Szybki start: stosowanie kontroli stanu SSH na maszynie testowej

W poniższych krokach użyjesz usługi Azure Policy do wdrożenia ustawień kontroli stanu SSH na testowej maszynie wirtualnej z systemem Linux.

Aby uzyskać informacje ogólne i koncepcyjne, zobacz Co to jest kontrola stanu SSH?.

Aby uzyskać bardziej zaawansowany przewodnik, zobacz Manage your sshd settings using SSH Posture Control (Zarządzanie ustawieniami sshd przy użyciu kontroli stanu protokołu SSH).

Jeśli nie masz konta platformy Azure, możesz utworzyć bezpłatną wersję próbną.

Ostrożność

W tym przewodniku Szybki start przedstawiono zastosowanie restrykcyjnej konfiguracji dysku SSHD przeznaczonej dla nowej jednorazowej maszyny testowej. Jeśli chcesz zastosować tę konfigurację do innych maszyn, możesz zablokować się. Podczas próby kontroli zabezpieczeń, takich jak kontrola stanu SSH, należy użyć izolowanego środowiska piaskownicy, tak aby nawet błąd przypisania zasad nie był ponownie konfigurowany niezamierzone maszyny.

Warunki wstępne

Przed podjęciem próby wykonania kroków opisanych w tym artykule upewnij się, że masz już następujące elementy:

Konto platformy Azure, na którym masz uprawnienia do tworzenia grupy zasobów, przypisań zasad i maszyny wirtualnej.
Preferowane środowisko do interakcji z platformą Azure, takie jak:
1. azure Cloud Shell (zalecane)
  1. Uwaga: Przykłady będą używać trybu powłoki bash. Czytelnicy mogą dostosować przykłady do innych środowisk powłoki, w tym programu PowerShell.
2. lub własnego środowiska powłoki przy użyciu zainstalowanego i zalogowanego interfejsu wiersza polecenia platformy Azure
3. lubwitrynie Azure Portal w przeglądarce internetowej

Sprawdź, czy zalogowałeś się do środowiska testowego

witryny Azure Portal
interfejsu wiersza polecenia platformy Azure

Użyj informacji o koncie w portalu, aby wyświetlić bieżący kontekst.

przechwytywanie ekranu

Tworzenie grupy zasobów

Wybór lokalizacji eastus w tym przykładzie nie jest znaczący. Możesz użyć dowolnej dostępnej lokalizacji platformy Azure.

witryny Azure Portal
interfejsu wiersza polecenia platformy Azure

Przechwytywanie ekranu tworzenia grupy zasobów za pośrednictwem portalu

az group create --name sshdemo01 --location eastus

Przypisywanie zasad do grupy zasobów

Ten przewodnik Szybki start stosuje zachowanie inspekcji i konfigurowania przy użyciu wbudowanej definicji zasad Configure SSH Posture Control on Linux machines.

Przykładowe przypisanie będzie polegać w dużej mierze na domyślnych wartościach kontroli stanu SSH (np. port 22, niedozwolony dostęp główny) z ograniczonym dostosowaniem (tekst baneru).

witryny Azure Portal
interfejsu wiersza polecenia platformy Azure

Przejdź do pozycji Zasady, a następnie definicje
Filtruj listę, aby znaleźć i wybrać Configure SSH Posture Control on Linux machines
Na stronie definicji zasad kliknij pozycję Przypisz
W przepływie pracy przypisywania zasad
1. Wybierz nową pustą grupę zasobów (utworzoną wcześniej) jako zakres.
2. Opcjonalnie: wybierz nazwę tego przypisania zasad. Domyślnie jest używana nazwa definicji zasad.
3. Opcjonalnie: na karcie parametry zastąpij wartość domyślną, taką jak wartość "banner".
4. Uwaga: reguła "port" powinna być skonfigurowana z jedną wartością w celu zapewnienia prawidłowej funkcjonalności i zgodności na potrzeby inspekcji i konfigurowania scenariuszy.
5. Ukończ tworzenie przypisania zasad.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Ostrożność

Niezależnie od tego, czy użyto portalu, czy interfejsu wiersza polecenia, sprawdź zakres właśnie utworzonego przypisania zasad przed kontynuowaniem. Jeśli zakres został błędnie ustawiony na coś innego niż utworzona wcześniej nowa pusta grupa zasobów, należy natychmiast poprawić go, aby uniknąć konfigurowania niezamierzonych maszyn.

Tworzenie testowej maszyny wirtualnej i przygotowywanie jej do konfiguracji maszyny

witryny Azure Portal
interfejsu wiersza polecenia platformy Azure

Tworzenie maszyny wirtualnej z systemem Linux
Dodawanie tożsamości przypisanej przez system, jeśli jeszcze nie istnieje
Dodaj rozszerzenie Konfiguracja maszyny (oznaczone etykietą w portalu jako Azure Machine Configuration dla systemu Linux)

Tworzenie maszyny wirtualnej z systemem Linux z tożsamością przypisaną przez system

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

Instalowanie agenta konfiguracji maszyny jako rozszerzenia maszyny wirtualnej platformy Azure

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Napiwek

W tym przewodniku Szybki start wymagania wstępne dotyczące konfiguracji maszyny (maszyna wirtualna ma tożsamość zarządzaną i rozszerzenie agenta) zostały rozwiązane bezpośrednio podczas tworzenia maszyny wirtualnej. Na dużą skalę te wymagania wstępne można spełnić przy użyciu wbudowanej inicjatywy zasad Deploy prerequisites to enable Guest Configuration policies on virtual machines.

Przed kontynuowaniem wykonaj przerwę

Teraz nastąpi automatyczne wykonanie kilku kroków. Każde z tych kroków może potrwać kilka minut. W związku z tym przed kontynuowaniem zaczekaj na co najmniej 15 minut.

Obserwowanie wyników

Korzystając z poniższych kroków, można zobaczyć:

Ile maszyn jest zgodnych (lub nie)
1. Szczególnie przydatne w skali produkcyjnej, gdzie mogą istnieć tysiące maszyn
Które maszyny są zgodne (lub nie)
Dla danej maszyny, które poszczególne reguły są zgodne (lub nie)

witryny Azure Portal
interfejsu wiersza polecenia platformy Azure

Poniższe przykłady interfejsu wiersza polecenia platformy Azure pochodzą ze środowiska powłoki bash . Aby użyć innego środowiska powłoki, może być konieczne dostosowanie przykładów zachowania kończenia wierszy, reguł cudzysłowu, ucieczki znaków itd.

Ile maszyn jest zgodnych (lub nie):

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Które maszyny są zgodne (lub nie):

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Dla danej maszyny, które poszczególne reguły są zgodne (lub nie):

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Opcjonalnie: Dodawanie większej liczby maszyn testowych do skalowania

W tym artykule zasady zostały przypisane do grupy zasobów, która początkowo była pusta, a następnie zyskała jedną maszynę wirtualną. Chociaż pokazuje to, że system działa kompleksowo, nie zapewnia sensu operacji na dużą skalę. Na przykład w widoku zgodności przypisania zasad wykres kołowy jednej maszyny może czuć się sztuczny.

Rozważ dodanie większej liczby maszyn testowych do grupy zasobów, niezależnie od tego, czy jest to ręczne, czy za pośrednictwem automatyzacji. Mogą to być maszyny wirtualne platformy Azure lub maszyny z obsługą usługi Arc. Jak widzisz, że te maszyny są zgodne (a nawet kończą się niepowodzeniem), możesz uzyskać bardziej odpowiednie poczucie operacji kontroli stanu SSH na dużą skalę.

Opcjonalnie: Ręczne sprawdzanie maszyny testowej w celu potwierdzenia wyników

Wprowadzenie do nowej funkcji, takiej jak kontrola stanu SSH, może być przydatne, aby ręcznie sprawdzić wyniki poza pasmem. Pomaga to budować pewność siebie i jasność. Kroki opisane w tym artykule powinny na przykład spowodować zmodyfikowaną konfigurację baneru logowania na testowej maszynie wirtualnej. Możesz to potwierdzić, próbując nawiązać połączenie SSH z maszyną w celu wyświetlenia baneru lub sprawdzając plik sshd_config.

Czyszczenie zasobów

Aby uniknąć bieżących opłat, rozważ usunięcie grupy zasobów używanej w tym artykule. Na przykład polecenie interfejsu wiersza polecenia platformy Azure będzie az group delete --name "sshdemo01"

Co to jest kontrola stanu SSH?
Bezpieczne wdrażanie ustawień serwera SSH za pomocą usługi Azure Policy
Aby przekazać opinię, omówić żądania funkcji itp.: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-04-16

Udostępnij przez