hesla všech uživatelů v minulosti. | Chyba | |
| 5.5.2 | Zajištění zabezpečení systémových účtů | Předání | |
| 5.5.3 | Ujistěte se, že výchozí skupina kořenového účtu je GID 0. | Předání | |
| 5.5.4 | Ujistěte se, že výchozí hodnota umask uživatele je 027 nebo více omezující. | Předání | |
| 5.5.5 | Ujistěte se, že výchozí časový limit uživatelského prostředí je 900 sekund nebo méně. | Chyba | |
| 5.6 | Ujistěte se, že je kořenové přihlášení omezené na systémovou konzolu. | Neuvedeno | |
| 5.7 | Ujistěte se, že je přístup k příkazu su omezený. | Chyba | Potenciální dopad operace |
| 6 | Údržba systému | ||
| 6.1 | Oprávnění systémových souborů | ||
| 6.1.2 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Předání | |
| 6.1.3 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/passwd. | Předání | |
| 6.1.4 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Předání | |
| 6.1.5 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/group. | Předání | |
| 6.1.6 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Předání | |
| 6.1.7 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/shadow. | Předání | |
| 6.1.8 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Předání | |
| 6.1.9 | Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/gshadow. | Předání | |
| 6.1.10 | Ujistěte se, že neexistují žádné soubory s možností zápisu do světa. | Chyba | Potenciální dopad operace |
| 6.1.11 | Ujistěte se, že neexistují žádné nesměněné soubory ani adresáře. | Chyba | Potenciální dopad operace |
| 6.1.12 | Ujistěte se, že neexistují žádné neseskupené soubory ani adresáře. | Chyba | Potenciální dopad operace |
| 6.1.13 | Audit spustitelných souborů SUID | Neuvedeno | |
| 6.1.14 | Audit spustitelných souborů SGID | Neuvedeno | |
| 6,2 | Nastavení uživatele a skupiny | ||
| 6.2.1 | Ujistěte se, že účty v /etc/passwd používají stínovaná hesla. | Předání | |
| 6.2.2 | Ujistěte se, že pole hesel nejsou prázdná. | Předání | |
| 6.2.3 | Ujistěte se, že všechny skupiny v /etc/passwd existují ve skupině /etc/group. | Předání | |
| 6.2.4 | Ujistěte se, že existují domovské adresáře všech uživatelů. | Předání | |
| 6.2.5 | Zajištění, aby uživatelé vlastní své domovské adresáře | Předání | |
| 6.2.6 | Ujistěte se, že jsou oprávnění domovské adresáře uživatelů 750 nebo více omezující. | Předání | |
| 6.2.7 | Ujistěte se, že soubory s tečkou uživatele nejsou seskupitelné nebo se dají zapisovat do světa. | Předání | |
| 6.2.8 | Ujistěte se, že žádní uživatelé nemají soubory .netrc. | Předání | |
| 6.2.9 | Ujistěte se, že žádní uživatelé nemají soubory .forward. | Předání | |
| 6.2.10 | Ujistěte se, že žádní uživatelé nemají soubory .rhosts. | Předání | |
| 6.2.11 | Ujistěte se, že kořenovým účtem je jediný účet UID 0. | Předání | |
| 6.2.12 | Zajištění integrity kořenové cesty | Předání | |
| 6.2.13 | Ujistěte se, že neexistují žádné duplicitní identifikátory UID. | Předání | |
| 6.2.14 | Ujistěte se, že neexistují žádné duplicitní identifikátory GID. | Předání | |
| 6.2.15 | Ujistěte se, že neexistují žádná duplicitní uživatelská jména. | Předání | |
| 6.2.16 | Ujistěte se, že neexistují žádné duplicitní názvy skupin. | Předání | |
| 6.2.17 | Ujistěte se, že je stínová skupina prázdná. | Předání |
Další kroky
Další informace o zabezpečení AKS najdete v následujících článcích: