Início Rápido: Aplicar controle de postura SSH a um computador de teste

Nas etapas a seguir, você usará o Azure Policy para implantar as configurações de Controle de Postura SSH em uma VM linux de teste.

Para obter referência conceitual e de plano de fundo, consulte O que é o Controle de Postura SSH?.

Para obter um passo a passo mais avançado, consulte Gerenciar suas configurações de sshd usando o Controle de Postura SSH.

Se você não tiver uma conta do Azure, poderá criar uma avaliação gratuita.

Cuidado

Este Início Rápido demonstra a aplicação de uma configuração restrita de sshd destinada a um novo computador de teste descartável. Se você aplicar essa configuração a outros computadores, poderá se bloquear. Ao experimentar controles de segurança, como o Controle de Postura SSH, use um ambiente de área restrita isolado para que até mesmo um erro na atribuição de política não configure novamente computadores não intencionais.

Pré-requisitos

Antes de tentar as etapas neste artigo, verifique se você já tem:

Uma conta do Azure em que você tem direitos para criar um grupo de recursos, atribuições de política e uma máquina virtual.
Seu ambiente preferencial para interagir com o Azure, como:
1. do Azure Cloud Shell (recomendado)
  1. Observação: os exemplos usarão o modo bash. Os leitores podem adaptar exemplos a outros ambientes de shell, incluindo o PowerShell.
2. ou seu próprio ambiente de shell com a CLI do Azure instalada e conectado
3. ou do Portal do Azure em um navegador da Web

Verifique se você está conectado ao seu ambiente de teste

portal do Azure
CLI do Azure

Use as informações da conta no portal para ver o contexto atual.

captura de tela

Criar um grupo de recursos

A escolha de eastus local neste exemplo não é significativa. Você pode usar qualquer local disponível do Azure.

portal do Azure
CLI do Azure

captura de tela da criação de grupo de recursos por meio do portal

az group create --name sshdemo01 --location eastus

Atribuir a política ao grupo de recursos

Este Início Rápido aplica o comportamento de auditoria e configuração usando a definição de política interna Configure SSH Posture Control on Linux machines.

A atribuição de exemplo dependerá em grande parte dos padrões de Controle de Postura SSH (por exemplo, porta 22, acesso raiz não permitido), com personalização limitada (texto em faixa).

portal do Azure
CLI do Azure

Navegue até a política e, em seguida, definições
Filtre a lista para localizar e selecionar Configure SSH Posture Control on Linux machines
Na página de definição de política, clique em Atribuir
No fluxo de trabalho de atribuição de política
1. Escolha o novo grupo de recursos vazio (criado anteriormente) como o escopo.
2. Opcional: escolha um nome para esta atribuição de política. Por padrão, o nome da definição de política é usado.
3. Opcional: na guia parâmetros, substitua um valor padrão, como o valor "banner".
4. Observação: a regra 'port' deve ser configurada com um único valor para garantir a funcionalidade e a conformidade adequadas para auditar e configurar cenários.
5. Conclua a criação da atribuição de política.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group sshdemo01 --query id --output tsv)
az policy assignment create --policy "e22a2f03-0534-4d10-8ea0-aa25a6113233" --name "Configure SSH Posture test machine" --scope "$RG_ID" --params '{"banner":{"value":"CONTOSO SYSTEMS. Unauthorized use will be prosecuted."}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Cuidado

Se você usou o Portal ou a CLI, inspecione o escopo da atribuição de política que você acabou de criar antes de continuar. Se o escopo foi definido erroneamente como algo diferente do novo grupo de recursos vazio criado anteriormente, ele deverá ser corrigido imediatamente para evitar a concatenação de computadores não intencionais.

Criar uma VM de teste e prepará-la para a Configuração do Computador

portal do Azure
CLI do Azure

Criar uma máquina virtual do Linux
Adicionar uma identidade atribuída pelo sistema, se ainda não estiver presente
Adicionar a extensão de Configuração do Computador (rotulada no portal como Configuração de Máquina do Azure para Linux)

Criar uma VM do Linux com uma identidade atribuída pelo sistema

az vm create --name sshdemo01 --resource-group sshdemo01 --image Ubuntu2204 --assign-identity [system]

Instalar o agente de Configuração de Máquina, como uma extensão de VM do Azure

az vm extension set --resource-group sshdemo01 --vm-name sshdemo01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade

Ponta

Neste Início Rápido, os pré-requisitos para a Configuração de Máquina (A VM tem identidade gerenciada e extensão de agente) foram abordados diretamente durante a criação da VM. Em escala, esses pré-requisitos podem ser atendidos usando o Deploy prerequisites to enable Guest Configuration policies on virtual machines Iniciativa de Política interna.

Faça uma pausa antes de continuar

Várias etapas agora ocorrerão automaticamente. Cada uma dessas etapas pode levar alguns minutos. Portanto, aguarde pelo menos 15 minutos antes de prosseguir.

Observar resultados

Usando as seguintes etapas, você pode ver:

Quantos computadores estão em conformidade (ou não)
1. Particularmente útil em escalas de produção, em que você pode ter milhares de máquinas
Quais computadores estão em conformidade (ou não)
Para um determinado computador, quais regras individuais estão em conformidade (ou não)

portal do Azure
CLI do Azure

Os exemplos da CLI do Azure a seguir são de um ambiente de de bash. Para usar outro ambiente de shell, talvez seja necessário ajustar exemplos de comportamento de término de linha, regras de aspas, escape de caracteres e assim por diante.

Quantos computadores estão em conformidade (ou não):

QUERY="guestconfigurationresources
   | where name contains 'LinuxSshServerSecurityBaseline'
   | extend complianceStatus = tostring(properties.complianceStatus)
   | summarize machineCount = count() by complianceStatus
"
az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
# 
# complianceStatus machineCount
# ---------------- ------------
# Pending                     1
# Compliant                   1

Quais computadores estão em conformidade (ou não):

QUERY="guestconfigurationresources
| where name contains 'LinuxSshServerSecurityBaseline'
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
"

az graph query -q "$QUERY" --query data --output table

# Sample output from an environment with two machines:
#
# machine     complianceStatus lastComplianceStatusChecked
# -------     ---------------- ---------------------------
# sshdemovm01 Compliant        2/15/2024 11:07:21 PM
# sshdemovm02 Pending          1/1/0001 12:00:00 AM

Para um determinado computador, quais regras individuais são compatíveis (ou não):

QUERY="GuestConfigurationResources
| where name contains 'LinuxSshServerSecurityBaseline'
| project report = properties.latestAssignmentReport,
  machine = split(properties.targetResourceId,'/')[-1],
  lastComplianceStatusChecked=properties.lastComplianceStatusChecked
| mv-expand report.resources
| project machine,
  rule = report_resources.resourceId,
  ruleComplianceStatus = report_resources.complianceStatus,
  ruleComplianceReason = report_resources.reasons[0].phrase,
  lastComplianceStatusChecked
"
az graph query -q "$QUERY" --query data --output table
# Sample output from an environment where audit-and-configure behavior was selected, such that all settings became compliant:
# 
# machine     rule                                                            ruleComplianceStatus     ruleComplianceReason
# -------     ---------------                                                  ------               ------
# sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        true            Access to '/etc/ssh/sshd_config' matches required ...
# sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     true            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
# sshdemovm01 Ensure SSH is configured to ignore rhosts                        true            The sshd service reports that 'ignorerhosts' is set to 'yes'
# sshdemovm01 Ensure SSH LogLevel is set to INFO                               true            The sshd service reports that 'loglevel' is set to 'INFO'
# sshdemovm01 Ensure SSH MaxAuthTries is configured                            true            The sshd service reports that 'maxauthtries' is set to '6'
# sshdemovm01 Ensure allowed users for SSH access are configured               true            The sshd service reports that 'allowusers' is set to '*@*'
# sshdemovm01 Ensure denied users for SSH are configured                       true            The sshd service reports that 'denyusers' is set to 'root'
# sshdemovm01 Ensure allowed groups for SSH are configured                     true            The sshd service reports that 'allowgroups' is set to '*'
# sshdemovm01 Ensure denied groups for SSH are configured                      true            The sshd service reports that 'denygroups' is set to 'root'
# sshdemovm01 Ensure SSH host-based authenticationis disabled                  true            The sshd service reports that 'hostbasedauthentication' is ...
# ...

Opcional: adicionar mais computadores de teste para experimentar a escala

Neste artigo, a política foi atribuída a um grupo de recursos que inicialmente estava vazio e ganhou uma VM. Embora isso demonstre que o sistema está funcionando de ponta a ponta, ele não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.

Considere adicionar mais computadores de teste ao grupo de recursos, seja manualmente ou por meio da automação. Podem ser VMs do Azure ou computadores habilitados para Arc. Ao ver que esses computadores entram em conformidade (ou até mesmo falham), você pode ter uma noção mais profunda de operacionalizar o Controle de Postura SSH em escala.

Opcional: inspecione manualmente o computador de teste para confirmar os resultados

Ao começar a usar um novo recurso, como o Controle de Postura SSH, pode ser importante inspecionar manualmente os resultados fora da banda. Isso ajuda a criar confiança e clareza. As etapas neste artigo, por exemplo, devem ter resultado em uma configuração de faixa de logon modificada em sua VM de teste. Você pode confirmar isso tentando uma conexão SSH com o computador para ver a faixa ou inspecionando o arquivo sshd_config.

Limpar recursos

Para evitar encargos contínuos, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "sshdemo01"

o que é o controle de postura SSH?
Implantando com segurança as configurações do servidor SSH com o Azure Policy
Para fornecer comentários, discutir solicitações de recursos etc. contate: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-04-16

Compartilhar via