Benchmark CIS d'Ubuntu

Ce document décrit le niveau de conformité de Google Distributed Cloud avec le benchmark CIS d'Ubuntu.

Accéder au benchmark

Le benchmark CIS d'Ubuntu est disponible sur le site Web du CIS :

Profil de configuration

Dans le document Benchmark CIS d'Ubuntu, vous pouvez en savoir plus sur les profils de configuration. Les images Ubuntu utilisées par Google Distributed Cloud sont renforcées pour répondre au profil de serveur de niveau 2.

Évaluation sur Google Distributed Cloud

Nous utilisons les valeurs suivantes pour spécifier l'état des recommandations Ubuntu dans Google Distributed Cloud :

État Description
Réussite Respecte une recommandation du benchmark.
Échec Ne respecte pas une recommandation du benchmark.
Contrôle équivalent Ne respecte pas les conditions exactes d'une recommandation de benchmark, mais d'autres mécanismes existent dans Google Distributed Cloud pour fournir des contrôles de sécurité équivalents.
Dépend de l'environnement Google Distributed Cloud ne configure pas les éléments liés à une recommandation du benchmark. Votre configuration détermine si votre environnement respecte les recommandations.

État de Google Distributed Cloud

Les images Ubuntu utilisées avec Google Distributed Cloud sont renforcées pour répondre au profil de serveur de niveau 2 du CIS. Le tableau suivant explique pourquoi les composants Google Distributed Cloud n'ont pas transmis certaines recommandations. Les benchmarks dont l'état est Passed ne sont pas inclus dans le tableau suivant.

1,32

Versions

Cette section fait référence aux versions suivantes:

Version de Google Distributed Cloud Version Ubuntu Version du benchmark CIS d'Ubuntu Niveau CIS
1,32 22.04 LTS v1.0.0 Serveur de niveau 2

Recommandations non appliquées

Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud s'écarte des recommandations du benchmark. Pour chaque recommandation, nous catégorisons l'état de la défaillance, fournissons une justification de la défaillance et listons les composants concernés.

# Recommandation État Justification Composants concernés
1.1.2.1 Assurez-vous que /tmp se trouve sur une partition distincte Échec Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.3.1 Assurez-vous que /var se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.4.1 Assurez-vous que /var/tmp se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.5.1 Assurez-vous que /var/log se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.6.1 Vérifier que /var/log/audit se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.7.1 Assurez-vous que /home se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.1 Définir le mot de passe du bootloader dans grub2 Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.3 Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
2.3.6 Désinstaller le package rpcbind Échec rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.3.7 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 Dépend de l'environnement Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. Tous les nœuds de cluster, Seesaw
3.5.2.6 Définir la configuration nftables pour le trafic de rebouclage Impossible à corriger Le réseau Anthos a été affecté par cette règle. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.5.2.8 Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables Dépend de l'environnement Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
4.2.3 Vérifier les autorisations des fichiers journaux Échec Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.2.18 Limiter l'accès SSH des utilisateurs Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.3.4 S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.5.1.2 Définir la durée de vie maximale du mot de passe Contrôle équivalent Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. Tous les nœuds de cluster
6.1.10 Assurez-vous que tous les fichiers sont la propriété d'un utilisateur Échec Les autorisations ont été laissées par défaut. Tous les nœuds de cluster

Recommandations acceptées

Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud respecte les recommandations du benchmark.

# Recommandation Gravité État
1.1.8.1 Ajouter l'option nodev à /dev/shm modérés réussite
1.1.8.2 Ajouter l'option noexec à /dev/shm modérés réussite
1.1.8.3 Ajout de l'option nosuid à /dev/shm modérés réussite
1.5.2 Le package "prelink" ne doit pas être installé modérés réussite
1.5.3 Désactiver le service Apport inconnu réussite
1.5.4 Désactiver les vidages de mémoire pour tous les utilisateurs modérés réussite
1.5.4 Désactiver les fichiers de vidage de mémoire pour les programmes SUID modérés réussite
1.6.1.1 Vérifier qu'AppArmor est installé modérés réussite
1.6.1.2 Assurez-vous qu'AppArmor est activé dans la configuration du bootloader modérés réussite
1.6.1.4 Appliquer tous les profils AppArmor modérés réussite
1.7.1 Modifier la bannière du message système du jour modérés réussite
1.7.3 Modifier la bannière de connexion système pour les connexions à distance modérés réussite
1.7.4 Valider la propriété du groupe de la bannière du message du jour modérés réussite
1.7.4 Valider la propriété de la bannière du message du jour modérés réussite
1.7.4 Vérifier les autorisations de la bannière du message du jour modérés réussite
1.7.5 Vérifier la propriété du groupe de la bannière de connexion au système modérés réussite
1.7.5 Valider la propriété de la bannière de connexion au système modérés réussite
1.7.5 Vérifier les autorisations de la bannière de connexion au système modérés réussite
1.7.6 Vérifier la propriété du groupe de la bannière de connexion au système pour les connexions à distance modérés réussite
1.7.6 Vérifier la propriété de la bannière de connexion système pour les connexions à distance modérés réussite
1.7.6 Vérifier les autorisations de la bannière de connexion système pour les connexions à distance modérés réussite
2.1.1.1 Installer le service systemd_timesyncd high réussite
2.1.3.2 Activer le service systemd_timesyncd high réussite
2.2.1 Supprimer le groupe de paquets X Windows modérés réussite
2.2.10 Désinstaller le paquet cyrus-imapd inconnu réussite
2.2.10 Désinstaller le package Dovecot inconnu réussite
2.2.11 Désinstaller le package Samba inconnu réussite
2.2.12 Désinstaller le package squid inconnu réussite
2.2.13 Désinstaller le package net-snmp inconnu réussite
2.2.14 Désinstaller le package nis faibles réussite
2.2.15 Assurez-vous que le MTA n'écoute aucune adresse non loopback modérés réussite
2.2.16 Désinstaller le package rsync modérés réussite
2.2.2 Désactiver le logiciel de serveur Avahi modérés réussite
2.2.2 Désinstaller le package de serveur avahi modérés réussite
2.2.3 Désactiver le service CUPS inconnu réussite
2.2.3 Désinstaller le package CUPS inconnu réussite
2.2.4 Désinstaller le package du serveur DHCP modérés réussite
2.2.5 Désinstaller le package openldap-servers faibles réussite
2.2.6 Désinstaller le package nfs-kernel-server faibles réussite
2.2.7 Désinstaller le package de liaison faibles réussite
2.2.8 Désinstaller le package vsftpd high réussite
2.2.9 Désinstaller le package httpd inconnu réussite
2.2.9 Désinstaller le package nginx inconnu réussite
2.3.3 Désinstaller le package Talk modérés réussite
2.3.5 Vérifier que le client LDAP n'est pas installé faibles réussite
3.1.1, 3.1.5 Désactiver l'accès SSH via des mots de passe vides high réussite
3.1.1, 3.1.5 Désactiver la connexion racine via SSH modérés réussite
3.1.1, 3.1.5 Vérifier que seul l'utilisateur racine a un UID 0 high réussite
3.1.11 Définir le délai avant expiration de la session interactive modérés réussite
3.1.11 Définir la valeur maximale du nombre de fois où le client SSH est actif modérés réussite
3.1.11 Définir l'intervalle de vérification du client SSH modérés réussite
3.1.12 Désactiver l'authentification basée sur l'hôte modérés réussite
3.1.12 Désactiver la prise en charge de SSH pour les fichiers .rhosts modérés réussite
3.1.12 Ne pas autoriser les options d'environnement SSH modérés réussite
3.1.13, 3.13.10 Vérifier les autorisations sur les fichiers de clés privées *_key du serveur SSH modérés réussite
3.1.13, 3.13.10 Vérifier les autorisations sur les fichiers de clés publiques *.pub du serveur SSH modérés réussite
3.1.13 Supprimer les clients telnet faibles réussite
3.1.13 Désinstaller le package rsh inconnu réussite
3.1.16 Désactiver les interfaces réseau sans fil modérés réussite
3.1.20 Configurer l'acceptation des annonces de routeur sur toutes les interfaces IPv6 modérés réussite
3.1.20 Configurer le paramètre du noyau pour accepter les redirections sécurisées par défaut modérés réussite
3.1.20 Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv6 modérés réussite
3.1.20 Désactiver l'acceptation des annonces de routeur sur toutes les interfaces IPv6 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv6 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP sécurisées sur toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv6 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv4 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv6 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour ignorer les réponses d'erreur ICMP incorrectes sur les interfaces IPv4 inconnu réussite
3.1.20 Activer le paramètre du noyau pour ignorer les requêtes d'écho de diffusion ICMP sur les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 inconnu réussite
3.1.20 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 par défaut modérés réussite
3.1.20 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour utiliser les cookies de synchronisation TCP sur les interfaces réseau modérés réussite
3.1.20 Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 par défaut inconnu réussite
3.1.21 Désactiver le chargement de Modprobe du pilote de stockage USB modérés réussite
3.1.7 Activer la disposition aléatoire de l'espace d'adressage virtuel modérés réussite
3.1.7 Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - renommer modérés réussite
3.1.7 Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur : renameat modérés réussite
3.1.7 Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur – dissocier modérés réussite
3.1.7 Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - unlinkat modérés réussite
3.1.7 Vérifier que l'audit Collecte des informations sur l'exportation vers les médias (réussi) modérés réussite
3.1.7 Assurez-vous que l'audit collecte des informations sur le chargement du module du noyau : init_module modérés réussite
3.1.7 Assurez-vous que l'audit collecte des informations sur la suppression des modules du noyau : delete_module modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation des commandes privilégiées - su modérés réussite
3.1.7 S'assurer que l'audit collecte des informations sur l'utilisation de commandes privilégiées (sudo) modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : sudoedit modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : umount modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : unix_chkpwd modérés réussite
3.1.7 Assurez-vous que l'audit collecte les actions de l'administrateur système modérés réussite
3.1.7 Enregistrer toutes les tentatives d'exécution de chcon modérés réussite
3.1.7 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : lastlog modérés réussite
3.1.7 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : tallylog modérés réussite
3.1.7 Enregistrer les tentatives de modification des informations de processus et d'initiation de session modérés réussite
3.1.7 Enregistrer les tentatives de modification du fichier localtime modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via adjtimex modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via clock_settime modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via settimeofday modérés réussite
3.1.7 Enregistrer les tentatives de modification du temps via stime modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chmod modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmod modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmodat modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchownat modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fremovexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fsetxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lchown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lremovexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lsetxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : removexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : setxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient l'environnement réseau du système modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/group modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/gshadow modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/passwd modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/security/opasswd modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/shadow modérés réussite
3.1.7 Enregistrer les tentatives d'accès non autorisées aux fichiers - creat modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - ftruncate modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - ouvert modérés réussite
3.1.7 Enregistrer les tentatives d'accès infructueuses aux fichiers - openat modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - tronquer modérés réussite
3.1.8 Verrouiller les comptes après des tentatives de saisie de mot de passe infructueuses modérés réussite
3.1.8 Enregistrer les événements qui modifient les contrôles d'accès obligatoires du système modérés réussite
3.1.8 Définir le délai de verrouillage en cas de tentative de saisie de mot de passe incorrecte modérés réussite
3.1.9 Activer la bannière d'avertissement SSH modérés réussite
3.1.9 Modifier la bannière de connexion au système modérés réussite
3.3.1, 3.3.2, 3.3.6 Activer le service d'audit modérés réussite
3.3.1, 3.4.3 Rendre la configuration auditée immuable modérés réussite
3.3.1 Configurer l'action admin_space_left auditée en cas d'espace disque insuffisant modérés réussite
3.3.1 Configurer l'action mail_acct auditée en cas d'espace disque insuffisant modérés réussite
3.3.1 Configurer l'action space_left auditée en cas d'espace disque faible modérés réussite
3.3.1 Les journaux d'audit système doivent être détenus par le groupe racine modérés réussite
3.3.1 Les journaux d'audit système doivent appartenir à l'utilisateur racine modérés réussite
3.3.1 Les journaux d'audit système doivent être configurés en mode 0640 ou moins permissif modérés réussite
3.4.3 Désactiver la prise en charge de RDS faibles réussite
3.4.4 Désactiver la prise en charge de TIPC faibles réussite
3.4.5 Vérifier les autorisations de /boot/grub/grub.cfg modérés réussite
3.4.6 Désactiver la prise en charge du DCCP modérés réussite
3.4.6 Désactiver le montage de cramfs faibles réussite
3.4.6 Désactiver le montage de squashfs faibles réussite
3.4.6 Désactiver le montage de udf faibles réussite
3.4.6 Désactiver la prise en charge de SCTP modérés réussite
3.4.6 Désactiver l'automounter modérés réussite
3.5.1.2 Supprimer le paquet iptables-persistent modérés réussite
3.5.10 Vérifier que tous les hachages de mots de passe de compte sont masqués modérés réussite
3.5.2.1 Installer le paquet nftables modérés réussite
3.5.2.10 Vérifier que les règles nftables sont permanentes modérés réussite
3.5.2.4 Vérifier qu'une table existe pour Nftables modérés réussite
3.5.2.5 Vérifier que des chaînes de base existent pour Nftables modérés réussite
3.5.2.9 Vérifier que le service nftables est activé modérés réussite
3.5.3.1.1 Installer le paquet iptables modérés réussite
3.5.3.1.3 Supprimer le package ufw modérés réussite
3.5.6 Définir l'expiration du compte en cas d'inactivité modérés réussite
3.5.8 Limiter la réutilisation des mots de passe modérés réussite
3.5.8 Définir la durée de vie minimale du mot de passe modérés réussite
3.5.8 Définir l'âge de l'avertissement de mot de passe modérés réussite
4.1.1.1 Vérifier que le sous-système d'audit est installé modérés réussite
4.1.1.4 Augmenter la limite de la file d'attente d'audit pour le daemon d'audit faibles réussite
4.1.2.1 Configurer la taille maximale du fichier journal d'audit modérés réussite
4.1.2.2 Configurer max_log_file_action audité lorsque la taille maximale du journal est atteinte modérés réussite
4.1.3.12 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : faillog modérés réussite
4.1.3.16 Enregistrer toutes les tentatives d'exécution de setfacl modérés réussite
4.1.3.17 Enregistrer toutes les tentatives d'exécution de chacl modérés réussite
4.1.3.18 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : usermod modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : insmod modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées - modprobe modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : rmmod modérés réussite
4.1.3.2 Enregistrer des événements lorsque des exécutables privilégiés sont exécutés modérés réussite
4.1.3.3 Enregistrer les tentatives d'exécution d'activités de maintenance modérés réussite
4.1.4.10 Vérifier que les outils d'audit appartiennent au groupe racine modérés réussite
4.1.4.4 Les journaux d'audit système doivent être configurés en mode 0750 ou moins permissif modérés réussite
4.1.4.5 Vérifier les autorisations sur /etc/audit/auditd.conf modérés réussite
4.1.4.5 Vérifier les autorisations sur /etc/audit/rules.d/*.rules modérés réussite
4.1.4.6 Les fichiers de configuration d'audit doivent appartenir à l'utilisateur racine modérés réussite
4.1.4.7 Les fichiers de configuration d'audit doivent appartenir au groupe racine modérés réussite
4.1.4.8 Vérifier que les outils d'audit sont en mode 0755 ou inférieur modérés réussite
4.1.4.9 Vérifier que les outils d'audit appartiennent à l'utilisateur racine modérés réussite
4.2.1.1.1 Installer le package systemd-journal-remote modérés réussite
4.2.1.1.4 Désactiver le socket systemd-journal-remote modérés réussite
4.2.1.2 Activer le service systemd-journald modérés réussite
4.2.1.3 Assurez-vous que journald est configuré pour compresser les fichiers journaux volumineux modérés réussite
4.2.1.4 Assurez-vous que journald est configuré pour écrire les fichiers journaux sur le disque persistant modérés réussite
4.2.2.1 Vérifier que rsyslog est installé modérés réussite
4.2.2.2 Activer le service rsyslog modérés réussite
4.2.2.4 Vérifier que les autorisations de fichiers par défaut de rsyslog sont configurées modérés réussite
4.2.2.7 Assurez-vous que rsyslog n'accepte pas les messages distants, sauf s'il agit en tant que serveur de journaux modérés réussite
5.1.1 Activer le service cron modérés réussite
5.1.2 Vérifier le groupe propriétaire du fichier crontab modérés réussite
5.1.2 Valider le propriétaire dans crontab modérés réussite
5.1.2 Vérifier les autorisations sur le fichier crontab modérés réussite
5.1.3 Vérifier le groupe propriétaire de cron.hourly modérés réussite
5.1.3 Valider le propriétaire sur cron.hourly modérés réussite
5.1.3 Vérifier les autorisations sur cron.hourly modérés réussite
5.1.4 Vérifier le groupe propriétaire de cron.daily modérés réussite
5.1.4 Valider le propriétaire sur cron.daily modérés réussite
5.1.4 Vérifier les autorisations sur cron.daily modérés réussite
5.1.5 Vérifier le groupe propriétaire de cron.weekly modérés réussite
5.1.5 Valider le propriétaire sur cron.weekly modérés réussite
5.1.5 Vérifier les autorisations sur cron.weekly modérés réussite
5.1.6 Vérifier le groupe propriétaire de cron.monthly modérés réussite
5.1.6 Valider le propriétaire sur cron.monthly modérés réussite
5.1.6 Vérifier les autorisations sur cron.monthly modérés réussite
5.1.7 Vérifier le groupe propriétaire de cron.d modérés réussite
5.1.7 Vérifier le propriétaire dans cron.d modérés réussite
5.1.7 Vérifier les autorisations sur cron.d modérés réussite
5.1.8 Assurez-vous que /etc/cron.deny n'existe pas modérés réussite
5.1.8 Vérifier le groupe propriétaire du fichier /etc/cron.allow modérés réussite
5.1.8 Vérifier les autorisations sur le fichier /etc/cron.allow modérés réussite
5.1.8 Vérifier l'utilisateur propriétaire du fichier /etc/cron.allow modérés réussite
5.1.9 Vérifiez que /etc/at.deny n'existe pas modérés réussite
5.1.9 Vérifier le groupe propriétaire du fichier /etc/at.allow modérés réussite
5.1.9 Vérifier les autorisations sur le fichier /etc/at.allow modérés réussite
5.1.9 Vérifier l'utilisateur propriétaire du fichier /etc/at.allow modérés réussite
5.2.1 Vérifier le groupe propriétaire du fichier de configuration du serveur SSH modérés réussite
5.2.1 Vérifier le propriétaire du fichier de configuration du serveur SSH modérés réussite
5.2.1 Vérifier les autorisations sur le fichier de configuration du serveur SSH modérés réussite
5.2.12 Désactiver le transfert X11 modérés réussite
5.2.13 N'utiliser que des algorithmes de chiffrement sécurisés modérés réussite
5.2.14 N'utiliser que des adresses MAC sécurisées modérés réussite
5.2.15 N'utiliser que des algorithmes d'échange de clés sécurisés modérés réussite
5.2.16 Désactiver le transfert TCP SSH modérés réussite
5.2.18 Définir la limite de tentatives d'authentification SSH modérés réussite
5.2.19 Vérifier que SSH MaxStartups est configuré modérés réussite
5.2.20 Définir la limite de sessions SSH modérés réussite
5.2.21 Vérifier que LoginGraceTime est configuré pour SSH modérés réussite
5.2.5 Définir LogLevel sur INFO faibles réussite
5.2.6 Activer le gestionnaire d'accès privilégié modérés réussite
5.3.1 Installer le paquet sudo modérés réussite
5.3.2 S'assurer que seuls les utilisateurs connectés à un tty réel peuvent exécuter sudo (sudo use_pty) modérés réussite
5.3.3 S'assurer que le fichier journal sudo existe - fichier journal sudo faibles réussite
5.3.5 S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo !authenticate) modérés réussite
5.3.6 Exiger une nouvelle authentification lors de l'utilisation de la commande sudo modérés réussite
5.3.7 Appliquer l'utilisation de pam_wheel avec le paramètre de groupe pour l'authentification su modérés réussite
5.3.7 Vérifier que le groupe utilisé par le module pam_wheel existe sur le système et qu'il est vide modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences relatives aux mots de passe : invites de nouvelle tentative d'authentification autorisées par session modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de mot de passe : catégories différentes minimales modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de mot de passe : nombre minimal de chiffres modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de longueur minimale des mots de passe modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences concernant les mots de passe : nombre minimal de caractères minuscules modérés réussite
5.4.1 Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères spéciaux modérés réussite
5.4.1 Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères en majuscule modérés réussite
5.4.1 Installer le package pam_pwquality modérés réussite
5.4.2 Définir l'intervalle pour comptabiliser les tentatives de saisie de mot de passe infructueuses modérés réussite
5.4.4 Définir l'algorithme de hachage de mot de passe dans /etc/login.defs modérés réussite
5.5.1.1 Définir la durée de vie minimale des mots de passe existants modérés réussite
5.5.1.2 Définir la durée de vie maximale des mots de passe existants modérés réussite
5.5.1.5 Assurez-vous que la date du dernier changement de mot de passe de tous les utilisateurs est antérieure modérés réussite
5.5.2 Assurez-vous que les comptes système n'exécutent pas de shell lors de la connexion modérés réussite
5.5.3 Vérifier que la racine a un GID principal de 0 high réussite
5.5.4 Vérifier que l'umask Bash par défaut est correctement défini modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini pour les utilisateurs interactifs modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini dans /etc/profile modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini dans login.defs modérés réussite
6.1.1 Vérifier le groupe propriétaire du fichier passwd modérés réussite
6.1.1 Vérifier les autorisations sur le fichier passwd modérés réussite
6.1.1 Vérifier l'utilisateur propriétaire du fichier passwd modérés réussite
6.1.2 Vérifier le groupe propriétaire du fichier passwd de sauvegarde modérés réussite
6.1.2 Vérifier les autorisations sur le fichier passwd de sauvegarde modérés réussite
6.1.2 Vérifier l'utilisateur propriétaire du fichier passwd de sauvegarde modérés réussite
6.1.3 Vérifier le groupe propriétaire du fichier de groupe modérés réussite
6.1.3 Vérifier les autorisations sur le fichier de groupe modérés réussite
6.1.3 Vérifier l'utilisateur propriétaire du fichier de groupe modérés réussite
6.1.4 Vérifier le groupe propriétaire du fichier de groupe de sauvegarde modérés réussite
6.1.4 Vérifier les autorisations sur le fichier de groupe de sauvegarde modérés réussite
6.1.4 Vérifier l'utilisateur propriétaire du fichier de groupe de sauvegarde modérés réussite
6.1.5 Vérifier le groupe propriétaire du fichier d'ombre modérés réussite
6.1.5 Vérifier les autorisations sur le fichier d'ombre modérés réussite
6.1.5 Vérifier l'utilisateur propriétaire du fichier d'ombre modérés réussite
6.1.6 Vérifier le groupe propriétaire du fichier d'ombre de sauvegarde modérés réussite
6.1.6 Vérifier les autorisations sur le fichier de sauvegarde ombragé modérés réussite
6.1.6 Vérifier l'utilisateur propriétaire du fichier d'ombre de sauvegarde modérés réussite
6.1.7 Vérifier le groupe propriétaire du fichier gshadow modérés réussite
6.1.7 Vérifier les autorisations sur le fichier gshadow modérés réussite
6.1.7 Vérifier l'utilisateur propriétaire du fichier gshadow modérés réussite
6.1.8 Vérifier le groupe propriétaire du fichier gshadow de sauvegarde modérés réussite
6.1.8 Vérifier les autorisations sur le fichier gshadow de sauvegarde modérés réussite
6.1.8 Vérifier l'utilisateur propriétaire du fichier gshadow de sauvegarde modérés réussite
6.2.11 Tous les répertoires d'accueil des utilisateurs interactifs doivent exister modérés réussite
6.2.12 Tous les répertoires d'accueil utilisateur interactifs doivent appartenir au groupe principal modérés réussite
6.2.12 Tous les répertoires d'accueil des utilisateurs interactifs doivent appartenir à l'utilisateur principal modérés réussite
6.2.13 Tous les répertoires d'accueil utilisateur interactifs doivent être configurés en mode 0750 ou moins permissif modérés réussite
6.2.14 Vérifier qu'aucun fichier netrc n'existe modérés réussite
6.2.15 Vérifier qu'aucun fichier .forward n'existe modérés réussite
6.2.16 Supprimer les fichiers de confiance Rsh high réussite
6.2.17 Les fichiers d'initialisation de l'utilisateur doivent appartenir au groupe principal modérés réussite
6.2.17 Les fichiers d'initialisation de l'utilisateur doivent appartenir à l'utilisateur principal modérés réussite
6.2.17 Les fichiers d'initialisation utilisateur ne doivent pas exécuter de programmes en écriture pour tous modérés réussite
6.2.2 Vérifier qu'aucun compte n'a de mot de passe vide ou nul high réussite
6.2.3 Tous les GID référencés dans /etc/passwd doivent être définis dans /etc/group. faibles réussite
6.2.4 Vérifier que le groupe d'ombre est vide modérés réussite
6.2.5 Assurez-vous que tous les comptes du système disposent d'ID utilisateur uniques modérés réussite
6.2.6 Assurez-vous que tous les groupes du système disposent d'un ID de groupe unique modérés réussite
6.2.7 Assurez-vous que tous les comptes du système ont un nom unique modérés réussite
6.2.8 Assurez-vous que tous les groupes du système ont un nom unique modérés réussite
6.2.9 Assurez-vous que le chemin d'accès racine n'inclut pas de chemins relatifs ni de répertoires nuls inconnu réussite
6.2.9 Assurez-vous que le chemin d'accès racine n'inclut pas de répertoires accessibles en écriture pour le monde ou le groupe modérés réussite

Recommandations non applicables

Le tableau suivant répertorie les recommandations qui ne s'appliquent pas à Google Distributed Cloud.

# Recommandation Gravité État
1.1.2.2 Ajouter l'option nodev à /tmp modérés notapplicable
1.1.2.3 Ajouter l'option noexec à /tmp modérés notapplicable
1.1.2.4 Ajouter l'option nosuid à /tmp modérés notapplicable
1.1.3.2 Ajouter l'option nodev à /var modérés notapplicable
1.1.3.3 Ajouter l'option nosuid à /var modérés notapplicable
1.1.4.2 Ajouter l'option noexec à /var/tmp modérés notapplicable
1.1.4.3 Ajouter l'option nosuid à /var/tmp modérés notapplicable
1.1.4.4 Ajouter l'option nodev à /var/tmp modérés notapplicable
1.1.5.2 Ajouter l'option nodev à /var/log modérés notapplicable
1.1.5.3 Ajouter l'option noexec à /var/log modérés notapplicable
1.1.5.4 Ajouter l'option nosuid à /var/log modérés notapplicable
1.1.6.2 Ajouter l'option noexec à /var/log/audit modérés notapplicable
1.1.6.3 Ajouter l'option nodev à /var/log/audit modérés notapplicable
1.1.6.4 Ajouter l'option nosuid à /var/log/audit modérés notapplicable
1.1.7.2 Ajouter l'option nodev à /home inconnu notapplicable
1.1.7.3 Ajout de l'option nosuid à /home modérés notapplicable
1.10 Configurer le profil utilisateur DConf de GNOME3 high notapplicable
1.8.1 Supprimer le groupe de paquets GDM modérés notapplicable
1.8.10 Désactiver XDMCP dans GDM high notapplicable
2.1.4.1 Configurer les restrictions de serveur pour ntpd modérés notapplicable
2.1.4.3 Configurer ntpd pour qu'il s'exécute en tant qu'utilisateur ntp modérés notapplicable
2.1.4.4 Activer le démon NTP high notapplicable
2.2.15 Désactiver l'écoute réseau Postfix modérés notapplicable
3.1.10 Activer le verrouillage de l'économiseur d'écran GNOME3 après une période d'inactivité modérés notapplicable
3.1.10 Définir le délai de verrouillage de l'économiseur d'écran GNOME3 après la période d'activation modérés notapplicable
3.1.7 Désactiver l'ouverture automatique de GNOME3 modérés notapplicable
3.1.7 Désactiver l'exécution de l'automontage GNOME3 faibles notapplicable
3.1.7 Désactiver l'automontage de GNOME3 modérés notapplicable
3.4.5 Définir le mot de passe du bootloader UEFI high notapplicable
3.5.1.3 Vérifier que ufw est activé modérés notapplicable
3.5.1.4 Définir le trafic de bouclage UFW modérés notapplicable
3.5.1.6 Assurez-vous qu'il existe des règles de pare-feu ufw pour tous les ports ouverts modérés notapplicable
3.5.1.7 Vérifier que la stratégie de pare-feu de refus par défaut est définie pour ufw modérés notapplicable
3.5.3.2.1 Définir la règle iptables par défaut pour les paquets entrants modérés notapplicable
3.5.3.2.2 Définir la configuration pour le trafic de bouclage modérés notapplicable
3.5.3.2.4 Assurez-vous qu'il existe des règles de pare-feu iptables pour tous les ports ouverts modérés notapplicable
3.5.3.3.1 Définir la règle ip6tables par défaut pour les paquets entrants modérés notapplicable
3.5.3.3.4 Assurez-vous qu'il existe des règles de pare-feu ip6tables pour tous les ports ouverts modérés notapplicable

1.31

Versions

Cette section fait référence aux versions suivantes:

Version de Google Distributed Cloud Version Ubuntu Version du benchmark CIS d'Ubuntu Niveau CIS
1.31 22.04 LTS v1.0.0 Serveur de niveau 2

Recommandations non appliquées

Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud s'écarte des recommandations du benchmark. Pour chaque recommandation, nous catégorisons l'état de la défaillance, fournissons une justification de la défaillance et listons les composants concernés.

# Recommandation État Justification Composants concernés
1.1.2.1 Assurez-vous que /tmp se trouve sur une partition distincte Échec Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.3.1 Assurez-vous que /var se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.4.1 Assurez-vous que /var/tmp se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.5.1 Assurez-vous que /var/log se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.6.1 Vérifier que /var/log/audit se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.7.1 Assurez-vous que /home se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.1 Définir le mot de passe du bootloader dans grub2 Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.3 Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
2.3.6 Désinstaller le package rpcbind Échec rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.3.7 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 Dépend de l'environnement Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. Tous les nœuds de cluster, Seesaw
3.5.2.6 Définir la configuration nftables pour le trafic de rebouclage Impossible à corriger Le réseau Anthos a été affecté par cette règle. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.5.2.8 Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables Dépend de l'environnement Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
4.2.3 Vérifier les autorisations des fichiers journaux Échec Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.2.18 Limiter l'accès SSH des utilisateurs Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.3.4 S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.5.1.2 Définir la durée de vie maximale du mot de passe Contrôle équivalent Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. Tous les nœuds de cluster
6.1.10 Assurez-vous que tous les fichiers sont la propriété d'un utilisateur Échec Les autorisations ont été laissées par défaut. Tous les nœuds de cluster

Recommandations acceptées

Le tableau suivant liste les recommandations pour lesquelles Google Distributed Cloud respecte les recommandations du benchmark.

# Recommandation Gravité État
1.1.8.1 Ajouter l'option nodev à /dev/shm modérés réussite
1.1.8.2 Ajouter l'option noexec à /dev/shm modérés réussite
1.1.8.3 Ajout de l'option nosuid à /dev/shm modérés réussite
1.5.2 Le package "prelink" ne doit pas être installé modérés réussite
1.5.3 Désactiver le service Apport inconnu réussite
1.5.4 Désactiver les vidages de mémoire pour tous les utilisateurs modérés réussite
1.5.4 Désactiver les fichiers de vidage de mémoire pour les programmes SUID modérés réussite
1.6.1.1 Vérifier qu'AppArmor est installé modérés réussite
1.6.1.2 Assurez-vous qu'AppArmor est activé dans la configuration du bootloader modérés réussite
1.6.1.4 Appliquer tous les profils AppArmor modérés réussite
1.7.1 Modifier la bannière du message système du jour modérés réussite
1.7.3 Modifier la bannière de connexion système pour les connexions à distance modérés réussite
1.7.4 Valider la propriété du groupe de la bannière du message du jour modérés réussite
1.7.4 Valider la propriété de la bannière du message du jour modérés réussite
1.7.4 Vérifier les autorisations de la bannière du message du jour modérés réussite
1.7.5 Vérifier la propriété du groupe de la bannière de connexion au système modérés réussite
1.7.5 Valider la propriété de la bannière de connexion au système modérés réussite
1.7.5 Vérifier les autorisations de la bannière de connexion au système modérés réussite
1.7.6 Vérifier la propriété du groupe de la bannière de connexion au système pour les connexions à distance modérés réussite
1.7.6 Vérifier la propriété de la bannière de connexion système pour les connexions à distance modérés réussite
1.7.6 Vérifier les autorisations de la bannière de connexion système pour les connexions à distance modérés réussite
2.1.1.1 Installer le service systemd_timesyncd high réussite
2.1.3.2 Activer le service systemd_timesyncd high réussite
2.2.1 Supprimer le groupe de paquets X Windows modérés réussite
2.2.10 Désinstaller le paquet cyrus-imapd inconnu réussite
2.2.10 Désinstaller le package Dovecot inconnu réussite
2.2.11 Désinstaller le package Samba inconnu réussite
2.2.12 Désinstaller le package squid inconnu réussite
2.2.13 Désinstaller le package net-snmp inconnu réussite
2.2.14 Désinstaller le package nis faibles réussite
2.2.15 Assurez-vous que le MTA n'écoute aucune adresse non loopback modérés réussite
2.2.16 Désinstaller le package rsync modérés réussite
2.2.2 Désactiver le logiciel de serveur Avahi modérés réussite
2.2.2 Désinstaller le package de serveur avahi modérés réussite
2.2.3 Désactiver le service CUPS inconnu réussite
2.2.3 Désinstaller le package CUPS inconnu réussite
2.2.4 Désinstaller le package du serveur DHCP modérés réussite
2.2.5 Désinstaller le package openldap-servers faibles réussite
2.2.6 Désinstaller le package nfs-kernel-server faibles réussite
2.2.7 Désinstaller le package de liaison faibles réussite
2.2.8 Désinstaller le package vsftpd high réussite
2.2.9 Désinstaller le package httpd inconnu réussite
2.2.9 Désinstaller le package nginx inconnu réussite
2.3.3 Désinstaller le package Talk modérés réussite
2.3.5 Vérifier que le client LDAP n'est pas installé faibles réussite
3.1.1, 3.1.5 Désactiver l'accès SSH via des mots de passe vides high réussite
3.1.1, 3.1.5 Désactiver la connexion racine via SSH modérés réussite
3.1.1, 3.1.5 Vérifier que seul l'utilisateur racine a un UID 0 high réussite
3.1.11 Définir le délai avant expiration de la session interactive modérés réussite
3.1.11 Définir la valeur maximale du nombre de fois où le client SSH est actif modérés réussite
3.1.11 Définir l'intervalle de vérification du client SSH modérés réussite
3.1.12 Désactiver l'authentification basée sur l'hôte modérés réussite
3.1.12 Désactiver la prise en charge de SSH pour les fichiers .rhosts modérés réussite
3.1.12 Ne pas autoriser les options d'environnement SSH modérés réussite
3.1.13, 3.13.10 Vérifier les autorisations sur les fichiers de clés privées *_key du serveur SSH modérés réussite
3.1.13, 3.13.10 Vérifier les autorisations sur les fichiers de clés publiques *.pub du serveur SSH modérés réussite
3.1.13 Supprimer les clients telnet faibles réussite
3.1.13 Désinstaller le package rsh inconnu réussite
3.1.16 Désactiver les interfaces réseau sans fil modérés réussite
3.1.20 Configurer l'acceptation des annonces de routeur sur toutes les interfaces IPv6 modérés réussite
3.1.20 Configurer le paramètre du noyau pour accepter les redirections sécurisées par défaut modérés réussite
3.1.20 Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver l'acceptation des redirections ICMP pour toutes les interfaces IPv6 modérés réussite
3.1.20 Désactiver l'acceptation des annonces de routeur sur toutes les interfaces IPv6 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP par défaut sur les interfaces IPv6 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les redirections ICMP sécurisées sur toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv4 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur toutes les interfaces IPv6 modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv4 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour accepter les paquets routés par la source sur les interfaces IPv6 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 par défaut modérés réussite
3.1.20 Désactiver le paramètre du noyau pour l'envoi de redirections ICMP sur toutes les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour ignorer les réponses d'erreur ICMP incorrectes sur les interfaces IPv4 inconnu réussite
3.1.20 Activer le paramètre du noyau pour ignorer les requêtes d'écho de diffusion ICMP sur les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 inconnu réussite
3.1.20 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 par défaut modérés réussite
3.1.20 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 modérés réussite
3.1.20 Activer le paramètre du kernel pour utiliser les cookies de synchronisation TCP sur les interfaces réseau modérés réussite
3.1.20 Activer le paramètre du kernel pour journaliser les paquets martiens sur toutes les interfaces IPv4 par défaut inconnu réussite
3.1.21 Désactiver le chargement de Modprobe du pilote de stockage USB modérés réussite
3.1.7 Activer la disposition aléatoire de l'espace d'adressage virtuel modérés réussite
3.1.7 Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - renommer modérés réussite
3.1.7 Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur : renameat modérés réussite
3.1.7 Vérifier que l'audit collecte les événements de suppression de fichiers par utilisateur – dissocier modérés réussite
3.1.7 Assurez-vous que l'audit collecte les événements de suppression de fichiers par utilisateur - unlinkat modérés réussite
3.1.7 Vérifier que l'audit Collecte des informations sur l'exportation vers les médias (réussi) modérés réussite
3.1.7 Assurez-vous que l'audit collecte des informations sur le chargement du module du noyau : init_module modérés réussite
3.1.7 Assurez-vous que l'audit collecte des informations sur la suppression des modules du noyau : delete_module modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation des commandes privilégiées - su modérés réussite
3.1.7 S'assurer que l'audit collecte des informations sur l'utilisation de commandes privilégiées (sudo) modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : sudoedit modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : umount modérés réussite
3.1.7 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : unix_chkpwd modérés réussite
3.1.7 Assurez-vous que l'audit collecte les actions de l'administrateur système modérés réussite
3.1.7 Enregistrer toutes les tentatives d'exécution de chcon modérés réussite
3.1.7 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : lastlog modérés réussite
3.1.7 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : tallylog modérés réussite
3.1.7 Enregistrer les tentatives de modification des informations de processus et d'initiation de session modérés réussite
3.1.7 Enregistrer les tentatives de modification du fichier localtime modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via adjtimex modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via clock_settime modérés réussite
3.1.7 Enregistrer les tentatives de modification de l'heure via settimeofday modérés réussite
3.1.7 Enregistrer les tentatives de modification du temps via stime modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chmod modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : chown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmod modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchmodat modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fchownat modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fremovexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : fsetxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lchown modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lremovexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : lsetxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : removexattr modérés réussite
3.1.7 Enregistrer les événements qui modifient les contrôles d'accès discrétionnaires du système : setxattr modérés réussite
3.1.7 Enregistrer les événements qui modifient l'environnement réseau du système modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/group modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/gshadow modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/passwd modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations sur les utilisateurs/groupes : /etc/security/opasswd modérés réussite
3.1.7 Enregistrer les événements qui modifient les informations utilisateur/groupe : /etc/shadow modérés réussite
3.1.7 Enregistrer les tentatives d'accès non autorisées aux fichiers - creat modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - ftruncate modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - ouvert modérés réussite
3.1.7 Enregistrer les tentatives d'accès infructueuses aux fichiers - openat modérés réussite
3.1.7 Enregistrer les tentatives d'accès non réussies aux fichiers - tronquer modérés réussite
3.1.8 Verrouiller les comptes après des tentatives de saisie de mot de passe infructueuses modérés réussite
3.1.8 Enregistrer les événements qui modifient les contrôles d'accès obligatoires du système modérés réussite
3.1.8 Définir le délai de verrouillage en cas de tentative de saisie de mot de passe incorrecte modérés réussite
3.1.9 Activer la bannière d'avertissement SSH modérés réussite
3.1.9 Modifier la bannière de connexion au système modérés réussite
3.3.1, 3.3.2, 3.3.6 Activer le service d'audit modérés réussite
3.3.1, 3.4.3 Rendre la configuration auditée immuable modérés réussite
3.3.1 Configurer l'action admin_space_left auditée en cas d'espace disque insuffisant modérés réussite
3.3.1 Configurer l'action mail_acct auditée en cas d'espace disque insuffisant modérés réussite
3.3.1 Configurer l'action space_left auditée en cas d'espace disque faible modérés réussite
3.3.1 Les journaux d'audit système doivent être détenus par le groupe racine modérés réussite
3.3.1 Les journaux d'audit système doivent appartenir à l'utilisateur racine modérés réussite
3.3.1 Les journaux d'audit système doivent être configurés en mode 0640 ou moins permissif modérés réussite
3.4.3 Désactiver la prise en charge de RDS faibles réussite
3.4.4 Désactiver la prise en charge de TIPC faibles réussite
3.4.5 Vérifier les autorisations de /boot/grub/grub.cfg modérés réussite
3.4.6 Désactiver la prise en charge du DCCP modérés réussite
3.4.6 Désactiver le montage de cramfs faibles réussite
3.4.6 Désactiver le montage de squashfs faibles réussite
3.4.6 Désactiver le montage de udf faibles réussite
3.4.6 Désactiver la prise en charge de SCTP modérés réussite
3.4.6 Désactiver l'automounter modérés réussite
3.5.1.2 Supprimer le paquet iptables-persistent modérés réussite
3.5.10 Vérifier que tous les hachages de mots de passe de compte sont masqués modérés réussite
3.5.2.1 Installer le paquet nftables modérés réussite
3.5.2.10 Vérifier que les règles nftables sont permanentes modérés réussite
3.5.2.4 Vérifier qu'une table existe pour Nftables modérés réussite
3.5.2.5 Vérifier que des chaînes de base existent pour Nftables modérés réussite
3.5.2.9 Vérifier que le service nftables est activé modérés réussite
3.5.3.1.1 Installer le paquet iptables modérés réussite
3.5.3.1.3 Supprimer le package ufw modérés réussite
3.5.6 Définir l'expiration du compte en cas d'inactivité modérés réussite
3.5.8 Limiter la réutilisation des mots de passe modérés réussite
3.5.8 Définir la durée de vie minimale du mot de passe modérés réussite
3.5.8 Définir l'âge de l'avertissement de mot de passe modérés réussite
4.1.1.1 Vérifier que le sous-système d'audit est installé modérés réussite
4.1.1.4 Augmenter la limite de la file d'attente d'audit pour le daemon d'audit faibles réussite
4.1.2.1 Configurer la taille maximale du fichier journal d'audit modérés réussite
4.1.2.2 Configurer max_log_file_action audité lorsque la taille maximale du journal est atteinte modérés réussite
4.1.3.12 Enregistrer les tentatives de modification des événements de connexion et de déconnexion : faillog modérés réussite
4.1.3.16 Enregistrer toutes les tentatives d'exécution de setfacl modérés réussite
4.1.3.17 Enregistrer toutes les tentatives d'exécution de chacl modérés réussite
4.1.3.18 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : usermod modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : insmod modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées - modprobe modérés réussite
4.1.3.19 Vérifier que l'audit collecte des informations sur l'utilisation de commandes privilégiées : rmmod modérés réussite
4.1.3.2 Enregistrer des événements lorsque des exécutables privilégiés sont exécutés modérés réussite
4.1.3.3 Enregistrer les tentatives d'exécution d'activités de maintenance modérés réussite
4.1.4.10 Vérifier que les outils d'audit appartiennent au groupe racine modérés réussite
4.1.4.4 Les journaux d'audit système doivent être configurés en mode 0750 ou moins permissif modérés réussite
4.1.4.5 Vérifier les autorisations sur /etc/audit/auditd.conf modérés réussite
4.1.4.5 Vérifier les autorisations sur /etc/audit/rules.d/*.rules modérés réussite
4.1.4.6 Les fichiers de configuration d'audit doivent appartenir à l'utilisateur racine modérés réussite
4.1.4.7 Les fichiers de configuration d'audit doivent appartenir au groupe racine modérés réussite
4.1.4.8 Vérifier que les outils d'audit sont en mode 0755 ou inférieur modérés réussite
4.1.4.9 Vérifier que les outils d'audit appartiennent à l'utilisateur racine modérés réussite
4.2.1.1.1 Installer le package systemd-journal-remote modérés réussite
4.2.1.1.4 Désactiver le socket systemd-journal-remote modérés réussite
4.2.1.2 Activer le service systemd-journald modérés réussite
4.2.1.3 Assurez-vous que journald est configuré pour compresser les fichiers journaux volumineux modérés réussite
4.2.1.4 Assurez-vous que journald est configuré pour écrire les fichiers journaux sur le disque persistant modérés réussite
4.2.2.1 Vérifier que rsyslog est installé modérés réussite
4.2.2.2 Activer le service rsyslog modérés réussite
4.2.2.4 Vérifier que les autorisations de fichiers par défaut de rsyslog sont configurées modérés réussite
4.2.2.7 Assurez-vous que rsyslog n'accepte pas les messages distants, sauf s'il agit en tant que serveur de journaux modérés réussite
5.1.1 Activer le service cron modérés réussite
5.1.2 Vérifier le groupe propriétaire du fichier crontab modérés réussite
5.1.2 Valider le propriétaire dans crontab modérés réussite
5.1.2 Vérifier les autorisations sur le fichier crontab modérés réussite
5.1.3 Vérifier le groupe propriétaire de cron.hourly modérés réussite
5.1.3 Valider le propriétaire sur cron.hourly modérés réussite
5.1.3 Vérifier les autorisations sur cron.hourly modérés réussite
5.1.4 Vérifier le groupe propriétaire de cron.daily modérés réussite
5.1.4 Valider le propriétaire sur cron.daily modérés réussite
5.1.4 Vérifier les autorisations sur cron.daily modérés réussite
5.1.5 Vérifier le groupe propriétaire de cron.weekly modérés réussite
5.1.5 Valider le propriétaire sur cron.weekly modérés réussite
5.1.5 Vérifier les autorisations sur cron.weekly modérés réussite
5.1.6 Vérifier le groupe propriétaire de cron.monthly modérés réussite
5.1.6 Valider le propriétaire sur cron.monthly modérés réussite
5.1.6 Vérifier les autorisations sur cron.monthly modérés réussite
5.1.7 Vérifier le groupe propriétaire de cron.d modérés réussite
5.1.7 Vérifier le propriétaire dans cron.d modérés réussite
5.1.7 Vérifier les autorisations sur cron.d modérés réussite
5.1.8 Assurez-vous que /etc/cron.deny n'existe pas modérés réussite
5.1.8 Vérifier le groupe propriétaire du fichier /etc/cron.allow modérés réussite
5.1.8 Vérifier les autorisations sur le fichier /etc/cron.allow modérés réussite
5.1.8 Vérifier l'utilisateur propriétaire du fichier /etc/cron.allow modérés réussite
5.1.9 Vérifiez que /etc/at.deny n'existe pas modérés réussite
5.1.9 Vérifier le groupe propriétaire du fichier /etc/at.allow modérés réussite
5.1.9 Vérifier les autorisations sur le fichier /etc/at.allow modérés réussite
5.1.9 Vérifier l'utilisateur propriétaire du fichier /etc/at.allow modérés réussite
5.2.1 Vérifier le groupe propriétaire du fichier de configuration du serveur SSH modérés réussite
5.2.1 Vérifier le propriétaire du fichier de configuration du serveur SSH modérés réussite
5.2.1 Vérifier les autorisations sur le fichier de configuration du serveur SSH modérés réussite
5.2.12 Désactiver le transfert X11 modérés réussite
5.2.13 N'utiliser que des algorithmes de chiffrement sécurisés modérés réussite
5.2.14 N'utiliser que des adresses MAC sécurisées modérés réussite
5.2.15 N'utiliser que des algorithmes d'échange de clés sécurisés modérés réussite
5.2.16 Désactiver le transfert TCP SSH modérés réussite
5.2.18 Définir la limite de tentatives d'authentification SSH modérés réussite
5.2.19 Vérifier que SSH MaxStartups est configuré modérés réussite
5.2.20 Définir la limite de sessions SSH modérés réussite
5.2.21 Vérifier que LoginGraceTime est configuré pour SSH modérés réussite
5.2.5 Définir LogLevel sur INFO faibles réussite
5.2.6 Activer le gestionnaire d'accès privilégié modérés réussite
5.3.1 Installer le paquet sudo modérés réussite
5.3.2 S'assurer que seuls les utilisateurs connectés à un tty réel peuvent exécuter sudo (sudo use_pty) modérés réussite
5.3.3 S'assurer que le fichier journal sudo existe - fichier journal sudo faibles réussite
5.3.5 S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo !authenticate) modérés réussite
5.3.6 Exiger une nouvelle authentification lors de l'utilisation de la commande sudo modérés réussite
5.3.7 Appliquer l'utilisation de pam_wheel avec le paramètre de groupe pour l'authentification su modérés réussite
5.3.7 Vérifier que le groupe utilisé par le module pam_wheel existe sur le système et qu'il est vide modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences relatives aux mots de passe : invites de nouvelle tentative d'authentification autorisées par session modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de mot de passe : catégories différentes minimales modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de mot de passe : nombre minimal de chiffres modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences de longueur minimale des mots de passe modérés réussite
5.4.1 Assurez-vous que le PAM applique les exigences concernant les mots de passe : nombre minimal de caractères minuscules modérés réussite
5.4.1 Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères spéciaux modérés réussite
5.4.1 Assurer que le PAM applique les exigences de mot de passe : nombre minimal de caractères en majuscule modérés réussite
5.4.1 Installer le package pam_pwquality modérés réussite
5.4.2 Définir l'intervalle pour comptabiliser les tentatives de saisie de mot de passe infructueuses modérés réussite
5.4.4 Définir l'algorithme de hachage de mot de passe dans /etc/login.defs modérés réussite
5.5.1.1 Définir la durée de vie minimale des mots de passe existants modérés réussite
5.5.1.2 Définir la durée de vie maximale des mots de passe existants modérés réussite
5.5.1.5 Assurez-vous que la date du dernier changement de mot de passe de tous les utilisateurs est antérieure modérés réussite
5.5.2 Assurez-vous que les comptes système n'exécutent pas de shell lors de la connexion modérés réussite
5.5.3 Vérifier que la racine a un GID principal de 0 high réussite
5.5.4 Vérifier que l'umask Bash par défaut est correctement défini modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini pour les utilisateurs interactifs modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini dans /etc/profile modérés réussite
5.5.4 Vérifier que l'umask par défaut est correctement défini dans login.defs modérés réussite
6.1.1 Vérifier le groupe propriétaire du fichier passwd modérés réussite
6.1.1 Vérifier les autorisations sur le fichier passwd modérés réussite
6.1.1 Vérifier l'utilisateur propriétaire du fichier passwd modérés réussite
6.1.2 Vérifier le groupe propriétaire du fichier passwd de sauvegarde modérés réussite
6.1.2 Vérifier les autorisations sur le fichier passwd de sauvegarde modérés réussite
6.1.2 Vérifier l'utilisateur propriétaire du fichier passwd de sauvegarde modérés réussite
6.1.3 Vérifier le groupe propriétaire du fichier de groupe modérés réussite
6.1.3 Vérifier les autorisations sur le fichier de groupe modérés réussite
6.1.3 Vérifier l'utilisateur propriétaire du fichier de groupe modérés réussite
6.1.4 Vérifier le groupe propriétaire du fichier de groupe de sauvegarde modérés réussite
6.1.4 Vérifier les autorisations sur le fichier de groupe de sauvegarde modérés réussite
6.1.4 Vérifier l'utilisateur propriétaire du fichier de groupe de sauvegarde modérés réussite
6.1.5 Vérifier le groupe propriétaire du fichier d'ombre modérés réussite
6.1.5 Vérifier les autorisations sur le fichier d'ombre modérés réussite
6.1.5 Vérifier l'utilisateur propriétaire du fichier d'ombre modérés réussite
6.1.6 Vérifier le groupe propriétaire du fichier d'ombre de sauvegarde modérés réussite
6.1.6 Vérifier les autorisations sur le fichier de sauvegarde ombragé modérés réussite
6.1.6 Vérifier l'utilisateur propriétaire du fichier d'ombre de sauvegarde modérés réussite
6.1.7 Vérifier le groupe propriétaire du fichier gshadow modérés réussite
6.1.7 Vérifier les autorisations sur le fichier gshadow modérés réussite
6.1.7 Vérifier l'utilisateur propriétaire du fichier gshadow modérés réussite
6.1.8 Vérifier le groupe propriétaire du fichier gshadow de sauvegarde modérés réussite
6.1.8 Vérifier les autorisations sur le fichier gshadow de sauvegarde modérés réussite
6.1.8 Vérifier l'utilisateur propriétaire du fichier gshadow de sauvegarde modérés réussite
6.2.11 Tous les répertoires d'accueil des utilisateurs interactifs doivent exister modérés réussite
6.2.12 Tous les répertoires d'accueil utilisateur interactifs doivent appartenir au groupe principal modérés réussite
6.2.12 Tous les répertoires d'accueil des utilisateurs interactifs doivent appartenir à l'utilisateur principal modérés réussite
6.2.13 Tous les répertoires d'accueil utilisateur interactifs doivent être configurés en mode 0750 ou moins permissif modérés réussite
6.2.14 Vérifier qu'aucun fichier netrc n'existe modérés réussite
6.2.15 Vérifier qu'aucun fichier .forward n'existe modérés réussite
6.2.16 Supprimer les fichiers de confiance Rsh high réussite
6.2.17 Les fichiers d'initialisation de l'utilisateur doivent appartenir au groupe principal modérés réussite
6.2.17 Les fichiers d'initialisation de l'utilisateur doivent appartenir à l'utilisateur principal modérés réussite
6.2.17 Les fichiers d'initialisation utilisateur ne doivent pas exécuter de programmes en écriture pour tous modérés réussite
6.2.2 Vérifier qu'aucun compte n'a de mot de passe vide ou nul high réussite
6.2.3 Tous les GID référencés dans /etc/passwd doivent être définis dans /etc/group. faibles réussite
6.2.4 Vérifier que le groupe d'ombre est vide modérés réussite
6.2.5 Assurez-vous que tous les comptes du système disposent d'ID utilisateur uniques modérés réussite
6.2.6 Assurez-vous que tous les groupes du système disposent d'un ID de groupe unique modérés réussite
6.2.7 Assurez-vous que tous les comptes du système ont un nom unique modérés réussite
6.2.8 Assurez-vous que tous les groupes du système ont un nom unique modérés réussite
6.2.9 Assurez-vous que le chemin d'accès racine n'inclut pas de chemins relatifs ni de répertoires nuls inconnu réussite
6.2.9 Assurez-vous que le chemin d'accès racine n'inclut pas de répertoires accessibles en écriture pour le monde ou le groupe modérés réussite

Recommandations non applicables

Le tableau suivant répertorie les recommandations qui ne s'appliquent pas à Google Distributed Cloud.

# Recommandation Gravité État
1.1.2.2 Ajouter l'option nodev à /tmp modérés notapplicable
1.1.2.3 Ajouter l'option noexec à /tmp modérés notapplicable
1.1.2.4 Ajouter l'option nosuid à /tmp modérés notapplicable
1.1.3.2 Ajouter l'option nodev à /var modérés notapplicable
1.1.3.3 Ajouter l'option nosuid à /var modérés notapplicable
1.1.4.2 Ajouter l'option noexec à /var/tmp modérés notapplicable
1.1.4.3 Ajouter l'option nosuid à /var/tmp modérés notapplicable
1.1.4.4 Ajouter l'option nodev à /var/tmp modérés notapplicable
1.1.5.2 Ajouter l'option nodev à /var/log modérés notapplicable
1.1.5.3 Ajouter l'option noexec à /var/log modérés notapplicable
1.1.5.4 Ajouter l'option nosuid à /var/log modérés notapplicable
1.1.6.2 Ajouter l'option noexec à /var/log/audit modérés notapplicable
1.1.6.3 Ajouter l'option nodev à /var/log/audit modérés notapplicable
1.1.6.4 Ajouter l'option nosuid à /var/log/audit modérés notapplicable
1.1.7.2 Ajouter l'option nodev à /home inconnu notapplicable
1.1.7.3 Ajout de l'option nosuid à /home modérés notapplicable
1.10 Configurer le profil utilisateur DConf de GNOME3 high notapplicable
1.8.1 Supprimer le groupe de paquets GDM modérés notapplicable
1.8.10 Désactiver XDMCP dans GDM high notapplicable
2.1.4.1 Configurer les restrictions de serveur pour ntpd modérés notapplicable
2.1.4.3 Configurer ntpd pour qu'il s'exécute en tant qu'utilisateur ntp modérés notapplicable
2.1.4.4 Activer le démon NTP high notapplicable
2.2.15 Désactiver l'écoute réseau Postfix modérés notapplicable
3.1.10 Activer le verrouillage de l'économiseur d'écran GNOME3 après une période d'inactivité modérés notapplicable
3.1.10 Définir le délai de verrouillage de l'économiseur d'écran GNOME3 après la période d'activation modérés notapplicable
3.1.7 Désactiver l'ouverture automatique de GNOME3 modérés notapplicable
3.1.7 Désactiver l'exécution de l'automontage GNOME3 faibles notapplicable
3.1.7 Désactiver l'automontage de GNOME3 modérés notapplicable
3.4.5 Définir le mot de passe du bootloader UEFI high notapplicable
3.5.1.3 Vérifier que ufw est activé modérés notapplicable
3.5.1.4 Définir le trafic de bouclage UFW modérés notapplicable
3.5.1.6 Assurez-vous qu'il existe des règles de pare-feu ufw pour tous les ports ouverts modérés notapplicable
3.5.1.7 Vérifier que la stratégie de pare-feu de refus par défaut est définie pour ufw modérés notapplicable
3.5.3.2.1 Définir la règle iptables par défaut pour les paquets entrants modérés notapplicable
3.5.3.2.2 Définir la configuration pour le trafic de bouclage modérés notapplicable
3.5.3.2.4 Assurez-vous qu'il existe des règles de pare-feu iptables pour tous les ports ouverts modérés notapplicable
3.5.3.3.1 Définir la règle ip6tables par défaut pour les paquets entrants modérés notapplicable
3.5.3.3.4 Assurez-vous qu'il existe des règles de pare-feu ip6tables pour tous les ports ouverts modérés notapplicable

1,30

Versions

Cette section fait référence aux versions suivantes:

Version de Google Distributed Cloud Version Ubuntu Version du benchmark CIS d'Ubuntu Niveau CIS
1,30 22.04 LTS v1.0.0 Serveur de niveau 2
# Recommandation État Justification Composants concernés
1.1.2.1 Assurez-vous que /tmp se trouve sur une partition distincte Échec Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.3.1 Assurez-vous que /var se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.4.1 Assurez-vous que /var/tmp se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.5.1 Assurez-vous que /var/log se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.6.1 Vérifier que /var/log/audit se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.1.7.1 Assurez-vous que /home se trouve sur une partition distincte Impossible à corriger Canonical n'a pas l'intention de modifier les partitions des images cloud pour le moment. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.1 Définir le mot de passe du bootloader dans grub2 Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
1.4.3 Assurez-vous qu'une authentification est requise pour le mode mono-utilisateur Dépend de l'environnement Aucun mot de passe racine n'est défini sur les images cloud Ubuntu. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
2.3.6 Désinstaller le package rpcbind Échec rpcbind est installé sur l'image cloud canonique, mais n'est pas activé par défaut. La règle échoue car elle requiert que ce composant ne soit pas installé. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.3.7 Activer le paramètre du noyau pour utiliser le filtrage du chemin inverse sur toutes les interfaces IPv4 Dépend de l'environnement Le routage asynchrone et l'origine inversée du chemin d'accès sont nécessaires pour fournir l'équilibrage de charge du cluster. Tous les nœuds de cluster, Seesaw
3.5.2.6 Définir la configuration nftables pour le trafic de rebouclage Impossible à corriger Le réseau Anthos a été affecté par cette règle. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
3.5.2.8 Vérifiez que la stratégie de pare-feu de refus est définie par défaut pour nftables Dépend de l'environnement Il est recommandé de déployer Google Distributed Cloud sur un réseau privé avec des protections de pare-feu appropriées. Les règles de pare-feu requises sont disponibles ici. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
4.2.3 Vérifier les autorisations des fichiers journaux Échec Ce test spécifique est trop restrictif et irréaliste, car de nombreux services peuvent nécessiter un groupe pour écrire des fichiers journaux. Cet élément peut être supprimé dans un benchmark ultérieur. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.2.18 Limiter l'accès SSH des utilisateurs Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.3.4 S'assurer que les utilisateurs s'authentifient à nouveau pour l'élévation des privilèges (sudo) Dépend de l'environnement Cette option n'est pas configurée par défaut. Tous les nœuds de cluster, poste de travail administrateur, Seesaw
5.5.1.2 Définir la durée de vie maximale du mot de passe Contrôle équivalent Les VM utilisées pour Google Distributed Cloud reposent sur une clé SSH pour les connexions d'utilisateurs, plutôt que d'utiliser un mot de passe. Tous les nœuds de cluster
6.1.10 Assurez-vous que tous les fichiers sont la propriété d'un utilisateur Échec Les autorisations ont été laissées par défaut. Tous les nœuds de cluster

Configurer le job Cron AIDE

AIDE est un outil de vérification de l'intégrité des fichiers qui garantit la conformité avec le benchmark de serveur CIS L1 de 1.4 Filesystem Integrity Checking. Dans Google Distributed Cloud, le processus AIDE a entraîné des problèmes importants d'utilisation des ressources.

Le processus AIDE sur les nœuds est désactivé par défaut pour éviter les problèmes de ressources. Cela aura une incidence sur la conformité avec le benchmark de serveur CIS L1 1.4.2 : Ensure filesystem integrity is regularly checked..

Si vous souhaitez activer l'exécution du job Cron AIDE, procédez comme suit pour réactiver AIDE :

  1. Créer un DaemonSet.

    Voici un fichier manifeste de DaemonSet.

    apiVersion: apps/v1
    kind: DaemonSet
    metadata:
    name: enable-aide-pool1
    spec:
    selector:
      matchLabels:
        app: enable-aide-pool1
    template:
      metadata:
        labels:
          app: enable-aide-pool1
      spec:
        hostIPC: true
        hostPID: true
        nodeSelector:
          cloud.google.com/gke-nodepool: pool-1
        containers:
        - name: update-audit-rule
          image: ubuntu
          command: ["chroot", "/host", "bash", "-c"]
          args:
          - |
            set -x
            while true; do
              # change daily cronjob schedule
              minute=30;hour=5
              sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
    
              # enable aide
              chmod 755 /etc/cron.daily/aide
    
              sleep 3600
            done
          volumeMounts:
          - name: host
            mountPath: /host
          securityContext:
            privileged: true
        volumes:
        - name: host
          hostPath:
            path: /
    

    Dans le fichier manifeste précédent :

    • Le job Cron AIDE ne s'exécute que sur le pool de nœuds pool-1, comme spécifié par le nodeSelector cloud.google.com/gke-nodepool: pool-1. Vous pouvez configurer le processus AIDE pour qu'il s'exécute sur autant de pools de nœuds que vous le souhaitez en spécifiant les pools dans le champ nodeSelector. Pour exécuter la même planification de jobs Cron sur différents pools de nœuds, supprimez le champ nodeSelector. Toutefois, pour éviter toute congestion des ressources hôtes, nous vous recommandons de conserver des planifications distinctes.

    • Le job Cron est planifié pour s'exécuter tous les jours à 5h30 comme spécifié par la configuration minute=30;hour=5. Vous pouvez configurer différentes planifications pour le job Cron AIDE selon vos besoins.

  2. Copiez le fichier manifeste dans un fichier nommé enable-aide.yaml et créez le DaemonSet :

    kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
    

    USER_CLUSTER_KUBECONFIG représente le chemin d'accès au fichier kubeconfig de votre cluster d'utilisateur.