このドキュメントでは、Google Distributed Cloud が CIS Ubuntu Benchmark ベンチマークに準拠しているレベルについて説明します。
ベンチマークにアクセスする
CIS Ubuntu Benchmark は CIS ウェブサイトで入手できます。
構成プロファイル
CIS Ubuntu Benchmark のドキュメントでは、構成プロファイルについて確認できます。Google Distributed Cloud で使用される Ubuntu イメージは、Level 2 - Server のプロファイルに対応するように強化されています。
Google Distributed Cloud に対する評価
Google Distributed Cloud では、次の値を使用して Ubuntu 推奨事項のステータスを表しています。
| ステータス | 説明 |
|---|---|
| 合格 | ベンチマークの推奨事項を遵守しています。 |
| 不合格 | ベンチマークの推奨事項から逸脱しています。 |
| 適用不可 | 評価対象のシステムがテストに適していません。 |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
ステータスが Passed のベンチマークは、次の表に含まれません。
1.32
バージョン
このセクションでは、次のバージョンについて説明します。
| Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
|---|---|---|---|
| 1.32 | 22.04 LTS | v1.0.0 | Level 2 Server |
合格していない推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項から逸脱している推奨事項を示します。これらの結果は、クラスタノードと管理ワークステーションに適用されます。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.1 | /tmp が別のパーティションに存在する | 低 | 不合格 |
| 1.1.3.1 | /var が別のパーティションに存在する | 低 | 不合格 |
| 1.1.4.1 | /var/tmp が別のパーティションに存在する | 中 | 不合格 |
| 1.1.5.1 | /var/log が別のパーティションに存在する | 低 | 不合格 |
| 1.1.6.1 | /var/log/audit が別のパーティションに存在する | 低 | 不合格 |
| 1.1.7.1 | /home が別のパーティションに存在する | 低 | 不合格 |
| 1.4.1 | grub2 でブートローダーのパスワードを設定する | 高 | 不合格 |
| 1.4.3 | シングル ユーザー モードで認証を必須にする | 中 | 不合格 |
| 2.3.6 | rpcbind パッケージをアンインストールする | 低 | 不合格 |
| 3.2.2 | IPv4 インターフェースで IP 転送のカーネル パラメータを無効にする | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、デフォルトですべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 不合格 |
| 3.5.2.10 | nftables ルールを永続的にする | 中 | 不合格 |
| 4.2.3 | ログファイルの権限を確認する | 中 | 不合格 |
| 5.2.4 | ユーザーの SSH アクセスを制限する | 不明 | 不合格 |
| 5.3.4 | 権限昇格でユーザーを再認証する(sudo) | 中 | 不合格 |
| 5.5.1.2 | パスワードの最長存続期間を設定する | 中 | 不合格 |
合格した推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項に準拠している推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.1.1 | cramfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.2 | squashfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.3 | udf のマウントを無効にする | 低 | 合格 |
| 1.1.8.1 | /dev/shm に nodev オプションを追加する | 中 | 合格 |
| 1.1.8.2 | /dev/shm に noexec オプションを追加する | 中 | 合格 |
| 1.1.8.3 | /dev/shm に nosuid オプションを追加する | 中 | 合格 |
| 1.1.9 | Automounter を無効にする | 中 | 合格 |
| 1.1.10 | USB ストレージ ドライバの Modprobe ローディングを無効にする | 中 | 合格 |
| 1.4.2 | /boot/grub/grub.cfg の権限を確認する | 中 | 合格 |
| 1.5.1 | 仮想アドレス空間のランダム化されたレイアウトを有効にする | 中 | 合格 |
| 1.5.2 | prelink パッケージのインストールを許可しない | 中 | 合格 |
| 1.5.3 | Apport サービスを無効にする | 不明 | 合格 |
| 1.5.4 | すべてのユーザーに対してコアダンプを無効にする | 中 | 合格 |
| 1.5.4 | SUID プログラムのコアダンプを無効にする | 中 | 合格 |
| 1.6.1.1 | AppArmor がインストールされていることを確認する | 中 | 合格 |
| 1.6.1.2 | ブートローダー構成で AppArmor が有効になっていることを確認する | 中 | 合格 |
| 1.6.1.4 | すべての AppArmor プロファイルを適用する | 中 | 合格 |
| 1.7.1 | 本日のメッセージ バナーを変更する | 中 | 合格 |
| 1.7.2 | システム ログイン バナーを変更する | 中 | 合格 |
| 1.7.3 | リモート接続のシステム ログイン バナーを変更する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの権限を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの権限を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの権限を確認する | 中 | 合格 |
| 2.1.1.1 | systemd_timesyncd サービスをインストールする | 高 | 合格 |
| 2.1.3.2 | systemd_timesyncd サービスを有効にする | 高 | 合格 |
| 2.2.1 | X Windows パッケージ グループを削除する | 中 | 合格 |
| 2.2.2 | Avahi サーバー ソフトウェアを無効にする | 中 | 合格 |
| 2.2.2 | Avahi サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.3 | CUPS サービスを無効にする | 不明 | 合格 |
| 2.2.3 | CUPS パッケージをアンインストールする | 不明 | 合格 |
| 2.2.4 | DHCP サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.5 | openldap-servers パッケージをアンインストールする | 低 | 合格 |
| 2.2.6 | nfs-kernel-server パッケージをアンインストールする | 低 | 合格 |
| 2.2.7 | bind パッケージをアンインストールする | 低 | 合格 |
| 2.2.8 | vsftpd パッケージをアンインストールする | 高 | 合格 |
| 2.2.9 | httpd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.9 | nginx パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | cyrus-imapd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | dovecot パッケージをアンインストールする | 不明 | 合格 |
| 2.2.11 | Samba パッケージをアンインストールする | 不明 | 合格 |
| 2.2.12 | squid パッケージをアンインストールする | 不明 | 合格 |
| 2.2.13 | net-snmp パッケージをアンインストールする | 不明 | 合格 |
| 2.2.14 | nis パッケージをアンインストールする | 低 | 合格 |
| 2.2.15 | メール転送エージェントがループバック以外のすべてのアドレスをリッスンしていないことを確認する | 中 | 合格 |
| 2.2.16 | rsync パッケージをアンインストールする | 中 | 合格 |
| 2.3.2 | rsh パッケージをアンインストールする | 不明 | 合格 |
| 2.3.3 | talk パッケージをアンインストールする | 中 | 合格 |
| 2.3.4 | telnet クライアントを削除する | 低 | 合格 |
| 2.3.5 | LDAP クライアントがインストールされていないことを確認する | 低 | 合格 |
| 3.1.2 | ワイヤレス ネットワーク インターフェースを無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで、ICMP リダイレクトを送信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで ICMP リダイレクトを送信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.2.2 | IPv6 転送のカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.1 | IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv4 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv6 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | IPv4 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | IPv6 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.3 | デフォルトで安全なリダイレクトを受信するようにカーネル パラメータを構成する | 中 | 合格 |
| 3.3.3 | すべての IPv4 インターフェースで安全な ICMP リダイレクトを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータをデフォルトで有効にする | 不明 | 合格 |
| 3.3.5 | IPv4 インターフェースで ICMP ブロードキャスト エコー リクエストを無視するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.6 | IPv4 インターフェースで不正な ICMP エラー応答を無視するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.8 | ネットワーク インターフェースで TCP Syncookies を使用するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズメントを受信するように構成する | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズの受信をデフォルトで無効にする | 中 | 合格 |
| 3.4.1 | DCCP サポートを無効にする | 中 | 合格 |
| 3.4.2 | SCTP サポートを無効にする | 中 | 合格 |
| 3.4.3 | RDS サポートを無効にする | 低 | 合格 |
| 3.4.4 | TIPC サポートを無効にする | 低 | 合格 |
| 3.5.1.2 | iptables-persistent パッケージを削除する | 中 | 合格 |
| 3.5.2.1 | nftables パッケージをインストールする | 中 | 合格 |
| 3.5.2.4 | Nftables のテーブルが存在することを確認する | 中 | 合格 |
| 3.5.2.5 | Nftables のベースチェーンが存在することを確認する | 中 | 合格 |
| 3.5.2.9 | nftables サービスが有効になっていることを確認する | 中 | 合格 |
| 3.5.3.1.1 | iptables パッケージをインストールする | 中 | 合格 |
| 3.5.3.1.3 | ufw パッケージを削除する | 中 | 合格 |
| 4.1.1.1 | 監査サブシステムがインストールされていることを確認する | 中 | 合格 |
| 4.1.1.2 | auditd サービスを有効にする | 中 | 合格 |
| 4.1.1.4 | 監査デーモンの監査バックログの上限を拡張する | 低 | 合格 |
| 4.1.2.1 | auditd の最大ログファイル サイズを構成する | 中 | 合格 |
| 4.1.2.2 | 最大ログサイズに達したときの auditd max_log_file_action を構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量の不足時に auditd admin_space_left アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd mail_acct アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd space_left アクションを構成する | 中 | 合格 |
| 4.1.3.1 | auditd がシステム管理者のアクションを収集することを確認する | 中 | 合格 |
| 4.1.3.2 | 特権実行可能ファイルが実行されたときにイベントを記録する | 中 | 合格 |
| 4.1.3.3 | メンテナンス アクティビティの実行試行を記録する | 中 | 合格 |
| 4.1.3.4 | localtime ファイルの変更試行を記録する | 中 | 合格 |
| 4.1.3.4 | adjtimex による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | clock_settime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | settimeofday による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | stime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.5 | システムのネットワーク環境を変更するイベントを記録する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(su)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudo)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudoedit)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(umount)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(unix_chkpwd)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(creat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(ftruncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(open)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(openat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(truncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/group)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/gshadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/passwd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/security/opasswd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/shadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmodat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchownat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(removexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(setxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.10 | auditd がメディアへのエクスポート(成功)に関する情報を収集していることを確認する | 中 | 合格 |
| 4.1.3.11 | プロセスとセッション開始情報の変更試行を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(faillog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(lastlog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログオン / ログアウト イベントの変更試行(tallylog)を記録する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(rename)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(renameat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlink)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlinkat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.14 | システムによる強制的なアクセス制御の変更イベントを記録する | 中 | 合格 |
| 4.1.3.15 | chcon の実行試行を記録する | 中 | 合格 |
| 4.1.3.16 | setfacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.17 | chacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.18 | auditd が特権コマンド(usermod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールの読み込み(init_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールのアンロード(delete_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(insmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(modprobe)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(rmmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.20 | auditd 構成を変更不可にする | 中 | 合格 |
| 4.1.4.1 | システム監査ログのモードを 0640 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.2 | システム監査ログは root が所有している必要がある | 中 | 合格 |
| 4.1.4.3 | システム監査ログが root 所有のグループに属している必要がある | 中 | 合格 |
| 4.1.4.4 | システム監査ログのモードを 0750 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.5 | /etc/audit/auditd.conf の権限を確認する | 中 | 合格 |
| 4.1.4.5 | /etc/audit/rules.d/*.rules の権限を確認する | 中 | 合格 |
| 4.1.4.6 | 監査構成ファイルは root が所有している必要がある | 中 | 合格 |
| 4.1.4.7 | 監査構成ファイルは root グループが所有している必要がある | 中 | 合格 |
| 4.1.4.8 | 監査ツールのモードが 0755 以下であることを確認する | 中 | 合格 |
| 4.1.4.9 | 監査ツールが root によって所有されていることを確認する | 中 | 合格 |
| 4.1.4.10 | 監査ツールが root グループによって所有されていることを確認する | 中 | 合格 |
| 4.2.1.1.1 | systemd-journal-remote パッケージをインストールする | 中 | 合格 |
| 4.2.1.1.4 | systemd-journal-remote ソケットを無効にする | 中 | 合格 |
| 4.2.1.2 | systemd-journald サービスを有効にする | 中 | 合格 |
| 4.2.1.3 | 大きなログファイルを圧縮するように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.1.4 | ログファイルを永続ディスクに書き込むように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.2.1 | rsyslog がインストールされていることを確認する | 中 | 合格 |
| 4.2.2.2 | rsyslog サービスを有効にする | 中 | 合格 |
| 4.2.2.4 | rsyslog のデフォルトのファイル権限が構成されていることを確認する | 中 | 合格 |
| 4.2.2.7 | ログサーバーとして機能する場合を除き、rsyslog がリモート メッセージを受信しないようにする | 中 | 合格 |
| 5.1.1 | cron サービスを有効にする | 中 | 合格 |
| 5.1.2 | crontab を所有するグループを確認する | 中 | 合格 |
| 5.1.2 | crontab の所有者を確認する | 中 | 合格 |
| 5.1.2 | crontab の権限を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly を所有するグループを確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の所有者を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の権限を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有グループを確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有者を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の権限を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有グループを確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有者を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の権限を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有グループを確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有者を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の権限を確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有グループを確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有者を確認する | 中 | 合格 |
| 5.1.7 | cron.d の権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有グループを確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの権限を確認する | 中 | 合格 |
| 5.2.2 | SSH サーバーの *_key 秘密鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.3 | SSH サーバーの *.pub 公開鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.5 | LogLevel を INFO に設定する | 低 | 合格 |
| 5.2.6 | PAM を有効にする | 中 | 合格 |
| 5.2.7 | SSH root ログインを無効にする | 中 | 合格 |
| 5.2.8 | ホストベースの認証を無効にする | 中 | 合格 |
| 5.2.9 | 空のパスワードでの SSH アクセスを無効にする | 高 | 合格 |
| 5.2.10 | SSH 環境オプションを許可しない | 中 | 合格 |
| 5.2.11 | .rhosts ファイルの SSH サポートを無効にする | 中 | 合格 |
| 5.2.12 | X11 転送を無効にする | 中 | 合格 |
| 5.2.13 | 強力な暗号のみを使用する | 中 | 合格 |
| 5.2.14 | 強力な MAC のみを使用する | 中 | 合格 |
| 5.2.15 | 強力な鍵交換アルゴリズムのみを使用する | 中 | 合格 |
| 5.2.16 | SSH TCP 転送を無効にする | 中 | 合格 |
| 5.2.17 | SSH 警告バナーを有効にする | 中 | 合格 |
| 5.2.18 | SSH 認証試行回数の上限を設定する | 中 | 合格 |
| 5.2.19 | SSH MaxStartups が構成されていることを確認する | 中 | 合格 |
| 5.2.20 | SSH MaxSessions の上限を設定する | 中 | 合格 |
| 5.2.21 | SSH LoginGraceTime が構成されていることを確認する | 中 | 合格 |
| 5.2.22 | SSH クライアントの最大存続数を設定する | 中 | 合格 |
| 5.2.22 | SSH クライアントの存続間隔を設定する | 中 | 合格 |
| 5.3.1 | sudo パッケージをインストールする | 中 | 合格 |
| 5.3.2 | 実際の tty にログインしているユーザーのみが sudo を実行できるようにする(sudo use_pty) | 中 | 合格 |
| 5.3.3 | sudo ログファイルが存在することを確認する(sudo logfile) | 低 | 合格 |
| 5.3.5 | 権限昇格でユーザーを再認証する(sudo !authenticate) | 中 | 合格 |
| 5.3.6 | sudo コマンドを使用する際に再認証を必須にする | 中 | 合格 |
| 5.3.7 | su 認証にグループ パラメータで pam_wheel の使用を強制する | 中 | 合格 |
| 5.3.7 | pam_wheel モジュールで使用されるグループがシステムに存在し、空であることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件が適用されていることを確認する(セッションごとに認証再試行プロンプトが許可されている) | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小文字種)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小桁数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小長)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(小文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(特殊文字の最小数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(大文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | pam_pwquality パッケージをインストールする | 中 | 合格 |
| 5.4.2 | パスワードの入力に失敗したアカウントをロックする | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗回数をカウントする間隔を設定する | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗によるロックアウト時間を設定する | 中 | 合格 |
| 5.4.3 | パスワードの再利用を制限する | 中 | 合格 |
| 5.4.4 | /etc/login.defs でパスワード ハッシュ アルゴリズムを設定する | 中 | 合格 |
| 5.5.1.1 | 既存のパスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.1 | パスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.2 | 既存のパスワードの最大持続期間を設定する | 中 | 合格 |
| 5.5.1.3 | パスワードの警告期間を設定する | 中 | 合格 |
| 5.5.1.4 | 非アクティブ状態が続いた後のアカウントの有効期限を設定する | 中 | 合格 |
| 5.5.1.5 | すべてのユーザーのパスワードの最終変更日が過去の日付であることを確認する | 中 | 合格 |
| 5.5.2 | ログイン時にシステム アカウントがシェルを実行しないようにする | 中 | 合格 |
| 5.5.3 | root にプライマリ GID 0 が設定されていることを確認する | 高 | 合格 |
| 5.5.4 | デフォルトの Bash umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | インタラクティブ ユーザーのデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | /etc/profile でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | login.defs でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.5 | インタラクティブ セッションのタイムアウトを設定する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.3 | group ファイルの権限を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの権限を確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有者を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.10 | すべてのファイルがユーザーに所有されていることを確認する | 中 | 合格 |
| 6.2.1 | すべてのアカウントのパスワード ハッシュがシャドーイングされていることを確認する | 中 | 合格 |
| 6.2.2 | パスワードが空白または null のアカウントがないことを確認する | 高 | 合格 |
| 6.2.3 | /etc/passwd で参照されるすべての GID が /etc/group で定義されている必要がある | 低 | 合格 |
| 6.2.4 | shadow グループが空であることを確認する | 中 | 合格 |
| 6.2.5 | システム上のすべてのアカウントに一意のユーザー ID があることを確認する | 中 | 合格 |
| 6.2.6 | システム上のすべてのグループに一意のグループ ID があることを確認する | 中 | 合格 |
| 6.2.7 | システム上のすべてのアカウントに一意の名前が付いていることを確認する | 中 | 合格 |
| 6.2.8 | システム上のすべてのグループに一意のグループ名があることを確認する | 中 | 合格 |
| 6.2.9 | root のパスに相対パスや null ディレクトリが含まれていないことを確認する | 不明 | 合格 |
| 6.2.9 | root のパスにワールド書き込み可能またはグループ書き込み可能なディレクトリが含まれていないことを確認する | 中 | 合格 |
| 6.2.10 | root のみが UID 0 を持つことを確認する | 高 | 合格 |
| 6.2.11 | すべてのインタラクティブ ユーザーのホーム ディレクトリが存在する必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.13 | すべてのインタラクティブ ユーザーのホーム ディレクトリのモードが 0750 以下の権限でなければならない | 中 | 合格 |
| 6.2.14 | netrc ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.15 | .forward ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.16 | Rsh 信頼ファイルを削除する | 高 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルで、グローバルに書き込み可能なプログラムを実行してはならない | 中 | 合格 |
適用不可の推奨事項
次の表に、Google Distributed Cloud に適用されない推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.2 | /tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.2.3 | /tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.2.4 | /tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.3.2 | /var に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.3.3 | /var に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.2 | /var/tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.4.3 | /var/tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.4 | /var/tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.2 | /var/log に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.3 | /var/log に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.5.4 | /var/log に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.6.2 | /var/log/audit に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.6.3 | /var/log/audit に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.6.4 | /var/log/audit に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.7.2 | /home に nodev オプションを追加する | 不明 | 適用不可 |
| 1.1.7.3 | /home に nosuid オプションを追加する | 中 | 適用不可 |
| 1.10 | GNOME3 DConf ユーザー プロファイルを構成する | 高 | 適用不可 |
| 1.4.1 | UEFI ブートローダーのパスワードを設定する | 高 | 適用不可 |
| 1.8.1 | GDM パッケージ グループを削除する | 中 | 適用不可 |
| 1.8.10 | GDM で XDMCP を無効にする | 高 | 適用不可 |
| 1.8.4 | アイドル期間後に GNOME3 スクリーンセーバーのロックを有効にする | 中 | 適用不可 |
| 1.8.5 | 有効化期間後の GNOME3 スクリーンセーバーのロック遅延を設定する | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントのオープンを無効にする | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントを無効にする | 中 | 適用不可 |
| 1.8.8 | GNOME3 自動マウントの実行を無効にする | 低 | 適用不可 |
| 2.1.4.1 | ntpd のサーバー制限を構成する | 中 | 適用不可 |
| 2.1.4.3 | ntp ユーザーとして実行するように ntpd を構成する | 中 | 適用不可 |
| 2.1.4.4 | NTP デーモンを有効にする | 高 | 適用不可 |
| 2.2.15 | Postfix ネットワーク リスニングを無効にする | 中 | 適用不可 |
| 3.5.1.3 | ufw が有効になっていることを確認する | 中 | 適用不可 |
| 3.5.1.4 | UFW ループバック トラフィックを設定する | 中 | 適用不可 |
| 3.5.1.6 | 開いているポートのすべてに ufw ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.1.7 | ufw のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 適用不可 |
| 3.5.3.2.1 | 受信パケットにデフォルトの iptables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.2.2 | ループバック トラフィックの構成を設定する | 中 | 適用不可 |
| 3.5.3.2.4 | 開いているポートのすべてに iptables ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.3.3.1 | 受信パケットにデフォルトの ip6tables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.3.4 | 開いているポートのすべてに ip6tables ファイアウォール ルールが存在する | 中 | 適用不可 |
1.31
バージョン
このセクションでは、次のバージョンについて説明します。
| Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
|---|---|---|---|
| 1.31 | 22.04 LTS | v1.0.0 | Level 2 Server |
合格していない推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項から逸脱している推奨事項を示します。これらの結果は、クラスタノードと管理ワークステーションに適用されます。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.1 | /tmp が別のパーティションに存在する | 低 | 不合格 |
| 1.1.3.1 | /var が別のパーティションに存在する | 低 | 不合格 |
| 1.1.4.1 | /var/tmp が別のパーティションに存在する | 中 | 不合格 |
| 1.1.5.1 | /var/log が別のパーティションに存在する | 低 | 不合格 |
| 1.1.6.1 | /var/log/audit が別のパーティションに存在する | 低 | 不合格 |
| 1.1.7.1 | /home が別のパーティションに存在する | 低 | 不合格 |
| 1.4.1 | grub2 でブートローダーのパスワードを設定する | 高 | 不合格 |
| 1.4.3 | シングル ユーザー モードで認証を必須にする | 中 | 不合格 |
| 2.3.6 | rpcbind パッケージをアンインストールする | 低 | 不合格 |
| 3.2.2 | IPv4 インターフェースで IP 転送のカーネル パラメータを無効にする | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、デフォルトですべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 不合格 |
| 3.5.2.10 | nftables ルールを永続的にする | 中 | 不合格 |
| 4.2.3 | ログファイルの権限を確認する | 中 | 不合格 |
| 5.2.4 | ユーザーの SSH アクセスを制限する | 不明 | 不合格 |
| 5.3.4 | 権限昇格でユーザーを再認証する(sudo) | 中 | 不合格 |
| 5.5.1.2 | パスワードの最長存続期間を設定する | 中 | 不合格 |
合格した推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項に準拠している推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.1.1 | cramfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.2 | squashfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.3 | udf のマウントを無効にする | 低 | 合格 |
| 1.1.8.1 | /dev/shm に nodev オプションを追加する | 中 | 合格 |
| 1.1.8.2 | /dev/shm に noexec オプションを追加する | 中 | 合格 |
| 1.1.8.3 | /dev/shm に nosuid オプションを追加する | 中 | 合格 |
| 1.1.9 | Automounter を無効にする | 中 | 合格 |
| 1.1.10 | USB ストレージ ドライバの Modprobe ローディングを無効にする | 中 | 合格 |
| 1.4.2 | /boot/grub/grub.cfg の権限を確認する | 中 | 合格 |
| 1.5.1 | 仮想アドレス空間のランダム化されたレイアウトを有効にする | 中 | 合格 |
| 1.5.2 | prelink パッケージのインストールを許可しない | 中 | 合格 |
| 1.5.3 | Apport サービスを無効にする | 不明 | 合格 |
| 1.5.4 | すべてのユーザーに対してコアダンプを無効にする | 中 | 合格 |
| 1.5.4 | SUID プログラムのコアダンプを無効にする | 中 | 合格 |
| 1.6.1.1 | AppArmor がインストールされていることを確認する | 中 | 合格 |
| 1.6.1.2 | ブートローダー構成で AppArmor が有効になっていることを確認する | 中 | 合格 |
| 1.6.1.4 | すべての AppArmor プロファイルを適用する | 中 | 合格 |
| 1.7.1 | 本日のメッセージ バナーを変更する | 中 | 合格 |
| 1.7.2 | システム ログイン バナーを変更する | 中 | 合格 |
| 1.7.3 | リモート接続のシステム ログイン バナーを変更する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの権限を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの権限を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの権限を確認する | 中 | 合格 |
| 2.1.1.1 | systemd_timesyncd サービスをインストールする | 高 | 合格 |
| 2.1.3.2 | systemd_timesyncd サービスを有効にする | 高 | 合格 |
| 2.2.1 | X Windows パッケージ グループを削除する | 中 | 合格 |
| 2.2.2 | Avahi サーバー ソフトウェアを無効にする | 中 | 合格 |
| 2.2.2 | Avahi サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.3 | CUPS サービスを無効にする | 不明 | 合格 |
| 2.2.3 | CUPS パッケージをアンインストールする | 不明 | 合格 |
| 2.2.4 | DHCP サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.5 | openldap-servers パッケージをアンインストールする | 低 | 合格 |
| 2.2.6 | nfs-kernel-server パッケージをアンインストールする | 低 | 合格 |
| 2.2.7 | bind パッケージをアンインストールする | 低 | 合格 |
| 2.2.8 | vsftpd パッケージをアンインストールする | 高 | 合格 |
| 2.2.9 | httpd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.9 | nginx パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | cyrus-imapd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | dovecot パッケージをアンインストールする | 不明 | 合格 |
| 2.2.11 | Samba パッケージをアンインストールする | 不明 | 合格 |
| 2.2.12 | squid パッケージをアンインストールする | 不明 | 合格 |
| 2.2.13 | net-snmp パッケージをアンインストールする | 不明 | 合格 |
| 2.2.14 | nis パッケージをアンインストールする | 低 | 合格 |
| 2.2.15 | メール転送エージェントがループバック以外のすべてのアドレスをリッスンしていないことを確認する | 中 | 合格 |
| 2.2.16 | rsync パッケージをアンインストールする | 中 | 合格 |
| 2.3.2 | rsh パッケージをアンインストールする | 不明 | 合格 |
| 2.3.3 | talk パッケージをアンインストールする | 中 | 合格 |
| 2.3.4 | telnet クライアントを削除する | 低 | 合格 |
| 2.3.5 | LDAP クライアントがインストールされていないことを確認する | 低 | 合格 |
| 3.1.2 | ワイヤレス ネットワーク インターフェースを無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで、ICMP リダイレクトを送信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで ICMP リダイレクトを送信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.2.2 | IPv6 転送のカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.1 | IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv4 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv6 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | IPv4 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | IPv6 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.3 | デフォルトで安全なリダイレクトを受信するようにカーネル パラメータを構成する | 中 | 合格 |
| 3.3.3 | すべての IPv4 インターフェースで安全な ICMP リダイレクトを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータをデフォルトで有効にする | 不明 | 合格 |
| 3.3.5 | IPv4 インターフェースで ICMP ブロードキャスト エコー リクエストを無視するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.6 | IPv4 インターフェースで不正な ICMP エラー応答を無視するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.8 | ネットワーク インターフェースで TCP Syncookies を使用するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズメントを受信するように構成する | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズの受信をデフォルトで無効にする | 中 | 合格 |
| 3.4.1 | DCCP サポートを無効にする | 中 | 合格 |
| 3.4.2 | SCTP サポートを無効にする | 中 | 合格 |
| 3.4.3 | RDS サポートを無効にする | 低 | 合格 |
| 3.4.4 | TIPC サポートを無効にする | 低 | 合格 |
| 3.5.1.2 | iptables-persistent パッケージを削除する | 中 | 合格 |
| 3.5.2.1 | nftables パッケージをインストールする | 中 | 合格 |
| 3.5.2.4 | Nftables のテーブルが存在することを確認する | 中 | 合格 |
| 3.5.2.5 | Nftables のベースチェーンが存在することを確認する | 中 | 合格 |
| 3.5.2.9 | nftables サービスが有効になっていることを確認する | 中 | 合格 |
| 3.5.3.1.1 | iptables パッケージをインストールする | 中 | 合格 |
| 3.5.3.1.3 | ufw パッケージを削除する | 中 | 合格 |
| 4.1.1.1 | 監査サブシステムがインストールされていることを確認する | 中 | 合格 |
| 4.1.1.2 | auditd サービスを有効にする | 中 | 合格 |
| 4.1.1.4 | 監査デーモンの監査バックログの上限を拡張する | 低 | 合格 |
| 4.1.2.1 | auditd の最大ログファイル サイズを構成する | 中 | 合格 |
| 4.1.2.2 | 最大ログサイズに達したときの auditd max_log_file_action を構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量の不足時に auditd admin_space_left アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd mail_acct アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd space_left アクションを構成する | 中 | 合格 |
| 4.1.3.1 | auditd がシステム管理者のアクションを収集することを確認する | 中 | 合格 |
| 4.1.3.2 | 特権実行可能ファイルが実行されたときにイベントを記録する | 中 | 合格 |
| 4.1.3.3 | メンテナンス アクティビティの実行試行を記録する | 中 | 合格 |
| 4.1.3.4 | localtime ファイルの変更試行を記録する | 中 | 合格 |
| 4.1.3.4 | adjtimex による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | clock_settime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | settimeofday による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | stime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.5 | システムのネットワーク環境を変更するイベントを記録する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(su)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudo)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudoedit)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(umount)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(unix_chkpwd)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(creat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(ftruncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(open)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(openat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(truncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/group)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/gshadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/passwd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/security/opasswd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/shadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmodat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchownat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(removexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(setxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.10 | auditd がメディアへのエクスポート(成功)に関する情報を収集していることを確認する | 中 | 合格 |
| 4.1.3.11 | プロセスとセッション開始情報の変更試行を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(faillog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(lastlog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログオン / ログアウト イベントの変更試行(tallylog)を記録する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(rename)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(renameat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlink)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlinkat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.14 | システムによる強制的なアクセス制御の変更イベントを記録する | 中 | 合格 |
| 4.1.3.15 | chcon の実行試行を記録する | 中 | 合格 |
| 4.1.3.16 | setfacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.17 | chacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.18 | auditd が特権コマンド(usermod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールの読み込み(init_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールのアンロード(delete_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(insmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(modprobe)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(rmmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.20 | auditd 構成を変更不可にする | 中 | 合格 |
| 4.1.4.1 | システム監査ログのモードを 0640 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.2 | システム監査ログは root が所有している必要がある | 中 | 合格 |
| 4.1.4.3 | システム監査ログが root 所有のグループに属している必要がある | 中 | 合格 |
| 4.1.4.4 | システム監査ログのモードを 0750 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.5 | /etc/audit/auditd.conf の権限を確認する | 中 | 合格 |
| 4.1.4.5 | /etc/audit/rules.d/*.rules の権限を確認する | 中 | 合格 |
| 4.1.4.6 | 監査構成ファイルは root が所有している必要がある | 中 | 合格 |
| 4.1.4.7 | 監査構成ファイルは root グループが所有している必要がある | 中 | 合格 |
| 4.1.4.8 | 監査ツールのモードが 0755 以下であることを確認する | 中 | 合格 |
| 4.1.4.9 | 監査ツールが root によって所有されていることを確認する | 中 | 合格 |
| 4.1.4.10 | 監査ツールが root グループによって所有されていることを確認する | 中 | 合格 |
| 4.2.1.1.1 | systemd-journal-remote パッケージをインストールする | 中 | 合格 |
| 4.2.1.1.4 | systemd-journal-remote ソケットを無効にする | 中 | 合格 |
| 4.2.1.2 | systemd-journald サービスを有効にする | 中 | 合格 |
| 4.2.1.3 | 大きなログファイルを圧縮するように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.1.4 | ログファイルを永続ディスクに書き込むように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.2.1 | rsyslog がインストールされていることを確認する | 中 | 合格 |
| 4.2.2.2 | rsyslog サービスを有効にする | 中 | 合格 |
| 4.2.2.4 | rsyslog のデフォルトのファイル権限が構成されていることを確認する | 中 | 合格 |
| 4.2.2.7 | ログサーバーとして機能する場合を除き、rsyslog がリモート メッセージを受信しないようにする | 中 | 合格 |
| 5.1.1 | cron サービスを有効にする | 中 | 合格 |
| 5.1.2 | crontab を所有するグループを確認する | 中 | 合格 |
| 5.1.2 | crontab の所有者を確認する | 中 | 合格 |
| 5.1.2 | crontab の権限を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly を所有するグループを確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の所有者を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の権限を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有グループを確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有者を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の権限を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有グループを確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有者を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の権限を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有グループを確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有者を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の権限を確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有グループを確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有者を確認する | 中 | 合格 |
| 5.1.7 | cron.d の権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有グループを確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの権限を確認する | 中 | 合格 |
| 5.2.2 | SSH サーバーの *_key 秘密鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.3 | SSH サーバーの *.pub 公開鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.5 | LogLevel を INFO に設定する | 低 | 合格 |
| 5.2.6 | PAM を有効にする | 中 | 合格 |
| 5.2.7 | SSH root ログインを無効にする | 中 | 合格 |
| 5.2.8 | ホストベースの認証を無効にする | 中 | 合格 |
| 5.2.9 | 空のパスワードでの SSH アクセスを無効にする | 高 | 合格 |
| 5.2.10 | SSH 環境オプションを許可しない | 中 | 合格 |
| 5.2.11 | .rhosts ファイルの SSH サポートを無効にする | 中 | 合格 |
| 5.2.12 | X11 転送を無効にする | 中 | 合格 |
| 5.2.13 | 強力な暗号のみを使用する | 中 | 合格 |
| 5.2.14 | 強力な MAC のみを使用する | 中 | 合格 |
| 5.2.15 | 強力な鍵交換アルゴリズムのみを使用する | 中 | 合格 |
| 5.2.16 | SSH TCP 転送を無効にする | 中 | 合格 |
| 5.2.17 | SSH 警告バナーを有効にする | 中 | 合格 |
| 5.2.18 | SSH 認証試行回数の上限を設定する | 中 | 合格 |
| 5.2.19 | SSH MaxStartups が構成されていることを確認する | 中 | 合格 |
| 5.2.20 | SSH MaxSessions の上限を設定する | 中 | 合格 |
| 5.2.21 | SSH LoginGraceTime が構成されていることを確認する | 中 | 合格 |
| 5.2.22 | SSH クライアントの最大存続数を設定する | 中 | 合格 |
| 5.2.22 | SSH クライアントの存続間隔を設定する | 中 | 合格 |
| 5.3.1 | sudo パッケージをインストールする | 中 | 合格 |
| 5.3.2 | 実際の tty にログインしているユーザーのみが sudo を実行できるようにする(sudo use_pty) | 中 | 合格 |
| 5.3.3 | sudo ログファイルが存在することを確認する(sudo logfile) | 低 | 合格 |
| 5.3.5 | 権限昇格でユーザーを再認証する(sudo !authenticate) | 中 | 合格 |
| 5.3.6 | sudo コマンドを使用する際に再認証を必須にする | 中 | 合格 |
| 5.3.7 | su 認証にグループ パラメータで pam_wheel の使用を強制する | 中 | 合格 |
| 5.3.7 | pam_wheel モジュールで使用されるグループがシステムに存在し、空であることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件が適用されていることを確認する(セッションごとに認証再試行プロンプトが許可されている) | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小文字種)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小桁数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小長)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(小文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(特殊文字の最小数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(大文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | pam_pwquality パッケージをインストールする | 中 | 合格 |
| 5.4.2 | パスワードの入力に失敗したアカウントをロックする | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗回数をカウントする間隔を設定する | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗によるロックアウト時間を設定する | 中 | 合格 |
| 5.4.3 | パスワードの再利用を制限する | 中 | 合格 |
| 5.4.4 | /etc/login.defs でパスワード ハッシュ アルゴリズムを設定する | 中 | 合格 |
| 5.5.1.1 | 既存のパスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.1 | パスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.2 | 既存のパスワードの最大持続期間を設定する | 中 | 合格 |
| 5.5.1.3 | パスワードの警告期間を設定する | 中 | 合格 |
| 5.5.1.4 | 非アクティブ状態が続いた後のアカウントの有効期限を設定する | 中 | 合格 |
| 5.5.1.5 | すべてのユーザーのパスワードの最終変更日が過去の日付であることを確認する | 中 | 合格 |
| 5.5.2 | ログイン時にシステム アカウントがシェルを実行しないようにする | 中 | 合格 |
| 5.5.3 | root にプライマリ GID 0 が設定されていることを確認する | 高 | 合格 |
| 5.5.4 | デフォルトの Bash umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | インタラクティブ ユーザーのデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | /etc/profile でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | login.defs でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.5 | インタラクティブ セッションのタイムアウトを設定する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.3 | group ファイルの権限を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの権限を確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有者を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.10 | すべてのファイルがユーザーに所有されていることを確認する | 中 | 合格 |
| 6.2.1 | すべてのアカウントのパスワード ハッシュがシャドーイングされていることを確認する | 中 | 合格 |
| 6.2.2 | パスワードが空白または null のアカウントがないことを確認する | 高 | 合格 |
| 6.2.3 | /etc/passwd で参照されるすべての GID が /etc/group で定義されている必要がある | 低 | 合格 |
| 6.2.4 | shadow グループが空であることを確認する | 中 | 合格 |
| 6.2.5 | システム上のすべてのアカウントに一意のユーザー ID があることを確認する | 中 | 合格 |
| 6.2.6 | システム上のすべてのグループに一意のグループ ID があることを確認する | 中 | 合格 |
| 6.2.7 | システム上のすべてのアカウントに一意の名前が付いていることを確認する | 中 | 合格 |
| 6.2.8 | システム上のすべてのグループに一意のグループ名があることを確認する | 中 | 合格 |
| 6.2.9 | root のパスに相対パスや null ディレクトリが含まれていないことを確認する | 不明 | 合格 |
| 6.2.9 | root のパスにワールド書き込み可能またはグループ書き込み可能なディレクトリが含まれていないことを確認する | 中 | 合格 |
| 6.2.10 | root のみが UID 0 を持つことを確認する | 高 | 合格 |
| 6.2.11 | すべてのインタラクティブ ユーザーのホーム ディレクトリが存在する必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.13 | すべてのインタラクティブ ユーザーのホーム ディレクトリのモードが 0750 以下の権限でなければならない | 中 | 合格 |
| 6.2.14 | netrc ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.15 | .forward ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.16 | Rsh 信頼ファイルを削除する | 高 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルで、グローバルに書き込み可能なプログラムを実行してはならない | 中 | 合格 |
適用不可の推奨事項
次の表に、Google Distributed Cloud に適用されない推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.2 | /tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.2.3 | /tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.2.4 | /tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.3.2 | /var に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.3.3 | /var に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.2 | /var/tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.4.3 | /var/tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.4 | /var/tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.2 | /var/log に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.3 | /var/log に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.5.4 | /var/log に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.6.2 | /var/log/audit に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.6.3 | /var/log/audit に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.6.4 | /var/log/audit に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.7.2 | /home に nodev オプションを追加する | 不明 | 適用不可 |
| 1.1.7.3 | /home に nosuid オプションを追加する | 中 | 適用不可 |
| 1.4.1 | UEFI ブートローダーのパスワードを設定する | 高 | 適用不可 |
| 1.8.1 | GDM パッケージ グループを削除する | 中 | 適用不可 |
| 1.8.4 | アイドル期間後に GNOME3 スクリーンセーバーのロックを有効にする | 中 | 適用不可 |
| 1.8.5 | 有効化期間後の GNOME3 スクリーンセーバーのロック遅延を設定する | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントのオープンを無効にする | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントを無効にする | 中 | 適用不可 |
| 1.8.8 | GNOME3 自動マウントの実行を無効にする | 低 | 適用不可 |
| 1.8.10 | GDM で XDMCP を無効にする | 高 | 適用不可 |
| 1.10 | GNOME3 DConf ユーザー プロファイルを構成する | 高 | 適用不可 |
| 2.1.4.1 | ntpd のサーバー制限を構成する | 中 | 適用不可 |
| 2.1.4.3 | ntp ユーザーとして実行するように ntpd を構成する | 中 | 適用不可 |
| 2.1.4.4 | NTP デーモンを有効にする | 高 | 適用不可 |
| 2.2.15 | Postfix ネットワーク リスニングを無効にする | 中 | 適用不可 |
| 3.5.1.3 | ufw が有効になっていることを確認する | 中 | 適用不可 |
| 3.5.1.4 | UFW ループバック トラフィックを設定する | 中 | 適用不可 |
| 3.5.1.6 | 開いているポートのすべてに ufw ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.1.7 | ufw のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 適用不可 |
| 3.5.3.2.1 | 受信パケットにデフォルトの iptables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.2.2 | ループバック トラフィックの構成を設定する | 中 | 適用不可 |
| 3.5.3.2.4 | 開いているポートのすべてに iptables ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.3.3.1 | 受信パケットにデフォルトの ip6tables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.3.4 | 開いているポートのすべてに ip6tables ファイアウォール ルールが存在する | 中 | 適用不可 |
1.30
バージョン
このセクションでは、次のバージョンについて説明します。
| Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
|---|---|---|---|
| 1.30 | 22.04 LTS | v1.0.0 | Level 2 Server |
合格していない推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項から逸脱している推奨事項を示します。これらの結果は、クラスタノードと管理ワークステーションに適用されます。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.1 | /tmp が別のパーティションに存在する | 低 | 不合格 |
| 1.1.3.1 | /var が別のパーティションに存在する | 低 | 不合格 |
| 1.1.4.1 | /var/tmp が別のパーティションに存在する | 中 | 不合格 |
| 1.1.5.1 | /var/log が別のパーティションに存在する | 低 | 不合格 |
| 1.1.6.1 | /var/log/audit が別のパーティションに存在する | 低 | 不合格 |
| 1.1.7.1 | /home が別のパーティションに存在する | 低 | 不合格 |
| 1.4.1 | grub2 でブートローダーのパスワードを設定する | 高 | 不合格 |
| 1.4.3 | シングル ユーザー モードで認証を必須にする | 中 | 不合格 |
| 2.3.6 | rpcbind パッケージをアンインストールする | 低 | 不合格 |
| 3.2.2 | IPv4 インターフェースで IP 転送のカーネル パラメータを無効にする | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、デフォルトですべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 中 | 不合格 |
| 3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 不合格 |
| 3.5.2.10 | nftables ルールを永続的にする | 中 | 不合格 |
| 4.2.3 | ログファイルの権限を確認する | 中 | 不合格 |
| 5.2.4 | ユーザーの SSH アクセスを制限する | 不明 | 不合格 |
| 5.3.4 | 権限昇格でユーザーを再認証する(sudo) | 中 | 不合格 |
| 5.5.1.2 | パスワードの最長存続期間を設定する | 中 | 不合格 |
合格した推奨事項
次の表に、Google Distributed Cloud がベンチマークの推奨事項に準拠している推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.1.1 | cramfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.2 | squashfs のマウントを無効にする | 低 | 合格 |
| 1.1.1.3 | udf のマウントを無効にする | 低 | 合格 |
| 1.1.8.1 | /dev/shm に nodev オプションを追加する | 中 | 合格 |
| 1.1.8.2 | /dev/shm に noexec オプションを追加する | 中 | 合格 |
| 1.1.8.3 | /dev/shm に nosuid オプションを追加する | 中 | 合格 |
| 1.1.9 | Automounter を無効にする | 中 | 合格 |
| 1.1.10 | USB ストレージ ドライバの Modprobe ローディングを無効にする | 中 | 合格 |
| 1.4.2 | /boot/grub/grub.cfg の権限を確認する | 中 | 合格 |
| 1.5.1 | 仮想アドレス空間のランダム化されたレイアウトを有効にする | 中 | 合格 |
| 1.5.2 | prelink パッケージのインストールを許可しない | 中 | 合格 |
| 1.5.3 | Apport サービスを無効にする | 不明 | 合格 |
| 1.5.4 | すべてのユーザーに対してコアダンプを無効にする | 中 | 合格 |
| 1.5.4 | SUID プログラムのコアダンプを無効にする | 中 | 合格 |
| 1.6.1.1 | AppArmor がインストールされていることを確認する | 中 | 合格 |
| 1.6.1.2 | ブートローダー構成で AppArmor が有効になっていることを確認する | 中 | 合格 |
| 1.6.1.4 | すべての AppArmor プロファイルを適用する | 中 | 合格 |
| 1.7.1 | 本日のメッセージ バナーを変更する | 中 | 合格 |
| 1.7.2 | システム ログイン バナーを変更する | 中 | 合格 |
| 1.7.3 | リモート接続のシステム ログイン バナーを変更する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの所有権を確認する | 中 | 合格 |
| 1.7.4 | 本日のメッセージ バナーの権限を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.5 | システム ログイン バナーの権限を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーのグループ所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの所有権を確認する | 中 | 合格 |
| 1.7.6 | リモート接続のシステム ログイン バナーの権限を確認する | 中 | 合格 |
| 2.1.1.1 | systemd_timesyncd サービスをインストールする | 高 | 合格 |
| 2.1.3.2 | systemd_timesyncd サービスを有効にする | 高 | 合格 |
| 2.2.1 | X Windows パッケージ グループを削除する | 中 | 合格 |
| 2.2.2 | Avahi サーバー ソフトウェアを無効にする | 中 | 合格 |
| 2.2.2 | Avahi サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.3 | CUPS サービスを無効にする | 不明 | 合格 |
| 2.2.3 | CUPS パッケージをアンインストールする | 不明 | 合格 |
| 2.2.4 | DHCP サーバー パッケージをアンインストールする | 中 | 合格 |
| 2.2.5 | openldap-servers パッケージをアンインストールする | 低 | 合格 |
| 2.2.6 | nfs-kernel-server パッケージをアンインストールする | 低 | 合格 |
| 2.2.7 | bind パッケージをアンインストールする | 低 | 合格 |
| 2.2.8 | vsftpd パッケージをアンインストールする | 高 | 合格 |
| 2.2.9 | httpd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.9 | nginx パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | cyrus-imapd パッケージをアンインストールする | 不明 | 合格 |
| 2.2.10 | dovecot パッケージをアンインストールする | 不明 | 合格 |
| 2.2.11 | Samba パッケージをアンインストールする | 不明 | 合格 |
| 2.2.12 | squid パッケージをアンインストールする | 不明 | 合格 |
| 2.2.13 | net-snmp パッケージをアンインストールする | 不明 | 合格 |
| 2.2.14 | nis パッケージをアンインストールする | 低 | 合格 |
| 2.2.15 | メール転送エージェントがループバック以外のすべてのアドレスをリッスンしていないことを確認する | 中 | 合格 |
| 2.2.16 | rsync パッケージをアンインストールする | 中 | 合格 |
| 2.3.2 | rsh パッケージをアンインストールする | 不明 | 合格 |
| 2.3.3 | talk パッケージをアンインストールする | 中 | 合格 |
| 2.3.4 | telnet クライアントを削除する | 低 | 合格 |
| 2.3.5 | LDAP クライアントがインストールされていないことを確認する | 低 | 合格 |
| 3.1.2 | ワイヤレス ネットワーク インターフェースを無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで、ICMP リダイレクトを送信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.2.1 | すべての IPv4 インターフェースで ICMP リダイレクトを送信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.2.2 | IPv6 転送のカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | すべての IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.1 | IPv4 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.1 | IPv6 インターフェースでソース ルーティング パケットを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv4 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | すべての IPv6 インターフェースで ICMP リダイレクトの受信を無効にする | 中 | 合格 |
| 3.3.2 | IPv4 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.2 | IPv6 インターフェースで ICMP リダイレクトを受信するためのカーネル パラメータをデフォルトで無効にする | 中 | 合格 |
| 3.3.3 | デフォルトで安全なリダイレクトを受信するようにカーネル パラメータを構成する | 中 | 合格 |
| 3.3.3 | すべての IPv4 インターフェースで安全な ICMP リダイレクトを受信するためのカーネル パラメータを無効にする | 中 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.4 | すべての IPv4 インターフェースで Martian パケットをログに記録するためのカーネル パラメータをデフォルトで有効にする | 不明 | 合格 |
| 3.3.5 | IPv4 インターフェースで ICMP ブロードキャスト エコー リクエストを無視するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.6 | IPv4 インターフェースで不正な ICMP エラー応答を無視するためのカーネル パラメータを有効にする | 不明 | 合格 |
| 3.3.8 | ネットワーク インターフェースで TCP Syncookies を使用するためのカーネル パラメータを有効にする | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズメントを受信するように構成する | 中 | 合格 |
| 3.3.9 | すべての IPv6 インターフェースでルーター アドバタイズの受信をデフォルトで無効にする | 中 | 合格 |
| 3.4.1 | DCCP サポートを無効にする | 中 | 合格 |
| 3.4.2 | SCTP サポートを無効にする | 中 | 合格 |
| 3.4.3 | RDS サポートを無効にする | 低 | 合格 |
| 3.4.4 | TIPC サポートを無効にする | 低 | 合格 |
| 3.5.1.2 | iptables-persistent パッケージを削除する | 中 | 合格 |
| 3.5.2.1 | nftables パッケージをインストールする | 中 | 合格 |
| 3.5.2.4 | Nftables のテーブルが存在することを確認する | 中 | 合格 |
| 3.5.2.5 | Nftables のベースチェーンが存在することを確認する | 中 | 合格 |
| 3.5.2.9 | nftables サービスが有効になっていることを確認する | 中 | 合格 |
| 3.5.3.1.1 | iptables パッケージをインストールする | 中 | 合格 |
| 3.5.3.1.3 | ufw パッケージを削除する | 中 | 合格 |
| 4.1.1.1 | 監査サブシステムがインストールされていることを確認する | 中 | 合格 |
| 4.1.1.2 | auditd サービスを有効にする | 中 | 合格 |
| 4.1.1.4 | 監査デーモンの監査バックログの上限を拡張する | 低 | 合格 |
| 4.1.2.1 | auditd の最大ログファイル サイズを構成する | 中 | 合格 |
| 4.1.2.2 | 最大ログサイズに達したときの auditd max_log_file_action を構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量の不足時に auditd admin_space_left アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd mail_acct アクションを構成する | 中 | 合格 |
| 4.1.2.3 | ディスク容量が少ないときの auditd space_left アクションを構成する | 中 | 合格 |
| 4.1.3.1 | auditd がシステム管理者のアクションを収集することを確認する | 中 | 合格 |
| 4.1.3.2 | 特権実行可能ファイルが実行されたときにイベントを記録する | 中 | 合格 |
| 4.1.3.3 | メンテナンス アクティビティの実行試行を記録する | 中 | 合格 |
| 4.1.3.4 | localtime ファイルの変更試行を記録する | 中 | 合格 |
| 4.1.3.4 | adjtimex による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | clock_settime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | settimeofday による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.4 | stime による時刻変更の試行を記録する | 中 | 合格 |
| 4.1.3.5 | システムのネットワーク環境を変更するイベントを記録する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(su)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudo)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(sudoedit)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(umount)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.6 | auditd が特権コマンド(unix_chkpwd)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(creat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(ftruncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(open)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(openat)の失敗を記録する | 中 | 合格 |
| 4.1.3.7 | ファイルへのアクセス試行(truncate)の失敗を記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/group)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/gshadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/passwd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/security/opasswd)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.8 | ユーザー / グループ情報(/etc/shadow)の変更イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(chown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmod)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchmodat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fchownat)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(fsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lchown)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lremovexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(lsetxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(removexattr)イベントを記録する | 中 | 合格 |
| 4.1.3.9 | システムによる任意のアクセス制御の変更(setxattr)イベントを記録する | 中 | 合格 |
| 4.1.3.10 | auditd がメディアへのエクスポート(成功)に関する情報を収集していることを確認する | 中 | 合格 |
| 4.1.3.11 | プロセスとセッション開始情報の変更試行を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(faillog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログイン / ログアウト イベントの変更試行(lastlog)を記録する | 中 | 合格 |
| 4.1.3.12 | ログオン / ログアウト イベントの変更試行(tallylog)を記録する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(rename)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(renameat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlink)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.13 | auditd がユーザーによるファイル削除(unlinkat)イベントを収集することを確認する | 中 | 合格 |
| 4.1.3.14 | システムによる強制的なアクセス制御の変更イベントを記録する | 中 | 合格 |
| 4.1.3.15 | chcon の実行試行を記録する | 中 | 合格 |
| 4.1.3.16 | setfacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.17 | chacl の実行試行を記録する | 中 | 合格 |
| 4.1.3.18 | auditd が特権コマンド(usermod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールの読み込み(init_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd がカーネル モジュールのアンロード(delete_module)に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(insmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(modprobe)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.19 | auditd が特権コマンド(rmmod)の使用に関する情報を収集することを確認する | 中 | 合格 |
| 4.1.3.20 | auditd 構成を変更不可にする | 中 | 合格 |
| 4.1.4.1 | システム監査ログのモードを 0640 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.2 | システム監査ログは root が所有している必要がある | 中 | 合格 |
| 4.1.4.3 | システム監査ログが root 所有のグループに属している必要がある | 中 | 合格 |
| 4.1.4.4 | システム監査ログのモードを 0750 以下の権限にする必要がある | 中 | 合格 |
| 4.1.4.5 | /etc/audit/auditd.conf の権限を確認する | 中 | 合格 |
| 4.1.4.5 | /etc/audit/rules.d/*.rules の権限を確認する | 中 | 合格 |
| 4.1.4.6 | 監査構成ファイルは root が所有している必要がある | 中 | 合格 |
| 4.1.4.7 | 監査構成ファイルは root グループが所有している必要がある | 中 | 合格 |
| 4.1.4.8 | 監査ツールのモードが 0755 以下であることを確認する | 中 | 合格 |
| 4.1.4.9 | 監査ツールが root によって所有されていることを確認する | 中 | 合格 |
| 4.1.4.10 | 監査ツールが root グループによって所有されていることを確認する | 中 | 合格 |
| 4.2.1.1.1 | systemd-journal-remote パッケージをインストールする | 中 | 合格 |
| 4.2.1.1.4 | systemd-journal-remote ソケットを無効にする | 中 | 合格 |
| 4.2.1.2 | systemd-journald サービスを有効にする | 中 | 合格 |
| 4.2.1.3 | 大きなログファイルを圧縮するように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.1.4 | ログファイルを永続ディスクに書き込むように journald が構成されていることを確認する | 中 | 合格 |
| 4.2.2.1 | rsyslog がインストールされていることを確認する | 中 | 合格 |
| 4.2.2.2 | rsyslog サービスを有効にする | 中 | 合格 |
| 4.2.2.4 | rsyslog のデフォルトのファイル権限が構成されていることを確認する | 中 | 合格 |
| 4.2.2.7 | ログサーバーとして機能する場合を除き、rsyslog がリモート メッセージを受信しないようにする | 中 | 合格 |
| 5.1.1 | cron サービスを有効にする | 中 | 合格 |
| 5.1.2 | crontab を所有するグループを確認する | 中 | 合格 |
| 5.1.2 | crontab の所有者を確認する | 中 | 合格 |
| 5.1.2 | crontab の権限を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly を所有するグループを確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の所有者を確認する | 中 | 合格 |
| 5.1.3 | cron.hourly の権限を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有グループを確認する | 中 | 合格 |
| 5.1.4 | cron.daily の所有者を確認する | 中 | 合格 |
| 5.1.4 | cron.daily の権限を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有グループを確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の所有者を確認する | 中 | 合格 |
| 5.1.5 | cron.weekly の権限を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有グループを確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の所有者を確認する | 中 | 合格 |
| 5.1.6 | cron.monthly の権限を確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有グループを確認する | 中 | 合格 |
| 5.1.7 | cron.d の所有者を確認する | 中 | 合格 |
| 5.1.7 | cron.d の権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.8 | /etc/cron.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.deny が存在しないことを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有グループを確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの権限を確認する | 中 | 合格 |
| 5.1.9 | /etc/at.allow ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有グループを確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの所有者を確認する | 中 | 合格 |
| 5.2.1 | SSH サーバー構成ファイルの権限を確認する | 中 | 合格 |
| 5.2.2 | SSH サーバーの *_key 秘密鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.3 | SSH サーバーの *.pub 公開鍵ファイルの権限を確認する | 中 | 合格 |
| 5.2.5 | LogLevel を INFO に設定する | 低 | 合格 |
| 5.2.6 | PAM を有効にする | 中 | 合格 |
| 5.2.7 | SSH root ログインを無効にする | 中 | 合格 |
| 5.2.8 | ホストベースの認証を無効にする | 中 | 合格 |
| 5.2.9 | 空のパスワードでの SSH アクセスを無効にする | 高 | 合格 |
| 5.2.10 | SSH 環境オプションを許可しない | 中 | 合格 |
| 5.2.11 | .rhosts ファイルの SSH サポートを無効にする | 中 | 合格 |
| 5.2.12 | X11 転送を無効にする | 中 | 合格 |
| 5.2.13 | 強力な暗号のみを使用する | 中 | 合格 |
| 5.2.14 | 強力な MAC のみを使用する | 中 | 合格 |
| 5.2.15 | 強力な鍵交換アルゴリズムのみを使用する | 中 | 合格 |
| 5.2.16 | SSH TCP 転送を無効にする | 中 | 合格 |
| 5.2.17 | SSH 警告バナーを有効にする | 中 | 合格 |
| 5.2.18 | SSH 認証試行回数の上限を設定する | 中 | 合格 |
| 5.2.19 | SSH MaxStartups が構成されていることを確認する | 中 | 合格 |
| 5.2.20 | SSH MaxSessions の上限を設定する | 中 | 合格 |
| 5.2.21 | SSH LoginGraceTime が構成されていることを確認する | 中 | 合格 |
| 5.2.22 | SSH クライアントの最大存続数を設定する | 中 | 合格 |
| 5.2.22 | SSH クライアントの存続間隔を設定する | 中 | 合格 |
| 5.3.1 | sudo パッケージをインストールする | 中 | 合格 |
| 5.3.2 | 実際の tty にログインしているユーザーのみが sudo を実行できるようにする(sudo use_pty) | 中 | 合格 |
| 5.3.3 | sudo ログファイルが存在することを確認する(sudo logfile) | 低 | 合格 |
| 5.3.5 | 権限昇格でユーザーを再認証する(sudo !authenticate) | 中 | 合格 |
| 5.3.6 | sudo コマンドを使用する際に再認証を必須にする | 中 | 合格 |
| 5.3.7 | su 認証にグループ パラメータで pam_wheel の使用を強制する | 中 | 合格 |
| 5.3.7 | pam_wheel モジュールで使用されるグループがシステムに存在し、空であることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件が適用されていることを確認する(セッションごとに認証再試行プロンプトが許可されている) | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小文字種)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小桁数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(最小長)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(小文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(特殊文字の最小数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | PAM でパスワード要件(大文字の最小文字数)が適用されていることを確認する | 中 | 合格 |
| 5.4.1 | pam_pwquality パッケージをインストールする | 中 | 合格 |
| 5.4.2 | パスワードの入力に失敗したアカウントをロックする | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗回数をカウントする間隔を設定する | 中 | 合格 |
| 5.4.2 | パスワードの入力失敗によるロックアウト時間を設定する | 中 | 合格 |
| 5.4.3 | パスワードの再利用を制限する | 中 | 合格 |
| 5.4.4 | /etc/login.defs でパスワード ハッシュ アルゴリズムを設定する | 中 | 合格 |
| 5.5.1.1 | 既存のパスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.1 | パスワードの最短持続期間を設定する | 中 | 合格 |
| 5.5.1.2 | 既存のパスワードの最大持続期間を設定する | 中 | 合格 |
| 5.5.1.3 | パスワードの警告期間を設定する | 中 | 合格 |
| 5.5.1.4 | 非アクティブ状態が続いた後のアカウントの有効期限を設定する | 中 | 合格 |
| 5.5.1.5 | すべてのユーザーのパスワードの最終変更日が過去の日付であることを確認する | 中 | 合格 |
| 5.5.2 | ログイン時にシステム アカウントがシェルを実行しないようにする | 中 | 合格 |
| 5.5.3 | root にプライマリ GID 0 が設定されていることを確認する | 高 | 合格 |
| 5.5.4 | デフォルトの Bash umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | インタラクティブ ユーザーのデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | /etc/profile でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.4 | login.defs でデフォルトの umask が正しく設定されていることを確認する | 中 | 合格 |
| 5.5.5 | インタラクティブ セッションのタイムアウトを設定する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.1 | passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの権限を確認する | 中 | 合格 |
| 6.1.2 | バックアップの passwd ファイルの所有者を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.3 | group ファイルの権限を確認する | 中 | 合格 |
| 6.1.3 | group ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの権限を確認する | 中 | 合格 |
| 6.1.4 | バックアップの group ファイルの所有者を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.5 | shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.6 | バックアップの shadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.7 | gshadow ファイルの所有者を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有グループを確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの権限を確認する | 中 | 合格 |
| 6.1.8 | バックアップの gshadow ファイルの所有者であるユーザーを確認する | 中 | 合格 |
| 6.1.10 | すべてのファイルがユーザーに所有されていることを確認する | 中 | 合格 |
| 6.2.1 | すべてのアカウントのパスワード ハッシュがシャドーイングされていることを確認する | 中 | 合格 |
| 6.2.2 | パスワードが空白または null のアカウントがないことを確認する | 高 | 合格 |
| 6.2.3 | /etc/passwd で参照されるすべての GID が /etc/group で定義されている必要がある | 低 | 合格 |
| 6.2.4 | shadow グループが空であることを確認する | 中 | 合格 |
| 6.2.5 | システム上のすべてのアカウントに一意のユーザー ID があることを確認する | 中 | 合格 |
| 6.2.6 | システム上のすべてのグループに一意のグループ ID があることを確認する | 中 | 合格 |
| 6.2.7 | システム上のすべてのアカウントに一意の名前が付いていることを確認する | 中 | 合格 |
| 6.2.8 | システム上のすべてのグループに一意のグループ名があることを確認する | 中 | 合格 |
| 6.2.9 | root のパスに相対パスや null ディレクトリが含まれていないことを確認する | 不明 | 合格 |
| 6.2.9 | root のパスにワールド書き込み可能またはグループ書き込み可能なディレクトリが含まれていないことを確認する | 中 | 合格 |
| 6.2.10 | root のみが UID 0 を持つことを確認する | 高 | 合格 |
| 6.2.11 | すべてのインタラクティブ ユーザーのホーム ディレクトリが存在する必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.12 | すべてのインタラクティブ ユーザーのホーム ディレクトリをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.13 | すべてのインタラクティブ ユーザーのホーム ディレクトリのモードが 0750 以下の権限でなければならない | 中 | 合格 |
| 6.2.14 | netrc ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.15 | .forward ファイルが存在しないことを確認する | 中 | 合格 |
| 6.2.16 | Rsh 信頼ファイルを削除する | 高 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ グループが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルをプライマリ ユーザーが所有している必要がある | 中 | 合格 |
| 6.2.17 | ユーザー初期化ファイルで、グローバルに書き込み可能なプログラムを実行してはならない | 中 | 合格 |
適用不可の推奨事項
次の表に、Google Distributed Cloud に適用されない推奨事項を示します。
| # | 推奨事項 | 重大度 | ステータス |
|---|---|---|---|
| 1.1.2.2 | /tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.2.3 | /tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.2.4 | /tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.3.2 | /var に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.3.3 | /var に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.2 | /var/tmp に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.4.3 | /var/tmp に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.4.4 | /var/tmp に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.2 | /var/log に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.5.3 | /var/log に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.5.4 | /var/log に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.6.2 | /var/log/audit に noexec オプションを追加する | 中 | 適用不可 |
| 1.1.6.3 | /var/log/audit に nodev オプションを追加する | 中 | 適用不可 |
| 1.1.6.4 | /var/log/audit に nosuid オプションを追加する | 中 | 適用不可 |
| 1.1.7.2 | /home に nodev オプションを追加する | 不明 | 適用不可 |
| 1.1.7.3 | /home に nosuid オプションを追加する | 中 | 適用不可 |
| 1.4.1 | UEFI ブートローダーのパスワードを設定する | 高 | 適用不可 |
| 1.8.1 | GDM パッケージ グループを削除する | 中 | 適用不可 |
| 1.8.4 | アイドル期間後に GNOME3 スクリーンセーバーのロックを有効にする | 中 | 適用不可 |
| 1.8.5 | 有効化期間後の GNOME3 スクリーンセーバーのロック遅延を設定する | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントのオープンを無効にする | 中 | 適用不可 |
| 1.8.6 | GNOME3 の自動マウントを無効にする | 中 | 適用不可 |
| 1.8.8 | GNOME3 自動マウントの実行を無効にする | 低 | 適用不可 |
| 1.8.10 | GDM で XDMCP を無効にする | 高 | 適用不可 |
| 1.10 | GNOME3 DConf ユーザー プロファイルを構成する | 高 | 適用不可 |
| 2.1.4.1 | ntpd のサーバー制限を構成する | 中 | 適用不可 |
| 2.1.4.3 | ntp ユーザーとして実行するように ntpd を構成する | 中 | 適用不可 |
| 2.1.4.4 | NTP デーモンを有効にする | 高 | 適用不可 |
| 2.2.15 | Postfix ネットワーク リスニングを無効にする | 中 | 適用不可 |
| 3.5.1.3 | ufw が有効になっていることを確認する | 中 | 適用不可 |
| 3.5.1.4 | UFW ループバック トラフィックを設定する | 中 | 適用不可 |
| 3.5.1.6 | 開いているポートのすべてに ufw ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.1.7 | ufw のデフォルトの拒否ファイアウォール ポリシーを使用する | 中 | 適用不可 |
| 3.5.3.2.1 | 受信パケットにデフォルトの iptables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.2.2 | ループバック トラフィックの構成を設定する | 中 | 適用不可 |
| 3.5.3.2.4 | 開いているポートのすべてに iptables ファイアウォール ルールが存在する | 中 | 適用不可 |
| 3.5.3.3.1 | 受信パケットにデフォルトの ip6tables ポリシーを設定する | 中 | 適用不可 |
| 3.5.3.3.4 | 開いているポートのすべてに ip6tables ファイアウォール ルールが存在する | 中 | 適用不可 |
AIDE cron ジョブを構成する
AIDE は、CIS L1 Server ベンチマーク 1.4 Filesystem Integrity Checking に準拠していることを確認するファイル整合性チェックツールです。Google Distributed Cloud では、AIDE プロセスによってリソース使用率が高い問題が引き起こされています。
リソースの問題を防ぐため、ノードの AIDE プロセスはデフォルトで無効になっています。これは、CIS L1 Server ベンチマーク 1.4.2(Ensure
filesystem integrity is regularly checked.)への準拠に影響を与えます。
AIDE cron ジョブの実行を有効にする場合は、次の手順で AIDE を再度有効にします。
DaemonSet を作成します。
DaemonSet のマニフェストを次に示します。
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /以前のマニフェストは以下のようになっています。
AIDE cron ジョブは、nodeSelector
cloud.google.com/gke-nodepool: pool-1で指定されたノードプールpool-1でのみ実行されます。nodeSelectorフィールドの下にプールを指定することで、AIDE プロセスを、必要とする数のノードプールで実行するように構成できます。異なるノードプールで同じ cron ジョブ スケジュールを実行するには、nodeSelectorフィールドを削除します。ただし、ホストリソースの競合を回避するため、個別のスケジュールを維持することをおすすめします。cron ジョブは、構成
minute=30;hour=5で指定されているとおり、毎日午前 5 時 30 分に実行されるようにスケジュール設定されます。AIDE cron ジョブには、必要に応じて異なるスケジュールを構成できます。
このマニフェストを
enable-aide.yamlという名前のファイルにコピーして DaemonSet を作成します。kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
USER_CLUSTER_KUBECONFIG は、クラスタの kubeconfig ファイルのパスです。
Security Content Automation Protocol(SCAP)の評価を使用する
インストールをスキャンして、Ubuntu Linux CIS ベンチマークに対するレベル 2 の準拠を評価することをおすすめします。クラスタと管理ワークステーションをスキャンするためのさまざまなツールがあります。次の手順で OpenSCAP オープンソース ツールセットをインストールして実行し、レベル 2 のセキュリティ評価を実施します。
cis-benchmark.shという名前のファイルに次のスクリプトをコピーします。#!/bin/bash set -x REPORTS_DIR="$1" mkdir -p "${REPORTS_DIR}" echo "Start CIS L2 benchmark evaluation..." apt update apt install libopenscap8 sudo oscap xccdf eval \ --profile cis_level2_server_customized \ --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \ --results "${REPORTS_DIR}"/cis-results.xml \ --report "${REPORTS_DIR}"/cis-report.html \ --verbose INFO \ --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \ /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1 chmod -R 755 "${REPORTS_DIR}/.." echo "Done CIS L2 benchmark evaluation"スクリプトを実行可能にします。
chmod +x cis-benchmark.shスクリプトを実行します。
./cis-benchmark.sh REPORTS_DIRREPORTS_DIRは、生成された評価レポートを保存する既存のディレクトリのパスに置き換えます。スクリプトが正常に完了すると、
REPORTS_DIRディレクトリに生成されたcis-report.htmlファイルが保存されます。