Azure Kubernetes Service (AKS) Ubuntu-bildjustering med cis-benchmark (Center for Internet Security)
Som en säker tjänst uppfyller Azure Kubernetes Service (AKS) SOC-, ISO-, PCI DSS- och HIPAA-standarder. Den här artikeln beskriver säkerhetskonfigurationen för operativsystemet som tillämpas på Ubuntu-avbildningen som används av AKS. Den här säkerhetskonfigurationen baseras på Säkerhetsbaslinjen för Azure Linux, som överensstämmer med CIS-benchmark. Mer information om AKS-säkerhet finns i Säkerhetsbegrepp för program och kluster i Azure Kubernetes Service (AKS). Mer information om AKS-säkerhet finns i Säkerhetsbegrepp för program och kluster i Azure Kubernetes Service (AKS). Mer information om CIS-benchmark finns i Center for Internet Security (CIS) Benchmarks. Mer information om Azures säkerhetsbaslinjer för Linux finns i Säkerhetsbaslinje för Linux.
Ubuntu LTS 18.04
AKS-kluster distribueras på virtuella värddatorer, som kör ett operativsystem med inbyggda säkra konfigurationer. Det här operativsystemet används för containrar som körs på AKS. Det här värdoperativsystemet baseras på en Ubuntu 18.04.LTS-avbildning med säkerhetskonfigurationer.
Som en del av det säkerhetsoptimerade operativsystemet:
- AKS tillhandahåller ett säkerhetsoptimerad värdoperativsystem som standard, men inget alternativ för att välja ett alternativt operativsystem.
- Det säkerhetsoptimerade värdoperativsystemet skapas och underhålls specifikt för AKS och stöds inte utanför AKS-plattformen.
- Vissa onödiga kernelmoduldrivrutiner har inaktiverats i operativsystemet för att minska attackytan.
Kommentar
Azure är inte relaterat till CIS-riktmärkena och tillämpar dagliga korrigeringar, inklusive säkerhetskorrigeringar, på virtuella AKS-datorvärdar.
Målet med den säkra konfiguration som är inbyggd i värdoperativsystemet är att minska attackytan och optimera för distribution av containrar på ett säkert sätt.
Följande är resultaten från rekommendationer för CIS Ubuntu 18.04 LTS Benchmark v2.1.0 .
Rekommendationer kan ha någon av följande orsaker:
- Potentiell åtgärdspåverkan – rekommendationen tillämpades inte eftersom den skulle ha en negativ effekt på tjänsten.
- Omfattas någon annanstans – Rekommendationen omfattas av en annan kontroll i Azure Cloud Compute.
Följande är CIS-regler som implementeras:
| CIS-styckenummer | Beskrivning av rekommendation | Status | Anledning |
|---|---|---|---|
| 1 | Initial installation | ||
| 1,1 | Filsystemskonfiguration | ||
| 1.1.1 | Inaktivera oanvända filsystem | ||
| 1.1.1.1 | Se till att monteringen av cramfs-filsystem är inaktiverad | Godkänd | |
| 1.1.1.2 | Se till att monteringen av freevxfs-filsystem är inaktiverad | Godkänd | |
| 1.1.1.3 | Se till att monteringen av jffs2-filsystem är inaktiverad | Godkänd | |
| 1.1.1.4 | Se till att monteringen av hfs-filsystem är inaktiverad | Godkänd | |
| 1.1.1.5 | Se till att monteringen av hfsplus-filsystem är inaktiverad | Godkänd | |
| 1.1.1.6 | Se till att monteringen av udf-filsystem är inaktiverad | Misslyckad | Potentiell driftspåverkan |
| 1.1.2 | Kontrollera att /tmp har konfigurerats | Misslyckad | |
| 1.1.3 | Kontrollera att nodev-alternativet är inställt på /tmp-partitionen | Misslyckad | |
| 1.1.4 | Se till att alternativet nosuid är inställt på /tmp-partitionen | Godkänd | |
| 1.1.5 | Kontrollera att noexec-alternativet är inställt på /tmp-partitionen | Godkänd | |
| 1.1.6 | Kontrollera att /dev/shm har konfigurerats | Godkänd | |
| 1.1.7 | Kontrollera att alternativet nodev har angetts för partitionen /dev/shm | Godkänd | |
| 1.1.8 | Se till att alternativet nosuid är inställt på /dev/shm-partitionen | Godkänd | |
| 1.1.9 | Kontrollera att noexec-alternativet är inställt på /dev/shm-partitionen | Misslyckad | Potentiell driftspåverkan |
| 1.1.12 | Se till att /var/tmp-partitionen innehåller alternativet nodev | Godkänd | |
| 1.1.13 | Se till att /var/tmp-partitionen innehåller alternativet nosuid | Godkänd | |
| 1.1.14 | Se till att /var/tmp-partitionen innehåller noexec-alternativet | Godkänd | |
| 1.1.18 | Se till att /home-partitionen innehåller alternativet nodev | Godkänd | |
| 1.1.19 | Kontrollera att alternativet nodev har angetts för flyttbara mediepartitioner | Inte tillämpligt | |
| 1.1.20 | Se till att alternativet nosuid har angetts för partitioner med flyttbara medier | Inte tillämpligt | |
| 1.1.21 | Se till att noexec-alternativet har angetts för flyttbara mediepartitioner | Inte tillämpligt | |
| 1.1.22 | Se till att fästbiten är inställd på alla världsskrivningsbara kataloger | Misslyckad | Potentiell åtgärdspåverkan |
| 1.1.23 | Inaktivera automontering | Godkänd | |
| 1.1.24 | Inaktivera USB-lagring | Godkänd | |
| 1.2 | Konfigurera programvara Uppdateringar | ||
| 1.2.1 | Kontrollera att pakethanterarens lagringsplatser är konfigurerade | Godkänd | Omfattas någon annanstans |
| 1.2.2 | Kontrollera att GPG-nycklar har konfigurerats | Inte tillämpligt | |
| 1.3 | Filsystemintegritetskontroll | ||
| 1.3.1 | Kontrollera att AIDE är installerat | Misslyckad | Omfattas någon annanstans |
| 1.3.2 | Kontrollera att filsystemintegriteten kontrolleras regelbundet | Misslyckad | Omfattas någon annanstans |
| 1.4 | Säker start Inställningar | ||
| 1.4.1 | Kontrollera att behörigheter för bootloader-konfigurationen inte åsidosätts | Misslyckad | |
| 1.4.2 | Kontrollera att lösenordet för startladdaren har angetts | Misslyckad | Inte tillämpligt |
| 1.4.3 | Se till att behörigheter för bootloader-konfiguration har konfigurerats | Misslyckad | |
| 1.4.4 | Se till att autentisering krävs för enanvändarläge | Misslyckad | Inte tillämpligt |
| 1.5 | Ytterligare processhärdning | ||
| 1.5.1 | Kontrollera att XD/NX-stöd är aktiverat | Inte tillämpligt | |
| 1.5.2 | Se till att slumpmässig adressutrymmeslayout (ASLR) är aktiverat | Godkänd | |
| 1.5.3 | Kontrollera att förlänken är inaktiverad | Godkänd | |
| 1.5.4 | Se till att kärndumpar är begränsade | Godkänd | |
| 1.6 | Obligatorisk åtkomstkontroll | ||
| 1.6.1 | Konfigurera AppArmor | ||
| 1.6.1.1 | Kontrollera att AppArmor är installerat | Godkänd | |
| 1.6.1.2 | Kontrollera att AppArmor är aktiverat i startprogrammets konfiguration | Misslyckad | Potentiell åtgärdspåverkan |
| 1.6.1.3 | Se till att alla AppArmor-profiler är i framtvingad eller klagomålsläge | Godkänd | |
| 1,7 | Varningsbanderoller för kommandorad | ||
| 1.7.1 | Kontrollera att dagens meddelande är korrekt konfigurerat | Godkänd | |
| 1.7.2 | Se till att behörigheter för /etc/issue.net är konfigurerade | Godkänd | |
| 1.7.3 | Se till att behörigheter för /etc/issue har konfigurerats | Godkänd | |
| 1.7.4 | Se till att behörigheter för /etc/motd är konfigurerade | Godkänd | |
| 1.7.5 | Kontrollera att varningsbanderollen för fjärrinloggning är korrekt konfigurerad | Godkänd | |
| 1.7.6 | Kontrollera att den lokala inloggningsvarningsbanderollen är korrekt konfigurerad | Godkänd | |
| 1.8 | GNOME Display Manager | ||
| 1.8.2 | Kontrollera att GDM-inloggningsbanderollen är konfigurerad | Godkänd | |
| 1.8.3 | Kontrollera att listan disable-user-is enabled (Inaktivera användare) är aktiverad | Godkänd | |
| 1.8.4 | Kontrollera att XDCMP inte är aktiverat | Godkänd | |
| 1,9 | Se till att uppdateringar, korrigeringar och ytterligare säkerhetsprogram är installerade | Godkänd | |
| 2 | Tjänster | ||
| 2.1 | Tjänster för särskilda ändamål | ||
| 2.1.1 | Tidssynkronisering | ||
| 2.1.1.1 | Kontrollera att tidssynkronisering används | Godkänd | |
| 2.1.1.2 | Kontrollera att systemd-timesyncd har konfigurerats | Inte tillämpligt | AKS använder ntpd för timesync |
| 2.1.1.3 | Kontrollera att chrony har konfigurerats | Misslyckad | Omfattas någon annanstans |
| 2.1.1.4 | Kontrollera att ntp har konfigurerats | Godkänd | |
| 2.1.2 | Kontrollera att X-fönstersystemet inte är installerat | Godkänd | |
| 2.1.3 | Kontrollera att Avahi Server inte är installerat | Godkänd | |
| 2.1.4 | Kontrollera att CUPS inte är installerat | Godkänd | |
| 2.1.5 | Kontrollera att DHCP-servern inte är installerad | Godkänd | |
| 2.1.6 | Kontrollera att LDAP-servern inte är installerad | Godkänd | |
| 2.1.7 | Kontrollera att NFS inte är installerat | Godkänd | |
| 2.1.8 | Kontrollera att DNS-servern inte är installerad | Godkänd | |
| 2.1.9 | Kontrollera att FTP-servern inte är installerad | Godkänd | |
| 2.1.10 | Kontrollera att HTTP-servern inte är installerad | Godkänd | |
| 2.1.11 | Kontrollera att IMAP- och POP3-servern inte är installerade | Godkänd | |
| 2.1.12 | Kontrollera att Samba inte är installerat | Godkänd | |
| 2.1.13 | Kontrollera att HTTP-proxyservern inte är installerad | Godkänd | |
| 2.1.14 | Kontrollera att SNMP-servern inte är installerad | Godkänd | |
| 2.1.15 | Kontrollera att e-postöverföringsagenten är konfigurerad för lokalt läge | Godkänd | |
| 2.1.16 | Kontrollera att rsync-tjänsten inte är installerad | Misslyckad | |
| 2.1.17 | Kontrollera att NIS Server inte är installerad | Godkänd | |
| 2,2 | Tjänstklienter | ||
| 2.2.1 | Kontrollera att NIS-klienten inte är installerad | Godkänd | |
| 2.2.2 | Kontrollera att rsh-klienten inte är installerad | Godkänd | |
| 2.2.3 | Kontrollera att talk-klienten inte är installerad | Godkänd | |
| 2.2.4 | Kontrollera att telnet-klienten inte är installerad | Misslyckad | |
| 2.2.5 | Kontrollera att LDAP-klienten inte är installerad | Godkänd | |
| 2.2.6 | Kontrollera att RPC inte är installerat | Misslyckad | Potentiell driftspåverkan |
| 2.3 | Se till att nonessential-tjänster tas bort eller maskeras | Godkänd | |
| 3 | Nätverkskonfiguration | ||
| 3.1 | Inaktivera oanvända nätverksprotokoll och enheter | ||
| 3.1.2 | Kontrollera att trådlösa gränssnitt är inaktiverade | Godkänd | |
| 3.2 | Nätverksparametrar (endast värd) | ||
| 3.2.1 | Kontrollera att sändning av omdirigering av paket är inaktiverat | Godkänd | |
| 3.2.2 | Kontrollera att IP-vidarebefordran är inaktiverad | Misslyckad | Inte tillämpligt |
| 3.3 | Nätverksparametrar (värd och router) | ||
| 3.3.1 | Se till att källroutade paket inte accepteras | Godkänd | |
| 3.3.2 | Se till att ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.3 | Se till att säkra ICMP-omdirigeringar inte accepteras | Godkänd | |
| 3.3.4 | Se till att misstänkta paket loggas | Godkänd | |
| 3.3.5 | Se till att sändnings-ICMP-begäranden ignoreras | Godkänd | |
| 3.3.6 | Se till att falska ICMP-svar ignoreras | Godkänd | |
| 3.3.7 | Kontrollera att filtrering av omvänd sökväg är aktiverat | Godkänd | |
| 3.3.8 | Kontrollera att TCP SYN Cookies är aktiverat | Godkänd | |
| 3.3.9 | Se till att IPv6-routerannonser inte accepteras | Godkänd | |
| 3.4 | Ovanliga nätverksprotokoll | ||
| 3.5 | Brandväggskonfiguration | ||
| 3.5.1 | Konfigurera UncomplicatedFirewall | ||
| 3.5.1.1 | Kontrollera att ufw är installerat | Godkänd | |
| 3.5.1.2 | Kontrollera att iptables-persistent inte är installerat med ufw | Godkänd | |
| 3.5.1.3 | Kontrollera att ufw-tjänsten är aktiverad | Misslyckad | Omfattas någon annanstans |
| 3.5.1.4 | Kontrollera att ufw loopback-trafik är konfigurerad | Misslyckad | Omfattas någon annanstans |
| 3.5.1.5 | Se till att utgående anslutningar för utgående trafik är konfigurerade | Inte tillämpligt | Omfattas någon annanstans |
| 3.5.1.6 | Kontrollera att brandväggsreglerna för ufw finns för alla öppna portar | Inte tillämpligt | Omfattas någon annanstans |
| 3.5.1.7 | Se till att ufw-standardprincipen nekar brandvägg | Misslyckad | Omfattas någon annanstans |
| 3.5.2 | Konfigurera nftables | ||
| 3.5.2.1 | Kontrollera att nftables är installerat | Misslyckad | Omfattas någon annanstans |
| 3.5.2.2 | Kontrollera att ufw har avinstallerats eller inaktiverats med nftables | Misslyckad | Omfattas någon annanstans |
| 3.5.2.3 | Se till att iptables töms med nftables | Inte tillämpligt | Omfattas någon annanstans |
| 3.5.2.4 | Kontrollera att det finns en nftables-tabell | Misslyckad | Omfattas någon annanstans |
| 3.5.2.5 | Se till att det finns nftables-baskedjor | Misslyckad | Omfattas någon annanstans |
| 3.5.2.6 | Kontrollera att loopback-trafik för nftables har konfigurerats | Misslyckad | Omfattas någon annanstans |
| 3.5.2.7 | Se till att utgående och etablerade anslutningar är konfigurerade | Inte tillämpligt | Omfattas någon annanstans |
| 3.5.2.8 | Se till att nftables som standard nekar brandväggsprincip | Misslyckad | Omfattas någon annanstans |
| 3.5.2.9 | Kontrollera att tjänsten nftables är aktiverad | Misslyckad | Omfattas någon annanstans |
| 3.5.2.10 | Se till att regler för delbara data är permanenta | Misslyckad | Omfattas någon annanstans |
| 3.5.3 | Konfigurera iptables | ||
| 3.5.3.1 | Konfigurera iptables-programvara | ||
| 3.5.3.1.1 | Kontrollera att iptables-paket är installerade | Misslyckad | Omfattas någon annanstans |
| 3.5.3.1.2 | Kontrollera att det inte finns några iptable-filer installerade | Godkänd | |
| 3.5.3.1.3 | Kontrollera att ufw har avinstallerats eller inaktiverats med iptables | Misslyckad | Omfattas någon annanstans |
| 3.5.3.2 | Konfigurera IPv4-iptables | ||
| 3.5.3.2.1 | Se till att iptables som standard nekar brandväggsprincip | Misslyckad | Omfattas någon annanstans |
| 3.5.3.2.2 | Kontrollera att iptables loopback-trafik har konfigurerats | Misslyckad | Inte tillämpligt |
| 3.5.3.2.3 | Se till att iptables utgående och etablerade anslutningar har konfigurerats | Inte tillämpligt | |
| 3.5.3.2.4 | Kontrollera att iptables-brandväggsregler finns för alla öppna portar | Misslyckad | Potentiell åtgärdspåverkan |
| 3.5.3.3 | Konfigurera IPv6 ip6tables | ||
| 3.5.3.3.1 | Se till att ip6tables som standard nekar brandväggsprincip | Misslyckad | Omfattas någon annanstans |
| 3.5.3.3.2 | Kontrollera att ip6tables loopback-trafik är konfigurerad | Misslyckad | Omfattas någon annanstans |
| 3.5.3.3.3 | Se till att ip6tables utgående och etablerade anslutningar har konfigurerats | Inte tillämpligt | Omfattas någon annanstans |
| 3.5.3.3.4 | Kontrollera att ip6tables-brandväggsregler finns för alla öppna portar | Misslyckad | Omfattas någon annanstans |
| 4 | Loggning och granskning | ||
| 4.1 | Konfigurera systemredovisning (granskad) | ||
| 4.1.1.2 | Kontrollera att granskning är aktiverat | ||
| 4.1.2 | Konfigurera datakvarhållning | ||
| 4.2 | Konfigurera loggning | ||
| 4.2.1 | Konfigurera rsyslog | ||
| 4.2.1.1 | Kontrollera att rsyslog är installerat | Godkänd | |
| 4.2.1.2 | Kontrollera att rsyslog-tjänsten är aktiverad | Godkänd | |
| 4.2.1.3 | Kontrollera att loggningen är konfigurerad | Godkänd | |
| 4.2.1.4 | Se till att rsyslog konfigurerade standardfilbehörigheter | Godkänd | |
| 4.2.1.5 | Kontrollera att rsyslog har konfigurerats för att skicka loggar till en fjärrloggvärd | Misslyckad | Omfattas någon annanstans |
| 4.2.1.6 | Se till att fjärr-rsyslog-meddelanden endast accepteras på avsedda loggvärdar. | Inte tillämpligt | |
| 4.2.2 | Konfigurera journalförd | ||
| 4.2.2.1 | Kontrollera att journalförd är konfigurerad för att skicka loggar till rsyslog | Godkänd | |
| 4.2.2.2 | Kontrollera att journalförd är konfigurerad för att komprimera stora loggfiler | Misslyckad | |
| 4.2.2.3 | Kontrollera att journalförd är konfigurerad för att skriva loggfiler till beständiga diskar | Godkänd | |
| 4.2.3 | Se till att behörigheter för alla loggfiler är konfigurerade | Misslyckad | |
| 4.3 | Kontrollera att logrotate har konfigurerats | Godkänd | |
| 4.4 | Se till att logrotate tilldelar lämpliga behörigheter | Misslyckad | |
| 5 | Åtkomst, autentisering och auktorisering | ||
| 5,1 | Konfigurera tidsbaserade jobbschemaläggare | ||
| 5.1.1 | Kontrollera att cron-daemon är aktiverat och körs | Godkänd | |
| 5.1.2 | Se till att behörigheter på /etc/crontab är konfigurerade | Godkänd | |
| 5.1.3 | Kontrollera att behörigheter för /etc/cron.hourly är konfigurerade | Godkänd | |
| 5.1.4 | Se till att behörigheter för /etc/cron.daily har konfigurerats | Godkänd | |
| 5.1.5 | Se till att behörigheter för /etc/cron.weekly har konfigurerats | Godkänd | |
| 5.1.6 | Se till att behörigheter för /etc/cron.monthly har konfigurerats | Godkänd | |
| 5.1.7 | Se till att behörigheter för /etc/cron.d har konfigurerats | Godkänd | |
| 5.1.8 | Se till att cron är begränsad till behöriga användare | Misslyckad | |
| 5.1.9 | Se till att at är begränsad till behöriga användare | Misslyckad | |
| 5.2 | Konfigurera sudo | ||
| 5.2.1 | Kontrollera att sudo är installerat | Godkänd | |
| 5.2.2 | Kontrollera att sudo-kommandon använder pty | Misslyckad | Potentiell driftspåverkan |
| 5.2.3 | Kontrollera att sudo-loggfilen finns | Misslyckad | |
| 5.3 | Konfigurera SSH Server | ||
| 5.3.1 | Se till att behörigheter för /etc/ssh/sshd_config har konfigurerats | Godkänd | |
| 5.3.2 | Se till att behörigheter för privata SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.3.3 | Se till att behörigheter för offentliga SSH-värdnyckelfiler har konfigurerats | Godkänd | |
| 5.3.4 | Se till att SSH-åtkomsten är begränsad | Godkänd | |
| 5.3.5 | Kontrollera att SSH LogLevel är lämpligt | Godkänd | |
| 5.3.7 | Kontrollera att SSH MaxAuthTries är inställt på 4 eller mindre | Godkänd | |
| 5.3.8 | Kontrollera att SSH IgnoreRhosts är aktiverat | Godkänd | |
| 5.3.9 | Kontrollera att SSH HostbasedAuthentication är inaktiverat | Godkänd | |
| 5.3.10 | Kontrollera att SSH-rotinloggning är inaktiverad | Godkänd | |
| 5.3.11 | Kontrollera att SSH PermitEmptyPasswords är inaktiverat | Godkänd | |
| 5.3.12 | Kontrollera att SSH PermitUserEnvironment är inaktiverat | Godkänd | |
| 5.3.13 | Se till att endast starka chiffer används | Godkänd | |
| 5.3.14 | Se till att endast starka MAC-algoritmer används | Godkänd | |
| 5.3.15 | Se till att endast starka Key Exchange-algoritmer används | Godkänd | |
| 5.3.16 | Kontrollera att tidsgränsintervallet för SSH-inaktivitet är konfigurerat | Misslyckad | |
| 5.3.17 | Kontrollera att SSH LoginGraceTime är inställt på en minut eller mindre | Godkänd | |
| 5.3.18 | Kontrollera att SSH-varningsbanderollen är konfigurerad | Godkänd | |
| 5.3.19 | Kontrollera att SSH PAM är aktiverat | Godkänd | |
| 5.3.21 | Kontrollera att SSH MaxStartups har konfigurerats | Misslyckad | |
| 5.3.22 | Kontrollera att SSH MaxSessions är begränsat | Godkänd | |
| 5.4 | Konfigurera PAM | ||
| 5.4.1 | Se till att kraven för att skapa lösenord är konfigurerade | Godkänd | |
| 5.4.2 | Se till att utelåsning för misslyckade lösenordsförsök har konfigurerats | Misslyckad | |
| 5.4.3 | Se till att återanvändning av lösenord är begränsad | Misslyckad | |
| 5.4.4 | Kontrollera att algoritmen för lösenordshashing är SHA-512 | Godkänd | |
| 5,5 | Användarkonton och miljö | ||
| 5.5.1 | Ange parametrar för skugglösenordspaket | ||
| 5.5.1.1 | Se till att minsta antal dagar mellan lösenordsändringar har konfigurerats | Godkänd | |
| 5.5.1.2 | Kontrollera att lösenordets giltighetstid är 365 dagar eller mindre | Godkänd | |
| 5.5.1.3 | Kontrollera att varningsdagarna för lösenordets giltighetstid är 7 eller fler | Godkänd | |
| 5.5.1.4 | Kontrollera att inaktivt lösenordslås är 30 dagar eller mindre | Godkänd | |
| 5.5.1.5 | Kontrollera att alla användares senaste datum för lösenordsändring är tidigare | Misslyckad | |
| 5.5.2 | Se till att systemkonton är skyddade | Godkänd | |
| 5.5.3 | Kontrollera att standardgruppen för rotkontot är GID 0 | Godkänd | |
| 5.5.4 | Kontrollera att standardanvändarens umask är 027 eller mer restriktiv | Godkänd | |
| 5.5.5 | Kontrollera att standardtimeouten för användargränssnittet är 900 sekunder eller mindre | Misslyckad | |
| 5,6 | Kontrollera att rotinloggning är begränsad till systemkonsolen | Inte tillämpligt | |
| 5.7 | Se till att åtkomsten till su-kommandot är begränsad | Misslyckad | Potentiell åtgärdspåverkan |
| 6 | Systemunderhåll | ||
| 6.1 | Systemfilbehörigheter | ||
| 6.1.2 | Se till att behörigheter för /etc/passwd har konfigurerats | Godkänd | |
| 6.1.3 | Se till att behörigheter för /etc/passwd – har konfigurerats | Godkänd | |
| 6.1.4 | Se till att behörigheter för /etc/group har konfigurerats | Godkänd | |
| 6.1.5 | Se till att behörigheter för /etc/group – har konfigurerats | Godkänd | |
| 6.1.6 | Se till att behörigheter för /etc/shadow är konfigurerade | Godkänd | |
| 6.1.7 | Se till att behörigheter för /etc/shadow - har konfigurerats | Godkänd | |
| 6.1.8 | Se till att behörigheter för /etc/gshadow är konfigurerade | Godkänd | |
| 6.1.9 | Se till att behörigheter för /etc/gshadow – har konfigurerats | Godkänd | |
| 6.1.10 | Se till att det inte finns några skrivbara filer i världen | Misslyckad | Potentiell åtgärdspåverkan |
| 6.1.11 | Se till att det inte finns några filer eller kataloger som inte finns | Misslyckad | Potentiell åtgärdspåverkan |
| 6.1.12 | Se till att det inte finns några ogrupperade filer eller kataloger | Misslyckad | Potentiell åtgärdspåverkan |
| 6.1.13 | Granska körbara SUID-filer | Inte tillämpligt | |
| 6.1.14 | Granska körbara SGID-filer | Inte tillämpligt | |
| 6,2 | Användar- och grupp-Inställningar | ||
| 6.2.1 | Se till att konton i /etc/passwd använder skuggade lösenord | Godkänd | |
| 6.2.2 | Kontrollera att lösenordsfälten inte är tomma | Godkänd | |
| 6.2.3 | Se till att alla grupper i /etc/passwd finns i /etc/group | Godkänd | |
| 6.2.4 | Se till att alla användares hemkataloger finns | Godkänd | |
| 6.2.5 | Se till att användarna äger sina hemkataloger | Godkänd | |
| 6.2.6 | Se till att användarnas behörigheter för hemkataloger är 750 eller mer restriktiva | Godkänd | |
| 6.2.7 | Se till att användarnas punktfiler inte är skrivbara i grupp eller i världen | Godkänd | |
| 6.2.8 | Se till att inga användare har .netrc-filer | Godkänd | |
| 6.2.9 | Se till att inga användare har vidarebefordrade filer | Godkänd | |
| 6.2.10 | Kontrollera att inga användare har .rhosts-filer | Godkänd | |
| 6.2.11 | Kontrollera att roten är det enda UID 0-kontot | Godkänd | |
| 6.2.12 | Kontrollera rotens PATH-integritet | Godkänd | |
| 6.2.13 | Kontrollera att inga duplicerade användargränssnitt finns | Godkänd | |
| 6.2.14 | Kontrollera att inga duplicerade GID:er finns | Godkänd | |
| 6.2.15 | Kontrollera att inga duplicerade användarnamn finns | Godkänd | |
| 6.2.16 | Kontrollera att det inte finns några duplicerade gruppnamn | Godkänd | |
| 6.2.17 | Kontrollera att skugggruppen är tom | Godkänd |
Nästa steg
Mer information om AKS-säkerhet finns i följande artiklar: