Versione 1.6. Questa versione non è più supportata come descritto nelle norme relative al supporto delle versioni di Anthos. Per le patch e gli aggiornamenti più recenti per vulnerabilità di sicurezza, esposizioni e problemi che interessano i cluster Anthos su VMware (GKE on-prem), esegui l'upgrade a una versione supportata. La versione più recente è disponibile qui.

Versioni disponibili

Conformità dei nodi

Le immagini dei nodi di Anthos su VMware (GKE on-prem) sono preconfigurate con impostazioni PCI DSS, NIST Baseline High e DoD Cloud Computing SRG di livello 2.

Le seguenti sezioni descrivono le configurazioni di conformità che sono cambiate.

Pacchetti installati

Nelle immagini del sistema operativo dei nodi sono inclusi i seguenti pacchetti:

Controllo

Le regole di controllo aggiunte al sistema operativo soddisfano i requisiti necessari per registrare le modifiche nella proprietà e nelle autorizzazioni dei file, l'eliminazione dei file, il caricamento o l'eliminazione dei moduli del kernel, l'uso di comandi con privilegi e i comandi di amministrazione del sistema.

I seguenti eventi vengono registrati dai log relativi al sistema operativo dei nodi:

Modifiche del controllo degli accessi discrezionali (DAC):
- chmod: modifica modalità file o elenchi di controllo di accesso
- chown: modifica proprietario del gruppo e gruppo
- fchmod: cambia modalità di file
- fchmodat: cambia modalità di file
- fchown: modifica proprietario e gruppo di un file
- fchownat: modifica proprietario e gruppo di un file
- fremovexattr: rimuovi un valore dell'attributo esteso
- fsetxattr: imposta un valore dell'attributo esteso
- lchown: modifica proprietario e gruppo di un file
- lremovexattr: rimuovi un valore dell'attributo esteso
- lsetxattr: imposta un valore dell'attributo esteso
- removexattr: rimuovi un valore dell'attributo esteso
- setxattr: imposta un valore dell'attributo esteso
Eliminazione di file
- ename: modifica il nome di un file
- renameat: modifica il nome di un file
- rmdir: rimuovi directory
- unlink: rimuovi le voci di directory
- unlinkat: rimuovi voce della directory
Caricamento del modulo del kernel
- deleted: rimuovi un modulo del kernel caricabile inutilizzato
- finit: carica il modulo del kernel dal descrittore di file
- init: carica un'immagine ELF nello spazio del kernel
Eventi di accesso
- faillock: blocca account utente dopo ripetuti tentativi di accesso non riusciti
- lastlog: record di accesso
- tallylog: registrazione dei tentativi di accesso riusciti e non riusciti
Esportazione di contenuti multimediali: mount -F comandi per montare file system remoti
Comandi con privilegi
- chage: aggiunge o modifica i dati del database di utenti
- chsh: aggiunge o modifica i dati del database di utenti
- crontab: mantieni i file crontab per i singoli utenti
- gpasswd: imposta o modifica la password per i membri del gruppo
- newgrp: modifica in un nuovo gruppo
- passwd: modifica la password di un utente
- postdrop: utilità di pubblicazione della posta Postfix
- postqueue: controllo della coda post-fix
- ssh_keysign: gestisci le chiavi host per Daemon SSH
- su: sostituzione dell'identità utente
- sudo: esegui un comando come un altro utente
- unix_chkpwd: verifica la password dell'utente corrente
Azioni di amministrazione: modifiche di sudoer
Arresto del sistema: arresto e riavvio del sistema operativo
Modifica del file non riuscita
- creat: crea un nuovo file
- ftruncate: consente di troncare o estendere un file fino a raggiungere la lunghezza specificata
- open: apri file e directory
- open_by_handle_at: apri o crea un file per leggere o scrivere
- openat: apri o crea un file per leggere o scrivere
- truncate: consente di troncare o estendere un file fino a raggiungere la lunghezza specificata
Modifica utente / gruppo
- group: iscrizione a un gruppo locale
- gshadow: database di password di gruppo
- opasswd: database di riutilizzo della password
- passwd: dati di accesso dell'utente locali
- shadow: database di password utente con hash locale

Requisiti delle password di Profilo utente

I requisiti di complessità della password utente sono necessari per la conformità. Questi requisiti di complessità sono implementati in /etc/security/pwquality.conf come segue:

minlen = 15
lcredit = -1
maxrepeat = 3
difok = 8
maxclassrepeat = 4
ocredit = -1
dcredit = -1
ucredit = -1
minclass = 4

Server SSH

Le seguenti impostazioni sono state implementate nella configurazione del server di sshd.

Banner di sistema

Questo messaggio rafforza la conoscenza dei criteri durante la procedura di accesso e facilita le possibili azioni legali contro gli utenti malintenzionati. In alternativa, i sistemi la cui proprietà non deve essere ovvia per garantire l'utilizzo di un banner che non facilita l'attribuzione.

Protocollo SSH 2

Il protocollo SSH 1 è meno sicuro e deve essere disattivato per impedire ai client di negoziare accidentalmente un parametro di connessione vulnerabile.

Disabilita accesso root SSH

SSH non dovrebbe consentire l'accesso diretto come utente root, poiché questo nasconde la tracciabilità delle azioni amministrative.

Autorizzazione SSH permitUserEnvironment

PermitUserEnvironment può aggirare la configurazione sul server. Questa impostazione assicura che le impostazioni non sicure non vengano importate durante la creazione della sessione.

Banner di avviso SSH

Questo messaggio rafforza la conoscenza dei criteri durante la procedura di accesso e facilita le possibili azioni legali contro gli utenti malintenzionati. Questa impostazione assicura che il daemon SSH presenti i contenuti del banner configurato nel sistema.

Timeout di inattività SSH

SSH consente agli amministratori di impostare un intervallo di timeout per inattività. Una volta trascorso questo intervallo senza attività, l'utente viene disconnesso automaticamente.

keepalive SSH

Ciò garantisce che l'accesso dell'utente venga terminato non appena viene raggiunto il timeout di inattività SSH.

Algoritmi di crittografia approvati tramite SSH

I meccanismi non approvati utilizzati per l'autenticazione nel modulo crittografico non sono verificati e pertanto non possono essere utilizzati per fornire riservatezza o integrità, inoltre i dati di sistema potrebbero essere compromessi. I sistemi operativi che utilizzano la crittografia sono necessari per utilizzare i meccanismi conformi a FIPS per l'autenticazione sui moduli crittografici.FIPS 140-2 è lo standard corrente per convalidare che i meccanismi utilizzati per accedere ai moduli crittografici utilizzino l'autenticazione conforme ai requisiti di settore e governativi.

MACS approvato SSH

Limita i MAC agli algoritmi hash approvati da FIPS.

SSH UsePrivilegiSeparation

La separazione dei privilegi dei daemon SSH determina il calo del privilegio principale da parte del processo SSH quando non è necessario, riducendo così l'impatto delle vulnerabilità del software nella sezione senza privilegi.

Visualizza tentativi di accesso SSH

Se l'autenticazione è riuscita, vengono visualizzati i tentativi di accesso precedenti. per informare l'utente di accessi imprevisti.

Scansione dell'integrità dei file

Sono configurati i seguenti controlli di integrità AIDE:

Scansione periodica AIDE

Come minimo, AIDE deve essere configurato per eseguire una scansione settimanale. Al massimo, AIDE deve essere eseguito ogni giorno. Per impostazione predefinita, Ubuntu configura AIDE per l'esecuzione giornaliera.

Notifica AIDE

AIDE deve informare il personale competente dei dettagli di una scansione dopo che questa è stata eseguita. La configurazione predefinita di AIDE su Ubuntu invia automaticamente i report email in /etc/cron.daily/aide.

AIDE: utilizzare hash di crittografia approvati FIPS

Gli strumenti di integrità dei file utilizzano hash di crittografia per verificare che i contenuti del file e le directory non siano stati modificati. Tali hash devono essere hash crittografici approvati FIPS 140-2.

AIDE: verifica degli ACL

Gli ACL possono fornire autorizzazioni oltre a quelle consentite tramite la modalità file e devono essere verificati dagli strumenti di integrità del file.

AIDE: verifica degli attributi EXT

Gli attributi estesi nei file system vengono utilizzati per contenere dati arbitrari e metadati dei file con implicazioni per la sicurezza.

Impostazioni kernel

Sono state apportate le seguenti modifiche alle impostazioni del kernel in /etc/sysctl.

Disattivare il riavvio Ctrl-Alt-Del

Un utente che ha eseguito l'accesso localmente e che preme Ctrl-Alt-Del, quando si trova nella console, può riavviare il sistema. In caso di pressione accidentale, come potrebbe verificarsi nel caso di un ambiente misto del sistema operativo, questo può comportare il rischio di perdita di breve durata dei sistemi a causa di un riavvio involontario.

Modulo kernel DCCP disabilitato

Il protocollo DCCP (Datagram Congestion Control Protocol) è un nuovo protocollo a più livelli per il trasporto, progettato per supportare lo streaming di contenuti multimediali e la telefonia. La disattivazione di DCCP protegge il sistema da sfruttamento di eventuali difetti durante l'implementazione.

Modulo del kernel per l'archiviazione USB disabilitato

I dispositivi di archiviazione USB, come le chiavette USB, possono essere utilizzati per introdurre software dannoso. Per impedire che i dispositivi di archiviazione USB vengano utilizzati, configura il sistema di caricamento del modulo del kernel in modo da impedire il caricamento automatico del driver di archiviazione USB.

Assegnazione casuale dello spazio di indirizzi virtuali

La randomizzazione del layout dello spazio degli indirizzi (ASLR) rende più difficile per un autore di attacchi prevedere la posizione del codice di attacco che ha introdotto nello spazio di indirizzi di un processo durante un tentativo di sfruttamento. Inoltre, ASLR rende più difficile per un utente malintenzionato conoscere la posizione del codice esistente al fine di riutilizzarlo utilizzando tecniche di programmazione orientata al ritorno (ROP).

Disattiva reindirizzamenti IPv4

I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi modificano la tabella di percorso dell'host e non sono autenticati. Un messaggio di reindirizzamento ICMP illecito potrebbe causare un attacco man-in-the-middle. Questa funzionalità del protocollo IPv4 ha pochi utilizzi legittimi. e deve essere disattivato, a meno che non sia assolutamente obbligatorio.

Disabilita pacchetti IPv4 con routing di origine

I pacchetti con routing di origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso rispetto a quello configurato nel router, che può essere utilizzato per ignorare le misure di sicurezza di rete. Questo requisito si applica solo all'inoltro del traffico con routing dell'origine, come quando il forwarding IPv4 è abilitato e il sistema funziona come router. L'accettazione dei pacchetti con routing di origine nel protocollo IPv4 ha pochi utilizzi legittimi. Deve essere disattivato, a meno che non sia assolutamente obbligatorio.

Disattiva l'invio di reindirizzamenti IPv4

I messaggi di reindirizzamento ICMP vengono utilizzati dai router per informare gli host che esiste un percorso più diretto per una determinata destinazione. Questi messaggi contengono informazioni della tabella di route del sistema che potrebbe rivelare parti della topologia di rete. La possibilità di inviare reindirizzamenti ICMP è appropriata solo per i sistemi che agiscono come router.

Disattiva l'accettazione dei reindirizzamenti IPv4

Disabilita accettazione pacchetti di routing IPv4

I pacchetti con routing di origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso rispetto a quello configurato nel router, che può essere utilizzato per ignorare le misure di sicurezza di rete. L'accettazione dei pacchetti con routing di origine nel protocollo IPv4 ha pochi utilizzi legittimi. Deve essere disabilitato, a meno che non sia assolutamente obbligatorio, ad esempio quando l'inoltro IPv4 è abilitato e il sistema funziona legalmente come router.

Disabilita l'invio di pacchetti di reindirizzamento IPv4

Disabilita risposta ai pacchetti di trasmissione IPv4

Rispondere alle trasmissioni dell'echo (ICMP) facilita la mappatura della rete e fornisce un vettore per gli attacchi di amplificazione. Se ignori le richieste di echo ICMP (ping) inviate agli indirizzi broadcast o multicast, il sistema è più difficile da enumerare nella rete.

Disabilita accettazione pacchetti di routing IPv6

I pacchetti con routing dell'origine consentono all'origine del pacchetto di suggerire ai router di inoltrare il pacchetto lungo un percorso diverso da quello configurato sul router, che può essere utilizzato per ignorare le misure di sicurezza di rete. Questo requisito si applica solo all'inoltro del traffico con routing dell'origine, come quando il forwarding IPv6 è abilitato e il sistema funziona come router. L'accettazione dei pacchetti con routing di origine nel protocollo IPv6 ha pochi utilizzi legittimi. Deve essere disattivata, a meno che non sia assolutamente necessaria.

Servizi

Le seguenti modifiche alle configurazioni del servizio sono state implementate.

Logging remoto dei job pianificati

Il cron logging può essere utilizzato per tracciare l'esecuzione riuscita o non riuscita dei cron job. Può essere utilizzato anche per individuare le intrusioni nell'utilizzo della funzionalità cron da parte di utenti non autorizzati e dannosi.

Disattiva AutoFS

Il daemon autofs monta e smonta i file system, come le directory home utente condivise tramite NFS, on demand. Inoltre, puoi utilizzare autofs per gestire contenuti multimediali rimovibili e la configurazione predefinita fornisce il dispositivo ddrom come /misc/cd. Il montaggio automatico dei file system consente l'introduzione semplice di dispositivi sconosciuti, facilitando così le attività dannose.