共用方式為

使用 Azure 原則安全地部署 SSH 伺服器設定

探索如何使用本文順暢地設定伺服器機隊的 SSHD 設定,從對現有設定進行細緻的稽核開始,以確保每個變更都以精確且謹慎的方式實作。

如需 SSH 狀態控制的詳細概觀,請參閱 概觀:什麼是 SSH 狀態控制?

挑戰

假設您是負責大量 Linux 機器車隊的系統管理員。 如果安全性不正確,每部計算機都是攻擊者的潛在進入點。 保護這些機器的重要層面之一是標準化 SSHD 型設定。 貴組織的安全策略會強制將所有 SSHD 埠標準化為單一埠。 這聽起來可能很簡單,但有數百台甚至數千台機器,它很快就會成為一場後勤噩夢。

解決方案

您可以在 Azure 原則 / 電腦組態中使用 SSH 狀態控制功能來協助。 這項功能強大的功能可讓您稽核並強制執行整個裝置車隊的 SSH 安全性狀態,確保一致性並增強安全性。 讓我們逐步解說程式。

步驟 1:透過「稽核 Linux 的 SSH 安全性」原則稽核目前的 SSH 設定

GIF 顯示如何設定稽核 SSH 原則

若要避免透過 Azure 原則設定任何原則時發生任何建議,我們需要了解機器的目前狀態。 這牽涉到透過 SSH 原則稽核機器,以查看目前使用中的埠。

  1. 流覽至 Azure 入口網站中的 [原則]。
  2. 按兩下 [定義]。
  3. 依 SSH 篩選,然後選取 [稽核 Linux 的 SSH 安全性狀態] 原則。
  4. 指派原則、套用範圍,並設定參數,以確保 SSH 埠設定為所需的埠。
  5. 建立受控識別、檢閱及建立原則。

原則允許10到15分鐘,以稽核車隊中的所有Linux機器。

稽核 SSH 原則非常重要,因為它提供您目前安全性狀態的基準瞭解。 如果沒有此步驟,您會盲目地強制執行原則,可能會導致中斷或遺失不符合規範的計算機。 先進行稽核,可確保您清楚了解環境,這對有效原則強制執行至關重要。

步驟 2:檢閱我們的稽核結果

GIF,示範如何透過 Azure Resource Graph 查詢檢閱稽核 SSH 原則結果

稽核完成後,是時候檢閱結果了。 這可讓我們清楚瞭解哪些機器符合規範,哪些機器不符合規範。

  • 若要這樣做,您可以使用 Azure Resource Graph 查詢:

  • 開啟查詢,查看您機器群上的不同埠。

    • 執行查詢,以針對數據行中的埠顯示每部機器一個數據列。
         // SSH port rule detail
     GuestConfigurationResources
     | where name contains "LinuxSshServerSecurityBaseline"
     | project report = properties.latestAssignmentReport,
      machine = split(properties.targetResourceId,'/')[-1],
      lastComplianceStatusChecked=properties.lastComplianceStatusChecked
     | mv-expand report.resources
     | project machine,
      rule = report_resources.resourceId,
      ruleComplianceStatus = report_resources.complianceStatus,
      ruleComplianceReason = report_resources.reasons[0].phrase,
      lastComplianceStatusChecked
     | where rule contains('port')

透過上述螢幕擷取,我們可以看到某些計算機使用埠 22,而其他計算機則使用不同的埠。

注意

如上所示的查詢可以編輯,以符合系統管理員所需的需求,例如查詢整個車隊以尋找任何允許根登入的計算機。

檢閱稽核結果可讓您識別車隊中的模式和極端值。 此步驟對於找出需要注意和瞭解整體合規性層級的特定機器而言非常重要。 它也有助於與專案關係人溝通目前的狀態,提供透明度,並在程式中建立信任。

步驟 3:傳達變更

既然我們知道哪些機器使用所需的埠以外的埠,請務必將這些變更傳達給項目關係人。 這可確保每個人都知道即將進行的變更,並可據以更新其工作流程。

重要

有效的通訊是成功原則實作的關鍵。 藉由通知項目關係人變更,您可確保沒有任何驚喜,且每個人都已做好轉換的準備。 此步驟有助於從不同的小組取得購買,並將對變更的阻力降到最低。

步驟 4:透過「設定 Linux 的 SSH 安全性狀態」原則強制執行新設定

顯示如何設定強制 SSH 原則 的 GIF GIF

透過項目關係人核准,我們現在可以強制執行設定 SSH 原則。 此步驟會將所有電腦的SSHD埠標準化。

  1. 移至 原則定義
  2. SSH 篩選,然後選取 [設定 Linux的 SSH 安全性狀態。
  3. 指派原則、選擇範圍,並設定參數,以確保埠已設定為您想要的埠。
  4. 啟用補救,以變更在設定原則之前建立的埠和所有機器。
  5. 檢閱,然後建立原則。

強制執行設定 SSH 原則是進行實際變更的重要步驟。 此步驟可確保所有機器都符合安全性標準,降低受攻擊面並增強整體安全性。 藉由啟用補救,您可以將程式自動化、節省時間和精力,同時確保車隊之間的一致性。

步驟 5:驗證我們的變更

GIF,示範如何透過 Azure Resource Graph 查詢檢閱強制執行 SSH 原則結果

幾個小時后,是時候確認所有機器現在都使用您所需的埠。 您可以執行與之前相同的查詢來檢查合規性狀態。

重要

驗證是確保原則強制執行成功的最後一個步驟。 此步驟可確保所有機器都符合規範,且已正確套用變更。 它也有助於找出在強制執行過程中可能發生的任何問題,以便及時解決。

即將推出

適用於Linux的 Azure 安全性基準現在處於公開預覽狀態! 它包含 SSH 狀態控制加上更多安全性和管理規則,以更妥善地保護您的 Linux 裝置車隊。 如需詳細資訊,請參閱 快速入門:使用測試計算機稽核 Linux 的 Azure 安全性基準

其他檔

  • Last updated on