Ce document décrit le niveau de conformité de Google Distributed Cloud avec le benchmark CIS d'Ubuntu.
Accéder au benchmark
Le benchmark CIS d'Ubuntu est disponible sur le site Web du CIS :
Profil de configuration
Dans le document Benchmark CIS d'Ubuntu, vous pouvez en savoir plus sur les profils de configuration. Les images Ubuntu utilisées par Google Distributed Cloud sont renforcées pour répondre au profil de serveur de niveau 2.
Évaluation sur Google Distributed Cloud
Nous utilisons les valeurs suivantes pour spécifier l'état des recommandations Ubuntu dans Google Distributed Cloud :
| État | Description |
|---|---|
| Réussite | Respecte une recommandation du benchmark. |
| Échec | Ne respecte pas une recommandation du benchmark. |
| Contrôle équivalent | Ne respecte pas les conditions exactes d'une recommandation de benchmark, mais d'autres mécanismes existent dans Google Distributed Cloud pour fournir des contrôles de sécurité équivalents. |
| Dépend de l'environnement | Google Distributed Cloud ne configure pas les éléments liés à une recommandation du benchmark. Votre configuration détermine si votre environnement respecte les recommandations. |
État de Google Distributed Cloud
Les images Ubuntu utilisées avec Google Distributed Cloud sont renforcées pour répondre au profil de serveur de niveau 2 du CIS. Le tableau suivant explique pourquoi les composants Google Distributed Cloud n'ont pas transmis certaines recommandations.
Les benchmarks dont l'état est Passed ne sont pas inclus dans le tableau suivant.
1,32
Versions
Cette section fait référence aux versions suivantes:
| Version de Google Distributed Cloud | Version Ubuntu | Version du benchmark CIS d'Ubuntu | Niveau CIS |
|---|---|---|---|
| 1,32 | 22.04 LTS | v1.0.0 | Serveur de niveau 2 |
Recommandations non appliquées
Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud s'écarte des recommandations du benchmark. Pour chaque recommandation, nous catégorisons l'état de la défaillance, fournissons une justification de la défaillance et listons les composants concernés.
| # | Recommandation | État | Justification | Composants concernés |
|---|---|---|---|---|
| 1.1.2.1 | Assurez-vous que /tmp se trouve sur une partition distincte | Échec | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.3.1 | Assurez-vous que /var se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.4.1 | Assurez-vous que /var/tmp se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.5.1 | Assurez-vous que /var/log se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.6.1 | Vérifier que /var/log/audit se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.7.1 | Assurez-vous que /home se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.1 | Définir le mot de passe du bootloader dans grub2 | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.3 | Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 2.3.6 | Désinstaller le package rpcbind | Échec | rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.3.7 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 | Dépend de l'environnement | Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. | Tous les nœuds de cluster, Seesaw |
| 3.5.2.6 | Définir la configuration nftables pour le trafic de rebouclage | Impossible à corriger | Le réseau Anthos a été affecté par cette règle. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.5.2.8 | Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables | Dépend de l'environnement | Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 4.2.3 | Vérifier les autorisations des fichiers journaux | Échec | Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.2.18 | Limiter l'accès SSH des utilisateurs | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.3.4 | S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.5.1.2 | Définir la durée de vie maximale du mot de passe | Contrôle équivalent | Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. | Tous les nœuds de cluster |
| 6.1.10 | Assurez-vous que tous les fichiers sont la propriété d'un utilisateur | Échec | Les autorisations ont été laissées par défaut. | Tous les nœuds de cluster |
Recommandations acceptées
Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud respecte les recommandations du benchmark.
| # | Recommandation | Gravité | État |
|---|---|---|---|
| 1.1.8.1 | Ajouter l'option nodev à /dev/shm | modérés | réussite |
| 1.1.8.2 | Ajouter l'option noexec à /dev/shm | modérés | réussite |
| 1.1.8.3 | Ajout de l'option nosuid à /dev/shm | modérés | réussite |
| 1.5.2 | Le package "prelink" ne doit pas être installé | modérés | réussite |
| 1.5.3 | Désactiver le service Apport | inconnu | réussite |
| 1.5.4 | Désactiver les vidages de mémoire pour tous les utilisateurs | modérés | réussite |
| 1.5.4 | Désactiver les fichiers de vidage de mémoire pour les programmes SUID | modérés | réussite |
| 1.6.1.1 | Vérifier qu'AppArmor est installé | modérés | réussite |
| 1.6.1.2 | Assurez-vous qu'AppArmor est activé dans la configuration du bootloader | modérés | réussite |
| 1.6.1.4 | Appliquer tous les profils AppArmor | modérés | réussite |
| 1.7.1 | Modifier la bannière du message système du jour | modérés | réussite |
| 1.7.3 | Modifier la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 1.7.4 | Valider la propriété du groupe de la bannière du message du jour | modérés | réussite |
| 1.7.4 | Valider la propriété de la bannière du message du jour | modérés | réussite |
| 1.7.4 | Vérifier les autorisations de la bannière du message du jour | modérés | réussite |
| 1.7.5 | Vérifier la propriété du groupe de la bannière de connexion au système | modérés | réussite |
| 1.7.5 | Valider la propriété de la bannière de connexion au système | modérés | réussite |
| 1.7.5 | Vérifier les autorisations de la bannière de connexion au système | modérés | réussite |
| 1.7.6 | Vérifier la propriété du groupe de la bannière de connexion au système pour les connexions à distance | modérés | réussite |
| 1.7.6 | Vérifier la propriété de la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 1.7.6 | Vérifier les autorisations de la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 2.1.1.1 | Installer le service systemd_timesyncd | high | réussite |
| 2.1.3.2 | Activer le service systemd_timesyncd | high | réussite |
| 2.2.1 | Supprimer le groupe de paquets X Windows | modérés | réussite |
| 2.2.10 | Désinstaller le paquet cyrus-imapd | inconnu | réussite |
| 2.2.10 | Désinstaller le package Dovecot | inconnu | réussite |
| 2.2.11 | Désinstaller le package Samba | inconnu | réussite |
| 2.2.12 | Désinstaller le package squid | inconnu | réussite |
| 2.2.13 | Désinstaller le package net-snmp | inconnu | réussite |
| 2.2.14 | Désinstaller le package nis | faibles | réussite |
| 2.2.15 | Assurez-vous que le MTA n'écoute aucune adresse non loopback | modérés | réussite |
| 2.2.16 | Désinstaller le package rsync | modérés | réussite |
| 2.2.2 | Désactiver le logiciel de serveur Avahi | modérés | réussite |
| 2.2.2 | Désinstaller le package de serveur avahi | modérés | réussite |
| 2.2.3 | Désactiver le service CUPS | inconnu | réussite |
| 2.2.3 | Désinstaller le package CUPS | inconnu | réussite |
| 2.2.4 | Désinstaller le package du serveur DHCP | modérés | réussite |
| 2.2.5 | Désinstaller le package openldap-servers | faibles | réussite |
| 2.2.6 | Désinstaller le package nfs-kernel-server | faibles | réussite |
| 2.2.7 | Désinstaller le package de liaison | faibles | réussite |
| 2.2.8 | Désinstaller le package vsftpd | high | réussite |
| 2.2.9 | Désinstaller le package httpd | inconnu | réussite |
| 2.2.9 | Désinstaller le package nginx | inconnu | réussite |
| 2.3.3 | Désinstaller le package Talk | modérés | réussite |
| 2.3.5 | Vérifier que le client LDAP n'est pas installé | faibles | réussite |
| 3.1.1, 3.1.5 | Désactiver l'accès SSH via des mots de passe vides | high | réussite |
| 3.1.1, 3.1.5 | Désactiver la connexion racine via SSH | modérés | réussite |
| 3.1.1, 3.1.5 | Vérifier que seul l'utilisateur racine a un UID 0 | high | réussite |
| 3.1.11 | Définir le délai avant expiration de la session interactive | modérés | réussite |
| 3.1.11 | Définir la valeur maximale du nombre de fois où le client SSH est actif | modérés | réussite |
| 3.1.11 | Définir l'intervalle de vérification du client SSH | modérés | réussite |
| 3.1.12 | Désactiver l'authentification basée sur l'hôte | modérés | réussite |
| 3.1.12 | Désactiver la prise en charge de SSH pour les fichiers .rhosts | modérés | réussite |
| 3.1.12 | Ne pas autoriser les options d'environnement SSH | modérés | réussite |
| 3.1.13, 3.13.10 | Vérifier les autorisations sur les fichiers de clés privées *_key du serveur SSH | modérés | réussite |
| 3.1.13, 3.13.10 | Vérifier les autorisations sur les fichiers de clés publiques *.pub du serveur SSH | modérés | réussite |
| 3.1.13 | Supprimer les clients telnet | faibles | réussite |
| 3.1.13 | Désinstaller le package rsh | inconnu | réussite |
| 3.1.16 | Désactiver les interfaces réseau sans fil | modérés | réussite |
| 3.1.20 | Configurer l'acceptation des annonces de routeur sur toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Configurer le paramètre du noyau pour accepter les redirections sécurisées par défaut | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des annonces de routeur sur toutes les interfaces IPv6 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP sécurisées sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv6 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour ignorer les réponses d'erreur ICMP incorrectes sur les interfaces IPv4 | inconnu | réussite |
| 3.1.20 | Activer le paramètre du noyau pour ignorer les requêtes d'écho de diffusion ICMP sur les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 | inconnu | réussite |
| 3.1.20 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour utiliser les cookies de synchronisation TCP sur les interfaces réseau | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 par défaut | inconnu | réussite |
| 3.1.21 | Désactiver le chargement de Modprobe du pilote de stockage USB | modérés | réussite |
| 3.1.7 | Activer la disposition aléatoire de l'espace d'adressage virtuel | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - renommer | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur : renameat | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur – dissocier | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - unlinkat | modérés | réussite |
| 3.1.7 | Vérifier que l'audit Collecte des informations sur l'exportation vers les médias (réussi) | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte des informations sur le chargement du module du noyau : init_module | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte des informations sur la suppression des modules du noyau : delete_module | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation des commandes privilégiées - su | modérés | réussite |
| 3.1.7 | S'assurer que l'audit collecte des informations sur l'utilisation de commandes privilégiées (sudo) | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : sudoedit | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : umount | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : unix_chkpwd | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les actions de l'administrateur système | modérés | réussite |
| 3.1.7 | Enregistrer toutes les tentatives d'exécution de chcon | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : lastlog | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : tallylog | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des informations de processus et d'initiation de session | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification du fichier localtime | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via adjtimex | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via clock_settime | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via settimeofday | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification du temps via stime | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chmod | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmod | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmodat | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchownat | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fremovexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fsetxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lchown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lremovexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lsetxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : removexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : setxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient l'environnement réseau du système | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/group | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/gshadow | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/passwd | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/security/opasswd | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/shadow | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non autorisées aux fichiers - creat | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - ftruncate | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - ouvert | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès infructueuses aux fichiers - openat | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - tronquer | modérés | réussite |
| 3.1.8 | Verrouiller les comptes après des tentatives de saisie de mot de passe infructueuses | modérés | réussite |
| 3.1.8 | Enregistrer les événements qui modifient les contrôles d'accès obligatoires du système | modérés | réussite |
| 3.1.8 | Définir le délai de verrouillage en cas de tentative de saisie de mot de passe incorrecte | modérés | réussite |
| 3.1.9 | Activer la bannière d'avertissement SSH | modérés | réussite |
| 3.1.9 | Modifier la bannière de connexion au système | modérés | réussite |
| 3.3.1, 3.3.2, 3.3.6 | Activer le service d'audit | modérés | réussite |
| 3.3.1, 3.4.3 | Rendre la configuration auditée immuable | modérés | réussite |
| 3.3.1 | Configurer l'action admin_space_left auditée en cas d'espace disque insuffisant | modérés | réussite |
| 3.3.1 | Configurer l'action mail_acct auditée en cas d'espace disque insuffisant | modérés | réussite |
| 3.3.1 | Configurer l'action space_left auditée en cas d'espace disque faible | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent être détenus par le groupe racine | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent appartenir à l'utilisateur racine | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent être configurés en mode 0640 ou moins permissif | modérés | réussite |
| 3.4.3 | Désactiver la prise en charge de RDS | faibles | réussite |
| 3.4.4 | Désactiver la prise en charge de TIPC | faibles | réussite |
| 3.4.5 | Vérifier les autorisations de /boot/grub/grub.cfg | modérés | réussite |
| 3.4.6 | Désactiver la prise en charge du DCCP | modérés | réussite |
| 3.4.6 | Désactiver le montage de cramfs | faibles | réussite |
| 3.4.6 | Désactiver le montage de squashfs | faibles | réussite |
| 3.4.6 | Désactiver le montage de udf | faibles | réussite |
| 3.4.6 | Désactiver la prise en charge de SCTP | modérés | réussite |
| 3.4.6 | Désactiver l'automounter | modérés | réussite |
| 3.5.1.2 | Supprimer le paquet iptables-persistent | modérés | réussite |
| 3.5.10 | Vérifier que tous les hachages de mots de passe de compte sont masqués | modérés | réussite |
| 3.5.2.1 | Installer le paquet nftables | modérés | réussite |
| 3.5.2.10 | Vérifier que les règles nftables sont permanentes | modérés | réussite |
| 3.5.2.4 | Vérifier qu'une table existe pour Nftables | modérés | réussite |
| 3.5.2.5 | Vérifier que des chaînes de base existent pour Nftables | modérés | réussite |
| 3.5.2.9 | Vérifier que le service nftables est activé | modérés | réussite |
| 3.5.3.1.1 | Installer le paquet iptables | modérés | réussite |
| 3.5.3.1.3 | Supprimer le package ufw | modérés | réussite |
| 3.5.6 | Définir l'expiration du compte en cas d'inactivité | modérés | réussite |
| 3.5.8 | Limiter la réutilisation des mots de passe | modérés | réussite |
| 3.5.8 | Définir la durée de vie minimale du mot de passe | modérés | réussite |
| 3.5.8 | Définir l'âge de l'avertissement de mot de passe | modérés | réussite |
| 4.1.1.1 | Vérifier que le sous-système d'audit est installé | modérés | réussite |
| 4.1.1.4 | Augmenter la limite de la file d'attente d'audit pour le daemon d'audit | faibles | réussite |
| 4.1.2.1 | Configurer la taille maximale du fichier journal d'audit | modérés | réussite |
| 4.1.2.2 | Configurer max_log_file_action audité lorsque la taille maximale du journal est atteinte | modérés | réussite |
| 4.1.3.12 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : faillog | modérés | réussite |
| 4.1.3.16 | Enregistrer toutes les tentatives d'exécution de setfacl | modérés | réussite |
| 4.1.3.17 | Enregistrer toutes les tentatives d'exécution de chacl | modérés | réussite |
| 4.1.3.18 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : usermod | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : insmod | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées - modprobe | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : rmmod | modérés | réussite |
| 4.1.3.2 | Enregistrer des événements lorsque des exécutables privilégiés sont exécutés | modérés | réussite |
| 4.1.3.3 | Enregistrer les tentatives d'exécution d'activités de maintenance | modérés | réussite |
| 4.1.4.10 | Vérifier que les outils d'audit appartiennent au groupe racine | modérés | réussite |
| 4.1.4.4 | Les journaux d'audit système doivent être configurés en mode 0750 ou moins permissif | modérés | réussite |
| 4.1.4.5 | Vérifier les autorisations sur /etc/audit/auditd.conf | modérés | réussite |
| 4.1.4.5 | Vérifier les autorisations sur /etc/audit/rules.d/*.rules | modérés | réussite |
| 4.1.4.6 | Les fichiers de configuration d'audit doivent appartenir à l'utilisateur racine | modérés | réussite |
| 4.1.4.7 | Les fichiers de configuration d'audit doivent appartenir au groupe racine | modérés | réussite |
| 4.1.4.8 | Vérifier que les outils d'audit sont en mode 0755 ou inférieur | modérés | réussite |
| 4.1.4.9 | Vérifier que les outils d'audit appartiennent à l'utilisateur racine | modérés | réussite |
| 4.2.1.1.1 | Installer le package systemd-journal-remote | modérés | réussite |
| 4.2.1.1.4 | Désactiver le socket systemd-journal-remote | modérés | réussite |
| 4.2.1.2 | Activer le service systemd-journald | modérés | réussite |
| 4.2.1.3 | Assurez-vous que journald est configuré pour compresser les fichiers journaux volumineux | modérés | réussite |
| 4.2.1.4 | Assurez-vous que journald est configuré pour écrire les fichiers journaux sur le disque persistant | modérés | réussite |
| 4.2.2.1 | Vérifier que rsyslog est installé | modérés | réussite |
| 4.2.2.2 | Activer le service rsyslog | modérés | réussite |
| 4.2.2.4 | Vérifier que les autorisations de fichiers par défaut de rsyslog sont configurées | modérés | réussite |
| 4.2.2.7 | Assurez-vous que rsyslog n'accepte pas les messages distants, sauf s'il agit en tant que serveur de journaux | modérés | réussite |
| 5.1.1 | Activer le service cron | modérés | réussite |
| 5.1.2 | Vérifier le groupe propriétaire du fichier crontab | modérés | réussite |
| 5.1.2 | Valider le propriétaire dans crontab | modérés | réussite |
| 5.1.2 | Vérifier les autorisations sur le fichier crontab | modérés | réussite |
| 5.1.3 | Vérifier le groupe propriétaire de cron.hourly | modérés | réussite |
| 5.1.3 | Valider le propriétaire sur cron.hourly | modérés | réussite |
| 5.1.3 | Vérifier les autorisations sur cron.hourly | modérés | réussite |
| 5.1.4 | Vérifier le groupe propriétaire de cron.daily | modérés | réussite |
| 5.1.4 | Valider le propriétaire sur cron.daily | modérés | réussite |
| 5.1.4 | Vérifier les autorisations sur cron.daily | modérés | réussite |
| 5.1.5 | Vérifier le groupe propriétaire de cron.weekly | modérés | réussite |
| 5.1.5 | Valider le propriétaire sur cron.weekly | modérés | réussite |
| 5.1.5 | Vérifier les autorisations sur cron.weekly | modérés | réussite |
| 5.1.6 | Vérifier le groupe propriétaire de cron.monthly | modérés | réussite |
| 5.1.6 | Valider le propriétaire sur cron.monthly | modérés | réussite |
| 5.1.6 | Vérifier les autorisations sur cron.monthly | modérés | réussite |
| 5.1.7 | Vérifier le groupe propriétaire de cron.d | modérés | réussite |
| 5.1.7 | Vérifier le propriétaire dans cron.d | modérés | réussite |
| 5.1.7 | Vérifier les autorisations sur cron.d | modérés | réussite |
| 5.1.8 | Assurez-vous que /etc/cron.deny n'existe pas | modérés | réussite |
| 5.1.8 | Vérifier le groupe propriétaire du fichier /etc/cron.allow | modérés | réussite |
| 5.1.8 | Vérifier les autorisations sur le fichier /etc/cron.allow | modérés | réussite |
| 5.1.8 | Vérifier l'utilisateur propriétaire du fichier /etc/cron.allow | modérés | réussite |
| 5.1.9 | Vérifiez que /etc/at.deny n'existe pas | modérés | réussite |
| 5.1.9 | Vérifier le groupe propriétaire du fichier /etc/at.allow | modérés | réussite |
| 5.1.9 | Vérifier les autorisations sur le fichier /etc/at.allow | modérés | réussite |
| 5.1.9 | Vérifier l'utilisateur propriétaire du fichier /etc/at.allow | modérés | réussite |
| 5.2.1 | Vérifier le groupe propriétaire du fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.1 | Vérifier le propriétaire du fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.1 | Vérifier les autorisations sur le fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.12 | Désactiver le transfert X11 | modérés | réussite |
| 5.2.13 | N'utiliser que des algorithmes de chiffrement sécurisés | modérés | réussite |
| 5.2.14 | N'utiliser que des adresses MAC sécurisées | modérés | réussite |
| 5.2.15 | N'utiliser que des algorithmes d'échange de clés sécurisés | modérés | réussite |
| 5.2.16 | Désactiver le transfert TCP SSH | modérés | réussite |
| 5.2.18 | Définir la limite de tentatives d'authentification SSH | modérés | réussite |
| 5.2.19 | Vérifier que SSH MaxStartups est configuré | modérés | réussite |
| 5.2.20 | Définir la limite de sessions SSH | modérés | réussite |
| 5.2.21 | Vérifier que LoginGraceTime est configuré pour SSH | modérés | réussite |
| 5.2.5 | Définir LogLevel sur INFO | faibles | réussite |
| 5.2.6 | Activer le gestionnaire d'accès privilégié | modérés | réussite |
| 5.3.1 | Installer le paquet sudo | modérés | réussite |
| 5.3.2 | S'assurer que seuls les utilisateurs connectés à un tty réel peuvent exécuter sudo (sudo use_pty) | modérés | réussite |
| 5.3.3 | S'assurer que le fichier journal sudo existe - fichier journal sudo | faibles | réussite |
| 5.3.5 | S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo !authenticate) | modérés | réussite |
| 5.3.6 | Exiger une nouvelle authentification lors de l'utilisation de la commande sudo | modérés | réussite |
| 5.3.7 | Appliquer l'utilisation de pam_wheel avec le paramètre de groupe pour l'authentification su | modérés | réussite |
| 5.3.7 | Vérifier que le groupe utilisé par le module pam_wheel existe sur le système et qu'il est vide | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences relatives aux mots de passe : invites de nouvelle tentative d'authentification autorisées par session | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de mot de passe : catégories différentes minimales | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de mot de passe : nombre minimal de chiffres | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de longueur minimale des mots de passe | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences concernant les mots de passe : nombre minimal de caractères minuscules | modérés | réussite |
| 5.4.1 | Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères spéciaux | modérés | réussite |
| 5.4.1 | Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères en majuscule | modérés | réussite |
| 5.4.1 | Installer le package pam_pwquality | modérés | réussite |
| 5.4.2 | Définir l'intervalle pour comptabiliser les tentatives de saisie de mot de passe infructueuses | modérés | réussite |
| 5.4.4 | Définir l'algorithme de hachage de mot de passe dans /etc/login.defs | modérés | réussite |
| 5.5.1.1 | Définir la durée de vie minimale des mots de passe existants | modérés | réussite |
| 5.5.1.2 | Définir la durée de vie maximale des mots de passe existants | modérés | réussite |
| 5.5.1.5 | Assurez-vous que la date du dernier changement de mot de passe de tous les utilisateurs est antérieure | modérés | réussite |
| 5.5.2 | Assurez-vous que les comptes système n'exécutent pas de shell lors de la connexion | modérés | réussite |
| 5.5.3 | Vérifier que la racine a un GID principal de 0 | high | réussite |
| 5.5.4 | Vérifier que l'umask Bash par défaut est correctement défini | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini pour les utilisateurs interactifs | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini dans /etc/profile | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini dans login.defs | modérés | réussite |
| 6.1.1 | Vérifier le groupe propriétaire du fichier passwd | modérés | réussite |
| 6.1.1 | Vérifier les autorisations sur le fichier passwd | modérés | réussite |
| 6.1.1 | Vérifier l'utilisateur propriétaire du fichier passwd | modérés | réussite |
| 6.1.2 | Vérifier le groupe propriétaire du fichier passwd de sauvegarde | modérés | réussite |
| 6.1.2 | Vérifier les autorisations sur le fichier passwd de sauvegarde | modérés | réussite |
| 6.1.2 | Vérifier l'utilisateur propriétaire du fichier passwd de sauvegarde | modérés | réussite |
| 6.1.3 | Vérifier le groupe propriétaire du fichier de groupe | modérés | réussite |
| 6.1.3 | Vérifier les autorisations sur le fichier de groupe | modérés | réussite |
| 6.1.3 | Vérifier l'utilisateur propriétaire du fichier de groupe | modérés | réussite |
| 6.1.4 | Vérifier le groupe propriétaire du fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.4 | Vérifier les autorisations sur le fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.4 | Vérifier l'utilisateur propriétaire du fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.5 | Vérifier le groupe propriétaire du fichier d'ombre | modérés | réussite |
| 6.1.5 | Vérifier les autorisations sur le fichier d'ombre | modérés | réussite |
| 6.1.5 | Vérifier l'utilisateur propriétaire du fichier d'ombre | modérés | réussite |
| 6.1.6 | Vérifier le groupe propriétaire du fichier d'ombre de sauvegarde | modérés | réussite |
| 6.1.6 | Vérifier les autorisations sur le fichier de sauvegarde ombragé | modérés | réussite |
| 6.1.6 | Vérifier l'utilisateur propriétaire du fichier d'ombre de sauvegarde | modérés | réussite |
| 6.1.7 | Vérifier le groupe propriétaire du fichier gshadow | modérés | réussite |
| 6.1.7 | Vérifier les autorisations sur le fichier gshadow | modérés | réussite |
| 6.1.7 | Vérifier l'utilisateur propriétaire du fichier gshadow | modérés | réussite |
| 6.1.8 | Vérifier le groupe propriétaire du fichier gshadow de sauvegarde | modérés | réussite |
| 6.1.8 | Vérifier les autorisations sur le fichier gshadow de sauvegarde | modérés | réussite |
| 6.1.8 | Vérifier l'utilisateur propriétaire du fichier gshadow de sauvegarde | modérés | réussite |
| 6.2.11 | Tous les répertoires d'accueil des utilisateurs interactifs doivent exister | modérés | réussite |
| 6.2.12 | Tous les répertoires d'accueil utilisateur interactifs doivent appartenir au groupe principal | modérés | réussite |
| 6.2.12 | Tous les répertoires d'accueil des utilisateurs interactifs doivent appartenir à l'utilisateur principal | modérés | réussite |
| 6.2.13 | Tous les répertoires d'accueil utilisateur interactifs doivent être configurés en mode 0750 ou moins permissif | modérés | réussite |
| 6.2.14 | Vérifier qu'aucun fichier netrc n'existe | modérés | réussite |
| 6.2.15 | Vérifier qu'aucun fichier .forward n'existe | modérés | réussite |
| 6.2.16 | Supprimer les fichiers de confiance Rsh | high | réussite |
| 6.2.17 | Les fichiers d'initialisation de l'utilisateur doivent appartenir au groupe principal | modérés | réussite |
| 6.2.17 | Les fichiers d'initialisation de l'utilisateur doivent appartenir à l'utilisateur principal | modérés | réussite |
| 6.2.17 | Les fichiers d'initialisation utilisateur ne doivent pas exécuter de programmes en écriture pour tous | modérés | réussite |
| 6.2.2 | Vérifier qu'aucun compte n'a de mot de passe vide ou nul | high | réussite |
| 6.2.3 | Tous les GID référencés dans /etc/passwd doivent être définis dans /etc/group. | faibles | réussite |
| 6.2.4 | Vérifier que le groupe d'ombre est vide | modérés | réussite |
| 6.2.5 | Assurez-vous que tous les comptes du système disposent d'ID utilisateur uniques | modérés | réussite |
| 6.2.6 | Assurez-vous que tous les groupes du système disposent d'un ID de groupe unique | modérés | réussite |
| 6.2.7 | Assurez-vous que tous les comptes du système ont un nom unique | modérés | réussite |
| 6.2.8 | Assurez-vous que tous les groupes du système ont un nom unique | modérés | réussite |
| 6.2.9 | Assurez-vous que le chemin d'accès racine n'inclut pas de chemins relatifs ni de répertoires nuls | inconnu | réussite |
| 6.2.9 | Assurez-vous que le chemin d'accès racine n'inclut pas de répertoires accessibles en écriture pour le monde ou le groupe | modérés | réussite |
Recommandations non applicables
Le tableau suivant répertorie les recommandations qui ne s'appliquent pas à Google Distributed Cloud.
| # | Recommandation | Gravité | État |
|---|---|---|---|
| 1.1.2.2 | Ajouter l'option nodev à /tmp | modérés | notapplicable |
| 1.1.2.3 | Ajouter l'option noexec à /tmp | modérés | notapplicable |
| 1.1.2.4 | Ajouter l'option nosuid à /tmp | modérés | notapplicable |
| 1.1.3.2 | Ajouter l'option nodev à /var | modérés | notapplicable |
| 1.1.3.3 | Ajouter l'option nosuid à /var | modérés | notapplicable |
| 1.1.4.2 | Ajouter l'option noexec à /var/tmp | modérés | notapplicable |
| 1.1.4.3 | Ajouter l'option nosuid à /var/tmp | modérés | notapplicable |
| 1.1.4.4 | Ajouter l'option nodev à /var/tmp | modérés | notapplicable |
| 1.1.5.2 | Ajouter l'option nodev à /var/log | modérés | notapplicable |
| 1.1.5.3 | Ajouter l'option noexec à /var/log | modérés | notapplicable |
| 1.1.5.4 | Ajouter l'option nosuid à /var/log | modérés | notapplicable |
| 1.1.6.2 | Ajouter l'option noexec à /var/log/audit | modérés | notapplicable |
| 1.1.6.3 | Ajouter l'option nodev à /var/log/audit | modérés | notapplicable |
| 1.1.6.4 | Ajouter l'option nosuid à /var/log/audit | modérés | notapplicable |
| 1.1.7.2 | Ajouter l'option nodev à /home | inconnu | notapplicable |
| 1.1.7.3 | Ajout de l'option nosuid à /home | modérés | notapplicable |
| 1.10 | Configurer le profil utilisateur DConf de GNOME3 | high | notapplicable |
| 1.8.1 | Supprimer le groupe de paquets GDM | modérés | notapplicable |
| 1.8.10 | Désactiver XDMCP dans GDM | high | notapplicable |
| 2.1.4.1 | Configurer les restrictions de serveur pour ntpd | modérés | notapplicable |
| 2.1.4.3 | Configurer ntpd pour qu'il s'exécute en tant qu'utilisateur ntp | modérés | notapplicable |
| 2.1.4.4 | Activer le démon NTP | high | notapplicable |
| 2.2.15 | Désactiver l'écoute réseau Postfix | modérés | notapplicable |
| 3.1.10 | Activer le verrouillage de l'économiseur d'écran GNOME3 après une période d'inactivité | modérés | notapplicable |
| 3.1.10 | Définir le délai de verrouillage de l'économiseur d'écran GNOME3 après la période d'activation | modérés | notapplicable |
| 3.1.7 | Désactiver l'ouverture automatique de GNOME3 | modérés | notapplicable |
| 3.1.7 | Désactiver l'exécution de l'automontage GNOME3 | faibles | notapplicable |
| 3.1.7 | Désactiver l'automontage de GNOME3 | modérés | notapplicable |
| 3.4.5 | Définir le mot de passe du bootloader UEFI | high | notapplicable |
| 3.5.1.3 | Vérifier que ufw est activé | modérés | notapplicable |
| 3.5.1.4 | Définir le trafic de bouclage UFW | modérés | notapplicable |
| 3.5.1.6 | Assurez-vous qu'il existe des règles de pare-feu ufw pour tous les ports ouverts | modérés | notapplicable |
| 3.5.1.7 | Vérifier que la stratégie de pare-feu de refus par défaut est définie pour ufw | modérés | notapplicable |
| 3.5.3.2.1 | Définir la règle iptables par défaut pour les paquets entrants | modérés | notapplicable |
| 3.5.3.2.2 | Définir la configuration pour le trafic de bouclage | modérés | notapplicable |
| 3.5.3.2.4 | Assurez-vous qu'il existe des règles de pare-feu iptables pour tous les ports ouverts | modérés | notapplicable |
| 3.5.3.3.1 | Définir la règle ip6tables par défaut pour les paquets entrants | modérés | notapplicable |
| 3.5.3.3.4 | Assurez-vous qu'il existe des règles de pare-feu ip6tables pour tous les ports ouverts | modérés | notapplicable |
1.31
Versions
Cette section fait référence aux versions suivantes:
| Version de Google Distributed Cloud | Version Ubuntu | Version du benchmark CIS d'Ubuntu | Niveau CIS |
|---|---|---|---|
| 1.31 | 22.04 LTS | v1.0.0 | Serveur de niveau 2 |
Recommandations non appliquées
Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud s'écarte des recommandations du benchmark. Pour chaque recommandation, nous catégorisons l'état de la défaillance, fournissons une justification de la défaillance et listons les composants concernés.
| # | Recommandation | État | Justification | Composants concernés |
|---|---|---|---|---|
| 1.1.2.1 | Assurez-vous que /tmp se trouve sur une partition distincte | Échec | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.3.1 | Assurez-vous que /var se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.4.1 | Assurez-vous que /var/tmp se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.5.1 | Assurez-vous que /var/log se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.6.1 | Vérifier que /var/log/audit se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.7.1 | Assurez-vous que /home se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.1 | Définir le mot de passe du bootloader dans grub2 | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.3 | Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 2.3.6 | Désinstaller le package rpcbind | Échec | rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.3.7 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 | Dépend de l'environnement | Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. | Tous les nœuds de cluster, Seesaw |
| 3.5.2.6 | Définir la configuration nftables pour le trafic de rebouclage | Impossible à corriger | Le réseau Anthos a été affecté par cette règle. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.5.2.8 | Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables | Dépend de l'environnement | Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 4.2.3 | Vérifier les autorisations des fichiers journaux | Échec | Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.2.18 | Limiter l'accès SSH des utilisateurs | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.3.4 | S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.5.1.2 | Définir la durée de vie maximale du mot de passe | Contrôle équivalent | Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. | Tous les nœuds de cluster |
| 6.1.10 | Assurez-vous que tous les fichiers sont la propriété d'un utilisateur | Échec | Les autorisations ont été laissées par défaut. | Tous les nœuds de cluster |
Recommandations acceptées
Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud respecte les recommandations du benchmark.
| # | Recommandation | Gravité | État |
|---|---|---|---|
| 1.1.8.1 | Ajouter l'option nodev à /dev/shm | modérés | réussite |
| 1.1.8.2 | Ajouter l'option noexec à /dev/shm | modérés | réussite |
| 1.1.8.3 | Ajout de l'option nosuid à /dev/shm | modérés | réussite |
| 1.5.2 | Le package "prelink" ne doit pas être installé | modérés | réussite |
| 1.5.3 | Désactiver le service Apport | inconnu | réussite |
| 1.5.4 | Désactiver les vidages de mémoire pour tous les utilisateurs | modérés | réussite |
| 1.5.4 | Désactiver les fichiers de vidage de mémoire pour les programmes SUID | modérés | réussite |
| 1.6.1.1 | Vérifier qu'AppArmor est installé | modérés | réussite |
| 1.6.1.2 | Assurez-vous qu'AppArmor est activé dans la configuration du bootloader | modérés | réussite |
| 1.6.1.4 | Appliquer tous les profils AppArmor | modérés | réussite |
| 1.7.1 | Modifier la bannière du message système du jour | modérés | réussite |
| 1.7.3 | Modifier la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 1.7.4 | Valider la propriété du groupe de la bannière du message du jour | modérés | réussite |
| 1.7.4 | Valider la propriété de la bannière du message du jour | modérés | réussite |
| 1.7.4 | Vérifier les autorisations de la bannière du message du jour | modérés | réussite |
| 1.7.5 | Vérifier la propriété du groupe de la bannière de connexion au système | modérés | réussite |
| 1.7.5 | Valider la propriété de la bannière de connexion au système | modérés | réussite |
| 1.7.5 | Vérifier les autorisations de la bannière de connexion au système | modérés | réussite |
| 1.7.6 | Vérifier la propriété du groupe de la bannière de connexion au système pour les connexions à distance | modérés | réussite |
| 1.7.6 | Vérifier la propriété de la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 1.7.6 | Vérifier les autorisations de la bannière de connexion système pour les connexions à distance | modérés | réussite |
| 2.1.1.1 | Installer le service systemd_timesyncd | high | réussite |
| 2.1.3.2 | Activer le service systemd_timesyncd | high | réussite |
| 2.2.1 | Supprimer le groupe de paquets X Windows | modérés | réussite |
| 2.2.10 | Désinstaller le paquet cyrus-imapd | inconnu | réussite |
| 2.2.10 | Désinstaller le package Dovecot | inconnu | réussite |
| 2.2.11 | Désinstaller le package Samba | inconnu | réussite |
| 2.2.12 | Désinstaller le package squid | inconnu | réussite |
| 2.2.13 | Désinstaller le package net-snmp | inconnu | réussite |
| 2.2.14 | Désinstaller le package nis | faibles | réussite |
| 2.2.15 | Assurez-vous que le MTA n'écoute aucune adresse non loopback | modérés | réussite |
| 2.2.16 | Désinstaller le package rsync | modérés | réussite |
| 2.2.2 | Désactiver le logiciel de serveur Avahi | modérés | réussite |
| 2.2.2 | Désinstaller le package de serveur avahi | modérés | réussite |
| 2.2.3 | Désactiver le service CUPS | inconnu | réussite |
| 2.2.3 | Désinstaller le package CUPS | inconnu | réussite |
| 2.2.4 | Désinstaller le package du serveur DHCP | modérés | réussite |
| 2.2.5 | Désinstaller le package openldap-servers | faibles | réussite |
| 2.2.6 | Désinstaller le package nfs-kernel-server | faibles | réussite |
| 2.2.7 | Désinstaller le package de liaison | faibles | réussite |
| 2.2.8 | Désinstaller le package vsftpd | high | réussite |
| 2.2.9 | Désinstaller le package httpd | inconnu | réussite |
| 2.2.9 | Désinstaller le package nginx | inconnu | réussite |
| 2.3.3 | Désinstaller le package Talk | modérés | réussite |
| 2.3.5 | Vérifier que le client LDAP n'est pas installé | faibles | réussite |
| 3.1.1, 3.1.5 | Désactiver l'accès SSH via des mots de passe vides | high | réussite |
| 3.1.1, 3.1.5 | Désactiver la connexion racine via SSH | modérés | réussite |
| 3.1.1, 3.1.5 | Vérifier que seul l'utilisateur racine a un UID 0 | high | réussite |
| 3.1.11 | Définir le délai avant expiration de la session interactive | modérés | réussite |
| 3.1.11 | Définir la valeur maximale du nombre de fois où le client SSH est actif | modérés | réussite |
| 3.1.11 | Définir l'intervalle de vérification du client SSH | modérés | réussite |
| 3.1.12 | Désactiver l'authentification basée sur l'hôte | modérés | réussite |
| 3.1.12 | Désactiver la prise en charge de SSH pour les fichiers .rhosts | modérés | réussite |
| 3.1.12 | Ne pas autoriser les options d'environnement SSH | modérés | réussite |
| 3.1.13, 3.13.10 | Vérifier les autorisations sur les fichiers de clés privées *_key du serveur SSH | modérés | réussite |
| 3.1.13, 3.13.10 | Vérifier les autorisations sur les fichiers de clés publiques *.pub du serveur SSH | modérés | réussite |
| 3.1.13 | Supprimer les clients telnet | faibles | réussite |
| 3.1.13 | Désinstaller le package rsh | inconnu | réussite |
| 3.1.16 | Désactiver les interfaces réseau sans fil | modérés | réussite |
| 3.1.20 | Configurer l'acceptation des annonces de routeur sur toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Configurer le paramètre du noyau pour accepter les redirections sécurisées par défaut | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver l'acceptation des annonces de routeur sur toutes les interfaces IPv6 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les redirections ICMP sécurisées sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv6 | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv6 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour ignorer les réponses d'erreur ICMP incorrectes sur les interfaces IPv4 | inconnu | réussite |
| 3.1.20 | Activer le paramètre du noyau pour ignorer les requêtes d'écho de diffusion ICMP sur les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 | inconnu | réussite |
| 3.1.20 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 par défaut | modérés | réussite |
| 3.1.20 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour utiliser les cookies de synchronisation TCP sur les interfaces réseau | modérés | réussite |
| 3.1.20 | Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 par défaut | inconnu | réussite |
| 3.1.21 | Désactiver le chargement de Modprobe du pilote de stockage USB | modérés | réussite |
| 3.1.7 | Activer la disposition aléatoire de l'espace d'adressage virtuel | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - renommer | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur : renameat | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur – dissocier | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - unlinkat | modérés | réussite |
| 3.1.7 | Vérifier que l'audit Collecte des informations sur l'exportation vers les médias (réussi) | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte des informations sur le chargement du module du noyau : init_module | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte des informations sur la suppression des modules du noyau : delete_module | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation des commandes privilégiées - su | modérés | réussite |
| 3.1.7 | S'assurer que l'audit collecte des informations sur l'utilisation de commandes privilégiées (sudo) | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : sudoedit | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : umount | modérés | réussite |
| 3.1.7 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : unix_chkpwd | modérés | réussite |
| 3.1.7 | Assurez-vous que l'audit collecte les actions de l'administrateur système | modérés | réussite |
| 3.1.7 | Enregistrer toutes les tentatives d'exécution de chcon | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : lastlog | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : tallylog | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification des informations de processus et d'initiation de session | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification du fichier localtime | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via adjtimex | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via clock_settime | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification de l'heure via settimeofday | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives de modification du temps via stime | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chmod | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmod | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmodat | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchownat | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fremovexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fsetxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lchown | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lremovexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lsetxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : removexattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : setxattr | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient l'environnement réseau du système | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/group | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/gshadow | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/passwd | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/security/opasswd | modérés | réussite |
| 3.1.7 | Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/shadow | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non autorisées aux fichiers - creat | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - ftruncate | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - ouvert | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès infructueuses aux fichiers - openat | modérés | réussite |
| 3.1.7 | Enregistrer les tentatives d'accès non réussies aux fichiers - tronquer | modérés | réussite |
| 3.1.8 | Verrouiller les comptes après des tentatives de saisie de mot de passe infructueuses | modérés | réussite |
| 3.1.8 | Enregistrer les événements qui modifient les contrôles d'accès obligatoires du système | modérés | réussite |
| 3.1.8 | Définir le délai de verrouillage en cas de tentative de saisie de mot de passe incorrecte | modérés | réussite |
| 3.1.9 | Activer la bannière d'avertissement SSH | modérés | réussite |
| 3.1.9 | Modifier la bannière de connexion au système | modérés | réussite |
| 3.3.1, 3.3.2, 3.3.6 | Activer le service d'audit | modérés | réussite |
| 3.3.1, 3.4.3 | Rendre la configuration auditée immuable | modérés | réussite |
| 3.3.1 | Configurer l'action admin_space_left auditée en cas d'espace disque insuffisant | modérés | réussite |
| 3.3.1 | Configurer l'action mail_acct auditée en cas d'espace disque insuffisant | modérés | réussite |
| 3.3.1 | Configurer l'action space_left auditée en cas d'espace disque faible | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent être détenus par le groupe racine | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent appartenir à l'utilisateur racine | modérés | réussite |
| 3.3.1 | Les journaux d'audit système doivent être configurés en mode 0640 ou moins permissif | modérés | réussite |
| 3.4.3 | Désactiver la prise en charge de RDS | faibles | réussite |
| 3.4.4 | Désactiver la prise en charge de TIPC | faibles | réussite |
| 3.4.5 | Vérifier les autorisations de /boot/grub/grub.cfg | modérés | réussite |
| 3.4.6 | Désactiver la prise en charge du DCCP | modérés | réussite |
| 3.4.6 | Désactiver le montage de cramfs | faibles | réussite |
| 3.4.6 | Désactiver le montage de squashfs | faibles | réussite |
| 3.4.6 | Désactiver le montage de udf | faibles | réussite |
| 3.4.6 | Désactiver la prise en charge de SCTP | modérés | réussite |
| 3.4.6 | Désactiver l'automounter | modérés | réussite |
| 3.5.1.2 | Supprimer le paquet iptables-persistent | modérés | réussite |
| 3.5.10 | Vérifier que tous les hachages de mots de passe de compte sont masqués | modérés | réussite |
| 3.5.2.1 | Installer le paquet nftables | modérés | réussite |
| 3.5.2.10 | Vérifier que les règles nftables sont permanentes | modérés | réussite |
| 3.5.2.4 | Vérifier qu'une table existe pour Nftables | modérés | réussite |
| 3.5.2.5 | Vérifier que des chaînes de base existent pour Nftables | modérés | réussite |
| 3.5.2.9 | Vérifier que le service nftables est activé | modérés | réussite |
| 3.5.3.1.1 | Installer le paquet iptables | modérés | réussite |
| 3.5.3.1.3 | Supprimer le package ufw | modérés | réussite |
| 3.5.6 | Définir l'expiration du compte en cas d'inactivité | modérés | réussite |
| 3.5.8 | Limiter la réutilisation des mots de passe | modérés | réussite |
| 3.5.8 | Définir la durée de vie minimale du mot de passe | modérés | réussite |
| 3.5.8 | Définir l'âge de l'avertissement de mot de passe | modérés | réussite |
| 4.1.1.1 | Vérifier que le sous-système d'audit est installé | modérés | réussite |
| 4.1.1.4 | Augmenter la limite de la file d'attente d'audit pour le daemon d'audit | faibles | réussite |
| 4.1.2.1 | Configurer la taille maximale du fichier journal d'audit | modérés | réussite |
| 4.1.2.2 | Configurer max_log_file_action audité lorsque la taille maximale du journal est atteinte | modérés | réussite |
| 4.1.3.12 | Enregistrer les tentatives de modification des événements de connexion et de déconnexion : faillog | modérés | réussite |
| 4.1.3.16 | Enregistrer toutes les tentatives d'exécution de setfacl | modérés | réussite |
| 4.1.3.17 | Enregistrer toutes les tentatives d'exécution de chacl | modérés | réussite |
| 4.1.3.18 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : usermod | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : insmod | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées - modprobe | modérés | réussite |
| 4.1.3.19 | Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : rmmod | modérés | réussite |
| 4.1.3.2 | Enregistrer des événements lorsque des exécutables privilégiés sont exécutés | modérés | réussite |
| 4.1.3.3 | Enregistrer les tentatives d'exécution d'activités de maintenance | modérés | réussite |
| 4.1.4.10 | Vérifier que les outils d'audit appartiennent au groupe racine | modérés | réussite |
| 4.1.4.4 | Les journaux d'audit système doivent être configurés en mode 0750 ou moins permissif | modérés | réussite |
| 4.1.4.5 | Vérifier les autorisations sur /etc/audit/auditd.conf | modérés | réussite |
| 4.1.4.5 | Vérifier les autorisations sur /etc/audit/rules.d/*.rules | modérés | réussite |
| 4.1.4.6 | Les fichiers de configuration d'audit doivent appartenir à l'utilisateur racine | modérés | réussite |
| 4.1.4.7 | Les fichiers de configuration d'audit doivent appartenir au groupe racine | modérés | réussite |
| 4.1.4.8 | Vérifier que les outils d'audit sont en mode 0755 ou inférieur | modérés | réussite |
| 4.1.4.9 | Vérifier que les outils d'audit appartiennent à l'utilisateur racine | modérés | réussite |
| 4.2.1.1.1 | Installer le package systemd-journal-remote | modérés | réussite |
| 4.2.1.1.4 | Désactiver le socket systemd-journal-remote | modérés | réussite |
| 4.2.1.2 | Activer le service systemd-journald | modérés | réussite |
| 4.2.1.3 | Assurez-vous que journald est configuré pour compresser les fichiers journaux volumineux | modérés | réussite |
| 4.2.1.4 | Assurez-vous que journald est configuré pour écrire les fichiers journaux sur le disque persistant | modérés | réussite |
| 4.2.2.1 | Vérifier que rsyslog est installé | modérés | réussite |
| 4.2.2.2 | Activer le service rsyslog | modérés | réussite |
| 4.2.2.4 | Vérifier que les autorisations de fichiers par défaut de rsyslog sont configurées | modérés | réussite |
| 4.2.2.7 | Assurez-vous que rsyslog n'accepte pas les messages distants, sauf s'il agit en tant que serveur de journaux | modérés | réussite |
| 5.1.1 | Activer le service cron | modérés | réussite |
| 5.1.2 | Vérifier le groupe propriétaire du fichier crontab | modérés | réussite |
| 5.1.2 | Valider le propriétaire dans crontab | modérés | réussite |
| 5.1.2 | Vérifier les autorisations sur le fichier crontab | modérés | réussite |
| 5.1.3 | Vérifier le groupe propriétaire de cron.hourly | modérés | réussite |
| 5.1.3 | Valider le propriétaire sur cron.hourly | modérés | réussite |
| 5.1.3 | Vérifier les autorisations sur cron.hourly | modérés | réussite |
| 5.1.4 | Vérifier le groupe propriétaire de cron.daily | modérés | réussite |
| 5.1.4 | Valider le propriétaire sur cron.daily | modérés | réussite |
| 5.1.4 | Vérifier les autorisations sur cron.daily | modérés | réussite |
| 5.1.5 | Vérifier le groupe propriétaire de cron.weekly | modérés | réussite |
| 5.1.5 | Valider le propriétaire sur cron.weekly | modérés | réussite |
| 5.1.5 | Vérifier les autorisations sur cron.weekly | modérés | réussite |
| 5.1.6 | Vérifier le groupe propriétaire de cron.monthly | modérés | réussite |
| 5.1.6 | Valider le propriétaire sur cron.monthly | modérés | réussite |
| 5.1.6 | Vérifier les autorisations sur cron.monthly | modérés | réussite |
| 5.1.7 | Vérifier le groupe propriétaire de cron.d | modérés | réussite |
| 5.1.7 | Vérifier le propriétaire dans cron.d | modérés | réussite |
| 5.1.7 | Vérifier les autorisations sur cron.d | modérés | réussite |
| 5.1.8 | Assurez-vous que /etc/cron.deny n'existe pas | modérés | réussite |
| 5.1.8 | Vérifier le groupe propriétaire du fichier /etc/cron.allow | modérés | réussite |
| 5.1.8 | Vérifier les autorisations sur le fichier /etc/cron.allow | modérés | réussite |
| 5.1.8 | Vérifier l'utilisateur propriétaire du fichier /etc/cron.allow | modérés | réussite |
| 5.1.9 | Vérifiez que /etc/at.deny n'existe pas | modérés | réussite |
| 5.1.9 | Vérifier le groupe propriétaire du fichier /etc/at.allow | modérés | réussite |
| 5.1.9 | Vérifier les autorisations sur le fichier /etc/at.allow | modérés | réussite |
| 5.1.9 | Vérifier l'utilisateur propriétaire du fichier /etc/at.allow | modérés | réussite |
| 5.2.1 | Vérifier le groupe propriétaire du fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.1 | Vérifier le propriétaire du fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.1 | Vérifier les autorisations sur le fichier de configuration du serveur SSH | modérés | réussite |
| 5.2.12 | Désactiver le transfert X11 | modérés | réussite |
| 5.2.13 | N'utiliser que des algorithmes de chiffrement sécurisés | modérés | réussite |
| 5.2.14 | N'utiliser que des adresses MAC sécurisées | modérés | réussite |
| 5.2.15 | N'utiliser que des algorithmes d'échange de clés sécurisés | modérés | réussite |
| 5.2.16 | Désactiver le transfert TCP SSH | modérés | réussite |
| 5.2.18 | Définir la limite de tentatives d'authentification SSH | modérés | réussite |
| 5.2.19 | Vérifier que SSH MaxStartups est configuré | modérés | réussite |
| 5.2.20 | Définir la limite de sessions SSH | modérés | réussite |
| 5.2.21 | Vérifier que LoginGraceTime est configuré pour SSH | modérés | réussite |
| 5.2.5 | Définir LogLevel sur INFO | faibles | réussite |
| 5.2.6 | Activer le gestionnaire d'accès privilégié | modérés | réussite |
| 5.3.1 | Installer le paquet sudo | modérés | réussite |
| 5.3.2 | S'assurer que seuls les utilisateurs connectés à un tty réel peuvent exécuter sudo (sudo use_pty) | modérés | réussite |
| 5.3.3 | S'assurer que le fichier journal sudo existe - fichier journal sudo | faibles | réussite |
| 5.3.5 | S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo !authenticate) | modérés | réussite |
| 5.3.6 | Exiger une nouvelle authentification lors de l'utilisation de la commande sudo | modérés | réussite |
| 5.3.7 | Appliquer l'utilisation de pam_wheel avec le paramètre de groupe pour l'authentification su | modérés | réussite |
| 5.3.7 | Vérifier que le groupe utilisé par le module pam_wheel existe sur le système et qu'il est vide | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences relatives aux mots de passe : invites de nouvelle tentative d'authentification autorisées par session | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de mot de passe : catégories différentes minimales | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de mot de passe : nombre minimal de chiffres | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences de longueur minimale des mots de passe | modérés | réussite |
| 5.4.1 | Assurez-vous que le PAM applique les exigences concernant les mots de passe : nombre minimal de caractères minuscules | modérés | réussite |
| 5.4.1 | Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères spéciaux | modérés | réussite |
| 5.4.1 | Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères en majuscule | modérés | réussite |
| 5.4.1 | Installer le package pam_pwquality | modérés | réussite |
| 5.4.2 | Définir l'intervalle pour comptabiliser les tentatives de saisie de mot de passe infructueuses | modérés | réussite |
| 5.4.4 | Définir l'algorithme de hachage de mot de passe dans /etc/login.defs | modérés | réussite |
| 5.5.1.1 | Définir la durée de vie minimale des mots de passe existants | modérés | réussite |
| 5.5.1.2 | Définir la durée de vie maximale des mots de passe existants | modérés | réussite |
| 5.5.1.5 | Assurez-vous que la date du dernier changement de mot de passe de tous les utilisateurs est antérieure | modérés | réussite |
| 5.5.2 | Assurez-vous que les comptes système n'exécutent pas de shell lors de la connexion | modérés | réussite |
| 5.5.3 | Vérifier que la racine a un GID principal de 0 | high | réussite |
| 5.5.4 | Vérifier que l'umask Bash par défaut est correctement défini | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini pour les utilisateurs interactifs | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini dans /etc/profile | modérés | réussite |
| 5.5.4 | Vérifier que l'umask par défaut est correctement défini dans login.defs | modérés | réussite |
| 6.1.1 | Vérifier le groupe propriétaire du fichier passwd | modérés | réussite |
| 6.1.1 | Vérifier les autorisations sur le fichier passwd | modérés | réussite |
| 6.1.1 | Vérifier l'utilisateur propriétaire du fichier passwd | modérés | réussite |
| 6.1.2 | Vérifier le groupe propriétaire du fichier passwd de sauvegarde | modérés | réussite |
| 6.1.2 | Vérifier les autorisations sur le fichier passwd de sauvegarde | modérés | réussite |
| 6.1.2 | Vérifier l'utilisateur propriétaire du fichier passwd de sauvegarde | modérés | réussite |
| 6.1.3 | Vérifier le groupe propriétaire du fichier de groupe | modérés | réussite |
| 6.1.3 | Vérifier les autorisations sur le fichier de groupe | modérés | réussite |
| 6.1.3 | Vérifier l'utilisateur propriétaire du fichier de groupe | modérés | réussite |
| 6.1.4 | Vérifier le groupe propriétaire du fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.4 | Vérifier les autorisations sur le fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.4 | Vérifier l'utilisateur propriétaire du fichier de groupe de sauvegarde | modérés | réussite |
| 6.1.5 | Vérifier le groupe propriétaire du fichier d'ombre | modérés | réussite |
| 6.1.5 | Vérifier les autorisations sur le fichier d'ombre | modérés | réussite |
| 6.1.5 | Vérifier l'utilisateur propriétaire du fichier d'ombre | modérés | réussite |
| 6.1.6 | Vérifier le groupe propriétaire du fichier d'ombre de sauvegarde | modérés | réussite |
| 6.1.6 | Vérifier les autorisations sur le fichier de sauvegarde ombragé | modérés | réussite |
| 6.1.6 | Vérifier l'utilisateur propriétaire du fichier d'ombre de sauvegarde | modérés | réussite |
| 6.1.7 | Vérifier le groupe propriétaire du fichier gshadow | modérés | réussite |
| 6.1.7 | Vérifier les autorisations sur le fichier gshadow | modérés | réussite |
| 6.1.7 | Vérifier l'utilisateur propriétaire du fichier gshadow | modérés | réussite |
| 6.1.8 | Vérifier le groupe propriétaire du fichier gshadow de sauvegarde | modérés | réussite |
| 6.1.8 | Vérifier les autorisations sur le fichier gshadow de sauvegarde | modérés | réussite |
| 6.1.8 | Vérifier l'utilisateur propriétaire du fichier gshadow de sauvegarde | modérés | réussite |
| 6.2.11 | Tous les répertoires d'accueil des utilisateurs interactifs doivent exister | modérés | réussite |
| 6.2.12 | Tous les répertoires d'accueil utilisateur interactifs doivent appartenir au groupe principal | modérés | réussite |
| 6.2.12 | Tous les répertoires d'accueil des utilisateurs interactifs doivent appartenir à l'utilisateur principal | modérés | réussite |
| 6.2.13 | Tous les répertoires d'accueil utilisateur interactifs doivent être configurés en mode 0750 ou moins permissif | modérés | réussite |
| 6.2.14 | Vérifier qu'aucun fichier netrc n'existe | modérés | réussite |
| 6.2.15 | Vérifier qu'aucun fichier .forward n'existe | modérés | réussite |
| 6.2.16 | Supprimer les fichiers de confiance Rsh | high | réussite |
| 6.2.17 | Les fichiers d'initialisation de l'utilisateur doivent appartenir au groupe principal | modérés | réussite |
| 6.2.17 | Les fichiers d'initialisation de l'utilisateur doivent appartenir à l'utilisateur principal | modérés | réussite |
| 6.2.17 | Les fichiers d'initialisation utilisateur ne doivent pas exécuter de programmes en écriture pour tous | modérés | réussite |
| 6.2.2 | Vérifier qu'aucun compte n'a de mot de passe vide ou nul | high | réussite |
| 6.2.3 | Tous les GID référencés dans /etc/passwd doivent être définis dans /etc/group. | faibles | réussite |
| 6.2.4 | Vérifier que le groupe d'ombre est vide | modérés | réussite |
| 6.2.5 | Assurez-vous que tous les comptes du système disposent d'ID utilisateur uniques | modérés | réussite |
| 6.2.6 | Assurez-vous que tous les groupes du système disposent d'un ID de groupe unique | modérés | réussite |
| 6.2.7 | Assurez-vous que tous les comptes du système ont un nom unique | modérés | réussite |
| 6.2.8 | Assurez-vous que tous les groupes du système ont un nom unique | modérés | réussite |
| 6.2.9 | Assurez-vous que le chemin d'accès racine n'inclut pas de chemins relatifs ni de répertoires nuls | inconnu | réussite |
| 6.2.9 | Assurez-vous que le chemin d'accès racine n'inclut pas de répertoires accessibles en écriture pour le monde ou le groupe | modérés | réussite |
Recommandations non applicables
Le tableau suivant répertorie les recommandations qui ne s'appliquent pas à Google Distributed Cloud.
| # | Recommandation | Gravité | État |
|---|---|---|---|
| 1.1.2.2 | Ajouter l'option nodev à /tmp | modérés | notapplicable |
| 1.1.2.3 | Ajouter l'option noexec à /tmp | modérés | notapplicable |
| 1.1.2.4 | Ajouter l'option nosuid à /tmp | modérés | notapplicable |
| 1.1.3.2 | Ajouter l'option nodev à /var | modérés | notapplicable |
| 1.1.3.3 | Ajouter l'option nosuid à /var | modérés | notapplicable |
| 1.1.4.2 | Ajouter l'option noexec à /var/tmp | modérés | notapplicable |
| 1.1.4.3 | Ajouter l'option nosuid à /var/tmp | modérés | notapplicable |
| 1.1.4.4 | Ajouter l'option nodev à /var/tmp | modérés | notapplicable |
| 1.1.5.2 | Ajouter l'option nodev à /var/log | modérés | notapplicable |
| 1.1.5.3 | Ajouter l'option noexec à /var/log | modérés | notapplicable |
| 1.1.5.4 | Ajouter l'option nosuid à /var/log | modérés | notapplicable |
| 1.1.6.2 | Ajouter l'option noexec à /var/log/audit | modérés | notapplicable |
| 1.1.6.3 | Ajouter l'option nodev à /var/log/audit | modérés | notapplicable |
| 1.1.6.4 | Ajouter l'option nosuid à /var/log/audit | modérés | notapplicable |
| 1.1.7.2 | Ajouter l'option nodev à /home | inconnu | notapplicable |
| 1.1.7.3 | Ajout de l'option nosuid à /home | modérés | notapplicable |
| 1.10 | Configurer le profil utilisateur DConf de GNOME3 | high | notapplicable |
| 1.8.1 | Supprimer le groupe de paquets GDM | modérés | notapplicable |
| 1.8.10 | Désactiver XDMCP dans GDM | high | notapplicable |
| 2.1.4.1 | Configurer les restrictions de serveur pour ntpd | modérés | notapplicable |
| 2.1.4.3 | Configurer ntpd pour qu'il s'exécute en tant qu'utilisateur ntp | modérés | notapplicable |
| 2.1.4.4 | Activer le démon NTP | high | notapplicable |
| 2.2.15 | Désactiver l'écoute réseau Postfix | modérés | notapplicable |
| 3.1.10 | Activer le verrouillage de l'économiseur d'écran GNOME3 après une période d'inactivité | modérés | notapplicable |
| 3.1.10 | Définir le délai de verrouillage de l'économiseur d'écran GNOME3 après la période d'activation | modérés | notapplicable |
| 3.1.7 | Désactiver l'ouverture automatique de GNOME3 | modérés | notapplicable |
| 3.1.7 | Désactiver l'exécution de l'automontage GNOME3 | faibles | notapplicable |
| 3.1.7 | Désactiver l'automontage de GNOME3 | modérés | notapplicable |
| 3.4.5 | Définir le mot de passe du bootloader UEFI | high | notapplicable |
| 3.5.1.3 | Vérifier que ufw est activé | modérés | notapplicable |
| 3.5.1.4 | Définir le trafic de bouclage UFW | modérés | notapplicable |
| 3.5.1.6 | Assurez-vous qu'il existe des règles de pare-feu ufw pour tous les ports ouverts | modérés | notapplicable |
| 3.5.1.7 | Vérifier que la stratégie de pare-feu de refus par défaut est définie pour ufw | modérés | notapplicable |
| 3.5.3.2.1 | Définir la règle iptables par défaut pour les paquets entrants | modérés | notapplicable |
| 3.5.3.2.2 | Définir la configuration pour le trafic de bouclage | modérés | notapplicable |
| 3.5.3.2.4 | Assurez-vous qu'il existe des règles de pare-feu iptables pour tous les ports ouverts | modérés | notapplicable |
| 3.5.3.3.1 | Définir la règle ip6tables par défaut pour les paquets entrants | modérés | notapplicable |
| 3.5.3.3.4 | Assurez-vous qu'il existe des règles de pare-feu ip6tables pour tous les ports ouverts | modérés | notapplicable |
1,30
Versions
Cette section fait référence aux versions suivantes:
| Version de Google Distributed Cloud | Version Ubuntu | Version du benchmark CIS d'Ubuntu | Niveau CIS |
|---|---|---|---|
| 1,30 | 22.04 LTS | v1.0.0 | Serveur de niveau 2 |
| # | Recommandation | État | Justification | Composants concernés |
|---|---|---|---|---|
| 1.1.2.1 | Assurez-vous que /tmp se trouve sur une partition distincte | Échec | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.3.1 | Assurez-vous que /var se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.4.1 | Assurez-vous que /var/tmp se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.5.1 | Assurez-vous que /var/log se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.6.1 | Vérifier que /var/log/audit se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.1.7.1 | Assurez-vous que /home se trouve sur une partition distincte | Impossible à corriger | Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.1 | Définir le mot de passe du bootloader dans grub2 | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 1.4.3 | Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur | Dépend de l'environnement | Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 2.3.6 | Désinstaller le package rpcbind | Échec | rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.3.7 | Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 | Dépend de l'environnement | Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. | Tous les nœuds de cluster, Seesaw |
| 3.5.2.6 | Définir la configuration nftables pour le trafic de rebouclage | Impossible à corriger | Le réseau Anthos a été affecté par cette règle. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 3.5.2.8 | Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables | Dépend de l'environnement | Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 4.2.3 | Vérifier les autorisations des fichiers journaux | Échec | Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.2.18 | Limiter l'accès SSH des utilisateurs | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.3.4 | S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) | Dépend de l'environnement | Cette option n'est pas configurée par défaut. | Tous les nœuds de cluster, poste de travail administrateur, Seesaw |
| 5.5.1.2 | Définir la durée de vie maximale du mot de passe | Contrôle équivalent | Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. | Tous les nœuds de cluster |
| 6.1.10 | Assurez-vous que tous les fichiers sont la propriété d'un utilisateur | Échec | Les autorisations ont été laissées par défaut. | Tous les nœuds de cluster |
Configurer le job Cron AIDE
AIDE est un outil de vérification de l'intégrité des fichiers qui garantit la conformité avec le benchmark de serveur CIS L1 de 1.4 Filesystem Integrity Checking. Dans Google Distributed Cloud, le processus AIDE a entraîné des problèmes importants d'utilisation des ressources.
Le processus AIDE sur les nœuds est désactivé par défaut pour éviter les problèmes de ressources. Cela aura une incidence sur la conformité avec le benchmark de serveur CIS L1 1.4.2 : Ensure
filesystem integrity is regularly checked..
Si vous souhaitez activer l'exécution du job Cron AIDE, procédez comme suit pour réactiver AIDE :
Créer un DaemonSet.
Voici un fichier manifeste de DaemonSet.
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /Dans le fichier manifeste précédent :
Le job Cron AIDE ne s'exécute que sur le pool de nœuds
pool-1, comme spécifié par le nodeSelectorcloud.google.com/gke-nodepool: pool-1. Vous pouvez configurer le processus AIDE pour qu'il s'exécute sur autant de pools de nœuds que vous le souhaitez en spécifiant les pools dans le champnodeSelector. Pour exécuter la même planification de jobs Cron sur différents pools de nœuds, supprimez le champnodeSelector. Toutefois, pour éviter toute congestion des ressources hôtes, nous vous recommandons de conserver des planifications distinctes.Le job Cron est planifié pour s'exécuter tous les jours à 5h30 comme spécifié par la configuration
minute=30;hour=5. Vous pouvez configurer différentes planifications pour le job Cron AIDE selon vos besoins.
Copiez le fichier manifeste dans un fichier nommé
enable-aide.yamlet créez le DaemonSet :kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
où USER_CLUSTER_KUBECONFIG représente le chemin d'accès au fichier kubeconfig de votre cluster d'utilisateur.