CIS Ubuntu 基准

本文档介绍了 GKE on VMware 对 CIS Ubuntu 基准的合规性级别。

版本

本文档涉及以下版本：

Anthos 版本	Ubuntu 版本	CIS Ubuntu 基准版本	CIS 级别
1.28	22.04 LTS	v1.0.0	第 2 级服务器

访问基准

您可以通过 CIS 网站获取 CIS GKE 基准。

配置文件

在 CIS Ubuntu 基准文档中，您可以阅读配置文件。GKE on VMware 使用的 Ubuntu 映像已经过安全强化，以满足第 2 级 - 服务器配置文件要求。

在 GKE on VMware 上评估

我们使用以下值在 GKE on VMware 中指定 Ubuntu 建议的状态。

状态	说明
通过	符合基准建议。
失败	不符合基准建议。
等效控制措施	不符合基准建议中的确切术语，但 GKE on VMware 中的其他机制提供等效的安全控制措施。
取决于环境	GKE on VMware 不会配置与基准建议相关的项。您的配置决定了您的环境是否符合建议。

GKE on VMware 的状态

与 GKE on VMware 搭配使用的 Ubuntu 映像经过安全强化，以满足 CIS 级别 2 - 服务器配置文件的要求。下表说明了 GKE on VMware 组件为何未通过某些建议的理由。

#	建议	状态	理由	受影响的组件
1.1.2.1	确保 /tmp 位于单独的分区上	失败	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.1.3.1	确保 /var 位于单独的分区中	将不会修复	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.1.4.1	确保 /var/tmp 位于单独的分区中	将不会修复	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.1.5.1	确保 /var/log 位于单独的分区中	将不会修复	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.1.6.1	确保 /var/log/audit 位于单独的分区中	将不会修复	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.1.7.1	确保 /home 位于单独的分区上	将不会修复	目前，Canonical 没有计划修改云映像分区。	所有集群节点、管理员工作站、Seesaw
1.4.1	在 grub2 中设置引导加载程序密码	取决于环境	Ubuntu 云映像上未设置根密码。	所有集群节点、管理员工作站、Seesaw
1.4.3	确保针对单一用户模式进行身份验证	取决于环境	Ubuntu 云映像上未设置根密码。	所有集群节点、管理员工作站、Seesaw
2.3.6	卸载 rpcbind 软件包	失败	Canonical 云映像上安装了 rpcbind，但默认不启用。该规则因要求不安装而失败	所有集群节点管理员工作站、Seesaw
3.3.7	启用内核参数以在所有 IPv4 接口上使用反向路径过滤	取决于环境	如需提供集群负载均衡功能，必须使用异步路由和反向路径源站。	非管理员主节点 Seesaw
3.5.2.6	为环回流量设置 nftables 配置	无法修复	Anthos Network 受此规则影响。	所有集群节点、管理员工作站、Seesaw
3.5.2.8	确保 nftables 默认拒绝防火墙政策	取决于环境	建议将 GKE on VMware 部署在具有适当防火墙保护的专用网络上。您可以在此处找到所需的防火墙规则。	所有集群节点、管理员工作站、Seesaw
4.2.3	验证日志文件的权限	失败	这种特定测试过于严格且不切实际，因为许多服务可能需要群组写入日志文件。此项目可能会从未来基准中移除。	所有集群节点、管理员工作站、Seesaw
5.2.18	限制用户的 SSH 访问权限	取决于环境	默认情况下，系统未配置此项。	所有集群节点、管理员工作站、Seesaw
5.3.4	确保用户重新进行身份验证以升级特权 - sudo	取决于环境	默认情况下，系统未配置此项。	所有集群节点、管理员工作站、Seesaw
5.5.1.2	设置密码的最长存在时间	等效控制措施	GKE on VMware 的虚拟机依赖 SSH 密钥（而非使用密码）登录用户	所有集群节点
6.1.10	确保所有文件均归用户所有	未通过	将保留默认设置。	所有集群节点