Dokumen ini menjelaskan tingkat kepatuhan yang dimiliki Google Distributed Cloud dengan CIS Ubuntu Benchmark.
Mengakses benchmark
Tolok Ukur Ubuntu CIS tersedia di situs CIS.
Profil konfigurasi
Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh Google Distributed Cloud di-harden untuk memenuhi profil Level 2 - Server.
Evaluasi di Google Distributed Cloud
Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di Google Distributed Cloud.
| Status | Deskripsi |
|---|---|
| Lulus | Mematuhi rekomendasi tolok ukur. |
| Gagal | Tidak mematuhi rekomendasi tolok ukur. |
| Kontrol setara | Tidak mematuhi persyaratan yang sama persis dengan rekomendasi tolok ukur, tetapi mekanisme lain di Google Distributed Cloud memberikan kontrol keamanan yang setara. |
| Bergantung pada lingkungan | Google Distributed Cloud tidak mengonfigurasi item yang terkait dengan rekomendasi benchmark. Konfigurasi Anda menentukan apakah lingkungan Anda mematuhi rekomendasi. |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi mengapa komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
1,30
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1,30 | 22.04 LTS | v1.0.0 | Server Level 2 |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Canonical tidak berencana untuk mengubah partisi image cloud saat ini. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena memerlukannya untuk tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
1,29
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Tingkat CIS |
|---|---|---|---|
| 1,29 | 22.04 LTS | v1.0.0 | Server Level 2 |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Canonical tidak berencana untuk mengubah partisi image cloud saat ini. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena memerlukannya untuk tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Node non-admin-master Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
1,28
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1,28 | 22.04 LTS | v1.0.0 | Server Level 2 |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Canonical tidak berencana untuk mengubah partisi image cloud saat ini. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena memerlukannya untuk tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Node non-admin-master Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
1.16
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1.16 | 20.04 LTS | v1.0.0 | Server Level 2 |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
| # | Rekomendasi | Dinilai/Tidak Dinilai | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|---|
| 1.1.2 | Pastikan /tmp dikonfigurasi | Dinilai | Gagal | Canonical tidak berencana untuk mengubah partisi image cloud saat ini. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.10 | Pastikan ada partisi terpisah untuk /var | Dinilai | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.11 | Pastikan partisi terpisah ada untuk /var/tmp | Dinilai | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.15 | Pastikan partisi terpisah ada untuk /var/log | Dinilai | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.16 | Memastikan partisi terpisah ada untuk /var/log/audit | Dinilai | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.17 | Memastikan partisi terpisah ada untuk /home | Dinilai | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.22 | Memastikan sticky bit disetel di semua direktori yang dapat ditulis oleh semua orang | Dinilai | Gagal | Hal ini dapat mengganggu fungsi Anthos dan layanannya serta tidak diaktifkan secara default | Semua node cluster, Workstation admin |
| 1.5.1 | Memastikan izin pada konfigurasi bootloader dikonfigurasi | Dinilai | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster, Seesaw |
| 1.5.2 | Pastikan sandi bootloader telah ditetapkan | Dinilai | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.5.3 | Memastikan autentikasi diperlukan untuk mode pengguna tunggal | Dinilai | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Pastikan RPC tidak diinstal | Dinilai | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena memerlukannya untuk tidak diinstal | Semua node cluster |
| 3.2.2 | Pastikan penerusan IP dinonaktifkan | Dinilai | Gagal | Penerusan IP diperlukan agar Kubernetes (GKE) berfungsi dengan benar dan merutekan traffic | Semua node cluster, Workstation admin, Seesaw |
| 3.2.7 | Pastikan Pemfilteran Jalur Terbalik diaktifkan | Dinilai | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster | Seesaw |
| 3.5.3.2.1 | Memastikan kebijakan firewall tolak default | Dinilai | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.3.2.2 | Memastikan traffic loopback dikonfigurasi | Dinilai | Bergantung pada Lingkungan | Penggunaan antarmuka loop-back terbatas karena fungsi load balancing yang digunakan. | Seesaw |
| 3.5.3.2.4 | Memastikan aturan firewall ada untuk semua port yang terbuka | Tidak Dinilai | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.3.3.1 | Memastikan kebijakan firewall tolak default IPv6 | Dinilai | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Selain itu, Anthos tidak memiliki persyaratan untuk IPv6 dalam dukungan GA. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.3.3.2 | Memastikan traffic loopback IPv6 dikonfigurasi | Dinilai | Bergantung pada Lingkungan | Anthos tidak memiliki persyaratan untuk IPv6 dalam dukungan GA. | Bidang kontrol admin, Seesaw |
| 4.1.1.3 | Memastikan audit untuk proses yang dimulai sebelum auditd diaktifkan | Dinilai | Gagal | Masalah umum pada proses build kami menandainya sebagai Gagal, tetapi ini harus dianggap sebagai alarm palsu. Hal ini akan diperbaiki pada masa mendatang. | Semua node cluster, Seesaw |
| 4.1.11 | Memastikan penggunaan perintah dengan hak istimewa dikumpulkan | Dinilai | Gagal | Beberapa biner diinstal saat runtime, sehingga perbaikan runtime diperlukan. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.1.5 | Pastikan rsyslog dikonfigurasi untuk mengirim log ke host log jarak jauh | Dinilai | Bergantung pada Lingkungan | Google Distributed Cloud saat ini mengumpulkan semua log journald (dari layanan sistem). Log ini dapat dilihat di bagian "k8s_node" | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memastikan izin di semua file log dikonfigurasi | Dinilai | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 4,4 | Memastikan logrotate menetapkan izin yang sesuai | Dinilai | Gagal | Mematuhi aturan ini dapat memengaruhi fungsi logging saat ini | Semua node cluster, Seesaw |
| 5.2.18 | Memastikan akses SSH dibatasi | Dinilai | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. Hal ini dapat dikonfigurasi untuk memenuhi persyaratan spesifik Anda. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.20 | Memastikan SSH AllowTcpForwarding dinonaktifkan | Dinilai | Gagal | Mematuhi aturan ini dapat memengaruhi fungsi tunnel ssh saat ini | Semua node cluster |
| 5.4.1.1 | Pastikan masa berlaku sandi adalah 365 hari atau kurang | Dinilai | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Pastikan tidak ada file yang dapat ditulis oleh semua orang | Dinilai | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
| 6.1.11 | Memastikan tidak ada file atau direktori yang tidak dimiliki | Dinilai | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
| 6.1.12 | Memastikan tidak ada file atau direktori yang tidak dikelompokkan | Dinilai | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
| 6.2.7 | Memastikan file titik pengguna tidak dapat ditulis oleh grup atau publik | Dinilai | Gagal | Setelan default untuk Ubuntu mengizinkan izin grup file titik karena kompatibilitas | Workstation admin |
Mengonfigurasi cron job AIDE
AIDE adalah alat pemeriksaan integritas file yang memastikan kepatuhan terhadap benchmark Server CIS L1
1.4 Filesystem Integrity Checking. Di Google Distributed Cloud,
proses AIDE telah menyebabkan masalah penggunaan resource yang tinggi.
Proses AIDE di node dinonaktifkan secara default untuk mencegah masalah
resource. Hal ini akan memengaruhi kepatuhan terhadap tolok ukur Server L1 CIS 1.4.2: Ensure
filesystem integrity is regularly checked.
Jika Anda ingin ikut serta menjalankan tugas cron AIDE, selesaikan langkah-langkah berikut untuk mengaktifkan kembali AIDE:
Buat DaemonSet.
Berikut adalah manifes untuk DaemonSet:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /Dalam manifes di atas:
Tugas cron AIDE hanya akan berjalan di node pool
pool-1seperti yang ditentukan oleh nodeSelectorcloud.google.com/gke-nodepool: pool-1. Anda dapat mengonfigurasi proses AIDE untuk berjalan di sebanyak mungkin node pool yang Anda inginkan dengan menentukan node pool di kolomnodeSelector. Untuk menjalankan jadwal tugas cron yang sama di berbagai node pool, hapus kolomnodeSelector. Namun, untuk menghindari kemacetan resource host, sebaiknya Anda mempertahankan jadwal terpisah.Cron job dijadwalkan untuk berjalan setiap hari pukul 05.30 seperti yang ditentukan oleh
minute=30;hour=5konfigurasi. Anda dapat mengonfigurasi jadwal yang berbeda untuk tugas cron AIDE sesuai kebutuhan.
Salin manifes ke file bernama
enable-aide.yaml, lalu buat DaemonSet:kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
dengan USER_CLUSTER_KUBECONFIG adalah jalur file kubeconfig untuk cluster pengguna Anda.