Questo documento descrive il livello di conformità di Google Distributed Cloud al benchmark CIS Ubuntu.
Accedere al benchmark
Il benchmark CIS Ubuntu è disponibile sul sito web del CIS.
Profilo di configurazione
Nel documento CIS Ubuntu Benchmark puoi trovare informazioni sui profili di configurazione. Le immagini Ubuntu utilizzate da Google Distributed Cloud sono sottoposte a hardening per soddisfare il livello 2 - Profilo del server.
Valutazione su Google Distributed Cloud
Utilizziamo i seguenti valori per specificare lo stato dei consigli Ubuntu in Google Distributed Cloud.
| Stato | Descrizione |
|---|---|
| Pass | È conforme a un consiglio di benchmark. |
| Fail | Non è conforme a un consiglio del benchmark. |
| Controllo equivalente | Non è conforme ai termini esatti di un consiglio di benchmark, ma altri meccanismi in Google Distributed Cloud forniscono controlli di sicurezza equivalenti. |
| Dipende dall'ambiente | Google Distributed Cloud non configura gli elementi relativi a un consiglio di benchmark. La configurazione determina se il tuo ambiente è conforme al consiglio. |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a hardening per soddisfare il profilo del server di Livello 2 del CIS. La tabella seguente fornisce le giustificazioni per la mancata applicazione di determinati consigli ai componenti di Google Distributed Cloud.
1,30
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione di Google Distributed Cloud | Versione Ubuntu | Versione del benchmark CIS Ubuntu | Livello CIS |
|---|---|---|---|
| 1,30 | 22.04 LTS | v1.0.0 | Server di Livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a hardening per soddisfare il profilo del server di Livello 2 del CIS. La tabella seguente fornisce le giustificazioni per la mancata applicazione di determinati consigli ai componenti di Google Distributed Cloud.
| # | Consiglio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|
| 1.1.2.1 | Assicurati che /tmp si trovi in una partizione separata | Fail | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.3.1 | Assicurati che /var si trovi in una partizione separata | Non sarà corretta | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.4.1 | Assicurati che /var/tmp si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.5.1 | Assicurati che /var/log si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.6.1 | Assicurati che /var/log/audit si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.7.1 | Assicurati che /home si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.1 | Impostare la password del bootloader in grub2 | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.3 | Verificare che l'autenticazione sia richiesta per la modalità utente singolo | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 2.3.6 | Disinstalla il pacchetto rpcbind | Non riuscito | rpcbind è installato nell'immagine cloud di Canonical, anche se non è abilitato per impostazione predefinita. La regola non va a buon fine perché richiede che non sia installata | Tutti i nodi del cluster Workstation di amministrazione, Seesaw |
| 3.3.7 | Attiva il parametro del kernel per utilizzare il filtro dei percorsi inversi su tutte le interfacce IPv4 | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono un requisito per il bilanciamento del carico del cluster. | Tutti i nodi del cluster Seesaw |
| 3.5.2.6 | Imposta la configurazione di nftables per il traffico loopback | Non verrà risolto | La rete Anthos è stata interessata da questa regola. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.2.8 | Assicurati che il criterio firewall di nftables sia di rifiuto predefinito | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.2.3 | Verifica le autorizzazioni dei file di log | Fail | Questo test specifico è eccessivamente restrittivo e non realistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.2.18 | Limitare l'accesso SSH degli utenti | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.3.4 | Assicurati che gli utenti si ri-autentichino per l'escalation dei privilegi - sudo | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.5.1.2 | Impostare l'età massima della password | Controllo equivalente | Le VM per Google Distributed Cloud si basano sulla chiave SSH per l'accesso utente anziché utilizzare la password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che tutti i file siano di proprietà di un utente | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
1,29
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione di Google Distributed Cloud | Versione Ubuntu | Versione del benchmark CIS Ubuntu | Livello CIS |
|---|---|---|---|
| 1,29 | 22.04 LTS | v1.0.0 | Server di Livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a hardening per soddisfare il profilo del server di Livello 2 del CIS. La tabella seguente fornisce le giustificazioni per la mancata applicazione di determinati consigli ai componenti di Google Distributed Cloud.
| # | Consiglio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|
| 1.1.2.1 | Assicurati che /tmp si trovi in una partizione separata | Fail | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.3.1 | Assicurati che /var si trovi in una partizione separata | Non sarà corretta | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.4.1 | Assicurati che /var/tmp si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.5.1 | Assicurati che /var/log si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.6.1 | Assicurati che /var/log/audit si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.7.1 | Assicurati che /home si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.1 | Impostare la password del bootloader in grub2 | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.3 | Verificare che l'autenticazione sia richiesta per la modalità utente singolo | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 2.3.6 | Disinstalla il pacchetto rpcbind | Non riuscito | rpcbind è installato nell'immagine cloud di Canonical, anche se non è abilitato per impostazione predefinita. La regola non va a buon fine perché richiede che non sia installata | Tutti i nodi del cluster Workstation di amministrazione, Seesaw |
| 3.3.7 | Attiva il parametro del kernel per utilizzare il filtro dei percorsi inversi su tutte le interfacce IPv4 | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono un requisito per il bilanciamento del carico del cluster. | Nodi non master-amministratore Seesaw |
| 3.5.2.6 | Imposta la configurazione di nftables per il traffico loopback | Non verrà risolto | La rete Anthos è stata interessata da questa regola. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.2.8 | Assicurati che il criterio firewall di nftables sia di rifiuto predefinito | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.2.3 | Verifica le autorizzazioni dei file di log | Fail | Questo test specifico è eccessivamente restrittivo e non realistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.2.18 | Limitare l'accesso SSH degli utenti | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.3.4 | Assicurati che gli utenti si ri-autentichino per l'escalation dei privilegi - sudo | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.5.1.2 | Impostare l'età massima della password | Controllo equivalente | Le VM per Google Distributed Cloud si basano sulla chiave SSH per l'accesso utente anziché utilizzare la password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che tutti i file siano di proprietà di un utente | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
1,28
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione di Google Distributed Cloud | Versione Ubuntu | Versione del benchmark CIS Ubuntu | Livello CIS |
|---|---|---|---|
| 1,28 | 22.04 LTS | v1.0.0 | Server di Livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a hardening per soddisfare il profilo del server di Livello 2 del CIS. La tabella seguente fornisce le giustificazioni per la mancata applicazione di determinati consigli ai componenti di Google Distributed Cloud.
| # | Consiglio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|
| 1.1.2.1 | Assicurati che /tmp si trovi in una partizione separata | Fail | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.3.1 | Assicurati che /var si trovi in una partizione separata | Non sarà corretta | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.4.1 | Assicurati che /var/tmp si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.5.1 | Assicurati che /var/log si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.6.1 | Assicurati che /var/log/audit si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.7.1 | Assicurati che /home si trovi in una partizione separata | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.1 | Impostare la password del bootloader in grub2 | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.4.3 | Verificare che l'autenticazione sia richiesta per la modalità utente singolo | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 2.3.6 | Disinstalla il pacchetto rpcbind | Non riuscito | rpcbind è installato nell'immagine cloud di Canonical, anche se non è abilitato per impostazione predefinita. La regola non va a buon fine perché richiede che non sia installata | Tutti i nodi del cluster Workstation di amministrazione, Seesaw |
| 3.3.7 | Attiva il parametro del kernel per utilizzare il filtro dei percorsi inversi su tutte le interfacce IPv4 | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono un requisito per il bilanciamento del carico del cluster. | Nodi non master-amministratore Seesaw |
| 3.5.2.6 | Imposta la configurazione di nftables per il traffico loopback | Non verrà risolto | La rete Anthos è stata interessata da questa regola. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.2.8 | Assicurati che il criterio firewall di nftables sia di rifiuto predefinito | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.2.3 | Verifica le autorizzazioni dei file di log | Fail | Questo test specifico è eccessivamente restrittivo e non realistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.2.18 | Limitare l'accesso SSH degli utenti | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.3.4 | Assicurati che gli utenti si ri-autentichino per l'escalation dei privilegi - sudo | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.5.1.2 | Impostare l'età massima della password | Controllo equivalente | Le VM per Google Distributed Cloud si basano sulla chiave SSH per l'accesso utente anziché utilizzare la password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che tutti i file siano di proprietà di un utente | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
1.16
Versioni
Questa sezione fa riferimento alle seguenti versioni:
| Versione di Google Distributed Cloud | Versione Ubuntu | Versione del benchmark CIS Ubuntu | Livello CIS |
|---|---|---|---|
| 1.16 | 20.04 LTS | v1.0.0 | Server di Livello 2 |
Stato di Google Distributed Cloud
Le immagini Ubuntu utilizzate con Google Distributed Cloud sono sottoposte a hardening per soddisfare il profilo del server di Livello 2 del CIS. La tabella seguente fornisce le giustificazioni per la mancata applicazione di determinati consigli ai componenti di Google Distributed Cloud.
| # | Consiglio | Con punteggio/Senza punteggio | Stato | Motivazione | Componenti interessati |
|---|---|---|---|---|---|
| 1.1.2 | Assicurati che /tmp sia configurato | Con punteggio | Fail | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.10 | Assicurati che esista una partizione separata per /var | Con punteggio | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.11 | Assicurati che esista una partizione separata per /var/tmp | Con punteggio | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.15 | Assicurati che esista una partizione separata per /var/log | Con punteggio | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.16 | Assicurati che esista una partizione separata per /var/log/audit | Con punteggio | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.17 | Assicurati che esista una partizione separata per /home | Con punteggio | Non verrà risolto | Al momento Canonical non ha in programma di modificare le partizioni delle immagini cloud. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.1.22 | Assicurati che il bit sticky sia impostato su tutte le directory scrivibili da tutti | Con punteggio | Fail | Ciò potrebbe interferire con la funzionalità di Anthos e dei suoi servizi e non è abilitato per impostazione predefinita | Tutti i nodi del cluster, Workstation di amministrazione |
| 1.5.1 | Assicurati che le autorizzazioni per la configurazione del bootloader siano configurate | Con punteggio | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster, Seesaw |
| 1.5.2 | Assicurati che la password del bootloader sia impostata | Con punteggio | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 1.5.3 | Verificare l'autenticazione richiesta per la modalità a un utente | Con punteggio | Dipende dall'ambiente | Non è impostata alcuna password root sulle immagini cloud di Ubuntu. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 2.3.6 | Assicurati che RPC non sia installato | Con punteggio | Non riuscito | rpcbind è installato nell'immagine cloud di Canonical, anche se non è abilitato per impostazione predefinita. La regola non va a buon fine perché richiede che non sia installata | Tutti i nodi del cluster |
| 3.2.2 | Assicurati che l'IP forwarding sia disabilitato | Con punteggio | Fail | Il forwarding IP è necessario per il corretto funzionamento e il routing del traffico di Kubernetes (GKE) | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.2.7 | Assicurati che il filtro dei percorsi inversi sia abilitato | Con punteggio | Dipende dall'ambiente | Il routing asincrono e l'origine del percorso inverso sono un requisito per il bilanciamento del carico del cluster | Seesaw |
| 3.5.3.2.1 | Assicurati che il criterio firewall predefinito sia di rifiuto | Con punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.3.2.2 | Assicurati che il traffico loopback sia configurato | Con punteggio | Dipende dall'ambiente | L'utilizzo dell'interfaccia loopback è limitato in base alla funzionalità di bilanciamento del carico utilizzata. | Seesaw |
| 3.5.3.2.4 | Assicurati che esistano regole firewall per tutte le porte aperte | Senza punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.3.3.1 | Assicurati che il criterio firewall di rifiuto predefinito IPv6 sia attivo | Con punteggio | Dipende dall'ambiente | È consigliabile eseguire il deployment di Google Distributed Cloud su una rete privata con protezioni firewall appropriate. Le regole firewall richieste sono disponibili qui. Inoltre, Anthos non ha requisiti per IPv6 nell'ambito del supporto GA. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 3.5.3.3.2 | Assicurati che il traffico loopback IPv6 sia configurato | Con punteggio | Dipende dall'ambiente | Anthos non ha requisiti per IPv6 nell'ambito del supporto GA. | Control plane di amministrazione, Seesaw |
| 4.1.1.3 | Assicurati che il controllo per i processi avviati prima di auditd sia abilitato | Con punteggio | Fail | Un problema noto con la nostra processo di compilazione segnala questo stato come Non riuscito, ma deve essere considerato un falso allarme. Questo problema verrà risolto in futuro. | Tutti i nodi del cluster, Seesaw |
| 4.1.11 | Assicurati che l'utilizzo dei comandi con privilegi venga raccolto | Con punteggio | Fail | Alcuni file binari vengono installati in fase di esecuzione, pertanto è necessaria la correzione in fase di esecuzione. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.2.1.5 | Assicurati che rsyslog sia configurato per inviare i log a un host di log remoto | Con punteggio | Dipende dall'ambiente | Al momento Google Distributed Cloud raccoglie tutti i log di journald (dai servizi di sistema). Questi possono visualizzare questi log in "k8s_node" | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.2.3 | Assicurati che le autorizzazioni per tutti i file di log siano configurate | Con punteggio | Fail | Questo test specifico è eccessivamente restrittivo e non realistico, in quanto molti servizi potrebbero richiedere a un gruppo di scrivere file di log. Questo elemento potrebbe essere rimosso in un benchmark futuro. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 4.4 | Assicurati che logrotate assegni le autorizzazioni appropriate | Con punteggio | Non riuscito | Il rispetto di questa regola potrebbe influire sulla funzionalità di registrazione corrente | Tutti i nodi del cluster, Seesaw |
| 5.2.18 | Assicurati che l'accesso SSH sia limitato | Con punteggio | Dipende dall'ambiente | Questa opzione non è configurata per impostazione predefinita. Questo può essere configurato in base ai tuoi requisiti specifici. | Tutti i nodi del cluster, Workstation di amministrazione, Seesaw |
| 5.2.20 | Assicurati che AllowTcpForwarding di SSH sia disabilitato | Con punteggio | Non riuscito | Il rispetto di questa regola potrebbe influire sulla funzionalità attuale del tunnel SSH | Tutti i nodi del cluster |
| 5.4.1.1 | Assicurati che la scadenza della password sia pari o inferiore a 365 giorni | Con punteggio | Controllo equivalente | Le VM per Google Distributed Cloud si basano sulla chiave SSH per l'accesso utente anziché utilizzare la password | Tutti i nodi del cluster |
| 6.1.10 | Assicurati che non esistano file scrivibili pubblicamente | Con punteggio | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
| 6.1.11 | Assicurati che non esistano file o directory non di tua proprietà | Con punteggio | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
| 6.1.12 | Assicurati che non esistano file o directory non raggruppati | Con punteggio | Fail | Le autorizzazioni sono state lasciate predefinite. | Tutti i nodi del cluster |
| 6.2.7 | Assicurati che i file dot degli utenti non siano scrivibili dal gruppo o da chiunque | Con punteggio | Fail | Le impostazioni predefinite di Ubuntu consentono le autorizzazioni di gruppo dei file con punti per motivi di compatibilità | Workstation di amministrazione |
Configura il cron job AIDE
AIDE è uno strumento di controllo dell'integrità dei file che garantisce la conformità al benchmark del server CIS L1 1.4 Filesystem Integrity Checking. In Google Distributed Cloud,
il processo AIDE ha causato problemi di utilizzo elevato delle risorse.
Il processo AIDE sui nodi è disattivato per impostazione predefinita per evitare problemi relativi alle risorse. Ciò influirà sulla conformità al benchmark CIS L1 Server 1.4.2: Ensure
filesystem integrity is regularly checked.
Se vuoi attivare l'esecuzione del job cron AIDE, completa i seguenti passaggi per riattivare AIDE:
Crea un DaemonSet.
Ecco un manifest per un DaemonSet:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /Nel manifest riportato sopra:
Il cron job AIDE verrà eseguito solo nel pool di nodi
pool-1come specificato dalcloud.google.com/gke-nodepool: pool-1nodeSelector. Puoi configurare il processo AIDE in modo che venga eseguito su tutti i pool di nodi che vuoi specificando i pool nel camponodeSelector. Per eseguire la stessa pianificazione del cron job su diversi pool di nodi, rimuovi il camponodeSelector. Tuttavia, per evitare congestioni delle risorse dell'host, ti consigliamo di mantenere pianificazioni separate.Il cron job è pianificato per essere eseguito ogni giorno alle 5:30 come specificato dalla configurazione
minute=30;hour=5. Puoi configurare pianificazioni diverse per il cron job AIDE in base alle esigenze.
Copia il manifest in un file denominato
enable-aide.yamle crea il DaemonSet:kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
dove USER_CLUSTER_KUBECONFIG è il percorso del file kubeconfig per il cluster utente.