Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Dit artikel en de onderstaande aanbevelingen zijn alleen van toepassing op Azure Linux 2.0. De configuratiestatussen en richtlijnen weerspiegelen de azure CIS Azure Linux 2.0 Benchmark v1.0 en de Azure Linux 2.0 Container Host-installatiekopie die wordt gebruikt door AKS. Ze zijn mogelijk niet van toepassing op andere Linux-releases van Azure, aangepaste installatiekopieën of distributies van derden.
Belangrijk
Vanaf 30 november 2025 biedt Azure Kubernetes Service (AKS) geen ondersteuning meer voor beveiligingsupdates voor Azure Linux 2.0. De installatiekopieën van het Azure Linux 2.0-knooppunt zijn bevroren bij de release 202512.06.0. Vanaf 31 maart 2026 worden node-afbeeldingen verwijderd en kunt u de node-pools niet meer schalen. Migreer naar een ondersteunde Versie van Azure Linux door uw knooppuntgroepen te upgraden naar een ondersteunde Kubernetes-versie of door te migreren naar osSku AzureLinux3. Zie [Buitengebruikstelling] Azure Linux 2.0-knooppuntgroepen in AKS voor meer informatie.
De beveiligingsconfiguratie van het besturingssysteem die is toegepast op de Azure Linux 2.0-containerhost voor AKS is gebaseerd op de Azure Linux-beveiligingsbasislijn, die overeenkomt met de CIS-benchmark. AKS voldoet als een veilige service aan SOC-, ISO-, PCI DSS- en HIPAA-standaarden. Zie Beveiligingsconcepten voor clusters in AKS voor meer informatie over de beveiliging van Azure Linux Container Host. Zie Center for Internet Security (CIS) Benchmarks voor meer informatie over de CIS-benchmark. Zie de Basislijn voor Linux-beveiliging voor meer informatie over de Azure-beveiligingsbasislijnen voor Linux.
Overzicht van Azure Linux 2.0
Dit Besturingssysteem Azure Linux 2.0 Container Host is gebaseerd op de Installatiekopie van Azure Linux 2.0 waarop ingebouwde beveiligingsconfiguraties zijn toegepast.
Als onderdeel van het besturingssysteem dat is geoptimaliseerd voor beveiliging:
- AKS en Azure Linux 2.0 bieden standaard een door beveiliging geoptimaliseerd hostbesturingssysteem zonder optie om een alternatief besturingssysteem te selecteren.
- Het voor beveiliging geoptimaliseerde hostbesturingssysteem wordt speciaal voor AKS gebouwd en onderhouden en wordt niet ondersteund buiten het AKS-platform.
- Onnodige kernelmodulestuurprogramma's zijn uitgeschakeld in het besturingssysteem om het aanvalsoppervlak te verkleinen.
Aanbevelingen
De onderstaande tabel bevat vier secties:
- CIS-id: de regel-id die bij elke van de basislijnregels hoort.
- Beschrijving van aanbeveling: een beschrijving van de aanbeveling die is uitgegeven door de CIS-benchmark.
- Niveau: L1 of Niveau 1 raadt essentiële basisbeveiligingsvereisten aan die op elk systeem kunnen worden geconfigureerd en die weinig of geen onderbreking van de service of verminderde functionaliteit moeten veroorzaken.
-
Status:
- Pass : de aanbeveling is toegepast.
- Mislukt - De aanbeveling is niet toegepast.
- N.v.t. De aanbeveling heeft betrekking op de machtigingsvereisten voor manifestbestanden die niet relevant zijn voor AKS.
- Is afhankelijk van de omgeving : de aanbeveling wordt toegepast in de specifieke omgeving van de gebruiker en wordt niet beheerd door AKS.
- Gelijkwaardig beheer : de aanbeveling is op een andere, gelijkwaardige manier geïmplementeerd.
-
Reden:
- Mogelijke invloed op bewerkingen: de aanbeveling is niet toegepast omdat deze een negatief effect zou hebben op de service.
- Gedekt elders : de aanbeveling wordt gedekt door een ander besturingselement in Azure Cloud Compute.
Azure Linux 2.0-benchmarks
Hieronder volgen de resultaten van de aanbevelingen van CIS Azure Linux 2.0 Benchmark v1.0 op basis van de CIS-regels:
| CIS-ID | Beschrijving van aanbeveling | Status | Reden |
|---|---|---|---|
| 1.1.4 | Automatisch koppelen uitschakelen | Geslaagd | |
| 1.1.1.1 | Zorg ervoor dat de koppeling van cramfs-bestandssystemen is uitgeschakeld | Geslaagd | |
| 1.1.2.1 | Zorg ervoor dat /tmp een afzonderlijke partitie is | Geslaagd | |
| 1.1.2.2 | Zorg ervoor dat de nodev-optie moet zijn ingesteld op de /tmp-partitie. | Geslaagd | |
| 1.1.2.3 | Zorg ervoor dat de nosuid-optie is ingesteld op /tmp-partitie | Geslaagd | |
| 1.1.8.1 | Zorg ervoor dat de nodev-optie is ingesteld op de /dev/shm-partitie | Geslaagd | |
| 1.1.8.2 | Zorg ervoor dat de nosuid-optie is ingesteld op /dev/shm-partitie | Geslaagd | |
| 1.2.1 | Zorg ervoor dat DNF gpgcheck globaal is geactiveerd | Geslaagd | |
| 1.2.2 | Zorg ervoor dat TDNF gpgcheck globaal is geactiveerd | Geslaagd | |
| 1.5.1 | Controleren of de opslag van kerndumps is uitgeschakeld | Geslaagd | |
| 1.5.2 | Controleren of backtraces voor kerndumps zijn uitgeschakeld | Geslaagd | |
| 1.5.3 | Zorg ervoor dat randomisatie van de indeling van de adresruimte (ASLR) is ingeschakeld | Geslaagd | |
| 1.7.1 | Controleren of de waarschuwingsbanner voor lokale aanmelding correct is geconfigureerd | Geslaagd | |
| 1.7.2 | Controleren of de waarschuwingsbanner voor externe aanmelding correct is geconfigureerd | Geslaagd | |
| 1.7.3 | Zorg ervoor dat machtigingen voor /etc/motd zijn geconfigureerd | Geslaagd | |
| 1.7.4 | Zorg ervoor dat machtigingen voor /etc/issue zijn geconfigureerd | Geslaagd | |
| 1.7.5 | Zorg ervoor dat machtigingen op /etc/issue.net zijn geconfigureerd | Geslaagd | |
| 2.1.1 | Controleren of tijdsynchronisatie wordt gebruikt | Geslaagd | |
| 2.1.2 | Zorg ervoor dat chrony is geconfigureerd | Geslaagd | |
| 2.2.1 | Controleren of xinetd niet is geïnstalleerd | Geslaagd | |
| 2.2.2 | Zorg ervoor dat xorg-x11-server-common niet is geïnstalleerd | Geslaagd | |
| 2.2.3 | Controleren of avahi niet is geïnstalleerd | Geslaagd | |
| 2.2.4 | Controleren of er geen afdrukserver is geïnstalleerd | Geslaagd | |
| 2.2.5 | Controleren of een DHCP-server niet is geïnstalleerd | Geslaagd | |
| 2.2.6 | Controleren of er geen DNS-server is geïnstalleerd | Geslaagd | |
| 2.2.7 | Controleren of de FTP-client niet is geïnstalleerd | Geslaagd | |
| 2.2.8 | Zorg ervoor dat er geen FTP-server is geïnstalleerd | Geslaagd | |
| 2.2.9 | Controleren of er geen tftp-server is geïnstalleerd | Geslaagd | |
| 2.2.10 | Controleren of er geen webserver is geïnstalleerd | Geslaagd | |
| 2.2.11 | Controleren of de IMAP- en POP3-server niet is geïnstalleerd | Geslaagd | |
| 2.2.12 | Controleren of Samba niet is geïnstalleerd | Geslaagd | |
| 2.2.13 | Controleren of de HTTP-proxyserver niet is geïnstalleerd | Geslaagd | |
| 2.2.14 | Zorg ervoor dat net-snmp niet is geïnstalleerd of dat de snmpd-service niet is ingeschakeld | Geslaagd | |
| 2.2.15 | Controleren of de NIS-server niet is geïnstalleerd | Geslaagd | |
| 2.2.16 | Controleren of telnet-server niet is geïnstalleerd | Geslaagd | |
| 2.2.17 | Zorg ervoor dat de mail transfer agent is geconfigureerd voor de lokale modus | Geslaagd | |
| 2.2.18 | Zorg ervoor dat nfs-utils niet is geïnstalleerd of dat de nfs-server-service is gemaskeerd | Geslaagd | |
| 2.2.19 | Zorg ervoor dat rsync-daemon niet is geïnstalleerd of dat de rsyncd-service is gemaskeerd | Geslaagd | |
| 2.3.1 | Controleren of NIS-client niet is geïnstalleerd | Geslaagd | |
| 2.3.2 | Controleren of de rsh-client niet is geïnstalleerd | Geslaagd | |
| 2.3.3 | Controleren of de talkclient niet is geïnstalleerd | Geslaagd | |
| 2.3.4 | Controleren of telnet-client niet is geïnstalleerd | Geslaagd | |
| 2.3.5 | Controleren of de LDAP-client niet is geïnstalleerd | Geslaagd | |
| 2.3.6 | Controleren of TFTP-client niet is geïnstalleerd | Geslaagd | |
| 3.1.1 | Zorg ervoor dat IPv6 is ingeschakeld | Geslaagd | |
| 3.2.1 | Zorg ervoor dat het verzenden van pakketomleiding is uitgeschakeld | Geslaagd | |
| 3.3.1 | Zorg ervoor dat bron-gerouteerde pakketten niet worden geaccepteerd | Geslaagd | |
| 3.3.2 | Zorg ervoor dat ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.3 | Zorg ervoor dat beveiligde ICMP-omleidingen niet worden geaccepteerd | Geslaagd | |
| 3.3.4 | Zorg ervoor dat verdachte pakketten worden geregistreerd | Geslaagd | |
| 3.3.5 | Zorg ervoor dat ICMP-broadcastverzoeken worden genegeerd | Geslaagd | |
| 3.3.6 | Zorg ervoor dat valse ICMP-antwoorden worden genegeerd | Geslaagd | |
| 3.3.7 | Zorg ervoor dat Reverse Path Filtering is ingeschakeld | Geslaagd | |
| 3.3.8 | Controleren of TCP SYN-cookies zijn ingeschakeld | Geslaagd | |
| 3.3.9 | Zorg ervoor dat IPv6-routeradvertenties niet worden geaccepteerd | Geslaagd | |
| 3.4.3.1.1 | Controleren of het iptables-pakket is geïnstalleerd | Geslaagd | |
| 3.4.3.1.2 | Zorg ervoor dat nftables niet samen met iptables is geïnstalleerd | Geslaagd | |
| 3.4.3.1.3 | Zorg ervoor dat firewalld niet is geïnstalleerd of dat het gemaskeerd is met iptables. | Geslaagd | |
| 4.2 | Zorg ervoor dat logrotate is geconfigureerd | Geslaagd | |
| 4.2.2 | Zorg ervoor dat alle logboekbestanden de juiste toegang hebben geconfigureerd | Geslaagd | |
| 4.2.1.1 | Controleren of rsyslog is geïnstalleerd | Geslaagd | |
| 4.2.1.2 | Controleren of rsyslog-service is ingeschakeld | Geslaagd | |
| 4.2.1.3 | Controleren of standaardbestandsmachtigingen voor rsyslog zijn geconfigureerd | Geslaagd | |
| 4.2.1.4 | Controleren of de registratie van logboeken is ingesteld | Geslaagd | |
| 4.2.1.5 | Controleren of rsyslog niet is geconfigureerd voor het ontvangen van logboeken van een externe client | Geslaagd | |
| 5.1.1 | Zorg ervoor dat de cron-daemon is ingeschakeld | Geslaagd | |
| 5.1.2 | Zorg ervoor dat machtigingen voor /etc/crontab zijn geconfigureerd | Geslaagd | |
| 5.1.3 | Zorg ervoor dat machtigingen op /etc/cron.hourly zijn geconfigureerd | Geslaagd | |
| 5.1.4 | Zorg ervoor dat machtigingen voor /etc/cron.daily zijn geconfigureerd | Geslaagd | |
| 5.1.5 | Zorg ervoor dat de machtigingen voor /etc/cron.weekly zijn geconfigureerd | Geslaagd | |
| 5.1.6 | Zorg ervoor dat machtigingen voor /etc/cron.monthly zijn geconfigureerd | Geslaagd | |
| 5.1.7 | Zorg ervoor dat machtigingen voor /etc/cron.d zijn geconfigureerd | Geslaagd | |
| 5.1.8 | Zorg ervoor dat cron beperkt is tot geautoriseerde gebruikers | Geslaagd | |
| 5.1.9 | Zorg ervoor dat toegang is beperkt tot geautoriseerde gebruikers | Geslaagd | |
| 5.2.1 | Zorg ervoor dat machtigingen voor /etc/ssh/sshd_config zijn geconfigureerd | Geslaagd | |
| 5.2.2 | Zorg ervoor dat machtigingen voor persoonlijke SSH-hostsleutelbestanden zijn geconfigureerd | Geslaagd | |
| 5.2.3 | Zorg ervoor dat machtigingen voor bestanden met openbare SSH-hostsleutels zijn geconfigureerd | Geslaagd | |
| 5.2.4 | Zorg ervoor dat SSH-toegang beperkt is | Geslaagd | |
| 5.2.5 | Zorg ervoor dat SSH LogLevel geschikt is | Geslaagd | |
| 5.2.6 | Zorg ervoor dat SSH PAM is ingeschakeld | Geslaagd | |
| 5.2.7 | Zorg ervoor dat SSH root login is uitgeschakeld | Geslaagd | |
| 5.2.8 | Zorg ervoor dat SSH HostbasedAuthentication is uitgeschakeld | Geslaagd | |
| 5.2.9 | Zorg ervoor dat SSH PermitEmptyPasswords is uitgeschakeld | Geslaagd | |
| 5.2.10 | Controleren of SSH PermitUserEnvironment is uitgeschakeld | Geslaagd | |
| 5.2.11 | Controleren of SSH IgnoreRhosts is ingeschakeld | Geslaagd | |
| 5.2.12 | Zorg ervoor dat alleen sterke coderingen worden gebruikt | Geslaagd | |
| 5.2.13 | Zorg ervoor dat alleen sterke MAC-algoritmen worden gebruikt | Geslaagd | |
| 5.2.14 | Zorg ervoor dat alleen sterke algoritmen voor sleuteluitwisseling worden gebruikt | Geslaagd | |
| 5.2.15 | Controleren of de SSH-waarschuwingsbanner is geconfigureerd | Geslaagd | |
| 5.2.16 | Zorg ervoor dat SSH MaxAuthTries is ingesteld op 4 of minder | Geslaagd | |
| 5.2.17 | Zorg ervoor dat SSH MaxStartups is geconfigureerd | Geslaagd | |
| 5.2.18 | Zorg ervoor dat SSH LoginGraceTime is ingesteld op één minuut of minder | Geslaagd | |
| 5.2.19 | Zorg ervoor dat SSH MaxSessions is ingesteld op 10 of minder | Geslaagd | |
| 5.2.20 | Zorg ervoor dat het time-outinterval voor inactiviteit van SSH is geconfigureerd | Geslaagd | |
| 5.3.1 | Zorg ervoor dat sudo is geïnstalleerd | Geslaagd | |
| 5.3.2 | Zorg ervoor dat herauthenticatie voor escalatie van bevoegdheden niet wereldwijd is uitgeschakeld | Geslaagd | |
| 5.3.3 | Controleren of sudo-verificatietime-out juist is geconfigureerd | Geslaagd | |
| 5.4.1 | Zorg ervoor dat vereisten voor het maken van wachtwoorden zijn geconfigureerd | Geslaagd | |
| 5.4.2 | Controleren of de vergrendeling voor mislukte wachtwoordpogingen is geconfigureerd | Geslaagd | |
| 5.4.3 | Controleren of het algoritme voor wachtwoord-hashing SHA-512 is | Geslaagd | |
| 5.4.4 | Controleren of het opnieuw gebruiken van wachtwoorden beperkt is | Geslaagd | |
| 5.5.2 | Controleren of systeemaccounts zijn beveiligd | Geslaagd | |
| 5.5.3 | Zorg ervoor dat de standaardgroep voor het hoofdaccount GID 0 is | Geslaagd | |
| 5.5.4 | Zorg ervoor dat de standaard gebruikers-umask 027 of meer beperkend is | Geslaagd | |
| 5.5.1.1 | Controleren of het verlopen van wachtwoorden 365 dagen of minder is | Geslaagd | |
| 5.5.1.2 | Zorg ervoor dat minimale dagen tussen wachtwoordwijzigingen zijn geconfigureerd | Geslaagd | |
| 5.5.1.3 | Zorg ervoor dat waarschuwingsdagen voor wachtwoordverlooptijd 7 of meer zijn | Geslaagd | |
| 5.5.1.4 | Zorg ervoor dat de inactieve wachtwoordvergrendeling 30 dagen of minder is | Geslaagd | |
| 5.5.1.5 | Zorg ervoor dat alle gebruikers de laatste datum van wachtwoordwijziging in het verleden hebben | Geslaagd | |
| 6.1.1 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.2 | Zorg ervoor dat machtigingen voor /etc/passwd zijn geconfigureerd | Geslaagd | |
| 6.1.3 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.4 | Zorg ervoor dat machtigingen voor /etc/group zijn geconfigureerd | Geslaagd | |
| 6.1.5 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.6 | Zorg ervoor dat machtigingen voor /etc/shadow zijn geconfigureerd | Geslaagd | |
| 6.1.7 | Zorg ervoor dat machtigingen voor /etc/gshadow zijn geconfigureerd | Geslaagd | |
| 6.1.8 | Zorg ervoor dat machtigingen voor /etc/gshadow- zijn geconfigureerd | Geslaagd | |
| 6.1.9 | Zorg ervoor dat er geen niet-eigenaar of niet-gegroepeerde bestanden of mappen bestaan | Geslaagd | |
| 6.1.10 | Zorg ervoor dat schrijfbare wereldbestanden en mappen zijn beveiligd | Geslaagd | |
| 6.2.1 | Zorg ervoor dat wachtwoordvelden niet leeg zijn | Geslaagd | |
| 6.2.2 | Zorg ervoor dat alle groepen in /etc/passwd aanwezig zijn in /etc/group | Geslaagd | |
| 6.2.3 | Zorg ervoor dat er geen dubbele UID's bestaan | Geslaagd | |
| 6.2.4 | Zorg ervoor dat er geen dubbele GID's bestaan | Geslaagd | |
| 6.2.5 | Zorg ervoor dat er geen dubbele gebruikersnamen bestaan | Geslaagd | |
| 6.2.6 | Zorg ervoor dat er geen dubbele groepsnamen bestaan | Geslaagd | |
| 6.2.7 | Hoofdpadintegriteit garanderen | Geslaagd | |
| 6.2.8 | Zorg ervoor dat root het enige UID 0-account is | Geslaagd | |
| 6.2.9 | Zorg ervoor dat de basismappen van alle gebruikers bestaan | Geslaagd | |
| 6.2.10 | Ervoor zorgen dat gebruikers hun eigen thuismappen hebben | Geslaagd | |
| 6.2.11 | Zorg ervoor dat de machtigingen voor thuismappen van gebruikers 750 of meer beperkend zijn | Geslaagd | |
| 6.2.12 | Zorg ervoor dat de puntbestanden van gebruikers niet schrijfbaar zijn voor groepen of de wereld. | Geslaagd | |
| 6.2.13 | Zorg ervoor dat de .netrc-bestanden van gebruikers niet groeps- of wereldtoegang hebben | Geslaagd | |
| 6.2.14 | Zorg ervoor dat er geen gebruikers .forward-bestanden hebben | Geslaagd | |
| 6.2.15 | Zorg ervoor dat er geen .netrc-bestanden in gebruikersmappen zijn | Geslaagd | |
| 6.2.16 | Zorg ervoor dat er geen gebruikers .rhosts-bestanden hebben | Geslaagd |
Volgende stappen
Zie de volgende artikelen voor meer informatie over azure Linux Container Host-beveiliging: