Le immagini dei nodi di Anthos su VMware (GKE on-prem) sono preconfigurate con impostazioni PCI DSS, NIST Baseline High e DoD Cloud Computing SRG di livello 2.
Le seguenti sezioni descrivono le configurazioni di conformità che sono cambiate.
Pacchetti installati
Nelle immagini del sistema operativo dei nodi sono inclusi i seguenti pacchetti:
Controllo
Le regole di controllo aggiunte al sistema operativo soddisfano i requisiti necessari per registrare le modifiche nella proprietà e nelle autorizzazioni dei file, l'eliminazione dei file, il caricamento o l'eliminazione dei moduli del kernel, l'uso di comandi con privilegi e i comandi di amministrazione del sistema.
I seguenti eventi vengono registrati dai log relativi al sistema operativo dei nodi:
Modifiche del controllo degli accessi discrezionali (DAC):
chmod
: modifica modalità file o elenchi di controllo di accessochown
: modifica proprietario del gruppo e gruppofchmod
: cambia modalità di filefchmodat
: cambia modalità di filefchown
: modifica proprietario e gruppo di un filefchownat
: modifica proprietario e gruppo di un filefremovexattr
: rimuovi un valore dell'attributo estesofsetxattr
: imposta un valore dell'attributo estesolchown
: modifica proprietario e gruppo di un filelremovexattr
: rimuovi un valore dell'attributo estesolsetxattr
: imposta un valore dell'attributo estesoremovexattr
: rimuovi un valore dell'attributo estesosetxattr
: imposta un valore dell'attributo esteso
Eliminazione di file
ename
: modifica il nome di un filerenameat
: modifica il nome di un filermdir
: rimuovi directoryunlink
: rimuovi le voci di directoryunlinkat
: rimuovi voce della directory
Caricamento del modulo del kernel
deleted
: rimuovi un modulo del kernel caricabile inutilizzatofinit
: carica il modulo del kernel dal descrittore di fileinit
: carica un'immagine ELF nello spazio del kernel
Eventi di accesso
faillock
: blocca account utente dopo ripetuti tentativi di accesso non riuscitilastlog
: record di accessotallylog
: registrazione dei tentativi di accesso riusciti e non riusciti
Esportazione di contenuti multimediali:
mount -F
comandi per montare file system remotiComandi con privilegi
chage
: aggiunge o modifica i dati del database di utentichsh
: aggiunge o modifica i dati del database di utenticrontab
: mantieni i file crontab per i singoli utentigpasswd
: imposta o modifica la password per i membri del grupponewgrp
: modifica in un nuovo gruppopasswd
: modifica la password di un utentepostdrop
: utilità di pubblicazione della posta Postfixpostqueue
: controllo della coda post-fixssh_keysign
: gestisci le chiavi host per Daemon SSHsu
: sostituzione dell'identità utentesudo
: esegui un comando come un altro utenteunix_chkpwd
: verifica la password dell'utente corrente
Azioni di amministrazione: modifiche di sudoer
Arresto del sistema: arresto e riavvio del sistema operativo
Modifica del file non riuscita
creat
: crea un nuovo fileftruncate
: consente di troncare o estendere un file fino a raggiungere la lunghezza specificataopen
: apri file e directoryopen_by_handle_at
: apri o crea un file per leggere o scrivereopenat
: apri o crea un file per leggere o scriveretruncate
: consente di troncare o estendere un file fino a raggiungere la lunghezza specificata
Modifica utente / gruppo
group
: iscrizione a un gruppo localegshadow
: database di password di gruppoopasswd
: database di riutilizzo della passwordpasswd
: dati di accesso dell'utente localishadow
: database di password utente con hash locale
Requisiti delle password di Profilo utente
I requisiti di complessità della password utente sono necessari per la conformità. Questi requisiti di complessità sono implementati in /etc/security/pwquality.conf
come segue:
minlen = 15 lcredit = -1 maxrepeat = 3 difok = 8 maxclassrepeat = 4 ocredit = -1 dcredit = -1 ucredit = -1 minclass = 4
Server SSH
Le seguenti impostazioni sono state implementate nella configurazione del server di sshd
.
Banner di sistema
Questo messaggio rafforza la conoscenza dei criteri durante la procedura di accesso e facilita le possibili azioni legali contro gli utenti malintenzionati. In alternativa, i sistemi la cui proprietà non deve essere ovvia per garantire l'utilizzo di un banner che non facilita l'attribuzione.
Protocollo SSH 2
Il protocollo SSH 1 è meno sicuro e deve essere disattivato per impedire ai client di negoziare accidentalmente un parametro di connessione vulnerabile.
Disabilita accesso root SSH
SSH non dovrebbe consentire l'accesso diretto come utente root, poiché questo nasconde la tracciabilità delle azioni amministrative.
Autorizzazione SSH permitUserEnvironment
PermitUserEnvironment può aggirare la configurazione sul server. Questa impostazione assicura che le impostazioni non sicure non vengano importate durante la creazione della sessione.
Banner di avviso SSH
Questo messaggio rafforza la conoscenza dei criteri durante la procedura di accesso e facilita le possibili azioni legali contro gli utenti malintenzionati. Questa impostazione assicura che il daemon SSH presenti i contenuti del banner configurato nel sistema.
Timeout di inattività SSH
SSH consente agli amministratori di impostare un intervallo di timeout per inattività. Una volta trascorso questo intervallo senza attività, l'utente viene disconnesso automaticamente.
keepalive SSH
Ciò garantisce che l'accesso dell'utente venga terminato non appena viene raggiunto il timeout di inattività SSH.
Algoritmi di crittografia approvati tramite SSH
I meccanismi non approvati utilizzati per l'autenticazione nel modulo crittografico non sono verificati e pertanto non possono essere utilizzati per fornire riservatezza o integrità, inoltre i dati di sistema potrebbero essere compromessi. I sistemi operativi che utilizzano la crittografia sono necessari per utilizzare i meccanismi conformi a FIPS per l'autenticazione sui moduli crittografici.FIPS 140-2 è lo standard corrente per convalidare che i meccanismi utilizzati per accedere ai moduli crittografici utilizzino l'autenticazione conforme ai requisiti di settore e governativi.
MACS approvato SSH
Limita i MAC agli algoritmi hash approvati da FIPS.
SSH UsePrivilegiSeparation
La separazione dei privilegi dei daemon SSH determina il calo del privilegio principale da parte del processo SSH quando non è necessario, riducendo così l'impatto delle vulnerabilità del software nella sezione senza privilegi.
Visualizza tentativi di accesso SSH
Se l'autenticazione è riuscita, vengono visualizzati i tentativi di accesso precedenti. per informare l'utente di accessi imprevisti.
Scansione dell'integrità dei file
Sono configurati i seguenti controlli di integrità AIDE:
Scansione periodica AIDE
Come minimo, AIDE deve essere configurato per eseguire una scansione settimanale. Al massimo, AIDE deve essere eseguito ogni giorno. Per impostazione predefinita, Ubuntu configura AIDE per l'esecuzione giornaliera.
Notifica AIDE
AIDE deve informare il personale competente dei dettagli di una scansione dopo che questa è stata eseguita. La configurazione predefinita di AIDE su Ubuntu invia automaticamente i report email in /etc/cron.daily/aide
.
AIDE: utilizzare hash di crittografia approvati FIPS
Gli strumenti di integrità dei file utilizzano hash di crittografia per verificare che i contenuti del file e le directory non siano stati modificati. Tali hash devono essere hash crittografici approvati FIPS 140-2.
AIDE: verifica degli ACL
Gli ACL possono fornire autorizzazioni oltre a quelle consentite tramite la modalità file e devono essere verificati dagli strumenti di integrità del file.
AIDE: verifica degli attributi EXT
Gli attributi estesi nei file system vengono utilizzati per contenere dati arbitrari e metadati dei file con implicazioni per la sicurezza.
Impostazioni kernel
Sono state apportate le seguenti modifiche alle impostazioni del kernel in
/etc/sysctl
.
Disattivare il riavvio Ctrl-Alt-Del
Un utente che ha eseguito l'accesso localmente e che preme Ctrl-Alt-Del, quando si trova nella console, può riavviare il sistema. In caso di pressione accidentale, come potrebbe verificarsi nel caso di un ambiente misto del sistema operativo, questo può comportare il rischio di perdita di breve durata dei sistemi a causa di un riavvio involontario.
Modulo kernel DCCP disabilitato
Il protocollo DCCP (Datagram Congestion Control Protocol) è un nuovo protocollo a più livelli per il trasporto, progettato per supportare lo streaming di contenuti multimediali e la telefonia. La disattivazione di DCCP protegge il sistema da sfruttamento di eventuali difetti durante l'implementazione.
Modulo del kernel per l'archiviazione USB disabilitato
I dispositivi di archiviazione USB, come le chiavette USB, possono essere utilizzati per introdurre software dannoso. Per impedire che i dispositivi di archiviazione USB vengano utilizzati, configura il sistema di caricamento del modulo del kernel in modo da impedire il caricamento automatico del driver di archiviazione USB.
Assegnazione casuale dello spazio di indirizzi virtuali
La randomizzazione del layout dello spazio degli indirizzi (ASLR) rende più difficile per un autore di attacchi prevedere la posizione del codice di attacco che ha introdotto nello spazio di indirizzi di un processo durante un tentativo di sfruttamento. Inoltre, ASLR rende più difficile per un utente malintenzionato conoscere la posizione del codice esistente al fine di riutilizzarlo utilizzando tecniche di programmazione orientata al ritorno (ROP).
Disattiva reindirizzamenti IPv4
I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi modificano la tabella di percorso dell'host e non sono autenticati. Un messaggio di reindirizzamento ICMP illecito potrebbe causare un attacco man-in-the-middle. Questa funzionalità del protocollo IPv4 ha pochi utilizzi legittimi. e deve essere disattivato, a meno che non sia assolutamente obbligatorio.
Disabilita pacchetti IPv4 con routing di origine
I pacchetti con routing di origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso rispetto a quello configurato nel router, che può essere utilizzato per ignorare le misure di sicurezza di rete. Questo requisito si applica solo all'inoltro del traffico con routing dell'origine, come quando il forwarding IPv4 è abilitato e il sistema funziona come router. L'accettazione dei pacchetti con routing di origine nel protocollo IPv4 ha pochi utilizzi legittimi. Deve essere disattivato, a meno che non sia assolutamente obbligatorio.
Disattiva l'invio di reindirizzamenti IPv4
I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi contengono informazioni della tabella di route del sistema che potrebbe rivelare parti della topologia di rete. La possibilità di inviare reindirizzamenti ICMP è appropriata solo per i sistemi che agiscono come router.
Disattiva l'accettazione dei reindirizzamenti IPv4
I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi modificano la tabella di percorso dell'host e non sono autenticati. Un messaggio di reindirizzamento ICMP illecito potrebbe causare un attacco man-in-the-middle. Questa funzionalità del protocollo IPv4 ha pochi utilizzi legittimi. e deve essere disattivato, a meno che non sia assolutamente obbligatorio.
Disabilita accettazione pacchetti di routing IPv4
I pacchetti con routing di origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso rispetto a quello configurato nel router, che può essere utilizzato per ignorare le misure di sicurezza di rete. L'accettazione dei pacchetti con routing di origine nel protocollo IPv4 ha pochi utilizzi legittimi. Deve essere disabilitato, a meno che non sia assolutamente obbligatorio, ad esempio quando l'inoltro IPv4 è abilitato e il sistema funziona legalmente come router.
Disabilita l'invio di pacchetti di reindirizzamento IPv4
I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi contengono informazioni della tabella di route del sistema che potrebbe rivelare parti della topologia di rete. La possibilità di inviare reindirizzamenti ICMP è appropriata solo per i sistemi che agiscono come router.
Disabilita risposta ai pacchetti di trasmissione IPv4
Rispondere alle trasmissioni dell'echo (ICMP) facilita la mappatura della rete e fornisce un vettore per gli attacchi di amplificazione. Se ignori le richieste di echo ICMP (ping) inviate agli indirizzi broadcast o multicast, il sistema è più difficile da enumerare nella rete.
Disabilita accettazione pacchetti di routing IPv6
I pacchetti con routing dell'origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso da quello configurato sul router, che può essere utilizzato per ignorare le misure di sicurezza di rete. Questo requisito si applica solo all'inoltro del traffico con routing dell'origine, come quando il forwarding IPv6 è abilitato e il sistema funziona come router. L'accettazione dei pacchetti con routing di origine nel protocollo IPv6 ha pochi utilizzi legittimi. Deve essere disattivata, a meno che non sia assolutamente necessaria.
Servizi
Le seguenti modifiche alle configurazioni del servizio sono state implementate.
Logging remoto dei job pianificati
Il cron logging può essere utilizzato per tracciare l'esecuzione riuscita o non riuscita dei cron job. Può essere utilizzato anche per individuare le intrusioni nell'utilizzo della funzionalità cron da parte di utenti non autorizzati e dannosi.
Disattiva AutoFS
Il daemon autofs
monta e smonta i file system, come le directory home
utente condivise tramite NFS, on demand. Inoltre, puoi utilizzare autofs
per gestire contenuti multimediali rimovibili e la configurazione predefinita fornisce il dispositivo ddrom come /misc/cd
. Il montaggio automatico dei file system consente l'introduzione semplice di dispositivi sconosciuti, facilitando così le attività dannose.