CIS Ubuntu 벤치마크

이 문서에서는 CIS Ubuntu 벤치마크로 Google Distributed Cloud의 규정 준수 수준을 설명합니다.

벤치마크 액세스

CIS Ubuntu 벤치마크는 CIS 웹사이트에서 제공됩니다.

구성 프로필

CIS Ubuntu 벤치마크 문서에서 구성 프로필에 대한 정보를 읽을 수 있습니다. Google Distributed Cloud에서 사용되는 Ubuntu 이미지는 수준 2 - 서버 프로필을 충족하도록 강화되었습니다.

Google Distributed Cloud 평가

Google은 다음 값을 사용하여 Google Distributed Cloud에서 Ubuntu 권장 수준 상태를 지정합니다.

상태 설명
통과 벤치마크 추천을 준수합니다.
실패 벤치마크 추천에서 벗어납니다.
해당 없음 평가 대상 시스템에서 테스트와 관련이 없습니다.

Google Distributed Cloud의 상태

Google Distributed Cloud에서 사용되는 Ubuntu 이미지는 CIS 수준 2 - 서버 프로필을 충족하도록 강화되었습니다. 다음 표에서는 Google Distributed Cloud 구성요소가 특정 추천을 통과하지 못한 이유에 대한 근거를 설명합니다. Passed 상태의 벤치마크는 다음 표에 포함되지 않습니다.

1.32

버전

이 섹션에서는 다음 버전에 대해 설명합니다.

Google Distributed Cloud 버전 Ubuntu 버전 CIS Ubuntu 벤치마크 버전 CIS 수준
1.32 22.04 LTS v1.0.0 수준 2 서버

실패한 추천

다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.

# 권장사항 심각도 상태
1.1.2.1 /tmp가 별도의 파티션에 있는지 확인 낮음 실패
1.1.3.1 /var이 별도의 파티션에 있는지 확인 낮음 실패
1.1.4.1 /var/tmp가 별도의 파티션에 있는지 확인 중간 실패
1.1.5.1 /var/log가 별도의 파티션에 있는지 확인 낮음 실패
1.1.6.1 var/log/audit가 별도의 파티션에 있는지 확인 낮음 실패
1.1.7.1 /home이 별도의 파티션에 있는지 확인 낮음 실패
1.4.1 grub2에서 부팅 로더 비밀번호 설정 높음 실패
1.4.3 단일 사용자 모드에 필요한 인증 확인 중간 실패
2.3.6 rpcbind 패키지 제거 낮음 실패
3.2.2 IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 중간 실패
3.3.7 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 중간 실패
3.3.7 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 중간 실패
3.5.2.8 nftables 기본 거부 방화벽 정책 확인 중간 실패
3.5.2.10 nftables 규칙이 영구적인지 확인 중간 실패
4.2.3 로그 파일의 권한 확인 중간 실패
5.2.4 사용자의 SSH 액세스 제한 알 수 없음 실패
5.3.4 권한 에스컬레이션을 위해 사용자가 재인증 - sudo 중간 실패
5.5.1.2 비밀번호 최대 기간 설정 중간 실패

통과한 추천

다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.1.1 cramfs 마운트 사용 중지 낮음 통과
1.1.1.2 squashfs 마운트 사용 중지 낮음 통과
1.1.1.3 udf 마운트 사용 중지 낮음 통과
1.1.8.1 /dev/shm에 nodev 옵션 추가 중간 통과
1.1.8.2 /dev/shm에 noexec 옵션 추가 중간 통과
1.1.8.3 /dev/shm에 nosuid 옵션 추가 중간 통과
1.1.9 자동 마운트 도구 사용 중지 중간 통과
1.1.10 USB 저장소 드라이버의 Modprobe 로드 사용 중지 중간 통과
1.4.2 /boot/grub/grub.cfg 권한 확인 중간 통과
1.5.1 가상 주소 공간의 무작위 레이아웃 사용 설정 중간 통과
1.5.2 패키지 'prelink'가 설치되어서는 안 됨 중간 통과
1.5.3 Apport 서비스 사용 중지 알 수 없음 통과
1.5.4 모든 사용자의 코어 덤프 사용 중지 중간 통과
1.5.4 SUID 프로그램의 코어 덤프 사용 중지 중간 통과
1.6.1.1 AppArmor가 설치되어 있는지 확인 중간 통과
1.6.1.2 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 중간 통과
1.6.1.4 모든 AppArmor 프로필 적용 중간 통과
1.7.1 오늘의 시스템 메시지 배너 수정 중간 통과
1.7.2 시스템 로그인 배너 수정 중간 통과
1.7.3 원격 연결을 위한 시스템 로그인 배너 수정 중간 통과
1.7.4 오늘의 메시지 배너 그룹 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너에 대한 권한 확인 중간 통과
1.7.5 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너에 대한 권한 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 중간 통과
2.1.1.1 systemd_timesyncd 서비스 설치 높음 통과
2.1.3.2 systemd_timesyncd 서비스 사용 설정 높음 통과
2.2.1 X Windows 패키지 그룹 삭제 중간 통과
2.2.2 Avahi 서버 소프트웨어 사용 중지 중간 통과
2.2.2 avahi 서버 패키지 제거 중간 통과
2.2.3 CUPS 서비스 사용 중지 알 수 없음 통과
2.2.3 CUPS 패키지 제거 알 수 없음 통과
2.2.4 DHCP 서버 패키지 제거 중간 통과
2.2.5 openldap-servers 패키지 제거 낮음 통과
2.2.6 nfs-kernel-server 패키지 제거 낮음 통과
2.2.7 bind 패키지 제거 낮음 통과
2.2.8 vsftpd 패키지 제거 높음 통과
2.2.9 httpd 패키지 제거 알 수 없음 통과
2.2.9 nginx 패키지 제거 알 수 없음 통과
2.2.10 cyrus-imapd 패키지 제거 알 수 없음 통과
2.2.10 dovecot 패키지 제거 알 수 없음 통과
2.2.11 Samba 패키지 제거 알 수 없음 통과
2.2.12 squid 패키지 제거 알 수 없음 통과
2.2.13 net-snmp 패키지 제거 알 수 없음 통과
2.2.14 nis 패키지 제거 낮음 통과
2.2.15 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 중간 통과
2.2.16 rsync 패키지 제거 중간 통과
2.3.2 rsh 패키지 제거 알 수 없음 통과
2.3.3 talk 패키지 제거 중간 통과
2.3.4 telnet 클라이언트 삭제 낮음 통과
2.3.5 LDAP 클라이언트가 설치되지 않았는지 확인 낮음 통과
3.1.2 무선 네트워크 인터페이스 비활성화 중간 통과
3.2.1 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.1 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.2 IPv6 전달에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.3 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 중간 통과
3.3.3 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.4 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.4 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.5 IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 중간 통과
3.3.6 IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.8 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 중간 통과
3.3.9 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 중간 통과
3.3.9 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 중간 통과
3.4.1 DCCP 지원 사용 중지 중간 통과
3.4.2 SCTP 지원 사용 중지 중간 통과
3.4.3 RDS 지원 사용 중지 낮음 통과
3.4.4 TIPC 지원 사용 중지 낮음 통과
3.5.1.2 iptables-persistent 패키지 삭제 중간 통과
3.5.2.1 nftables 패키지 설치 중간 통과
3.5.2.4 Nftables의 테이블이 있는지 확인 중간 통과
3.5.2.5 Nftables의 기본 체인이 있는지 확인 중간 통과
3.5.2.9 nftables 서비스가 사용 설정되어 있는지 확인 중간 통과
3.5.3.1.1 iptables 패키지 설치 중간 통과
3.5.3.1.3 ufw 패키지 삭제 중간 통과
4.1.1.1 감사 하위 시스템이 설치되어 있는지 확인 중간 통과
4.1.1.2 auditd 서비스 사용 설정 중간 통과
4.1.1.4 감사 데몬의 감사 백로그 한도 연장 낮음 통과
4.1.2.1 auditd 최대 로그 파일 크기 구성 중간 통과
4.1.2.2 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd admin_space_left 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd mail_acct 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd space_left 작업 구성 중간 통과
4.1.3.1 auditd에서 시스템 관리자 작업을 수집하는지 확인 중간 통과
4.1.3.2 권한이 있는 실행 파일이 실행될 때 이벤트 기록 중간 통과
4.1.3.3 유지보수 활동 수행 시도 기록 중간 통과
4.1.3.4 localtime 파일 변경 시도 기록 중간 통과
4.1.3.4 adjtimex를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 clock_settime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 settimeofday를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 stime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.5 시스템의 네트워크 환경을 수정하는 이벤트 기록 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - creat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - ftruncate 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - open 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - openat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - truncate 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr 중간 통과
4.1.3.10 auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) 중간 통과
4.1.3.11 프로세스 및 세션 시작 정보 변경 시도 기록 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat 중간 통과
4.1.3.14 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 중간 통과
4.1.3.15 chcon 실행 시도 기록 중간 통과
4.1.3.16 setfacl 실행 시도 기록 중간 통과
4.1.3.17 chacl 실행 시도 기록 중간 통과
4.1.3.18 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod 중간 통과
4.1.3.19 auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module 중간 통과
4.1.3.19 auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod 중간 통과
4.1.3.20 auditd 구성을 변경할 수 없도록 설정 중간 통과
4.1.4.1 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. 중간 통과
4.1.4.2 루트에서 시스템 감사 로그를 소유해야 함 중간 통과
4.1.4.3 시스템 감사 로그는 루트가 소유한 그룹이어야 함 중간 통과
4.1.4.4 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. 중간 통과
4.1.4.5 /etc/audit/auditd.conf에 대한 권한 확인 중간 통과
4.1.4.5 /etc/audit/rules.d/*.rules에 대한 권한 확인 중간 통과
4.1.4.6 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.7 그룹 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.8 감사 도구의 모드가 0755 이하인지 확인 중간 통과
4.1.4.9 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.1.4.10 그룹 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.2.1.1.1 systemd-journal-remote 패키지 설치 중간 통과
4.2.1.1.4 systemd-journal-remote 소켓 사용 중지 중간 통과
4.2.1.2 systemd-journald 서비스 사용 설정 중간 통과
4.2.1.3 journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 중간 통과
4.2.1.4 journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 중간 통과
4.2.2.1 rsyslog가 설치되어 있는지 확인 중간 통과
4.2.2.2 rsyslog 서비스 사용 설정 중간 통과
4.2.2.4 rsyslog 기본 파일 권한이 구성되었는지 확인 중간 통과
4.2.2.7 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 중간 통과
5.1.1 cron 서비스 사용 설정 중간 통과
5.1.2 Crontab을 소유하는 그룹 확인 중간 통과
5.1.2 crontab에서 소유자 확인 중간 통과
5.1.2 crontab에 대한 권한 확인 중간 통과
5.1.3 cron.hourly를 소유하는 그룹 확인 중간 통과
5.1.3 cron.hourly에서 소유자 확인 중간 통과
5.1.3 cron.hourly에 대한 권한 확인 중간 통과
5.1.4 cron.daily를 소유하는 그룹 확인 중간 통과
5.1.4 cron.daily에서 소유자 확인 중간 통과
5.1.4 cron.daily에 대한 권한 확인 중간 통과
5.1.5 cron.weekly를 소유하는 그룹 확인 중간 통과
5.1.5 cron.weekly에서 소유자 확인 중간 통과
5.1.5 cron.weekly에 대한 권한 확인 중간 통과
5.1.6 cron.monthly를 소유하는 그룹 확인 중간 통과
5.1.6 cron.monthly에서 소유자 확인 중간 통과
5.1.6 cron.monthly에 대한 권한 확인 중간 통과
5.1.7 cron.d를 소유하는 그룹 확인 중간 통과
5.1.7 cron.d에서 소유자 확인 중간 통과
5.1.7 cron.d에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.deny가 존재하지 않는지 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.8 /etc/cron.allow 파일에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 사용자 확인 중간 통과
5.1.9 /etc/at.deny가 없는지 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.9 /etc/at.allow 파일에 대한 권한 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 사용자 확인 중간 통과
5.2.1 SSH 서버 구성 파일을 소유하는 그룹 확인 중간 통과
5.2.1 SSH 서버 구성 파일 소유자 확인 중간 통과
5.2.1 SSH 서버 구성 파일에 대한 권한 확인 중간 통과
5.2.2 SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 중간 통과
5.2.3 SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 중간 통과
5.2.5 LogLevel을 INFO로 설정 낮음 통과
5.2.6 PAM 사용 설정 중간 통과
5.2.7 SSH 루트 로그인 사용 중지 중간 통과
5.2.8 호스트 기반 인증 사용 중지 중간 통과
5.2.9 비밀번호가 없는 SSH 액세스 사용 중지 높음 통과
5.2.10 SSH 환경 옵션 허용 안함 중간 통과
5.2.11 .rhosts 파일의 SSH 지원 사용 중지 중간 통과
5.2.12 X11 전달 사용 중지 중간 통과
5.2.13 강력한 암호화만 사용 중간 통과
5.2.14 강력한 MAC만 사용 중간 통과
5.2.15 강력한 키 교환 알고리즘만 사용 중간 통과
5.2.16 SSH TCP 전달 사용 중지 중간 통과
5.2.17 SSH 경고 배너 사용 설정 중간 통과
5.2.18 SSH 인증 시도 한도 설정 중간 통과
5.2.19 SSH MaxStartups가 구성되었는지 확인 중간 통과
5.2.20 SSH MaxSessions 한도 설정 중간 통과
5.2.21 SSH LoginGraceTime이 구성되었는지 확인 중간 통과
5.2.22 SSH 클라이언트 최대 활성 수 설정 중간 통과
5.2.22 SSH 클라이언트 활성 간격 설정 중간 통과
5.3.1 sudo 패키지 설치 중간 통과
5.3.2 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty 중간 통과
5.3.3 Sudo 로그 파일이 있는지 확인 - sudo logfile 낮음 통과
5.3.5 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate 중간 통과
5.3.6 sudo 명령어를 사용할 때 재인증 필요 중간 통과
5.3.7 su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 중간 통과
5.3.7 pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 중간 통과
5.4.1 pam_pwquality 패키지 설치 중간 통과
5.4.2 비밀번호 입력 실패 후 계정 잠금 중간 통과
5.4.2 비밀번호 입력 실패 횟수 집계 간격 설정 중간 통과
5.4.2 비밀번호 입력 실패 시 잠금 시간 설정 중간 통과
5.4.3 비밀번호 재사용 제한 중간 통과
5.4.4 /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 중간 통과
5.5.1.1 기존 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.1 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.2 기존 비밀번호 최대 사용 기간 설정 중간 통과
5.5.1.3 비밀번호 경고 기간 설정 중간 통과
5.5.1.4 비활성 후 계정 만료 설정 중간 통과
5.5.1.5 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 중간 통과
5.5.2 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 중간 통과
5.5.3 루트에 기본 GID 0이 있는지 확인 높음 통과
5.5.4 기본 Bash Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 중간 통과
5.5.4 /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.5 대화형 세션 만료 시간 설정 중간 통과
6.1.1 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.1 passwd 파일에 대한 권한 확인 중간 통과
6.1.1 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.2 백업 passwd 파일에 대한 권한 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.3 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.3 그룹 파일에 대한 권한 확인 중간 통과
6.1.3 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.4 백업 그룹 파일에 대한 권한 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.5 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.5 shadow 파일에 대한 권한 확인 중간 통과
6.1.5 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.6 백업 shadow 파일에 대한 권한 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.7 gshadow 파일에 대한 권한 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.8 백업 gshadow 파일에 대한 권한 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.10 사용자가 모든 파일을 소유하고 있는지 확인 중간 통과
6.2.1 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 중간 통과
6.2.2 비밀번호가 비어 있거나 null인 계정이 없는지 확인 높음 통과
6.2.3 /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 낮음 통과
6.2.4 섀도 그룹이 비어 있는지 확인 중간 통과
6.2.5 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 중간 통과
6.2.6 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 중간 통과
6.2.7 시스템의 모든 계정에 고유한 이름이 있는지 확인 중간 통과
6.2.8 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 중간 통과
6.2.9 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 알 수 없음 통과
6.2.9 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 중간 통과
6.2.10 루트에 UID 0만 있는지 확인 높음 통과
6.2.11 모든 대화형 사용자 홈 디렉터리가 있어야 함 중간 통과
6.2.12 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.12 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 중간 통과
6.2.13 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 중간 통과
6.2.14 netrc 파일이 없는지 확인 중간 통과
6.2.15 .forward 파일이 없는지 확인 중간 통과
6.2.16 Rsh 신뢰 파일 삭제 높음 통과
6.2.17 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.17 기본 사용자가 사용자 초기화 파일을 소유해야 함 중간 통과
6.2.17 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 중간 통과

관련이 없는 추천

다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.2.2 /tmp에 nodev 옵션 추가 중간 해당 없음
1.1.2.3 /tmp에 noexec 옵션 추가 중간 해당 없음
1.1.2.4 /tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.3.2 /var에 nodev 옵션 추가 중간 해당 없음
1.1.3.3 /var에 nosuid 옵션 추가 중간 해당 없음
1.1.4.2 /var/tmp에 noexec 옵션 추가 중간 해당 없음
1.1.4.3 /var/tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.4.4 /var/tmp에 nodev 옵션 추가 중간 해당 없음
1.1.5.2 /var/log에 nodev 옵션 추가 중간 해당 없음
1.1.5.3 /var/log에 noexec 옵션 추가 중간 해당 없음
1.1.5.4 /var/log에 nosuid 옵션 추가 중간 해당 없음
1.1.6.2 /var/log/audit에 noexec 옵션 추가 중간 해당 없음
1.1.6.3 /var/log/audit에 nodev 옵션 추가 중간 해당 없음
1.1.6.4 /var/log/audit에 nosuid 옵션 추가 중간 해당 없음
1.1.7.2 /home에 nodev 옵션 추가 알 수 없음 해당 없음
1.1.7.3 /home에 nosuid 옵션 추가 중간 해당 없음
1.10 GNOME3 DConf 사용자 프로필 구성 높음 해당 없음
1.4.1 UEFI 부팅 로더 비밀번호 설정 높음 해당 없음
1.8.1 GDM 패키지 그룹 삭제 중간 해당 없음
1.8.10 GDM에서 XDMCP 사용 중지 높음 해당 없음
1.8.4 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 중간 해당 없음
1.8.5 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 중간 해당 없음
1.8.6 GNOME3 자동 마운트 열기 사용 중지 중간 해당 없음
1.8.6 GNOME3 자동 마운트 사용 중지 중간 해당 없음
1.8.8 GNOME3 자동 마운트 실행 사용 중지 낮음 해당 없음
2.1.4.1 ntpd에 대한 서버 제한사항 구성 중간 해당 없음
2.1.4.3 ntpd가 ntp 사용자로 실행되도록 구성 중간 해당 없음
2.1.4.4 NTP 데몬 사용 설정 높음 해당 없음
2.2.15 Postfix 네트워크 리슨 사용 중지 중간 해당 없음
3.5.1.3 ufw 사용 설정 확인 중간 해당 없음
3.5.1.4 UFW 루프백 트래픽 설정 중간 해당 없음
3.5.1.6 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.1.7 ufw 기본 거부 방화벽 정책 확인 중간 해당 없음
3.5.3.2.1 수신 패킷에 대한 기본 iptables 정책 설정 중간 해당 없음
3.5.3.2.2 루프백 트래픽 구성 설정 중간 해당 없음
3.5.3.2.4 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.3.3.1 수신 패킷에 대한 기본 ip6tables 정책 설정 중간 해당 없음
3.5.3.3.4 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 중간 해당 없음

1.31

버전

이 섹션에서는 다음 버전에 대해 설명합니다.

Google Distributed Cloud 버전 Ubuntu 버전 CIS Ubuntu 벤치마크 버전 CIS 수준
1.31 22.04 LTS v1.0.0 수준 2 서버

실패한 추천

다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.

# 권장사항 심각도 상태
1.1.2.1 /tmp가 별도의 파티션에 있는지 확인 낮음 실패
1.1.3.1 /var이 별도의 파티션에 있는지 확인 낮음 실패
1.1.4.1 /var/tmp가 별도의 파티션에 있는지 확인 중간 실패
1.1.5.1 /var/log가 별도의 파티션에 있는지 확인 낮음 실패
1.1.6.1 var/log/audit가 별도의 파티션에 있는지 확인 낮음 실패
1.1.7.1 /home이 별도의 파티션에 있는지 확인 낮음 실패
1.4.1 grub2에서 부팅 로더 비밀번호 설정 높음 실패
1.4.3 단일 사용자 모드에 필요한 인증 확인 중간 실패
2.3.6 rpcbind 패키지 제거 낮음 실패
3.2.2 IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 중간 실패
3.3.7 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 중간 실패
3.3.7 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 중간 실패
3.5.2.8 nftables 기본 거부 방화벽 정책 확인 중간 실패
3.5.2.10 nftables 규칙이 영구적인지 확인 중간 실패
4.2.3 로그 파일의 권한 확인 중간 실패
5.2.4 사용자의 SSH 액세스 제한 알 수 없음 실패
5.3.4 권한 에스컬레이션을 위해 사용자가 재인증 - sudo 중간 실패
5.5.1.2 비밀번호 최대 기간 설정 중간 실패

통과한 추천

다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.1.1 cramfs 마운트 사용 중지 낮음 통과
1.1.1.2 squashfs 마운트 사용 중지 낮음 통과
1.1.1.3 udf 마운트 사용 중지 낮음 통과
1.1.8.1 /dev/shm에 nodev 옵션 추가 중간 통과
1.1.8.2 /dev/shm에 noexec 옵션 추가 중간 통과
1.1.8.3 /dev/shm에 nosuid 옵션 추가 중간 통과
1.1.9 자동 마운트 도구 사용 중지 중간 통과
1.1.10 USB 저장소 드라이버의 Modprobe 로드 사용 중지 중간 통과
1.4.2 /boot/grub/grub.cfg 권한 확인 중간 통과
1.5.1 가상 주소 공간의 무작위 레이아웃 사용 설정 중간 통과
1.5.2 패키지 'prelink'가 설치되어서는 안 됨 중간 통과
1.5.3 Apport 서비스 사용 중지 알 수 없음 통과
1.5.4 모든 사용자의 코어 덤프 사용 중지 중간 통과
1.5.4 SUID 프로그램의 코어 덤프 사용 중지 중간 통과
1.6.1.1 AppArmor가 설치되어 있는지 확인 중간 통과
1.6.1.2 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 중간 통과
1.6.1.4 모든 AppArmor 프로필 적용 중간 통과
1.7.1 오늘의 시스템 메시지 배너 수정 중간 통과
1.7.2 시스템 로그인 배너 수정 중간 통과
1.7.3 원격 연결을 위한 시스템 로그인 배너 수정 중간 통과
1.7.4 오늘의 메시지 배너 그룹 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너에 대한 권한 확인 중간 통과
1.7.5 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너에 대한 권한 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 중간 통과
2.1.1.1 systemd_timesyncd 서비스 설치 높음 통과
2.1.3.2 systemd_timesyncd 서비스 사용 설정 높음 통과
2.2.1 X Windows 패키지 그룹 삭제 중간 통과
2.2.2 Avahi 서버 소프트웨어 사용 중지 중간 통과
2.2.2 avahi 서버 패키지 제거 중간 통과
2.2.3 CUPS 서비스 사용 중지 알 수 없음 통과
2.2.3 CUPS 패키지 제거 알 수 없음 통과
2.2.4 DHCP 서버 패키지 제거 중간 통과
2.2.5 openldap-servers 패키지 제거 낮음 통과
2.2.6 nfs-kernel-server 패키지 제거 낮음 통과
2.2.7 bind 패키지 제거 낮음 통과
2.2.8 vsftpd 패키지 제거 높음 통과
2.2.9 httpd 패키지 제거 알 수 없음 통과
2.2.9 nginx 패키지 제거 알 수 없음 통과
2.2.10 cyrus-imapd 패키지 제거 알 수 없음 통과
2.2.10 dovecot 패키지 제거 알 수 없음 통과
2.2.11 Samba 패키지 제거 알 수 없음 통과
2.2.12 squid 패키지 제거 알 수 없음 통과
2.2.13 net-snmp 패키지 제거 알 수 없음 통과
2.2.14 nis 패키지 제거 낮음 통과
2.2.15 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 중간 통과
2.2.16 rsync 패키지 제거 중간 통과
2.3.2 rsh 패키지 제거 알 수 없음 통과
2.3.3 talk 패키지 제거 중간 통과
2.3.4 telnet 클라이언트 삭제 낮음 통과
2.3.5 LDAP 클라이언트가 설치되지 않았는지 확인 낮음 통과
3.1.2 무선 네트워크 인터페이스 비활성화 중간 통과
3.2.1 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.1 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.2 IPv6 전달에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.3 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 중간 통과
3.3.3 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.4 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.4 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.5 IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 중간 통과
3.3.6 IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.8 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 중간 통과
3.3.9 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 중간 통과
3.3.9 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 중간 통과
3.4.1 DCCP 지원 사용 중지 중간 통과
3.4.2 SCTP 지원 사용 중지 중간 통과
3.4.3 RDS 지원 사용 중지 낮음 통과
3.4.4 TIPC 지원 사용 중지 낮음 통과
3.5.1.2 iptables-persistent 패키지 삭제 중간 통과
3.5.2.1 nftables 패키지 설치 중간 통과
3.5.2.4 Nftables의 테이블이 있는지 확인 중간 통과
3.5.2.5 Nftables의 기본 체인이 있는지 확인 중간 통과
3.5.2.9 nftables 서비스가 사용 설정되어 있는지 확인 중간 통과
3.5.3.1.1 iptables 패키지 설치 중간 통과
3.5.3.1.3 ufw 패키지 삭제 중간 통과
4.1.1.1 감사 하위 시스템이 설치되어 있는지 확인 중간 통과
4.1.1.2 auditd 서비스 사용 설정 중간 통과
4.1.1.4 감사 데몬의 감사 백로그 한도 연장 낮음 통과
4.1.2.1 auditd 최대 로그 파일 크기 구성 중간 통과
4.1.2.2 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd admin_space_left 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd mail_acct 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd space_left 작업 구성 중간 통과
4.1.3.1 auditd에서 시스템 관리자 작업을 수집하는지 확인 중간 통과
4.1.3.2 권한이 있는 실행 파일이 실행될 때 이벤트 기록 중간 통과
4.1.3.3 유지보수 활동 수행 시도 기록 중간 통과
4.1.3.4 localtime 파일 변경 시도 기록 중간 통과
4.1.3.4 adjtimex를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 clock_settime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 settimeofday를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 stime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.5 시스템의 네트워크 환경을 수정하는 이벤트 기록 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - creat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - ftruncate 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - open 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - openat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - truncate 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr 중간 통과
4.1.3.10 auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) 중간 통과
4.1.3.11 프로세스 및 세션 시작 정보 변경 시도 기록 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat 중간 통과
4.1.3.14 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 중간 통과
4.1.3.15 chcon 실행 시도 기록 중간 통과
4.1.3.16 setfacl 실행 시도 기록 중간 통과
4.1.3.17 chacl 실행 시도 기록 중간 통과
4.1.3.18 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod 중간 통과
4.1.3.19 auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module 중간 통과
4.1.3.19 auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod 중간 통과
4.1.3.20 auditd 구성을 변경할 수 없도록 설정 중간 통과
4.1.4.1 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. 중간 통과
4.1.4.2 루트에서 시스템 감사 로그를 소유해야 함 중간 통과
4.1.4.3 시스템 감사 로그는 루트가 소유한 그룹이어야 함 중간 통과
4.1.4.4 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. 중간 통과
4.1.4.5 /etc/audit/auditd.conf에 대한 권한 확인 중간 통과
4.1.4.5 /etc/audit/rules.d/*.rules에 대한 권한 확인 중간 통과
4.1.4.6 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.7 그룹 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.8 감사 도구의 모드가 0755 이하인지 확인 중간 통과
4.1.4.9 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.1.4.10 그룹 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.2.1.1.1 systemd-journal-remote 패키지 설치 중간 통과
4.2.1.1.4 systemd-journal-remote 소켓 사용 중지 중간 통과
4.2.1.2 systemd-journald 서비스 사용 설정 중간 통과
4.2.1.3 journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 중간 통과
4.2.1.4 journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 중간 통과
4.2.2.1 rsyslog가 설치되어 있는지 확인 중간 통과
4.2.2.2 rsyslog 서비스 사용 설정 중간 통과
4.2.2.4 rsyslog 기본 파일 권한이 구성되었는지 확인 중간 통과
4.2.2.7 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 중간 통과
5.1.1 cron 서비스 사용 설정 중간 통과
5.1.2 Crontab을 소유하는 그룹 확인 중간 통과
5.1.2 crontab에서 소유자 확인 중간 통과
5.1.2 crontab에 대한 권한 확인 중간 통과
5.1.3 cron.hourly를 소유하는 그룹 확인 중간 통과
5.1.3 cron.hourly에서 소유자 확인 중간 통과
5.1.3 cron.hourly에 대한 권한 확인 중간 통과
5.1.4 cron.daily를 소유하는 그룹 확인 중간 통과
5.1.4 cron.daily에서 소유자 확인 중간 통과
5.1.4 cron.daily에 대한 권한 확인 중간 통과
5.1.5 cron.weekly를 소유하는 그룹 확인 중간 통과
5.1.5 cron.weekly에서 소유자 확인 중간 통과
5.1.5 cron.weekly에 대한 권한 확인 중간 통과
5.1.6 cron.monthly를 소유하는 그룹 확인 중간 통과
5.1.6 cron.monthly에서 소유자 확인 중간 통과
5.1.6 cron.monthly에 대한 권한 확인 중간 통과
5.1.7 cron.d를 소유하는 그룹 확인 중간 통과
5.1.7 cron.d에서 소유자 확인 중간 통과
5.1.7 cron.d에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.deny가 존재하지 않는지 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.8 /etc/cron.allow 파일에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 사용자 확인 중간 통과
5.1.9 /etc/at.deny가 없는지 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.9 /etc/at.allow 파일에 대한 권한 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 사용자 확인 중간 통과
5.2.1 SSH 서버 구성 파일을 소유하는 그룹 확인 중간 통과
5.2.1 SSH 서버 구성 파일 소유자 확인 중간 통과
5.2.1 SSH 서버 구성 파일에 대한 권한 확인 중간 통과
5.2.2 SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 중간 통과
5.2.3 SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 중간 통과
5.2.5 LogLevel을 INFO로 설정 낮음 통과
5.2.6 PAM 사용 설정 중간 통과
5.2.7 SSH 루트 로그인 사용 중지 중간 통과
5.2.8 호스트 기반 인증 사용 중지 중간 통과
5.2.9 비밀번호가 없는 SSH 액세스 사용 중지 높음 통과
5.2.10 SSH 환경 옵션 허용 안함 중간 통과
5.2.11 .rhosts 파일의 SSH 지원 사용 중지 중간 통과
5.2.12 X11 전달 사용 중지 중간 통과
5.2.13 강력한 암호화만 사용 중간 통과
5.2.14 강력한 MAC만 사용 중간 통과
5.2.15 강력한 키 교환 알고리즘만 사용 중간 통과
5.2.16 SSH TCP 전달 사용 중지 중간 통과
5.2.17 SSH 경고 배너 사용 설정 중간 통과
5.2.18 SSH 인증 시도 한도 설정 중간 통과
5.2.19 SSH MaxStartups가 구성되었는지 확인 중간 통과
5.2.20 SSH MaxSessions 한도 설정 중간 통과
5.2.21 SSH LoginGraceTime이 구성되었는지 확인 중간 통과
5.2.22 SSH 클라이언트 최대 활성 수 설정 중간 통과
5.2.22 SSH 클라이언트 활성 간격 설정 중간 통과
5.3.1 sudo 패키지 설치 중간 통과
5.3.2 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty 중간 통과
5.3.3 Sudo 로그 파일이 있는지 확인 - sudo logfile 낮음 통과
5.3.5 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate 중간 통과
5.3.6 sudo 명령어를 사용할 때 재인증 필요 중간 통과
5.3.7 su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 중간 통과
5.3.7 pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 중간 통과
5.4.1 pam_pwquality 패키지 설치 중간 통과
5.4.2 비밀번호 입력 실패 후 계정 잠금 중간 통과
5.4.2 비밀번호 입력 실패 횟수 집계 간격 설정 중간 통과
5.4.2 비밀번호 입력 실패 시 잠금 시간 설정 중간 통과
5.4.3 비밀번호 재사용 제한 중간 통과
5.4.4 /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 중간 통과
5.5.1.1 기존 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.1 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.2 기존 비밀번호 최대 사용 기간 설정 중간 통과
5.5.1.3 비밀번호 경고 기간 설정 중간 통과
5.5.1.4 비활성 후 계정 만료 설정 중간 통과
5.5.1.5 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 중간 통과
5.5.2 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 중간 통과
5.5.3 루트에 기본 GID 0이 있는지 확인 높음 통과
5.5.4 기본 Bash Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 중간 통과
5.5.4 /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.5 대화형 세션 만료 시간 설정 중간 통과
6.1.1 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.1 passwd 파일에 대한 권한 확인 중간 통과
6.1.1 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.2 백업 passwd 파일에 대한 권한 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.3 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.3 그룹 파일에 대한 권한 확인 중간 통과
6.1.3 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.4 백업 그룹 파일에 대한 권한 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.5 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.5 shadow 파일에 대한 권한 확인 중간 통과
6.1.5 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.6 백업 shadow 파일에 대한 권한 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.7 gshadow 파일에 대한 권한 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.8 백업 gshadow 파일에 대한 권한 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.10 사용자가 모든 파일을 소유하고 있는지 확인 중간 통과
6.2.1 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 중간 통과
6.2.2 비밀번호가 비어 있거나 null인 계정이 없는지 확인 높음 통과
6.2.3 /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 낮음 통과
6.2.4 섀도 그룹이 비어 있는지 확인 중간 통과
6.2.5 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 중간 통과
6.2.6 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 중간 통과
6.2.7 시스템의 모든 계정에 고유한 이름이 있는지 확인 중간 통과
6.2.8 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 중간 통과
6.2.9 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 알 수 없음 통과
6.2.9 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 중간 통과
6.2.10 루트에 UID 0만 있는지 확인 높음 통과
6.2.11 모든 대화형 사용자 홈 디렉터리가 있어야 함 중간 통과
6.2.12 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.12 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 중간 통과
6.2.13 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 중간 통과
6.2.14 netrc 파일이 없는지 확인 중간 통과
6.2.15 .forward 파일이 없는지 확인 중간 통과
6.2.16 Rsh 신뢰 파일 삭제 높음 통과
6.2.17 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.17 기본 사용자가 사용자 초기화 파일을 소유해야 함 중간 통과
6.2.17 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 중간 통과

관련이 없는 추천

다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.2.2 /tmp에 nodev 옵션 추가 중간 해당 없음
1.1.2.3 /tmp에 noexec 옵션 추가 중간 해당 없음
1.1.2.4 /tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.3.2 /var에 nodev 옵션 추가 중간 해당 없음
1.1.3.3 /var에 nosuid 옵션 추가 중간 해당 없음
1.1.4.2 /var/tmp에 noexec 옵션 추가 중간 해당 없음
1.1.4.3 /var/tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.4.4 /var/tmp에 nodev 옵션 추가 중간 해당 없음
1.1.5.2 /var/log에 nodev 옵션 추가 중간 해당 없음
1.1.5.3 /var/log에 noexec 옵션 추가 중간 해당 없음
1.1.5.4 /var/log에 nosuid 옵션 추가 중간 해당 없음
1.1.6.2 /var/log/audit에 noexec 옵션 추가 중간 해당 없음
1.1.6.3 /var/log/audit에 nodev 옵션 추가 중간 해당 없음
1.1.6.4 /var/log/audit에 nosuid 옵션 추가 중간 해당 없음
1.1.7.2 /home에 nodev 옵션 추가 알 수 없음 해당 없음
1.1.7.3 /home에 nosuid 옵션 추가 중간 해당 없음
1.4.1 UEFI 부팅 로더 비밀번호 설정 높음 해당 없음
1.8.1 GDM 패키지 그룹 삭제 중간 해당 없음
1.8.4 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 중간 해당 없음
1.8.5 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 중간 해당 없음
1.8.6 GNOME3 자동 마운트 열기 사용 중지 중간 해당 없음
1.8.6 GNOME3 자동 마운트 사용 중지 중간 해당 없음
1.8.8 GNOME3 자동 마운트 실행 사용 중지 낮음 해당 없음
1.8.10 GDM에서 XDMCP 사용 중지 높음 해당 없음
1.10 GNOME3 DConf 사용자 프로필 구성 높음 해당 없음
2.1.4.1 ntpd에 대한 서버 제한사항 구성 중간 해당 없음
2.1.4.3 ntpd가 ntp 사용자로 실행되도록 구성 중간 해당 없음
2.1.4.4 NTP 데몬 사용 설정 높음 해당 없음
2.2.15 Postfix 네트워크 리슨 사용 중지 중간 해당 없음
3.5.1.3 ufw 사용 설정 확인 중간 해당 없음
3.5.1.4 UFW 루프백 트래픽 설정 중간 해당 없음
3.5.1.6 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.1.7 ufw 기본 거부 방화벽 정책 확인 중간 해당 없음
3.5.3.2.1 수신 패킷에 대한 기본 iptables 정책 설정 중간 해당 없음
3.5.3.2.2 루프백 트래픽 구성 설정 중간 해당 없음
3.5.3.2.4 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.3.3.1 수신 패킷에 대한 기본 ip6tables 정책 설정 중간 해당 없음
3.5.3.3.4 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 중간 해당 없음

1.30

버전

이 섹션에서는 다음 버전에 대해 설명합니다.

Google Distributed Cloud 버전 Ubuntu 버전 CIS Ubuntu 벤치마크 버전 CIS 수준
1.30 22.04 LTS v1.0.0 수준 2 서버

실패한 추천

다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.

# 권장사항 심각도 상태
1.1.2.1 /tmp가 별도의 파티션에 있는지 확인 낮음 실패
1.1.3.1 /var이 별도의 파티션에 있는지 확인 낮음 실패
1.1.4.1 /var/tmp가 별도의 파티션에 있는지 확인 중간 실패
1.1.5.1 /var/log가 별도의 파티션에 있는지 확인 낮음 실패
1.1.6.1 var/log/audit가 별도의 파티션에 있는지 확인 낮음 실패
1.1.7.1 /home이 별도의 파티션에 있는지 확인 낮음 실패
1.4.1 grub2에서 부팅 로더 비밀번호 설정 높음 실패
1.4.3 단일 사용자 모드에 필요한 인증 확인 중간 실패
2.3.6 rpcbind 패키지 제거 낮음 실패
3.2.2 IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 중간 실패
3.3.7 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 중간 실패
3.3.7 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 중간 실패
3.5.2.8 nftables 기본 거부 방화벽 정책 확인 중간 실패
3.5.2.10 nftables 규칙이 영구적인지 확인 중간 실패
4.2.3 로그 파일의 권한 확인 중간 실패
5.2.4 사용자의 SSH 액세스 제한 알 수 없음 실패
5.3.4 권한 에스컬레이션을 위해 사용자가 재인증 - sudo 중간 실패
5.5.1.2 비밀번호 최대 기간 설정 중간 실패

통과한 추천

다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.1.1 cramfs 마운트 사용 중지 낮음 통과
1.1.1.2 squashfs 마운트 사용 중지 낮음 통과
1.1.1.3 udf 마운트 사용 중지 낮음 통과
1.1.8.1 /dev/shm에 nodev 옵션 추가 중간 통과
1.1.8.2 /dev/shm에 noexec 옵션 추가 중간 통과
1.1.8.3 /dev/shm에 nosuid 옵션 추가 중간 통과
1.1.9 자동 마운트 도구 사용 중지 중간 통과
1.1.10 USB 저장소 드라이버의 Modprobe 로드 사용 중지 중간 통과
1.4.2 /boot/grub/grub.cfg 권한 확인 중간 통과
1.5.1 가상 주소 공간의 무작위 레이아웃 사용 설정 중간 통과
1.5.2 패키지 'prelink'가 설치되어서는 안 됨 중간 통과
1.5.3 Apport 서비스 사용 중지 알 수 없음 통과
1.5.4 모든 사용자의 코어 덤프 사용 중지 중간 통과
1.5.4 SUID 프로그램의 코어 덤프 사용 중지 중간 통과
1.6.1.1 AppArmor가 설치되어 있는지 확인 중간 통과
1.6.1.2 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 중간 통과
1.6.1.4 모든 AppArmor 프로필 적용 중간 통과
1.7.1 오늘의 시스템 메시지 배너 수정 중간 통과
1.7.2 시스템 로그인 배너 수정 중간 통과
1.7.3 원격 연결을 위한 시스템 로그인 배너 수정 중간 통과
1.7.4 오늘의 메시지 배너 그룹 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너 소유권 확인 중간 통과
1.7.4 오늘의 메시지 배너에 대한 권한 확인 중간 통과
1.7.5 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너 소유권 확인 중간 통과
1.7.5 시스템 로그인 배너에 대한 권한 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너 소유권 확인 중간 통과
1.7.6 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 중간 통과
2.1.1.1 systemd_timesyncd 서비스 설치 높음 통과
2.1.3.2 systemd_timesyncd 서비스 사용 설정 높음 통과
2.2.1 X Windows 패키지 그룹 삭제 중간 통과
2.2.2 Avahi 서버 소프트웨어 사용 중지 중간 통과
2.2.2 avahi 서버 패키지 제거 중간 통과
2.2.3 CUPS 서비스 사용 중지 알 수 없음 통과
2.2.3 CUPS 패키지 제거 알 수 없음 통과
2.2.4 DHCP 서버 패키지 제거 중간 통과
2.2.5 openldap-servers 패키지 제거 낮음 통과
2.2.6 nfs-kernel-server 패키지 제거 낮음 통과
2.2.7 bind 패키지 제거 낮음 통과
2.2.8 vsftpd 패키지 제거 높음 통과
2.2.9 httpd 패키지 제거 알 수 없음 통과
2.2.9 nginx 패키지 제거 알 수 없음 통과
2.2.10 cyrus-imapd 패키지 제거 알 수 없음 통과
2.2.10 dovecot 패키지 제거 알 수 없음 통과
2.2.11 Samba 패키지 제거 알 수 없음 통과
2.2.12 squid 패키지 제거 알 수 없음 통과
2.2.13 net-snmp 패키지 제거 알 수 없음 통과
2.2.14 nis 패키지 제거 낮음 통과
2.2.15 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 중간 통과
2.2.16 rsync 패키지 제거 중간 통과
2.3.2 rsh 패키지 제거 알 수 없음 통과
2.3.3 talk 패키지 제거 중간 통과
2.3.4 telnet 클라이언트 삭제 낮음 통과
2.3.5 LDAP 클라이언트가 설치되지 않았는지 확인 낮음 통과
3.1.2 무선 네트워크 인터페이스 비활성화 중간 통과
3.2.1 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.1 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 중간 통과
3.2.2 IPv6 전달에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.1 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 중간 통과
3.3.2 IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.2 IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.3 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 중간 통과
3.3.3 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 중간 통과
3.3.4 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.4 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.5 IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 중간 통과
3.3.6 IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 알 수 없음 통과
3.3.8 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 중간 통과
3.3.9 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 중간 통과
3.3.9 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 중간 통과
3.4.1 DCCP 지원 사용 중지 중간 통과
3.4.2 SCTP 지원 사용 중지 중간 통과
3.4.3 RDS 지원 사용 중지 낮음 통과
3.4.4 TIPC 지원 사용 중지 낮음 통과
3.5.1.2 iptables-persistent 패키지 삭제 중간 통과
3.5.2.1 nftables 패키지 설치 중간 통과
3.5.2.4 Nftables의 테이블이 있는지 확인 중간 통과
3.5.2.5 Nftables의 기본 체인이 있는지 확인 중간 통과
3.5.2.9 nftables 서비스가 사용 설정되어 있는지 확인 중간 통과
3.5.3.1.1 iptables 패키지 설치 중간 통과
3.5.3.1.3 ufw 패키지 삭제 중간 통과
4.1.1.1 감사 하위 시스템이 설치되어 있는지 확인 중간 통과
4.1.1.2 auditd 서비스 사용 설정 중간 통과
4.1.1.4 감사 데몬의 감사 백로그 한도 연장 낮음 통과
4.1.2.1 auditd 최대 로그 파일 크기 구성 중간 통과
4.1.2.2 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd admin_space_left 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd mail_acct 작업 구성 중간 통과
4.1.2.3 디스크 공간 부족 시 auditd space_left 작업 구성 중간 통과
4.1.3.1 auditd에서 시스템 관리자 작업을 수집하는지 확인 중간 통과
4.1.3.2 권한이 있는 실행 파일이 실행될 때 이벤트 기록 중간 통과
4.1.3.3 유지보수 활동 수행 시도 기록 중간 통과
4.1.3.4 localtime 파일 변경 시도 기록 중간 통과
4.1.3.4 adjtimex를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 clock_settime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 settimeofday를 통한 시간 변경 시도 기록 중간 통과
4.1.3.4 stime을 통한 시간 변경 시도 기록 중간 통과
4.1.3.5 시스템의 네트워크 환경을 수정하는 이벤트 기록 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount 중간 통과
4.1.3.6 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - creat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - ftruncate 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - open 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - openat 중간 통과
4.1.3.7 파일 액세스 시도 실패 기록 - truncate 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd 중간 통과
4.1.3.8 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr 중간 통과
4.1.3.9 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr 중간 통과
4.1.3.10 auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) 중간 통과
4.1.3.11 프로세스 및 세션 시작 정보 변경 시도 기록 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog 중간 통과
4.1.3.12 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink 중간 통과
4.1.3.13 auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat 중간 통과
4.1.3.14 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 중간 통과
4.1.3.15 chcon 실행 시도 기록 중간 통과
4.1.3.16 setfacl 실행 시도 기록 중간 통과
4.1.3.17 chacl 실행 시도 기록 중간 통과
4.1.3.18 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod 중간 통과
4.1.3.19 auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module 중간 통과
4.1.3.19 auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe 중간 통과
4.1.3.19 auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod 중간 통과
4.1.3.20 auditd 구성을 변경할 수 없도록 설정 중간 통과
4.1.4.1 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. 중간 통과
4.1.4.2 루트에서 시스템 감사 로그를 소유해야 함 중간 통과
4.1.4.3 시스템 감사 로그는 루트가 소유한 그룹이어야 함 중간 통과
4.1.4.4 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. 중간 통과
4.1.4.5 /etc/audit/auditd.conf에 대한 권한 확인 중간 통과
4.1.4.5 /etc/audit/rules.d/*.rules에 대한 권한 확인 중간 통과
4.1.4.6 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.7 그룹 루트에서 감사 구성 파일을 소유해야 함 중간 통과
4.1.4.8 감사 도구의 모드가 0755 이하인지 확인 중간 통과
4.1.4.9 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.1.4.10 그룹 루트에서 감사 도구를 소유하고 있는지 확인 중간 통과
4.2.1.1.1 systemd-journal-remote 패키지 설치 중간 통과
4.2.1.1.4 systemd-journal-remote 소켓 사용 중지 중간 통과
4.2.1.2 systemd-journald 서비스 사용 설정 중간 통과
4.2.1.3 journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 중간 통과
4.2.1.4 journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 중간 통과
4.2.2.1 rsyslog가 설치되어 있는지 확인 중간 통과
4.2.2.2 rsyslog 서비스 사용 설정 중간 통과
4.2.2.4 rsyslog 기본 파일 권한이 구성되었는지 확인 중간 통과
4.2.2.7 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 중간 통과
5.1.1 cron 서비스 사용 설정 중간 통과
5.1.2 Crontab을 소유하는 그룹 확인 중간 통과
5.1.2 crontab에서 소유자 확인 중간 통과
5.1.2 crontab에 대한 권한 확인 중간 통과
5.1.3 cron.hourly를 소유하는 그룹 확인 중간 통과
5.1.3 cron.hourly에서 소유자 확인 중간 통과
5.1.3 cron.hourly에 대한 권한 확인 중간 통과
5.1.4 cron.daily를 소유하는 그룹 확인 중간 통과
5.1.4 cron.daily에서 소유자 확인 중간 통과
5.1.4 cron.daily에 대한 권한 확인 중간 통과
5.1.5 cron.weekly를 소유하는 그룹 확인 중간 통과
5.1.5 cron.weekly에서 소유자 확인 중간 통과
5.1.5 cron.weekly에 대한 권한 확인 중간 통과
5.1.6 cron.monthly를 소유하는 그룹 확인 중간 통과
5.1.6 cron.monthly에서 소유자 확인 중간 통과
5.1.6 cron.monthly에 대한 권한 확인 중간 통과
5.1.7 cron.d를 소유하는 그룹 확인 중간 통과
5.1.7 cron.d에서 소유자 확인 중간 통과
5.1.7 cron.d에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.deny가 존재하지 않는지 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.8 /etc/cron.allow 파일에 대한 권한 확인 중간 통과
5.1.8 /etc/cron.allow 파일을 소유하는 사용자 확인 중간 통과
5.1.9 /etc/at.deny가 없는지 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 그룹 확인 중간 통과
5.1.9 /etc/at.allow 파일에 대한 권한 확인 중간 통과
5.1.9 /etc/at.allow 파일을 소유하는 사용자 확인 중간 통과
5.2.1 SSH 서버 구성 파일을 소유하는 그룹 확인 중간 통과
5.2.1 SSH 서버 구성 파일 소유자 확인 중간 통과
5.2.1 SSH 서버 구성 파일에 대한 권한 확인 중간 통과
5.2.2 SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 중간 통과
5.2.3 SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 중간 통과
5.2.5 LogLevel을 INFO로 설정 낮음 통과
5.2.6 PAM 사용 설정 중간 통과
5.2.7 SSH 루트 로그인 사용 중지 중간 통과
5.2.8 호스트 기반 인증 사용 중지 중간 통과
5.2.9 비밀번호가 없는 SSH 액세스 사용 중지 높음 통과
5.2.10 SSH 환경 옵션 허용 안함 중간 통과
5.2.11 .rhosts 파일의 SSH 지원 사용 중지 중간 통과
5.2.12 X11 전달 사용 중지 중간 통과
5.2.13 강력한 암호화만 사용 중간 통과
5.2.14 강력한 MAC만 사용 중간 통과
5.2.15 강력한 키 교환 알고리즘만 사용 중간 통과
5.2.16 SSH TCP 전달 사용 중지 중간 통과
5.2.17 SSH 경고 배너 사용 설정 중간 통과
5.2.18 SSH 인증 시도 한도 설정 중간 통과
5.2.19 SSH MaxStartups가 구성되었는지 확인 중간 통과
5.2.20 SSH MaxSessions 한도 설정 중간 통과
5.2.21 SSH LoginGraceTime이 구성되었는지 확인 중간 통과
5.2.22 SSH 클라이언트 최대 활성 수 설정 중간 통과
5.2.22 SSH 클라이언트 활성 간격 설정 중간 통과
5.3.1 sudo 패키지 설치 중간 통과
5.3.2 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty 중간 통과
5.3.3 Sudo 로그 파일이 있는지 확인 - sudo logfile 낮음 통과
5.3.5 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate 중간 통과
5.3.6 sudo 명령어를 사용할 때 재인증 필요 중간 통과
5.3.7 su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 중간 통과
5.3.7 pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 중간 통과
5.4.1 PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 중간 통과
5.4.1 pam_pwquality 패키지 설치 중간 통과
5.4.2 비밀번호 입력 실패 후 계정 잠금 중간 통과
5.4.2 비밀번호 입력 실패 횟수 집계 간격 설정 중간 통과
5.4.2 비밀번호 입력 실패 시 잠금 시간 설정 중간 통과
5.4.3 비밀번호 재사용 제한 중간 통과
5.4.4 /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 중간 통과
5.5.1.1 기존 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.1 비밀번호 최소 사용 기간 설정 중간 통과
5.5.1.2 기존 비밀번호 최대 사용 기간 설정 중간 통과
5.5.1.3 비밀번호 경고 기간 설정 중간 통과
5.5.1.4 비활성 후 계정 만료 설정 중간 통과
5.5.1.5 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 중간 통과
5.5.2 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 중간 통과
5.5.3 루트에 기본 GID 0이 있는지 확인 높음 통과
5.5.4 기본 Bash Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 중간 통과
5.5.4 /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.4 login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 중간 통과
5.5.5 대화형 세션 만료 시간 설정 중간 통과
6.1.1 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.1 passwd 파일에 대한 권한 확인 중간 통과
6.1.1 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 그룹 확인 중간 통과
6.1.2 백업 passwd 파일에 대한 권한 확인 중간 통과
6.1.2 백업 passwd 파일을 소유하는 사용자 확인 중간 통과
6.1.3 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.3 그룹 파일에 대한 권한 확인 중간 통과
6.1.3 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 그룹 확인 중간 통과
6.1.4 백업 그룹 파일에 대한 권한 확인 중간 통과
6.1.4 백업 그룹 파일을 소유하는 사용자 확인 중간 통과
6.1.5 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.5 shadow 파일에 대한 권한 확인 중간 통과
6.1.5 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 그룹 확인 중간 통과
6.1.6 백업 shadow 파일에 대한 권한 확인 중간 통과
6.1.6 백업 shadow 파일을 소유하는 사용자 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.7 gshadow 파일에 대한 권한 확인 중간 통과
6.1.7 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 그룹 확인 중간 통과
6.1.8 백업 gshadow 파일에 대한 권한 확인 중간 통과
6.1.8 백업 gshadow 파일을 소유하는 사용자 확인 중간 통과
6.1.10 사용자가 모든 파일을 소유하고 있는지 확인 중간 통과
6.2.1 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 중간 통과
6.2.2 비밀번호가 비어 있거나 null인 계정이 없는지 확인 높음 통과
6.2.3 /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 낮음 통과
6.2.4 섀도 그룹이 비어 있는지 확인 중간 통과
6.2.5 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 중간 통과
6.2.6 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 중간 통과
6.2.7 시스템의 모든 계정에 고유한 이름이 있는지 확인 중간 통과
6.2.8 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 중간 통과
6.2.9 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 알 수 없음 통과
6.2.9 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 중간 통과
6.2.10 루트에 UID 0만 있는지 확인 높음 통과
6.2.11 모든 대화형 사용자 홈 디렉터리가 있어야 함 중간 통과
6.2.12 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.12 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 중간 통과
6.2.13 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 중간 통과
6.2.14 netrc 파일이 없는지 확인 중간 통과
6.2.15 .forward 파일이 없는지 확인 중간 통과
6.2.16 Rsh 신뢰 파일 삭제 높음 통과
6.2.17 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 중간 통과
6.2.17 기본 사용자가 사용자 초기화 파일을 소유해야 함 중간 통과
6.2.17 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 중간 통과

관련이 없는 추천

다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.

# 권장사항 심각도 상태
1.1.2.2 /tmp에 nodev 옵션 추가 중간 해당 없음
1.1.2.3 /tmp에 noexec 옵션 추가 중간 해당 없음
1.1.2.4 /tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.3.2 /var에 nodev 옵션 추가 중간 해당 없음
1.1.3.3 /var에 nosuid 옵션 추가 중간 해당 없음
1.1.4.2 /var/tmp에 noexec 옵션 추가 중간 해당 없음
1.1.4.3 /var/tmp에 nosuid 옵션 추가 중간 해당 없음
1.1.4.4 /var/tmp에 nodev 옵션 추가 중간 해당 없음
1.1.5.2 /var/log에 nodev 옵션 추가 중간 해당 없음
1.1.5.3 /var/log에 noexec 옵션 추가 중간 해당 없음
1.1.5.4 /var/log에 nosuid 옵션 추가 중간 해당 없음
1.1.6.2 /var/log/audit에 noexec 옵션 추가 중간 해당 없음
1.1.6.3 /var/log/audit에 nodev 옵션 추가 중간 해당 없음
1.1.6.4 /var/log/audit에 nosuid 옵션 추가 중간 해당 없음
1.1.7.2 /home에 nodev 옵션 추가 알 수 없음 해당 없음
1.1.7.3 /home에 nosuid 옵션 추가 중간 해당 없음
1.4.1 UEFI 부팅 로더 비밀번호 설정 높음 해당 없음
1.8.1 GDM 패키지 그룹 삭제 중간 해당 없음
1.8.4 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 중간 해당 없음
1.8.5 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 중간 해당 없음
1.8.6 GNOME3 자동 마운트 열기 사용 중지 중간 해당 없음
1.8.6 GNOME3 자동 마운트 사용 중지 중간 해당 없음
1.8.8 GNOME3 자동 마운트 실행 사용 중지 낮음 해당 없음
1.8.10 GDM에서 XDMCP 사용 중지 높음 해당 없음
1.10 GNOME3 DConf 사용자 프로필 구성 높음 해당 없음
2.1.4.1 ntpd에 대한 서버 제한사항 구성 중간 해당 없음
2.1.4.3 ntpd가 ntp 사용자로 실행되도록 구성 중간 해당 없음
2.1.4.4 NTP 데몬 사용 설정 높음 해당 없음
2.2.15 Postfix 네트워크 리슨 사용 중지 중간 해당 없음
3.5.1.3 ufw 사용 설정 확인 중간 해당 없음
3.5.1.4 UFW 루프백 트래픽 설정 중간 해당 없음
3.5.1.6 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.1.7 ufw 기본 거부 방화벽 정책 확인 중간 해당 없음
3.5.3.2.1 수신 패킷에 대한 기본 iptables 정책 설정 중간 해당 없음
3.5.3.2.2 루프백 트래픽 구성 설정 중간 해당 없음
3.5.3.2.4 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 중간 해당 없음
3.5.3.3.1 수신 패킷에 대한 기본 ip6tables 정책 설정 중간 해당 없음
3.5.3.3.4 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 중간 해당 없음

AIDE 크론 작업 구성

AIDE는 CIS L1 서버 벤치마크 1.4 Filesystem Integrity Checking 규정 준수를 확인하는 파일 무결성 확인 도구입니다. Google Distributed Cloud에서 AIDE 프로세스가 높은 리소스 사용 문제를 일으켰습니다.

리소스 문제를 방지하기 위해 노드의 AIDE 프로세스는 기본적으로 중지되어 있습니다. 이는 CIS L1 서버 벤치마크 1.4.2를 준수하는 데 영향을 미칩니다. Ensure filesystem integrity is regularly checked.

AIDE 크론 작업을 실행하도록 선택하려면 다음 단계를 완료하여 AIDE를 다시 사용 설정합니다.

  1. DaemonSet를 만듭니다.

    DaemonSet의 매니페스트는 다음과 같습니다.

    apiVersion: apps/v1
    kind: DaemonSet
    metadata:
    name: enable-aide-pool1
    spec:
    selector:
      matchLabels:
        app: enable-aide-pool1
    template:
      metadata:
        labels:
          app: enable-aide-pool1
      spec:
        hostIPC: true
        hostPID: true
        nodeSelector:
          cloud.google.com/gke-nodepool: pool-1
        containers:
        - name: update-audit-rule
          image: ubuntu
          command: ["chroot", "/host", "bash", "-c"]
          args:
          - |
            set -x
            while true; do
              # change daily cronjob schedule
              minute=30;hour=5
              sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
    
              # enable aide
              chmod 755 /etc/cron.daily/aide
    
              sleep 3600
            done
          volumeMounts:
          - name: host
            mountPath: /host
          securityContext:
            privileged: true
        volumes:
        - name: host
          hostPath:
            path: /
    

    이전 매니페스트에서:

    • AIDE 크론 작업은 nodeSelector cloud.google.com/gke-nodepool: pool-1에 지정된 대로 pool-1 노드 풀에서만 실행됩니다. nodeSelector 필드에서 풀을 지정하여 AIDE 프로세스가 원하는 만큼의 노드 풀에서 실행되도록 구성할 수 있습니다. 여러 노드 풀에서 동일한 크론 작업 일정을 실행하려면 nodeSelector 필드를 삭제합니다. 하지만 호스트 리소스 정체를 방지하려면 별도의 일정을 유지하는 것이 좋습니다.

    • 크론 작업은 minute=30;hour=5 구성에 지정된 대로 오전 5시 30분에 매일 실행되도록 예약되어 있습니다. 필요에 따라 AIDE 크론 작업에 다른 일정을 구성할 수 있습니다.

  2. enable-aide.yaml 파일에 매니페스트를 복사하고 DaemonSet를 만듭니다.

    kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
    

    여기서 USER_CLUSTER_KUBECONFIG는 사용자 클러스터의 kubeconfig 파일 경로입니다.

보안 콘텐츠 자동화 프로토콜(SCAP) 평가 사용

설치를 직접 검사하여 Ubuntu Linux CIS 벤치마크 Level 2 규정 준수를 평가하는 것이 좋습니다. 클러스터와 관리자 워크스테이션을 스캔하는 데 사용할 수 있는 다양한 도구가 있습니다. 다음 단계를 수행하여 OpenSCAP 오픈소스 도구 모음을 설치하고 실행하여 Level 2 보안 평가를 수행할 수 있습니다.

  1. 다음 스크립트를 cis-benchmark.sh 파일에 복사합니다.

    #!/bin/bash
    
    set -x
    
    REPORTS_DIR="$1"
    
    mkdir -p "${REPORTS_DIR}"
    
    echo "Start CIS L2 benchmark evaluation..."
    apt update
    apt install libopenscap8
    sudo oscap xccdf eval \
        --profile cis_level2_server_customized \
        --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \
        --results "${REPORTS_DIR}"/cis-results.xml \
        --report "${REPORTS_DIR}"/cis-report.html \
        --verbose INFO \
        --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \
        /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1
    chmod -R 755 "${REPORTS_DIR}/.."
    echo "Done CIS L2 benchmark evaluation"
    
  2. 스크립트를 실행 가능하게 만듭니다.

    chmod +x cis-benchmark.sh
    
  3. 스크립트를 실행합니다.

    ./cis-benchmark.sh REPORTS_DIR
    

    REPORTS_DIR를 생성된 평가 보고서를 저장할 기존 디렉터리의 경로로 바꿉니다.

    스크립트가 성공적으로 완료되면 REPORTS_DIR 디렉터리에 생성된 cis-report.html 파일이 포함됩니다.