Quickstart: SSH-houdingsbeheer toepassen op een testmachine

In de volgende stappen gebruikt u Azure Policy om instellingen voor SSH-houdingsbeheer te implementeren op een virtuele Linux-test.

Zie Wat is SSH-houdingsbeheer?.

Zie Uw sshd-instellingen beheren met behulp van SSH-houdingsbeheer voor een geavanceerder overzicht.

Als u geen Azure-account hebt, kunt u een gratis proefversiemaken.

Voorzichtigheid

In deze quickstart ziet u hoe u een beperkende SSHD-configuratie toepast die is bedoeld voor een nieuwe wegwerptestmachine. Als u deze configuratie zou toepassen op andere computers, kunt u zichzelf vergrendelen. Wanneer u beveiligingscontroles zoals SSH-houdingsbeheer probeert uit te proberen, gebruikt u een geïsoleerde sandbox-omgeving, zodat zelfs een fout in beleidstoewijzing onbedoelde machines niet opnieuw zou configureren.

Voorwaarden

Voordat u de stappen in dit artikel uitvoert, moet u ervoor zorgen dat u het volgende al hebt:

Een Azure-account waar u rechten hebt om een resourcegroep, beleidstoewijzingen en een virtuele machine te maken.
Uw voorkeursomgeving voor interactie met Azure, zoals:
1. Azure Cloud Shell- (aanbevolen)
  1. Opmerking: voorbeelden gebruiken de bash-modus. Lezers kunnen voorbeelden aanpassen aan andere shell-omgevingen, waaronder PowerShell.
2. of uw eigen shell-omgeving met Azure CLI geïnstalleerd en aangemeld
3. ofAzure Portal in een webbrowser

Controleer of u bent aangemeld bij uw testomgeving

Azure Portal
Azure CLI-

Gebruik de accountgegevens in de portal om uw huidige context te bekijken.

Een resourcegroep maken

De keuze van eastus locatie in dit voorbeeld is niet significant. U kunt elke beschikbare Azure-locatie gebruiken.

Azure Portal
Azure CLI-

schermopname van het maken van een resourcegroep via de portal

az group create --name sshdemo01 --location eastus

Het beleid toewijzen aan de resourcegroep

In deze quickstart wordt het gedrag voor controle en configuratie toegepast met behulp van de ingebouwde beleidsdefinitie Configure SSH Posture Control on Linux machines.

De voorbeeldtoewijzing is grotendeels afhankelijk van de standaardinstellingen voor SSH-houdingbeheer (bijvoorbeeld poort 22, hoofdtoegang is niet toegestaan), met beperkte aanpassing (bannertekst).

Azure Portal
Azure CLI-

Navigeer naar Beleid en vervolgens definities
Filter de lijst om Configure SSH Posture Control on Linux machines te zoeken en te selecteren
Klik op de pagina Beleidsdefinitie op Toewijzen
In de werkstroom voor beleidstoewijzing
1. Kies de nieuwe lege resourcegroep (eerder gemaakt) als bereik.
2. Optioneel: Kies een naam voor deze beleidstoewijzing. Standaard wordt de naam van de beleidsdefinitie gebruikt.
3. Optioneel: Op het tabblad Parameters overschrijft u een standaardwaarde, zoals de bannerwaarde.
4. Opmerking: de regel 'poort' moet worden geconfigureerd met één waarde om de juiste functionaliteit en naleving te garanderen voor het controleren en configureren van scenario's.
5. Voltooi het maken van de beleidstoewijzing.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Voorzichtigheid

Of u nu de portal of CLI hebt gebruikt, controleert u het bereik van de beleidstoewijzing die u zojuist hebt gemaakt voordat u doorgaat. Als het bereik per ongeluk is ingesteld op iets anders dan de nieuwe lege resourcegroep die u eerder hebt gemaakt, moet het onmiddellijk worden gecorrigeerd om te voorkomen dat onbedoelde machines worden geconfigureerd.

Een test-VM maken en voorbereiden op machineconfiguratie

Azure Portal
Azure CLI-

Een virtuele Linux-machine maken
Een door het systeem toegewezen identiteit toevoegen, als deze nog niet aanwezig is
De machineconfiguratie-extensie toevoegen (gelabeld in de portal als Azure Machine Configuration voor Linux)

Een Virtuele Linux-machine maken met een door het systeem toegewezen identiteit

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

De Machine Configuration-agent installeren als een Azure VM-extensie

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Fooi

In deze quickstart zijn de vereisten voor machineconfiguratie (VM heeft beheerde identiteit en agentextensie) direct opgelost tijdens het maken van de VM. Op schaal kunnen aan deze vereisten worden voldaan met behulp van het Deploy prerequisites to enable Guest Configuration policies on virtual machines ingebouwd beleidsinitiatief.

Neem een pauze voordat u doorgaat

Er worden nu automatisch verschillende stappen uitgevoerd. Elk van deze stappen kan enkele minuten duren. Wacht daarom minstens 15 minuten voordat u doorgaat.

Resultaten bekijken

Met behulp van de volgende stappen kunt u het volgende zien:

Hoeveel computers voldoen (of niet)
1. Met name handig bij productieschalen, waar u mogelijk duizenden machines hebt
Welke machines compatibel zijn (of niet)
Voor een bepaalde machine, welke afzonderlijke regels compatibel zijn (of niet)

Azure Portal
Azure CLI-

De volgende Azure CLI-voorbeelden zijn afkomstig uit een bash--omgeving. Als u een andere shell-omgeving wilt gebruiken, moet u mogelijk voorbeelden aanpassen voor regeleindgedrag, aanhalingsregels, escape-tekens, enzovoort.

Hoeveel computers voldoen (of niet):

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Welke machines compatibel zijn (of niet):

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Voor een bepaalde machine, welke afzonderlijke regels compatibel zijn (of niet):

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Optioneel: Meer testmachines toevoegen om schaal te ervaren

In dit artikel is het beleid toegewezen aan een resourcegroep die aanvankelijk leeg was en vervolgens één VIRTUELE machine heeft gekregen. Hoewel dit laat zien hoe het systeem end-to-end werkt, biedt het geen idee van bewerkingen op schaal. In de nalevingsweergave voor beleidstoewijzingen kan een cirkeldiagram van één computer bijvoorbeeld kunstmatig aanvoelen.

Overweeg om meer testmachines toe te voegen aan de resourcegroep, of dit nu handmatig of via automatisering is. Dit kunnen Azure-VM's of machines met Arc zijn. Zoals u ziet dat deze machines voldoen aan de naleving (of zelfs mislukken), kunt u een scherper beeld krijgen van het operationeel maken van SSH-houdingsbeheer op schaal.

Optioneel: Testmachine handmatig inspecteren om de resultaten te bevestigen

Wanneer u aan de slag gaat met een nieuwe functie, zoals SSH-houdingsbeheer, kan het waardevol zijn om de resultaten handmatig buiten de band te inspecteren. Dit helpt bij het opbouwen van vertrouwen en duidelijkheid. De stappen in dit artikel moeten bijvoorbeeld hebben geresulteerd in een gewijzigde aanmeldingsbannerconfiguratie op uw test-VM. U kunt dit bevestigen door een SSH-verbinding met de computer uit te voeren om de banner te zien of door het sshd_config bestand te controleren.

Resources opschonen

Als u doorlopende kosten wilt voorkomen, kunt u overwegen de resourcegroep te verwijderen die in dit artikel wordt gebruikt. De Azure CLI-opdracht wordt bijvoorbeeld az group delete --name "sshdemo01"

Wat is SSH-houdingsbeheer?
SSH-serverinstellingen veilig implementeren met Azure Policy
Als u feedback wilt geven, functieaanvragen, enzovoort wilt bespreken, neemt u contact op met: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-01-17

Delen via