Schnellstart: Anwenden SSH-Haltungssteuerung auf einen Testcomputer

In den folgenden Schritten verwenden Sie Azure-Richtlinie zum Bereitstellen von SSH-Haltungssteuerungseinstellungen auf einem virtuellen Linux-Testcomputer.

Hintergrund- und konzeptionelle Referenz finden Sie unter Was ist SSH-Haltungskontrolle?.

Eine erweiterte exemplarische Vorgehensweise finden Sie unter Verwalten Ihrer SSH-Einstellungen mithilfe der SSH-Haltungssteuerung.

Wenn Sie nicht über ein Azure-Konto verfügen, können Sie eine kostenlose Testversionerstellen.

Vorsicht

In dieser Schnellstartanleitung wird die Anwendung einer restriktiven sshd-Konfiguration veranschaulicht, die für einen neuen einwegbaren Testcomputer vorgesehen ist. Wenn Sie diese Konfiguration auf andere Computer anwenden würden, könnten Sie das Aussperren aussperren. Verwenden Sie beim Ausprobieren von Sicherheitssteuerelementen wie SSH-Haltungssteuerung eine isolierte Sandkastenumgebung, sodass selbst ein Fehler bei der Richtlinienzuweisung nicht unbeabsichtigte Computer neu konfigurieren würde.

Voraussetzungen

Bevor Sie die Schritte in diesem Artikel versuchen, stellen Sie sicher, dass Sie bereits folgendes haben:

Ein Azure-Konto, bei dem Sie über Berechtigungen zum Erstellen einer Ressourcengruppe, Richtlinienzuweisungen und eines virtuellen Computers verfügen.
Ihre bevorzugte Umgebung für die Interaktion mit Azure, z. B.:
1. Azure Cloud Shell (empfohlen)
  1. Hinweis: Beispiele verwenden den Bash-Modus. Leser können Beispiele an andere Shellumgebungen anpassen, einschließlich PowerShell.
2. oder Ihrer eigenen Shellumgebung mit installierter und angemeldeter Azure CLI
3. oderAzure Portal in einem Webbrowser

Überprüfen Sie, ob Sie bei Ihrer Testumgebung angemeldet sind

Azure-Portal-
Azure CLI

Verwenden Sie die Kontoinformationen im Portal, um Ihren aktuellen Kontext anzuzeigen.

Erstellen einer Ressourcengruppe

Die Auswahl eastus Position in diesem Beispiel ist nicht signifikant. Sie können jeden verfügbaren Azure-Speicherort verwenden.

Azure-Portal-
Azure CLI

Bildschirmaufnahme des Erstellens einer Ressourcengruppe über portal-

az group create --name sshdemo01 --location eastus

Zuweisen der Richtlinie zur Ressourcengruppe

Diese Schnellstartanleitung wendet das Überwachungs- und Konfigurationsverhalten mithilfe der integrierten Richtliniendefinition Configure SSH Posture Control on Linux machinesan.

Die Beispielzuweisung basiert weitgehend auf SSH-Standardeinstellungen für die Haltungskontrolle (z. B. Port 22, nicht zulässiger Stammzugriff), mit eingeschränkter Anpassung (Bannertext).

Azure-Portal-
Azure CLI

Navigieren Sie zu "Richtlinie" und dann "Definitionen".
Filtern der Liste zum Suchen und Auswählen von Configure SSH Posture Control on Linux machines
Klicken Sie auf der Richtliniendefinitionsseite auf "Zuweisen".
Im Richtlinienzuweisungsworkflow
1. Wählen Sie die neue leere Ressourcengruppe (zuvor erstellt) als Bereich aus.
2. Optional: Wählen Sie einen Namen für diese Richtlinienzuweisung aus. Standardmäßig wird der Name der Richtliniendefinition verwendet.
3. Optional: Setzen Sie auf der Registerkarte "Parameter" einen Standardwert außer Kraft, z. B. den Wert "Banner".
4. Hinweis: Die Regel "Port" sollte mit einem einzigen Wert konfiguriert werden, um die ordnungsgemäße Funktionalität und Compliance für Überwachungs- und Konfigurationsszenarien sicherzustellen.
5. Schließen Sie die Erstellung der Richtlinienzuweisung ab.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Vorsicht

Unabhängig davon, ob Sie das Portal oder die CLI verwendet haben, prüfen Sie den Umfang der Richtlinienzuweisung, die Sie soeben erstellt haben, bevor Sie fortfahren. Wenn der Bereich versehentlich auf einen anderen Wert als die zuvor erstellte leere Ressourcengruppe festgelegt wurde, sollte er sofort korrigiert werden, um die Konfiguration unbeabsichtigter Computer zu vermeiden.

Erstellen sie einen virtuellen Testcomputer, und bereiten Sie ihn auf die Computerkonfiguration vor.

Azure-Portal-
Azure CLI

Erstellen eines virtuellen Linux-Computers
Hinzufügen einer zugewiesenen Systemidentität, sofern noch nicht vorhanden
Hinzufügen der Computerkonfigurationserweiterung (im Portal als Azure Machine Configuration Extension für Windows bezeichnet)

Erstellen einer Linux-VM mit einer system zugewiesenen Identität

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

Installieren des Computerkonfigurations-Agents als Azure VM-Erweiterung

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Trinkgeld

In dieser Schnellstartanleitung wurden die Voraussetzungen für die Computerkonfiguration (VM hat verwaltete Identität und Agent-Erweiterung) während der VM-Erstellung direkt adressiert. Im Großen und Maßstab können diese Voraussetzungen mit der Deploy prerequisites to enable Guest Configuration policies on virtual machines integrierten Richtlinieninitiative erfüllt werden.

Machen Sie eine Pause, bevor Sie fortfahren

Mehrere Schritte werden jetzt automatisch ausgeführt. Jeder dieser Schritte kann einige Minuten dauern. Bitte warten Sie daher mindestens 15 Minuten, bevor Sie fortfahren.

Beobachten von Ergebnissen

Mithilfe der folgenden Schritte können Sie folgendes sehen:

Wie viele Computer kompatibel sind (oder nicht)
1. Besonders nützlich bei Produktionsmaßstaben, wo Sie möglicherweise Tausende von Maschinen haben
Welche Computer kompatibel sind (oder nicht)
Für einen bestimmten Computer, welche einzelnen Regeln konform sind (oder nicht)

Azure-Portal-
Azure CLI

Die folgenden Azure CLI-Beispiele stammen aus einer bash Umgebung. Um eine andere Shellumgebung zu verwenden, müssen Sie möglicherweise Beispiele für das Zeilenendeverhalten, Anführungszeichenregeln, Escapezeichen usw. anpassen.

Wie viele Computer kompatibel sind (oder nicht):

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Welche Computer kompatibel sind (oder nicht):

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Für einen bestimmten Computer, welche einzelnen Regeln konform sind (oder nicht):

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Optional: Hinzufügen weiterer Testcomputer zur Skalierung der Oberfläche

In diesem Artikel wurde die Richtlinie einer Ressourcengruppe zugewiesen, die anfangs leer war und dann eine VM erhielt. Dies zeigt zwar, dass das System end-to-End funktioniert, bietet aber kein Gefühl für vorgänge im großen Maßstab. Beispielsweise kann sich in der Richtlinienzuweisungskompatibilitätsansicht ein Kreisdiagramm eines Computers künstlich fühlen.

Erwägen Sie das Hinzufügen weiterer Testcomputer zur Ressourcengruppe, unabhängig davon, ob manuell oder über automatisierung. Dies können Azure-VMs oder Arc-fähige Computer sein. Wenn Sie sehen, dass diese Computer in Compliance kommen (oder sogar fehlschlagen), können Sie ein starkes Gefühl der Operationalisierung der SSH-Haltungskontrolle im Großen und Maßstab gewinnen.

Optional: Manuelles Überprüfen der Testmaschine zur Bestätigung der Ergebnisse

Wenn Sie mit einem neuen Feature wie ssh-Haltungssteuerung beginnen, kann es hilfreich sein, die Ergebnisse außerhalb des Bandes manuell zu prüfen. Dies trägt dazu bei, Vertrauen und Klarheit zu schaffen. Die Schritte in diesem Artikel sollten z. B. zu einer geänderten Anmeldebannerkonfiguration auf Ihrer Test-VM führen. Sie können dies bestätigen, indem Sie versuchen, eine SSH-Verbindung mit dem Computer herzustellen, um das Banner anzuzeigen, oder indem Sie die sshd_config Datei prüfen.

Bereinigen von Ressourcen

Um laufende Gebühren zu vermeiden, sollten Sie die in diesem Artikel verwendete Ressourcengruppe löschen. Beispielsweise wäre der Azure CLI-Befehl az group delete --name "sshdemo01"

Was ist SSH-Haltungskontrolle?
Sichere Bereitstellung von SSH-Servereinstellungen mit Azure-Richtlinie
Um Feedback zu geben, besprechen Sie Featureanfragen usw. kontakt: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-04-16

Freigeben über