Inicio rápido: Aplicación de de control de posición SSH a una máquina de prueba

En los pasos siguientes, usará Azure Policy para implementar la configuración de SSH Posture Control en una máquina virtual Linux de prueba.

Para obtener referencia conceptual y en segundo plano, consulte ¿Qué es el control de posición SSH?.

Para ver un tutorial más avanzado, consulte Administración de la configuración sshd mediante ssh Posture Control.

Si no tiene una cuenta de Azure, puede crear una evaluación gratuita.

Cautela

En esta guía de inicio rápido se muestra cómo aplicar una configuración sshd restrictiva diseñada para una nueva máquina de prueba descartable. Si fuera a aplicar esta configuración a otras máquinas, podría bloquearse. Al probar controles de seguridad como ssh posture Control, use un entorno aislado de espacio aislado, de modo que incluso un error en la asignación de directivas no volvería a configurar las máquinas no deseadas.

Prerrequisitos

Antes de intentar los pasos de este artículo, asegúrese de que ya tiene:

Una cuenta de Azure donde tiene derechos para crear un grupo de recursos, asignaciones de directivas y una máquina virtual.
Su entorno preferido para interactuar con Azure, como:
1. de Azure Cloud Shell (recomendado)
  1. Nota: Algunos ejemplos usarán el modo bash. Los lectores pueden adaptar ejemplos a otros entornos de shell, incluido PowerShell.
2. o su propio entorno de shell con la CLI de Azure instalada e iniciada sesión
3. oazure Portal en un explorador web

Compruebe que ha iniciado sesión en el entorno de prueba.

azure Portal
de la CLI de Azure

Use la información de la cuenta en el portal para ver el contexto actual.

captura de pantalla de

Creación de un grupo de recursos

La elección de eastus ubicación en este ejemplo no es significativa. Puede usar cualquier ubicación de Azure disponible.

azure Portal
de la CLI de Azure

Captura de pantalla de la creación de un grupo de recursos a través del portal

az group create --name sshdemo01 --location eastus

Asignación de la directiva al grupo de recursos

En este inicio rápido se aplica el comportamiento de auditoría y configuración mediante la definición de directiva integrada Configure SSH Posture Control on Linux machines.

La asignación de ejemplo se basará en gran medida en los valores predeterminados del control de posición SSH (por ejemplo, el puerto 22, el acceso raíz no permitido), con personalización limitada (texto de banner).

azure Portal
de la CLI de Azure

Vaya a Directiva y, a continuación, Definiciones.
Filtre la lista para buscar y seleccione Configure SSH Posture Control on Linux machines
En la página definición de directiva, haga clic en Asignar.
En el flujo de trabajo de asignación de directivas
1. Elija el nuevo grupo de recursos vacío (creado anteriormente) como ámbito.
2. Opcional: elija un nombre para esta asignación de directiva. De forma predeterminada, se usa el nombre de la definición de directiva.
3. Opcional: en la pestaña parámetros, invalide un valor predeterminado, como el valor "banner".
4. Nota: La regla "puerto" debe configurarse con un valor único para garantizar la funcionalidad y el cumplimiento adecuados para auditar y configurar escenarios.
5. Complete la creación de la asignación de directiva.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Cautela

Independientemente de si ha usado el portal o la CLI, inspeccione el ámbito de la asignación de directiva que acaba de crear antes de continuar. Si el ámbito se estableció erróneamente en algo distinto del nuevo grupo de recursos vacío creado anteriormente, debe corregirse inmediatamente para evitar la configuración de máquinas no deseadas.

Creación de una máquina virtual de prueba y preparación para la configuración de la máquina

azure Portal
de la CLI de Azure

Creación de una máquina virtual Linux
Agregar una identidad asignada por el sistema, si aún no está presente
Agregue la extensión Machine Configuration (etiquetada en el portal como Azure Machine Configuration para Linux)

Creación de una máquina virtual Linux con una identidad asignada por el sistema

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

Instalación del agente de Machine Configuration como una extensión de máquina virtual de Azure

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Propina

En este inicio rápido, los requisitos previos para la configuración de la máquina virtual (la máquina virtual tiene la identidad administrada y la extensión del agente) se abordaron directamente durante la creación de la máquina virtual. A escala, estos requisitos previos se pueden cumplir mediante la Deploy prerequisites to enable Guest Configuration policies on virtual machines iniciativa de directiva integrada.

Tómese un descanso antes de continuar

Ahora se realizarán varios pasos automáticamente. Cada uno de estos pasos puede tardar unos minutos. Por lo tanto, espere a al menos 15 minutos antes de continuar.

Observar los resultados

Con los pasos siguientes, puede ver:

Cuántas máquinas son compatibles (o no)
1. Especialmente útil a escalas de producción, donde puede tener miles de máquinas
Qué máquinas son compatibles (o no)
Para una máquina determinada, qué reglas individuales son compatibles (o no)

azure Portal
de la CLI de Azure

Los siguientes ejemplos de la CLI de Azure proceden de un entorno de bash. Para usar otro entorno de shell, es posible que tenga que ajustar ejemplos para el comportamiento final de línea, las reglas de comillas, el escape de caracteres, etc.

Cuántas máquinas son compatibles (o no):

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Qué máquinas son compatibles (o no):

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Para una máquina determinada, qué reglas individuales son compatibles (o no):

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Opcional: Agregar más máquinas de prueba para experimentar el escalado

En este artículo, la directiva se asignó a un grupo de recursos que estaba inicialmente vacío y, a continuación, obtuvo una máquina virtual. Aunque esto muestra el sistema que funciona de un extremo a otro, no proporciona una idea de las operaciones a escala. Por ejemplo, en la vista cumplimiento de la asignación de directivas, un gráfico circular de una máquina puede sentirse artificial.

Considere la posibilidad de agregar más máquinas de prueba al grupo de recursos, ya sea manualmente o a través de la automatización. Podrían ser máquinas virtuales de Azure o máquinas habilitadas para Arc. Como ve, esas máquinas entran en cumplimiento (o incluso fallan), puede obtener una idea más profunda de la puesta en marcha del control de posición SSH a escala.

Opcional: inspeccionar manualmente la máquina de prueba para confirmar los resultados

Al empezar a trabajar con una nueva característica, como SSH Posture Control, puede ser útil inspeccionar manualmente los resultados fuera de banda. Esto ayuda a crear confianza y claridad. Los pasos de este artículo, por ejemplo, deberían haber dado lugar a una configuración de banner de inicio de sesión modificada en la máquina virtual de prueba. Para confirmarlo, intente una conexión SSH a la máquina para ver el banner o inspeccione el archivo sshd_config.

Limpieza de recursos

Para evitar cargos en curso, considere la posibilidad de eliminar el grupo de recursos usado en este artículo. Por ejemplo, el comando de la CLI de Azure sería az group delete --name "sshdemo01"

¿Qué es el control de posición ssh?
Implementación segura de la configuración del servidor SSH con Azure Policy
Para proporcionar comentarios, analice las solicitudes de características, etc. póngase en contacto: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2024-10-31

Compartir a través de