Dokumen ini menjelaskan tingkat kepatuhan yang dimiliki Google Distributed Cloud terhadap CIS Ubuntu Benchmark.
Mengakses benchmark
Tolok Ukur Ubuntu CIS tersedia di situs CIS.
Profil konfigurasi
Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh Google Distributed Cloud di-harden untuk memenuhi profil Level 2 - Server.
Evaluasi di Google Distributed Cloud
Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di Google Distributed Cloud.
| Status | Deskripsi |
|---|---|
| Lulus | Mematuhi rekomendasi tolok ukur. |
| Gagal | Tidak mematuhi rekomendasi tolok ukur. |
| Kontrol setara | Tidak mematuhi persyaratan yang sama persis dengan rekomendasi tolok ukur, tetapi mekanisme lain di Google Distributed Cloud memberikan kontrol keamanan yang setara. |
| Bergantung pada lingkungan | Google Distributed Cloud tidak mengonfigurasi item yang terkait dengan rekomendasi benchmark. Konfigurasi Anda menentukan apakah lingkungan Anda mematuhi rekomendasi. |
Status Google Distributed Cloud
Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang
alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.
Benchmark yang memiliki status Passed tidak disertakan dalam tabel
berikut.
1,32
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1,32 | 22.04 LTS | v1.0.0 | Server Level 2 |
Rekomendasi gagal
Tabel berikut mencantumkan rekomendasi yang menyimpang dari rekomendasi benchmark untuk Google Distributed Cloud. Untuk setiap rekomendasi, kami mengkategorikan status kegagalan, memberikan justifikasi untuk kegagalan, dan mencantumkan komponen yang terpengaruh.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
Rekomendasi yang diteruskan
Tabel berikut mencantumkan rekomendasi yang dipatuhi Google Distributed Cloud sesuai dengan rekomendasi benchmark.
| # | Rekomendasi | Keparahan | Status |
|---|---|---|---|
| 1.1.8.1 | Menambahkan Opsi nodev ke /dev/shm | sedang | lulus |
| 1.1.8.2 | Menambahkan Opsi noexec ke /dev/shm | sedang | lulus |
| 1.1.8.3 | Menambahkan Opsi nosuid ke /dev/shm | sedang | lulus |
| 1.5.2 | Paket "prelink" Tidak Boleh Diinstal | sedang | lulus |
| 1.5.3 | Menonaktifkan Layanan Apport | tidak diketahui | lulus |
| 1.5.4 | Menonaktifkan Core Dump untuk Semua Pengguna | sedang | lulus |
| 1.5.4 | Menonaktifkan Core Dump untuk program SUID | sedang | lulus |
| 1.6.1.1 | Memastikan AppArmor diinstal | sedang | lulus |
| 1.6.1.2 | Memastikan AppArmor diaktifkan dalam konfigurasi bootloader | sedang | lulus |
| 1.6.1.4 | Menerapkan semua Profil AppArmor | sedang | lulus |
| 1.7.1 | Mengubah Banner Pesan Sistem Hari Ini | sedang | lulus |
| 1.7.3 | Mengubah Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.4 | Memverifikasi Kepemilikan Grup Banner Pesan Hari Ini | sedang | lulus |
| 1.7.4 | Memverifikasi kepemilikan Banner Pesan Hari Ini | sedang | lulus |
| 1.7.4 | Memverifikasi izin di Banner Pesan Hari Ini | sedang | lulus |
| 1.7.5 | Memverifikasi Kepemilikan Grup Banner Login Sistem | sedang | lulus |
| 1.7.5 | Memverifikasi kepemilikan Banner Login Sistem | sedang | lulus |
| 1.7.5 | Memverifikasi izin di Banner Login Sistem | sedang | lulus |
| 1.7.6 | Memverifikasi Kepemilikan Grup Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.6 | Memverifikasi kepemilikan Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.6 | Memverifikasi izin di Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 2.1.1.1 | Menginstal Layanan systemd_timesyncd | tinggi | lulus |
| 2.1.3.2 | Mengaktifkan Layanan systemd_timesyncd | tinggi | lulus |
| 2.2.1 | Menghapus Grup Paket X Windows | sedang | lulus |
| 2.2.10 | Meng-uninstal Paket cyrus-imapd | tidak diketahui | lulus |
| 2.2.10 | Meng-uninstal Paket dovecot | tidak diketahui | lulus |
| 2.2.11 | Meng-uninstal Paket Samba | tidak diketahui | lulus |
| 2.2.12 | Meng-uninstal Paket squid | tidak diketahui | lulus |
| 2.2.13 | Meng-uninstal Paket net-snmp | tidak diketahui | lulus |
| 2.2.14 | Meng-uninstal paket nis | rendah | lulus |
| 2.2.15 | Memastikan Mail Transfer Agent tidak Mendengarkan Alamat non-loopback | sedang | lulus |
| 2.2.16 | Meng-uninstal Paket rsync | sedang | lulus |
| 2.2.2 | Menonaktifkan Software Server Avahi | sedang | lulus |
| 2.2.2 | Meng-uninstal Paket Server avahi | sedang | lulus |
| 2.2.3 | Menonaktifkan Layanan CUPS | tidak diketahui | lulus |
| 2.2.3 | Meng-uninstal Paket CUPS | tidak diketahui | lulus |
| 2.2.4 | Meng-uninstal Paket Server DHCP | sedang | lulus |
| 2.2.5 | Meng-uninstal Paket openldap-servers | rendah | lulus |
| 2.2.6 | Meng-uninstal Paket nfs-kernel-server | rendah | lulus |
| 2.2.7 | Meng-uninstal Paket bind | rendah | lulus |
| 2.2.8 | Meng-uninstal Paket vsftpd | tinggi | lulus |
| 2.2.9 | Meng-uninstal Paket httpd | tidak diketahui | lulus |
| 2.2.9 | Meng-uninstal Paket nginx | tidak diketahui | lulus |
| 2.3.3 | Meng-uninstal Paket talk | sedang | lulus |
| 2.3.5 | Memastikan klien LDAP tidak diinstal | rendah | lulus |
| 3.1.1, 3.1.5 | Menonaktifkan Akses SSH melalui Sandi Kosong | tinggi | lulus |
| 3.1.1, 3.1.5 | Menonaktifkan Login Root SSH | sedang | lulus |
| 3.1.1, 3.1.5 | Memverifikasi Hanya Root yang Memiliki UID 0 | tinggi | lulus |
| 3.1.11 | Menetapkan Waktu Tunggu Sesi Interaktif | sedang | lulus |
| 3.1.11 | Menetapkan SSH Client Alive Count Max | sedang | lulus |
| 3.1.11 | Menetapkan Interval Aktif Klien SSH | sedang | lulus |
| 3.1.12 | Menonaktifkan Autentikasi Berbasis Host | sedang | lulus |
| 3.1.12 | Menonaktifkan Dukungan SSH untuk File .rhosts | sedang | lulus |
| 3.1.12 | Jangan Izinkan Opsi Lingkungan SSH | sedang | lulus |
| 3.1.13, 3.13.10 | Memverifikasi Izin di File Kunci *_key Pribadi Server SSH | sedang | lulus |
| 3.1.13, 3.13.10 | Memverifikasi Izin di File Kunci Publik *.pub Server SSH | sedang | lulus |
| 3.1.13 | Menghapus Klien telnet | rendah | lulus |
| 3.1.13 | Meng-uninstal Paket rsh | tidak diketahui | lulus |
| 3.1.16 | Menonaktifkan Antarmuka Jaringan Nirkabel | sedang | lulus |
| 3.1.20 | Mengonfigurasi Penerimaan Iklan Router di Semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Mengonfigurasi Parameter Kernel untuk Menerima Pengalihan Aman Secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Pengalihan ICMP untuk Semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Pengalihan ICMP untuk Semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Iklan Router di semua Antarmuka IPv6 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP secara Default di Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP secara Default di Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP yang Aman di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di Antarmuka IPv6 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Mengirim Pengalihan ICMP di semua Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Mengirim Pengalihan ICMP di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mengabaikan Respons Error ICMP Palsu di Antarmuka IPv4 | tidak diketahui | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mengabaikan Permintaan Echo Siaran ICMP di Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mencatat Paket Martian di semua Antarmuka IPv4 | tidak diketahui | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Syncookie TCP di Antarmuka Jaringan | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mencatat Paket Martian di semua Antarmuka IPv4 secara Default | tidak diketahui | lulus |
| 3.1.21 | Menonaktifkan Pemuatan Modprobe Driver Penyimpanan USB | sedang | lulus |
| 3.1.7 | Mengaktifkan Tata Letak Acak Ruang Alamat Virtual | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - mengganti nama | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - renameat | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - hapus tautan | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - unlinkat | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Mengekspor ke Media (berhasil) | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Pemuatan Modul Kernel - init_module | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penghapusan Modul Kernel - delete_module | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - su | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - sudo | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - sudoedit | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah dengan Hak Istimewa - umount | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - unix_chkpwd | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Tindakan Administrator Sistem | sedang | lulus |
| 3.1.7 | Merekam Setiap Upaya untuk Menjalankan chcon | sedang | lulus |
| 3.1.7 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - lastlog | sedang | lulus |
| 3.1.7 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - tallylog | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Proses dan Informasi Inisiasi Sesi | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah File localtime | sedang | lulus |
| 3.1.7 | Merekam upaya untuk mengubah waktu melalui adjtimex | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Waktu Melalui clock_settime | sedang | lulus |
| 3.1.7 | Merekam upaya untuk mengubah waktu melalui settimeofday | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Waktu Melalui stime | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - chmod | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - chown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchmod | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchmodat | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Discretionary Sistem - fchown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchownat | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fremovexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fsetxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lchown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lremovexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lsetxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - removexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Discretionary Sistem - setxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Lingkungan Jaringan Sistem | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/group | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/gshadow | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/passwd | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/security/opasswd | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/shadow | sedang | lulus |
| 3.1.7 | Record Unsuccessful Access Attempts to Files - creat | sedang | lulus |
| 3.1.7 | Mencatat Upaya Akses yang Gagal ke File - ftruncate | sedang | lulus |
| 3.1.7 | Merekam Upaya Akses yang Gagal ke File - membuka | sedang | lulus |
| 3.1.7 | Mencatat Upaya Akses yang Gagal ke File - openat | sedang | lulus |
| 3.1.7 | Merekam Upaya Akses yang Gagal ke File - memotong | sedang | lulus |
| 3.1.8 | Mengunci Akun Setelah Kesalahan Sandi | sedang | lulus |
| 3.1.8 | Merekam Peristiwa yang Mengubah Kontrol Akses Wajib Sistem | sedang | lulus |
| 3.1.8 | Menetapkan Waktu Penguncian untuk Upaya Sandi Gagal | sedang | lulus |
| 3.1.9 | Mengaktifkan Banner Peringatan SSH | sedang | lulus |
| 3.1.9 | Mengubah Banner Login Sistem | sedang | lulus |
| 3.3.1, 3.3.2, 3.3.6 | Mengaktifkan Layanan auditd | sedang | lulus |
| 3.3.1, 3.4.3 | Membuat Konfigurasi auditd Tidak Dapat Diubah | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan admin_space_left auditd pada Ruang Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan mail_acct auditd pada Kapasitas Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan space_left auditd pada Kapasitas Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Dimiliki Grup oleh Root | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Dimiliki oleh Root | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Memiliki Mode 0640 atau Lebih Rendah | sedang | lulus |
| 3.4.3 | Menonaktifkan Dukungan RDS | rendah | lulus |
| 3.4.4 | Menonaktifkan Dukungan TIPC | rendah | lulus |
| 3.4.5 | Memverifikasi Izin /boot/grub/grub.cfg | sedang | lulus |
| 3.4.6 | Menonaktifkan Dukungan DCCP | sedang | lulus |
| 3.4.6 | Menonaktifkan Pemasangan cramfs | rendah | lulus |
| 3.4.6 | Menonaktifkan Pemasangan squashfs | rendah | lulus |
| 3.4.6 | Menonaktifkan Pemasangan udf | rendah | lulus |
| 3.4.6 | Menonaktifkan Dukungan SCTP | sedang | lulus |
| 3.4.6 | Menonaktifkan Automounter | sedang | lulus |
| 3.5.1.2 | Menghapus Paket iptables-persistent | sedang | lulus |
| 3.5.10 | Memverifikasi Semua Hash Sandi Akun Di-Shadow | sedang | lulus |
| 3.5.2.1 | Menginstal Paket nftables | sedang | lulus |
| 3.5.2.10 | Memastikan aturan nftables bersifat permanen | sedang | lulus |
| 3.5.2.4 | Memastikan Tabel Ada untuk Nftables | sedang | lulus |
| 3.5.2.5 | Memastikan Rantai Dasar Ada untuk Nftables | sedang | lulus |
| 3.5.2.9 | Memverifikasi bahwa Layanan nftables Diaktifkan | sedang | lulus |
| 3.5.3.1.1 | Menginstal Paket iptables | sedang | lulus |
| 3.5.3.1.3 | Menghapus Paket ufw | sedang | lulus |
| 3.5.6 | Menetapkan Akhir Masa Berlaku Akun Setelah Tidak Ada Aktivitas | sedang | lulus |
| 3.5.8 | Membatasi Penggunaan Ulang Sandi | sedang | lulus |
| 3.5.8 | Menetapkan Usia Minimum Sandi | sedang | lulus |
| 3.5.8 | Menetapkan Usia Peringatan Sandi | sedang | lulus |
| 4.1.1.1 | Memastikan Subsistem audit Diinstal | sedang | lulus |
| 4.1.1.4 | Memperluas Batas Backlog Audit untuk Audit Daemon | rendah | lulus |
| 4.1.2.1 | Mengonfigurasi Ukuran File Log Maksimal auditd | sedang | lulus |
| 4.1.2.2 | Mengonfigurasi auditd max_log_file_action Setelah Mencapai Ukuran Log Maksimum | sedang | lulus |
| 4.1.3.12 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - faillog | sedang | lulus |
| 4.1.3.16 | Merekam Setiap Upaya untuk Menjalankan setfacl | sedang | lulus |
| 4.1.3.17 | Merekam Setiap Upaya untuk Menjalankan chacl | sedang | lulus |
| 4.1.3.18 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - usermod | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah dengan Hak Istimewa - insmod | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - modprobe | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - rmmod | sedang | lulus |
| 4.1.3.2 | Merekam Peristiwa Saat File yang Dapat Dieksekusi dengan Hak Istimewa Dijalankan | sedang | lulus |
| 4.1.3.3 | Merekam Upaya untuk melakukan aktivitas pemeliharaan | sedang | lulus |
| 4.1.4.10 | Memastikan bahwa alat audit dimiliki oleh root grup | sedang | lulus |
| 4.1.4.4 | Log Audit Sistem Harus Memiliki Mode 0750 atau Lebih Rendah yang Permisif | sedang | lulus |
| 4.1.4.5 | Memverifikasi Izin di /etc/audit/auditd.conf | sedang | lulus |
| 4.1.4.5 | Memverifikasi Izin di /etc/audit/rules.d/*.rules | sedang | lulus |
| 4.1.4.6 | File Konfigurasi Audit Harus Dimiliki oleh Root | sedang | lulus |
| 4.1.4.7 | File Konfigurasi Audit Harus Dimiliki oleh root Grup | sedang | lulus |
| 4.1.4.8 | Memverifikasi bahwa alat audit Memiliki Mode 0755 atau kurang | sedang | lulus |
| 4.1.4.9 | Memastikan bahwa alat audit dimiliki oleh root | sedang | lulus |
| 4.2.1.1.1 | Menginstal Paket systemd-journal-remote | sedang | lulus |
| 4.2.1.1.4 | Menonaktifkan Socket systemd-journal-remote | sedang | lulus |
| 4.2.1.2 | Mengaktifkan Layanan systemd-journald | sedang | lulus |
| 4.2.1.3 | Pastikan journald dikonfigurasi untuk mengompresi file log berukuran besar | sedang | lulus |
| 4.2.1.4 | Pastikan journald dikonfigurasi untuk menulis file log ke disk persisten | sedang | lulus |
| 4.2.2.1 | Memastikan rsyslog Diinstal | sedang | lulus |
| 4.2.2.2 | Mengaktifkan Layanan rsyslog | sedang | lulus |
| 4.2.2.4 | Memastikan Izin File Default rsyslog Dikonfigurasi | sedang | lulus |
| 4.2.2.7 | Memastikan rsyslog Tidak Menerima Pesan Jarak Jauh Kecuali Berfungsi Sebagai Server Log | sedang | lulus |
| 5.1.1 | Mengaktifkan Layanan cron | sedang | lulus |
| 5.1.2 | Memverifikasi Grup yang Memiliki Crontab | sedang | lulus |
| 5.1.2 | Memverifikasi Pemilik di crontab | sedang | lulus |
| 5.1.2 | Memverifikasi Izin di crontab | sedang | lulus |
| 5.1.3 | Memverifikasi Grup yang Memiliki cron.hourly | sedang | lulus |
| 5.1.3 | Memverifikasi Pemilik di cron.hourly | sedang | lulus |
| 5.1.3 | Memverifikasi Izin di cron.hourly | sedang | lulus |
| 5.1.4 | Memverifikasi Grup yang Memiliki cron.daily | sedang | lulus |
| 5.1.4 | Memverifikasi Pemilik di cron.daily | sedang | lulus |
| 5.1.4 | Memverifikasi Izin di cron.daily | sedang | lulus |
| 5.1.5 | Memverifikasi Grup yang Memiliki cron.weekly | sedang | lulus |
| 5.1.5 | Memverifikasi Pemilik di cron.weekly | sedang | lulus |
| 5.1.5 | Memverifikasi Izin di cron.weekly | sedang | lulus |
| 5.1.6 | Memverifikasi Grup yang Memiliki cron.monthly | sedang | lulus |
| 5.1.6 | Memverifikasi Pemilik di cron.monthly | sedang | lulus |
| 5.1.6 | Memverifikasi Izin di cron.monthly | sedang | lulus |
| 5.1.7 | Memverifikasi Grup yang Memiliki cron.d | sedang | lulus |
| 5.1.7 | Memverifikasi Pemilik di cron.d | sedang | lulus |
| 5.1.7 | Memverifikasi Izin di cron.d | sedang | lulus |
| 5.1.8 | Pastikan /etc/cron.deny tidak ada | sedang | lulus |
| 5.1.8 | Memverifikasi Grup yang Memiliki File /etc/cron.allow | sedang | lulus |
| 5.1.8 | Memverifikasi Izin di file /etc/cron.allow | sedang | lulus |
| 5.1.8 | Memverifikasi Pengguna yang Memiliki File /etc/cron.allow | sedang | lulus |
| 5.1.9 | Pastikan /etc/at.deny tidak ada | sedang | lulus |
| 5.1.9 | Memverifikasi Grup yang Memiliki File /etc/at.allow | sedang | lulus |
| 5.1.9 | Memverifikasi Izin pada file /etc/at.allow | sedang | lulus |
| 5.1.9 | Memverifikasi Pengguna yang Memiliki File /etc/at.allow | sedang | lulus |
| 5.2.1 | Memverifikasi Grup yang Memiliki file konfigurasi Server SSH | sedang | lulus |
| 5.2.1 | Memverifikasi Pemilik di file konfigurasi Server SSH | sedang | lulus |
| 5.2.1 | Memverifikasi Izin di file konfigurasi Server SSH | sedang | lulus |
| 5.2.12 | Menonaktifkan Penerusan X11 | sedang | lulus |
| 5.2.13 | Hanya Gunakan Cipher yang Kuat | sedang | lulus |
| 5.2.14 | Hanya Gunakan MAC yang Kuat | sedang | lulus |
| 5.2.15 | Hanya Gunakan Algoritma Pertukaran Kunci yang Kuat | sedang | lulus |
| 5.2.16 | Menonaktifkan Penerusan TCP SSH | sedang | lulus |
| 5.2.18 | Menetapkan batas percobaan autentikasi SSH | sedang | lulus |
| 5.2.19 | Memastikan SSH MaxStartups dikonfigurasi | sedang | lulus |
| 5.2.20 | Menetapkan batas SSH MaxSessions | sedang | lulus |
| 5.2.21 | Memastikan SSH LoginGraceTime dikonfigurasi | sedang | lulus |
| 5.2.5 | Menetapkan LogLevel ke INFO | rendah | lulus |
| 5.2.6 | Mengaktifkan PAM | sedang | lulus |
| 5.3.1 | Menginstal Paket sudo | sedang | lulus |
| 5.3.2 | Memastikan Hanya Pengguna yang Login ke tty Nyata yang Dapat Menjalankan Sudo - sudo use_pty | sedang | lulus |
| 5.3.3 | Memastikan File Log Sudo Ada - sudo logfile | rendah | lulus |
| 5.3.5 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo !authenticate | sedang | lulus |
| 5.3.6 | Mewajibkan Autentikasi Ulang Saat Menggunakan Perintah sudo | sedang | lulus |
| 5.3.7 | Menerapkan Penggunaan pam_wheel dengan Parameter Grup untuk Autentikasi su | sedang | lulus |
| 5.3.7 | Memastikan Grup yang Digunakan oleh Modul pam_wheel Ada di Sistem dan Kosong | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Permintaan Percobaan Ulang Autentikasi Diizinkan Per Sesi | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Kategori Berbeda Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Digit Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Panjang Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Huruf Kecil Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Khusus Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Huruf Besar Minimum | sedang | lulus |
| 5.4.1 | Menginstal Paket pam_pwquality | sedang | lulus |
| 5.4.2 | Menetapkan Interval untuk Menghitung Kesalahan Sandi | sedang | lulus |
| 5.4.4 | Menetapkan Algoritma Hashing Sandi di /etc/login.defs | sedang | lulus |
| 5.5.1.1 | Menetapkan Usia Minimum Sandi yang Ada | sedang | lulus |
| 5.5.1.2 | Menetapkan Usia Maksimal Sandi yang Ada | sedang | lulus |
| 5.5.1.5 | Memastikan tanggal perubahan sandi terakhir semua pengguna sudah berlalu | sedang | lulus |
| 5.5.2 | Memastikan Akun Sistem Tidak Menjalankan Shell Saat Login | sedang | lulus |
| 5.5.3 | Memverifikasi Root Memiliki GID Primer 0 | tinggi | lulus |
| 5.5.4 | Memastikan Umask Bash Default Ditetapkan dengan Benar | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar untuk Pengguna Interaktif | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar di /etc/profile | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar di login.defs | sedang | lulus |
| 6.1.1 | Memverifikasi Grup yang Memiliki File passwd | sedang | lulus |
| 6.1.1 | Memverifikasi Izin di File passwd | sedang | lulus |
| 6.1.1 | Memverifikasi Pengguna yang Memiliki File passwd | sedang | lulus |
| 6.1.2 | Memverifikasi Grup yang Memiliki File passwd Cadangan | sedang | lulus |
| 6.1.2 | Memverifikasi Izin di File passwd Cadangan | sedang | lulus |
| 6.1.2 | Memverifikasi Pengguna yang Memiliki File passwd Cadangan | sedang | lulus |
| 6.1.3 | Memverifikasi Grup yang Memiliki File Grup | sedang | lulus |
| 6.1.3 | Memverifikasi Izin di File grup | sedang | lulus |
| 6.1.3 | Memverifikasi Pengguna yang Memiliki File Grup | sedang | lulus |
| 6.1.4 | Memverifikasi Grup yang Memiliki File grup Cadangan | sedang | lulus |
| 6.1.4 | Memverifikasi Izin pada File grup Cadangan | sedang | lulus |
| 6.1.4 | Memverifikasi Pengguna yang Memiliki File grup Cadangan | sedang | lulus |
| 6.1.5 | Memverifikasi Grup yang Memiliki File bayangan | sedang | lulus |
| 6.1.5 | Memverifikasi Izin di File bayangan | sedang | lulus |
| 6.1.5 | Memverifikasi Pengguna yang Memiliki File bayangan | sedang | lulus |
| 6.1.6 | Memverifikasi Grup yang Memiliki File bayangan Cadangan | sedang | lulus |
| 6.1.6 | Memverifikasi Izin pada File bayangan Pencadangan | sedang | lulus |
| 6.1.6 | Memverifikasi Pengguna yang Memiliki File bayangan Cadangan | sedang | lulus |
| 6.1.7 | Memverifikasi Grup yang Memiliki File gshadow | sedang | lulus |
| 6.1.7 | Memverifikasi Izin di File gshadow | sedang | lulus |
| 6.1.7 | Memverifikasi Pengguna yang Memiliki File gshadow | sedang | lulus |
| 6.1.8 | Memverifikasi Grup yang Memiliki File gshadow Cadangan | sedang | lulus |
| 6.1.8 | Memverifikasi Izin di File gshadow Cadangan | sedang | lulus |
| 6.1.8 | Memverifikasi Pengguna yang Memiliki File gshadow Cadangan | sedang | lulus |
| 6.2.11 | Semua Direktori Utama Pengguna Interaktif Harus Ada | sedang | lulus |
| 6.2.12 | Semua Direktori Beranda Pengguna Interaktif Harus Dimiliki Grup Oleh Grup Utama | sedang | lulus |
| 6.2.12 | Semua Direktori Utama Pengguna Interaktif Harus Dimiliki oleh Pengguna Utama | sedang | lulus |
| 6.2.13 | Semua Direktori Beranda Pengguna Interaktif Harus Memiliki Mode 0750 Atau Lebih Rendah yang Permisif | sedang | lulus |
| 6.2.14 | Memverifikasi Tidak Ada File netrc | sedang | lulus |
| 6.2.15 | Memverifikasi Tidak Ada File .forward | sedang | lulus |
| 6.2.16 | Menghapus File Kepercayaan Rsh | tinggi | lulus |
| 6.2.17 | File Inisialisasi Pengguna Harus Dimiliki Grup oleh Grup Utama | sedang | lulus |
| 6.2.17 | File Inisialisasi Pengguna Harus Dimiliki oleh Pengguna Utama | sedang | lulus |
| 6.2.17 | File Inisialisasi Pengguna Tidak Boleh Menjalankan Program yang Dapat Dibaca Semua Orang | sedang | lulus |
| 6.2.2 | Memastikan Tidak Ada Akun dengan Sandi Kosong atau Null | tinggi | lulus |
| 6.2.3 | Semua GID yang dirujuk di /etc/passwd harus ditentukan di /etc/group | rendah | lulus |
| 6.2.4 | Memastikan grup bayangan kosong | sedang | lulus |
| 6.2.5 | Memastikan Semua Akun di Sistem Memiliki ID Pengguna Unik | sedang | lulus |
| 6.2.6 | Memastikan Semua Grup di Sistem Memiliki ID Grup yang Unik | sedang | lulus |
| 6.2.7 | Memastikan Semua Akun di Sistem Memiliki Nama Unik | sedang | lulus |
| 6.2.8 | Memastikan Semua Grup di Sistem Memiliki Nama Grup yang Unik | sedang | lulus |
| 6.2.9 | Memastikan Jalur Root Tidak Menyertakan Jalur Relatif atau Direktori Null | tidak diketahui | lulus |
| 6.2.9 | Memastikan Jalur Root Tidak Menyertakan Direktori yang Dapat Dibaca oleh Semua Orang atau Grup | sedang | lulus |
Rekomendasi yang tidak berlaku
Tabel berikut mencantumkan rekomendasi yang tidak berlaku untuk Google Distributed Cloud.
| # | Rekomendasi | Keparahan | Status |
|---|---|---|---|
| 1.1.2.2 | Menambahkan Opsi nodev ke /tmp | sedang | notapplicable |
| 1.1.2.3 | Menambahkan Opsi noexec ke /tmp | sedang | notapplicable |
| 1.1.2.4 | Menambahkan Opsi nosuid ke /tmp | sedang | notapplicable |
| 1.1.3.2 | Menambahkan Opsi nodev ke /var | sedang | notapplicable |
| 1.1.3.3 | Menambahkan Opsi nosuid ke /var | sedang | notapplicable |
| 1.1.4.2 | Menambahkan Opsi noexec ke /var/tmp | sedang | notapplicable |
| 1.1.4.3 | Menambahkan Opsi nosuid ke /var/tmp | sedang | notapplicable |
| 1.1.4.4 | Menambahkan Opsi nodev ke /var/tmp | sedang | notapplicable |
| 1.1.5.2 | Menambahkan Opsi nodev ke /var/log | sedang | notapplicable |
| 1.1.5.3 | Menambahkan Opsi noexec ke /var/log | sedang | notapplicable |
| 1.1.5.4 | Menambahkan Opsi nosuid ke /var/log | sedang | notapplicable |
| 1.1.6.2 | Menambahkan Opsi noexec ke /var/log/audit | sedang | notapplicable |
| 1.1.6.3 | Menambahkan Opsi nodev ke /var/log/audit | sedang | notapplicable |
| 1.1.6.4 | Menambahkan Opsi nosuid ke /var/log/audit | sedang | notapplicable |
| 1.1.7.2 | Menambahkan Opsi nodev ke /home | tidak diketahui | notapplicable |
| 1.1.7.3 | Menambahkan Opsi nosuid ke /home | sedang | notapplicable |
| 1.10 | Mengonfigurasi Profil Pengguna DConf GNOME3 | tinggi | notapplicable |
| 1.8.1 | Menghapus Grup Paket GDM | sedang | notapplicable |
| 1.8.10 | Menonaktifkan XDMCP di GDM | tinggi | notapplicable |
| 2.1.4.1 | Mengonfigurasi batasan server untuk ntpd | sedang | notapplicable |
| 2.1.4.3 | Mengonfigurasi ntpd Agar Berjalan Sebagai Pengguna ntp | sedang | notapplicable |
| 2.1.4.4 | Mengaktifkan Daemon NTP | tinggi | notapplicable |
| 2.2.15 | Menonaktifkan Pemantauan Jaringan Postfix | sedang | notapplicable |
| 3.1.10 | Mengaktifkan Kunci Screensaver GNOME3 Setelah Periode Tidak Ada Aktivitas | sedang | notapplicable |
| 3.1.10 | Menetapkan Penundaan Kunci Screensaver GNOME3 Setelah Periode Aktivasi | sedang | notapplicable |
| 3.1.7 | Menonaktifkan Pembukaan Automount GNOME3 | sedang | notapplicable |
| 3.1.7 | Menonaktifkan Automount GNOME3 yang berjalan | rendah | notapplicable |
| 3.1.7 | Menonaktifkan Automounting GNOME3 | sedang | notapplicable |
| 3.4.5 | Menetapkan Sandi Boot Loader UEFI | tinggi | notapplicable |
| 3.5.1.3 | Memverifikasi ufw Enabled | sedang | notapplicable |
| 3.5.1.4 | Menetapkan Traffic Loopback UFW | sedang | notapplicable |
| 3.5.1.6 | Memastikan Aturan Firewall ufw Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
| 3.5.1.7 | Memastikan Kebijakan Firewall Default Tolak ufw | sedang | notapplicable |
| 3.5.3.2.1 | Menetapkan Kebijakan iptables Default untuk Paket Masuk | sedang | notapplicable |
| 3.5.3.2.2 | Menetapkan konfigurasi untuk traffic loopback | sedang | notapplicable |
| 3.5.3.2.4 | Memastikan Aturan Firewall iptables Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
| 3.5.3.3.1 | Menetapkan Kebijakan ip6tables Default untuk Paket Masuk | sedang | notapplicable |
| 3.5.3.3.4 | Memastikan Aturan Firewall ip6tables Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
1,31
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1,31 | 22.04 LTS | v1.0.0 | Server Level 2 |
Rekomendasi gagal
Tabel berikut mencantumkan rekomendasi yang menyimpang dari rekomendasi benchmark untuk Google Distributed Cloud. Untuk setiap rekomendasi, kami mengkategorikan status kegagalan, memberikan justifikasi untuk kegagalan, dan mencantumkan komponen yang terpengaruh.
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
Rekomendasi yang diteruskan
Tabel berikut mencantumkan rekomendasi yang dipatuhi Google Distributed Cloud sesuai dengan rekomendasi benchmark.
| # | Rekomendasi | Keparahan | Status |
|---|---|---|---|
| 1.1.8.1 | Menambahkan Opsi nodev ke /dev/shm | sedang | lulus |
| 1.1.8.2 | Menambahkan Opsi noexec ke /dev/shm | sedang | lulus |
| 1.1.8.3 | Menambahkan Opsi nosuid ke /dev/shm | sedang | lulus |
| 1.5.2 | Paket "prelink" Tidak Boleh Diinstal | sedang | lulus |
| 1.5.3 | Menonaktifkan Layanan Apport | tidak diketahui | lulus |
| 1.5.4 | Menonaktifkan Core Dump untuk Semua Pengguna | sedang | lulus |
| 1.5.4 | Menonaktifkan Core Dump untuk program SUID | sedang | lulus |
| 1.6.1.1 | Memastikan AppArmor diinstal | sedang | lulus |
| 1.6.1.2 | Memastikan AppArmor diaktifkan dalam konfigurasi bootloader | sedang | lulus |
| 1.6.1.4 | Menerapkan semua Profil AppArmor | sedang | lulus |
| 1.7.1 | Mengubah Banner Pesan Sistem Hari Ini | sedang | lulus |
| 1.7.3 | Mengubah Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.4 | Memverifikasi Kepemilikan Grup Banner Pesan Hari Ini | sedang | lulus |
| 1.7.4 | Memverifikasi kepemilikan Banner Pesan Hari Ini | sedang | lulus |
| 1.7.4 | Memverifikasi izin di Banner Pesan Hari Ini | sedang | lulus |
| 1.7.5 | Memverifikasi Kepemilikan Grup Banner Login Sistem | sedang | lulus |
| 1.7.5 | Memverifikasi kepemilikan Banner Login Sistem | sedang | lulus |
| 1.7.5 | Memverifikasi izin di Banner Login Sistem | sedang | lulus |
| 1.7.6 | Memverifikasi Kepemilikan Grup Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.6 | Memverifikasi kepemilikan Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 1.7.6 | Memverifikasi izin di Banner Login Sistem untuk Koneksi Jarak Jauh | sedang | lulus |
| 2.1.1.1 | Menginstal Layanan systemd_timesyncd | tinggi | lulus |
| 2.1.3.2 | Mengaktifkan Layanan systemd_timesyncd | tinggi | lulus |
| 2.2.1 | Menghapus Grup Paket X Windows | sedang | lulus |
| 2.2.10 | Meng-uninstal Paket cyrus-imapd | tidak diketahui | lulus |
| 2.2.10 | Meng-uninstal Paket dovecot | tidak diketahui | lulus |
| 2.2.11 | Meng-uninstal Paket Samba | tidak diketahui | lulus |
| 2.2.12 | Meng-uninstal Paket squid | tidak diketahui | lulus |
| 2.2.13 | Meng-uninstal Paket net-snmp | tidak diketahui | lulus |
| 2.2.14 | Meng-uninstal paket nis | rendah | lulus |
| 2.2.15 | Memastikan Mail Transfer Agent tidak Mendengarkan Alamat non-loopback | sedang | lulus |
| 2.2.16 | Meng-uninstal Paket rsync | sedang | lulus |
| 2.2.2 | Menonaktifkan Software Server Avahi | sedang | lulus |
| 2.2.2 | Meng-uninstal Paket Server avahi | sedang | lulus |
| 2.2.3 | Menonaktifkan Layanan CUPS | tidak diketahui | lulus |
| 2.2.3 | Meng-uninstal Paket CUPS | tidak diketahui | lulus |
| 2.2.4 | Meng-uninstal Paket Server DHCP | sedang | lulus |
| 2.2.5 | Meng-uninstal Paket openldap-servers | rendah | lulus |
| 2.2.6 | Meng-uninstal Paket nfs-kernel-server | rendah | lulus |
| 2.2.7 | Meng-uninstal Paket bind | rendah | lulus |
| 2.2.8 | Meng-uninstal Paket vsftpd | tinggi | lulus |
| 2.2.9 | Meng-uninstal Paket httpd | tidak diketahui | lulus |
| 2.2.9 | Meng-uninstal Paket nginx | tidak diketahui | lulus |
| 2.3.3 | Meng-uninstal Paket talk | sedang | lulus |
| 2.3.5 | Memastikan klien LDAP tidak diinstal | rendah | lulus |
| 3.1.1, 3.1.5 | Menonaktifkan Akses SSH melalui Sandi Kosong | tinggi | lulus |
| 3.1.1, 3.1.5 | Menonaktifkan Login Root SSH | sedang | lulus |
| 3.1.1, 3.1.5 | Memverifikasi Hanya Root yang Memiliki UID 0 | tinggi | lulus |
| 3.1.11 | Menetapkan Waktu Tunggu Sesi Interaktif | sedang | lulus |
| 3.1.11 | Menetapkan SSH Client Alive Count Max | sedang | lulus |
| 3.1.11 | Menetapkan Interval Aktif Klien SSH | sedang | lulus |
| 3.1.12 | Menonaktifkan Autentikasi Berbasis Host | sedang | lulus |
| 3.1.12 | Menonaktifkan Dukungan SSH untuk File .rhosts | sedang | lulus |
| 3.1.12 | Jangan Izinkan Opsi Lingkungan SSH | sedang | lulus |
| 3.1.13, 3.13.10 | Memverifikasi Izin di File Kunci *_key Pribadi Server SSH | sedang | lulus |
| 3.1.13, 3.13.10 | Memverifikasi Izin di File Kunci Publik *.pub Server SSH | sedang | lulus |
| 3.1.13 | Menghapus Klien telnet | rendah | lulus |
| 3.1.13 | Meng-uninstal Paket rsh | tidak diketahui | lulus |
| 3.1.16 | Menonaktifkan Antarmuka Jaringan Nirkabel | sedang | lulus |
| 3.1.20 | Mengonfigurasi Penerimaan Iklan Router di Semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Mengonfigurasi Parameter Kernel untuk Menerima Pengalihan Aman Secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Pengalihan ICMP untuk Semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Pengalihan ICMP untuk Semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Penerimaan Iklan Router di semua Antarmuka IPv6 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP secara Default di Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP secara Default di Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Pengalihan ICMP yang Aman di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di semua Antarmuka IPv6 | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Menerima Paket yang Dirutekan Sumber di Antarmuka IPv6 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Mengirim Pengalihan ICMP di semua Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Menonaktifkan Parameter Kernel untuk Mengirim Pengalihan ICMP di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mengabaikan Respons Error ICMP Palsu di Antarmuka IPv4 | tidak diketahui | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mengabaikan Permintaan Echo Siaran ICMP di Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mencatat Paket Martian di semua Antarmuka IPv4 | tidak diketahui | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 secara Default | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Menggunakan Syncookie TCP di Antarmuka Jaringan | sedang | lulus |
| 3.1.20 | Mengaktifkan Parameter Kernel untuk Mencatat Paket Martian di semua Antarmuka IPv4 secara Default | tidak diketahui | lulus |
| 3.1.21 | Menonaktifkan Pemuatan Modprobe Driver Penyimpanan USB | sedang | lulus |
| 3.1.7 | Mengaktifkan Tata Letak Acak Ruang Alamat Virtual | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - mengganti nama | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - renameat | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - hapus tautan | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Peristiwa Penghapusan File menurut Pengguna - unlinkat | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Mengekspor ke Media (berhasil) | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Pemuatan Modul Kernel - init_module | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penghapusan Modul Kernel - delete_module | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - su | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - sudo | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - sudoedit | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah dengan Hak Istimewa - umount | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - unix_chkpwd | sedang | lulus |
| 3.1.7 | Memastikan auditd Mengumpulkan Tindakan Administrator Sistem | sedang | lulus |
| 3.1.7 | Merekam Setiap Upaya untuk Menjalankan chcon | sedang | lulus |
| 3.1.7 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - lastlog | sedang | lulus |
| 3.1.7 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - tallylog | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Proses dan Informasi Inisiasi Sesi | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah File localtime | sedang | lulus |
| 3.1.7 | Merekam upaya untuk mengubah waktu melalui adjtimex | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Waktu Melalui clock_settime | sedang | lulus |
| 3.1.7 | Merekam upaya untuk mengubah waktu melalui settimeofday | sedang | lulus |
| 3.1.7 | Merekam Upaya untuk Mengubah Waktu Melalui stime | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - chmod | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - chown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchmod | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchmodat | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Discretionary Sistem - fchown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fchownat | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fremovexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - fsetxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lchown | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lremovexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - lsetxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Diskresioner Sistem - removexattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Kontrol Akses Discretionary Sistem - setxattr | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Lingkungan Jaringan Sistem | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/group | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/gshadow | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/passwd | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/security/opasswd | sedang | lulus |
| 3.1.7 | Merekam Peristiwa yang Mengubah Informasi Pengguna/Grup - /etc/shadow | sedang | lulus |
| 3.1.7 | Record Unsuccessful Access Attempts to Files - creat | sedang | lulus |
| 3.1.7 | Mencatat Upaya Akses yang Gagal ke File - ftruncate | sedang | lulus |
| 3.1.7 | Merekam Upaya Akses yang Gagal ke File - membuka | sedang | lulus |
| 3.1.7 | Mencatat Upaya Akses yang Gagal ke File - openat | sedang | lulus |
| 3.1.7 | Merekam Upaya Akses yang Gagal ke File - memotong | sedang | lulus |
| 3.1.8 | Mengunci Akun Setelah Kesalahan Sandi | sedang | lulus |
| 3.1.8 | Merekam Peristiwa yang Mengubah Kontrol Akses Wajib Sistem | sedang | lulus |
| 3.1.8 | Menetapkan Waktu Penguncian untuk Upaya Sandi Gagal | sedang | lulus |
| 3.1.9 | Mengaktifkan Banner Peringatan SSH | sedang | lulus |
| 3.1.9 | Mengubah Banner Login Sistem | sedang | lulus |
| 3.3.1, 3.3.2, 3.3.6 | Mengaktifkan Layanan auditd | sedang | lulus |
| 3.3.1, 3.4.3 | Membuat Konfigurasi auditd Tidak Dapat Diubah | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan admin_space_left auditd pada Ruang Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan mail_acct auditd pada Kapasitas Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Mengonfigurasi Tindakan space_left auditd pada Kapasitas Disk Hampir Penuh | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Dimiliki Grup oleh Root | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Dimiliki oleh Root | sedang | lulus |
| 3.3.1 | Log Audit Sistem Harus Memiliki Mode 0640 atau Lebih Rendah | sedang | lulus |
| 3.4.3 | Menonaktifkan Dukungan RDS | rendah | lulus |
| 3.4.4 | Menonaktifkan Dukungan TIPC | rendah | lulus |
| 3.4.5 | Memverifikasi Izin /boot/grub/grub.cfg | sedang | lulus |
| 3.4.6 | Menonaktifkan Dukungan DCCP | sedang | lulus |
| 3.4.6 | Menonaktifkan Pemasangan cramfs | rendah | lulus |
| 3.4.6 | Menonaktifkan Pemasangan squashfs | rendah | lulus |
| 3.4.6 | Menonaktifkan Pemasangan udf | rendah | lulus |
| 3.4.6 | Menonaktifkan Dukungan SCTP | sedang | lulus |
| 3.4.6 | Menonaktifkan Automounter | sedang | lulus |
| 3.5.1.2 | Menghapus Paket iptables-persistent | sedang | lulus |
| 3.5.10 | Memverifikasi Semua Hash Sandi Akun Di-Shadow | sedang | lulus |
| 3.5.2.1 | Menginstal Paket nftables | sedang | lulus |
| 3.5.2.10 | Memastikan aturan nftables bersifat permanen | sedang | lulus |
| 3.5.2.4 | Memastikan Tabel Ada untuk Nftables | sedang | lulus |
| 3.5.2.5 | Memastikan Rantai Dasar Ada untuk Nftables | sedang | lulus |
| 3.5.2.9 | Memverifikasi bahwa Layanan nftables Diaktifkan | sedang | lulus |
| 3.5.3.1.1 | Menginstal Paket iptables | sedang | lulus |
| 3.5.3.1.3 | Menghapus Paket ufw | sedang | lulus |
| 3.5.6 | Menetapkan Akhir Masa Berlaku Akun Setelah Tidak Ada Aktivitas | sedang | lulus |
| 3.5.8 | Membatasi Penggunaan Ulang Sandi | sedang | lulus |
| 3.5.8 | Menetapkan Usia Minimum Sandi | sedang | lulus |
| 3.5.8 | Menetapkan Usia Peringatan Sandi | sedang | lulus |
| 4.1.1.1 | Memastikan Subsistem audit Diinstal | sedang | lulus |
| 4.1.1.4 | Memperluas Batas Backlog Audit untuk Audit Daemon | rendah | lulus |
| 4.1.2.1 | Mengonfigurasi Ukuran File Log Maksimal auditd | sedang | lulus |
| 4.1.2.2 | Mengonfigurasi auditd max_log_file_action Setelah Mencapai Ukuran Log Maksimum | sedang | lulus |
| 4.1.3.12 | Mencatat Upaya untuk Mengubah Peristiwa Login dan Logout - faillog | sedang | lulus |
| 4.1.3.16 | Merekam Setiap Upaya untuk Menjalankan setfacl | sedang | lulus |
| 4.1.3.17 | Merekam Setiap Upaya untuk Menjalankan chacl | sedang | lulus |
| 4.1.3.18 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - usermod | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah dengan Hak Istimewa - insmod | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - modprobe | sedang | lulus |
| 4.1.3.19 | Memastikan auditd Mengumpulkan Informasi tentang Penggunaan Perintah Berhak Istimewa - rmmod | sedang | lulus |
| 4.1.3.2 | Merekam Peristiwa Saat File yang Dapat Dieksekusi dengan Hak Istimewa Dijalankan | sedang | lulus |
| 4.1.3.3 | Merekam Upaya untuk melakukan aktivitas pemeliharaan | sedang | lulus |
| 4.1.4.10 | Memastikan bahwa alat audit dimiliki oleh root grup | sedang | lulus |
| 4.1.4.4 | Log Audit Sistem Harus Memiliki Mode 0750 atau Lebih Rendah yang Permisif | sedang | lulus |
| 4.1.4.5 | Memverifikasi Izin di /etc/audit/auditd.conf | sedang | lulus |
| 4.1.4.5 | Memverifikasi Izin di /etc/audit/rules.d/*.rules | sedang | lulus |
| 4.1.4.6 | File Konfigurasi Audit Harus Dimiliki oleh Root | sedang | lulus |
| 4.1.4.7 | File Konfigurasi Audit Harus Dimiliki oleh root Grup | sedang | lulus |
| 4.1.4.8 | Memverifikasi bahwa alat audit Memiliki Mode 0755 atau kurang | sedang | lulus |
| 4.1.4.9 | Memastikan bahwa alat audit dimiliki oleh root | sedang | lulus |
| 4.2.1.1.1 | Menginstal Paket systemd-journal-remote | sedang | lulus |
| 4.2.1.1.4 | Menonaktifkan Socket systemd-journal-remote | sedang | lulus |
| 4.2.1.2 | Mengaktifkan Layanan systemd-journald | sedang | lulus |
| 4.2.1.3 | Pastikan journald dikonfigurasi untuk mengompresi file log berukuran besar | sedang | lulus |
| 4.2.1.4 | Pastikan journald dikonfigurasi untuk menulis file log ke disk persisten | sedang | lulus |
| 4.2.2.1 | Memastikan rsyslog Diinstal | sedang | lulus |
| 4.2.2.2 | Mengaktifkan Layanan rsyslog | sedang | lulus |
| 4.2.2.4 | Memastikan Izin File Default rsyslog Dikonfigurasi | sedang | lulus |
| 4.2.2.7 | Memastikan rsyslog Tidak Menerima Pesan Jarak Jauh Kecuali Berfungsi Sebagai Server Log | sedang | lulus |
| 5.1.1 | Mengaktifkan Layanan cron | sedang | lulus |
| 5.1.2 | Memverifikasi Grup yang Memiliki Crontab | sedang | lulus |
| 5.1.2 | Memverifikasi Pemilik di crontab | sedang | lulus |
| 5.1.2 | Memverifikasi Izin di crontab | sedang | lulus |
| 5.1.3 | Memverifikasi Grup yang Memiliki cron.hourly | sedang | lulus |
| 5.1.3 | Memverifikasi Pemilik di cron.hourly | sedang | lulus |
| 5.1.3 | Memverifikasi Izin di cron.hourly | sedang | lulus |
| 5.1.4 | Memverifikasi Grup yang Memiliki cron.daily | sedang | lulus |
| 5.1.4 | Memverifikasi Pemilik di cron.daily | sedang | lulus |
| 5.1.4 | Memverifikasi Izin di cron.daily | sedang | lulus |
| 5.1.5 | Memverifikasi Grup yang Memiliki cron.weekly | sedang | lulus |
| 5.1.5 | Memverifikasi Pemilik di cron.weekly | sedang | lulus |
| 5.1.5 | Memverifikasi Izin di cron.weekly | sedang | lulus |
| 5.1.6 | Memverifikasi Grup yang Memiliki cron.monthly | sedang | lulus |
| 5.1.6 | Memverifikasi Pemilik di cron.monthly | sedang | lulus |
| 5.1.6 | Memverifikasi Izin di cron.monthly | sedang | lulus |
| 5.1.7 | Memverifikasi Grup yang Memiliki cron.d | sedang | lulus |
| 5.1.7 | Memverifikasi Pemilik di cron.d | sedang | lulus |
| 5.1.7 | Memverifikasi Izin di cron.d | sedang | lulus |
| 5.1.8 | Pastikan /etc/cron.deny tidak ada | sedang | lulus |
| 5.1.8 | Memverifikasi Grup yang Memiliki File /etc/cron.allow | sedang | lulus |
| 5.1.8 | Memverifikasi Izin di file /etc/cron.allow | sedang | lulus |
| 5.1.8 | Memverifikasi Pengguna yang Memiliki File /etc/cron.allow | sedang | lulus |
| 5.1.9 | Pastikan /etc/at.deny tidak ada | sedang | lulus |
| 5.1.9 | Memverifikasi Grup yang Memiliki File /etc/at.allow | sedang | lulus |
| 5.1.9 | Memverifikasi Izin pada file /etc/at.allow | sedang | lulus |
| 5.1.9 | Memverifikasi Pengguna yang Memiliki File /etc/at.allow | sedang | lulus |
| 5.2.1 | Memverifikasi Grup yang Memiliki file konfigurasi Server SSH | sedang | lulus |
| 5.2.1 | Memverifikasi Pemilik di file konfigurasi Server SSH | sedang | lulus |
| 5.2.1 | Memverifikasi Izin di file konfigurasi Server SSH | sedang | lulus |
| 5.2.12 | Menonaktifkan Penerusan X11 | sedang | lulus |
| 5.2.13 | Hanya Gunakan Cipher yang Kuat | sedang | lulus |
| 5.2.14 | Hanya Gunakan MAC yang Kuat | sedang | lulus |
| 5.2.15 | Hanya Gunakan Algoritma Pertukaran Kunci yang Kuat | sedang | lulus |
| 5.2.16 | Menonaktifkan Penerusan TCP SSH | sedang | lulus |
| 5.2.18 | Menetapkan batas percobaan autentikasi SSH | sedang | lulus |
| 5.2.19 | Memastikan SSH MaxStartups dikonfigurasi | sedang | lulus |
| 5.2.20 | Menetapkan batas SSH MaxSessions | sedang | lulus |
| 5.2.21 | Memastikan SSH LoginGraceTime dikonfigurasi | sedang | lulus |
| 5.2.5 | Menetapkan LogLevel ke INFO | rendah | lulus |
| 5.2.6 | Mengaktifkan PAM | sedang | lulus |
| 5.3.1 | Menginstal Paket sudo | sedang | lulus |
| 5.3.2 | Memastikan Hanya Pengguna yang Login ke tty Nyata yang Dapat Menjalankan Sudo - sudo use_pty | sedang | lulus |
| 5.3.3 | Memastikan File Log Sudo Ada - sudo logfile | rendah | lulus |
| 5.3.5 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo !authenticate | sedang | lulus |
| 5.3.6 | Mewajibkan Autentikasi Ulang Saat Menggunakan Perintah sudo | sedang | lulus |
| 5.3.7 | Menerapkan Penggunaan pam_wheel dengan Parameter Grup untuk Autentikasi su | sedang | lulus |
| 5.3.7 | Memastikan Grup yang Digunakan oleh Modul pam_wheel Ada di Sistem dan Kosong | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Permintaan Percobaan Ulang Autentikasi Diizinkan Per Sesi | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Kategori Berbeda Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Digit Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Panjang Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Huruf Kecil Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Khusus Minimum | sedang | lulus |
| 5.4.1 | Memastikan PAM Menerapkan Persyaratan Sandi - Karakter Huruf Besar Minimum | sedang | lulus |
| 5.4.1 | Menginstal Paket pam_pwquality | sedang | lulus |
| 5.4.2 | Menetapkan Interval untuk Menghitung Kesalahan Sandi | sedang | lulus |
| 5.4.4 | Menetapkan Algoritma Hashing Sandi di /etc/login.defs | sedang | lulus |
| 5.5.1.1 | Menetapkan Usia Minimum Sandi yang Ada | sedang | lulus |
| 5.5.1.2 | Menetapkan Usia Maksimal Sandi yang Ada | sedang | lulus |
| 5.5.1.5 | Memastikan tanggal perubahan sandi terakhir semua pengguna sudah berlalu | sedang | lulus |
| 5.5.2 | Memastikan Akun Sistem Tidak Menjalankan Shell Saat Login | sedang | lulus |
| 5.5.3 | Memverifikasi Root Memiliki GID Primer 0 | tinggi | lulus |
| 5.5.4 | Memastikan Umask Bash Default Ditetapkan dengan Benar | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar untuk Pengguna Interaktif | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar di /etc/profile | sedang | lulus |
| 5.5.4 | Memastikan Umask Default Ditetapkan dengan Benar di login.defs | sedang | lulus |
| 6.1.1 | Memverifikasi Grup yang Memiliki File passwd | sedang | lulus |
| 6.1.1 | Memverifikasi Izin di File passwd | sedang | lulus |
| 6.1.1 | Memverifikasi Pengguna yang Memiliki File passwd | sedang | lulus |
| 6.1.2 | Memverifikasi Grup yang Memiliki File passwd Cadangan | sedang | lulus |
| 6.1.2 | Memverifikasi Izin di File passwd Cadangan | sedang | lulus |
| 6.1.2 | Memverifikasi Pengguna yang Memiliki File passwd Cadangan | sedang | lulus |
| 6.1.3 | Memverifikasi Grup yang Memiliki File Grup | sedang | lulus |
| 6.1.3 | Memverifikasi Izin di File grup | sedang | lulus |
| 6.1.3 | Memverifikasi Pengguna yang Memiliki File Grup | sedang | lulus |
| 6.1.4 | Memverifikasi Grup yang Memiliki File grup Cadangan | sedang | lulus |
| 6.1.4 | Memverifikasi Izin pada File grup Cadangan | sedang | lulus |
| 6.1.4 | Memverifikasi Pengguna yang Memiliki File grup Cadangan | sedang | lulus |
| 6.1.5 | Memverifikasi Grup yang Memiliki File bayangan | sedang | lulus |
| 6.1.5 | Memverifikasi Izin di File bayangan | sedang | lulus |
| 6.1.5 | Memverifikasi Pengguna yang Memiliki File bayangan | sedang | lulus |
| 6.1.6 | Memverifikasi Grup yang Memiliki File bayangan Cadangan | sedang | lulus |
| 6.1.6 | Memverifikasi Izin pada File bayangan Pencadangan | sedang | lulus |
| 6.1.6 | Memverifikasi Pengguna yang Memiliki File bayangan Cadangan | sedang | lulus |
| 6.1.7 | Memverifikasi Grup yang Memiliki File gshadow | sedang | lulus |
| 6.1.7 | Memverifikasi Izin di File gshadow | sedang | lulus |
| 6.1.7 | Memverifikasi Pengguna yang Memiliki File gshadow | sedang | lulus |
| 6.1.8 | Memverifikasi Grup yang Memiliki File gshadow Cadangan | sedang | lulus |
| 6.1.8 | Memverifikasi Izin di File gshadow Cadangan | sedang | lulus |
| 6.1.8 | Memverifikasi Pengguna yang Memiliki File gshadow Cadangan | sedang | lulus |
| 6.2.11 | Semua Direktori Utama Pengguna Interaktif Harus Ada | sedang | lulus |
| 6.2.12 | Semua Direktori Beranda Pengguna Interaktif Harus Dimiliki Grup Oleh Grup Utama | sedang | lulus |
| 6.2.12 | Semua Direktori Utama Pengguna Interaktif Harus Dimiliki oleh Pengguna Utama | sedang | lulus |
| 6.2.13 | Semua Direktori Beranda Pengguna Interaktif Harus Memiliki Mode 0750 Atau Lebih Rendah yang Permisif | sedang | lulus |
| 6.2.14 | Memverifikasi Tidak Ada File netrc | sedang | lulus |
| 6.2.15 | Memverifikasi Tidak Ada File .forward | sedang | lulus |
| 6.2.16 | Menghapus File Kepercayaan Rsh | tinggi | lulus |
| 6.2.17 | File Inisialisasi Pengguna Harus Dimiliki Grup oleh Grup Utama | sedang | lulus |
| 6.2.17 | File Inisialisasi Pengguna Harus Dimiliki oleh Pengguna Utama | sedang | lulus |
| 6.2.17 | File Inisialisasi Pengguna Tidak Boleh Menjalankan Program yang Dapat Dibaca Semua Orang | sedang | lulus |
| 6.2.2 | Memastikan Tidak Ada Akun dengan Sandi Kosong atau Null | tinggi | lulus |
| 6.2.3 | Semua GID yang dirujuk di /etc/passwd harus ditentukan di /etc/group | rendah | lulus |
| 6.2.4 | Memastikan grup bayangan kosong | sedang | lulus |
| 6.2.5 | Memastikan Semua Akun di Sistem Memiliki ID Pengguna Unik | sedang | lulus |
| 6.2.6 | Memastikan Semua Grup di Sistem Memiliki ID Grup yang Unik | sedang | lulus |
| 6.2.7 | Memastikan Semua Akun di Sistem Memiliki Nama Unik | sedang | lulus |
| 6.2.8 | Memastikan Semua Grup di Sistem Memiliki Nama Grup yang Unik | sedang | lulus |
| 6.2.9 | Memastikan Jalur Root Tidak Menyertakan Jalur Relatif atau Direktori Null | tidak diketahui | lulus |
| 6.2.9 | Memastikan Jalur Root Tidak Menyertakan Direktori yang Dapat Dibaca oleh Semua Orang atau Grup | sedang | lulus |
Rekomendasi yang tidak berlaku
Tabel berikut mencantumkan rekomendasi yang tidak berlaku untuk Google Distributed Cloud.
| # | Rekomendasi | Keparahan | Status |
|---|---|---|---|
| 1.1.2.2 | Menambahkan Opsi nodev ke /tmp | sedang | notapplicable |
| 1.1.2.3 | Menambahkan Opsi noexec ke /tmp | sedang | notapplicable |
| 1.1.2.4 | Menambahkan Opsi nosuid ke /tmp | sedang | notapplicable |
| 1.1.3.2 | Menambahkan Opsi nodev ke /var | sedang | notapplicable |
| 1.1.3.3 | Menambahkan Opsi nosuid ke /var | sedang | notapplicable |
| 1.1.4.2 | Menambahkan Opsi noexec ke /var/tmp | sedang | notapplicable |
| 1.1.4.3 | Menambahkan Opsi nosuid ke /var/tmp | sedang | notapplicable |
| 1.1.4.4 | Menambahkan Opsi nodev ke /var/tmp | sedang | notapplicable |
| 1.1.5.2 | Menambahkan Opsi nodev ke /var/log | sedang | notapplicable |
| 1.1.5.3 | Menambahkan Opsi noexec ke /var/log | sedang | notapplicable |
| 1.1.5.4 | Menambahkan Opsi nosuid ke /var/log | sedang | notapplicable |
| 1.1.6.2 | Menambahkan Opsi noexec ke /var/log/audit | sedang | notapplicable |
| 1.1.6.3 | Menambahkan Opsi nodev ke /var/log/audit | sedang | notapplicable |
| 1.1.6.4 | Menambahkan Opsi nosuid ke /var/log/audit | sedang | notapplicable |
| 1.1.7.2 | Menambahkan Opsi nodev ke /home | tidak diketahui | notapplicable |
| 1.1.7.3 | Menambahkan Opsi nosuid ke /home | sedang | notapplicable |
| 1.10 | Mengonfigurasi Profil Pengguna DConf GNOME3 | tinggi | notapplicable |
| 1.8.1 | Menghapus Grup Paket GDM | sedang | notapplicable |
| 1.8.10 | Menonaktifkan XDMCP di GDM | tinggi | notapplicable |
| 2.1.4.1 | Mengonfigurasi batasan server untuk ntpd | sedang | notapplicable |
| 2.1.4.3 | Mengonfigurasi ntpd Agar Berjalan Sebagai Pengguna ntp | sedang | notapplicable |
| 2.1.4.4 | Mengaktifkan Daemon NTP | tinggi | notapplicable |
| 2.2.15 | Menonaktifkan Pemantauan Jaringan Postfix | sedang | notapplicable |
| 3.1.10 | Mengaktifkan Kunci Screensaver GNOME3 Setelah Periode Tidak Ada Aktivitas | sedang | notapplicable |
| 3.1.10 | Menetapkan Penundaan Kunci Screensaver GNOME3 Setelah Periode Aktivasi | sedang | notapplicable |
| 3.1.7 | Menonaktifkan Pembukaan Automount GNOME3 | sedang | notapplicable |
| 3.1.7 | Menonaktifkan Automount GNOME3 yang berjalan | rendah | notapplicable |
| 3.1.7 | Menonaktifkan Automounting GNOME3 | sedang | notapplicable |
| 3.4.5 | Menetapkan Sandi Boot Loader UEFI | tinggi | notapplicable |
| 3.5.1.3 | Memverifikasi ufw Enabled | sedang | notapplicable |
| 3.5.1.4 | Menetapkan Traffic Loopback UFW | sedang | notapplicable |
| 3.5.1.6 | Memastikan Aturan Firewall ufw Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
| 3.5.1.7 | Memastikan Kebijakan Firewall Default Tolak ufw | sedang | notapplicable |
| 3.5.3.2.1 | Menetapkan Kebijakan iptables Default untuk Paket Masuk | sedang | notapplicable |
| 3.5.3.2.2 | Menetapkan konfigurasi untuk traffic loopback | sedang | notapplicable |
| 3.5.3.2.4 | Memastikan Aturan Firewall iptables Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
| 3.5.3.3.1 | Menetapkan Kebijakan ip6tables Default untuk Paket Masuk | sedang | notapplicable |
| 3.5.3.3.4 | Memastikan Aturan Firewall ip6tables Ada untuk Semua Port yang Terbuka | sedang | notapplicable |
1,30
Versi
Bagian ini merujuk pada versi berikut:
| Versi Google Distributed Cloud | Versi Ubuntu | Versi Tolok Ukur Ubuntu CIS | Level CIS |
|---|---|---|---|
| 1,30 | 22.04 LTS | v1.0.0 | Server Level 2 |
| # | Rekomendasi | Status | Justifikasi | Komponen yang Terpengaruh |
|---|---|---|---|---|
| 1.1.2.1 | Memastikan /tmp Berada di Partisi Terpisah | Gagal | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.3.1 | Memastikan /var Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.4.1 | Memastikan /var/tmp Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.5.1 | Memastikan /var/log Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.6.1 | Memastikan /var/log/audit Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.1.7.1 | Memastikan /home Berada di Partisi Terpisah | Tidak akan diperbaiki | Saat ini, Canonical tidak berencana untuk mengubah partisi image cloud. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.1 | Menetapkan Sandi Bootloader di grub2 | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 1.4.3 | Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna | Bergantung pada Lingkungan | Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. | Semua node cluster, Workstation admin, Seesaw |
| 2.3.6 | Meng-uninstal Paket rpcbind | Gagal | rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal | Semua node cluster Workstation admin, Seesaw |
| 3.3.7 | Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 | Bergantung pada Lingkungan | Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. | Semua node cluster Seesaw |
| 3.5.2.6 | Menetapkan konfigurasi nftables untuk traffic loopback | Tidak akan diperbaiki | Jaringan Anthos terpengaruh oleh aturan ini. | Semua node cluster, Workstation admin, Seesaw |
| 3.5.2.8 | Memastikan kebijakan firewall tolak default nftables | Bergantung pada Lingkungan | Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. | Semua node cluster, Workstation admin, Seesaw |
| 4.2.3 | Memverifikasi izin file log | Gagal | Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. | Semua node cluster, Workstation admin, Seesaw |
| 5.2.18 | Membatasi Akses SSH Pengguna | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.3.4 | Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo | Bergantung pada Lingkungan | Ini tidak dikonfigurasi secara default. | Semua node cluster, Workstation admin, Seesaw |
| 5.5.1.2 | Menetapkan Usia Maksimum Sandi | Kontrol setara | VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi | Semua node cluster |
| 6.1.10 | Memastikan Semua File Dimiliki oleh Pengguna | Gagal | Izin telah dibiarkan sebagai default. | Semua node cluster |
Mengonfigurasi cron job AIDE
AIDE adalah alat pemeriksaan integritas file yang memverifikasi kepatuhan terhadap benchmark Server CIS L1
1.4 Filesystem Integrity Checking. Di Google Distributed Cloud,
proses AIDE telah menyebabkan masalah penggunaan resource yang tinggi.
Proses AIDE di node dinonaktifkan secara default untuk mencegah masalah
resource. Hal ini akan memengaruhi kepatuhan terhadap tolok ukur Server L1 CIS 1.4.2: Ensure
filesystem integrity is regularly checked.
Jika Anda ingin ikut serta menjalankan tugas cron AIDE, selesaikan langkah-langkah berikut untuk mengaktifkan kembali AIDE:
Buat DaemonSet.
Berikut adalah manifes untuk DaemonSet:
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /Dalam manifes sebelumnya:
Tugas cron AIDE hanya akan berjalan di node pool
pool-1seperti yang ditentukan oleh nodeSelectorcloud.google.com/gke-nodepool: pool-1. Anda dapat mengonfigurasi proses AIDE untuk berjalan di sebanyak mungkin node pool yang Anda inginkan dengan menentukan node pool di bagian kolomnodeSelector. Untuk menjalankan jadwal tugas cron yang sama di berbagai node pool, hapus kolomnodeSelector. Namun, untuk menghindari kemacetan resource host, sebaiknya Anda mempertahankan jadwal terpisah.Cron job dijadwalkan untuk berjalan setiap hari pukul 05.30 seperti yang ditentukan oleh
minute=30;hour=5konfigurasi. Anda dapat mengonfigurasi jadwal yang berbeda untuk tugas cron AIDE sesuai kebutuhan.
Salin manifes ke file bernama
enable-aide.yaml, lalu buat DaemonSet:kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
dengan USER_CLUSTER_KUBECONFIG adalah jalur file kubeconfig untuk cluster pengguna Anda.