이 문서에서는 CIS Ubuntu 벤치마크로 Google Distributed Cloud의 규정 준수 수준을 설명합니다.
벤치마크 액세스
CIS Ubuntu 벤치마크는 CIS 웹사이트에서 제공됩니다.
구성 프로필
CIS Ubuntu 벤치마크 문서에서 구성 프로필에 대한 정보를 읽을 수 있습니다. Google Distributed Cloud에서 사용되는 Ubuntu 이미지는 수준 2 - 서버 프로필을 충족하도록 강화되었습니다.
Google Distributed Cloud 평가
Google은 다음 값을 사용하여 Google Distributed Cloud에서 Ubuntu 권장 수준 상태를 지정합니다.
상태 | 설명 |
---|---|
통과 | 벤치마크 추천을 준수합니다. |
실패 | 벤치마크 추천에서 벗어납니다. |
해당 없음 | 평가 대상 시스템에서 테스트와 관련이 없습니다. |
Google Distributed Cloud의 상태
Google Distributed Cloud에서 사용되는 Ubuntu 이미지는 CIS 수준 2 - 서버 프로필을 충족하도록 강화되었습니다. 다음 표에서는 Google Distributed Cloud 구성요소가 특정 추천을 통과하지 못한 이유에 대한 근거를 설명합니다.
Passed
상태의 벤치마크는 다음 표에 포함되지 않습니다.
1.32
버전
이 섹션에서는 다음 버전에 대해 설명합니다.
Google Distributed Cloud 버전 | Ubuntu 버전 | CIS Ubuntu 벤치마크 버전 | CIS 수준 |
---|---|---|---|
1.32 | 22.04 LTS | v1.0.0 | 수준 2 서버 |
실패한 추천
다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.1 | /tmp가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.3.1 | /var이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.4.1 | /var/tmp가 별도의 파티션에 있는지 확인 | 중간 | 실패 |
1.1.5.1 | /var/log가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.6.1 | var/log/audit가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.7.1 | /home이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.4.1 | grub2에서 부팅 로더 비밀번호 설정 | 높음 | 실패 |
1.4.3 | 단일 사용자 모드에 필요한 인증 확인 | 중간 | 실패 |
2.3.6 | rpcbind 패키지 제거 | 낮음 | 실패 |
3.2.2 | IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 실패 |
3.3.7 | 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 | 중간 | 실패 |
3.3.7 | 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 | 중간 | 실패 |
3.5.2.8 | nftables 기본 거부 방화벽 정책 확인 | 중간 | 실패 |
3.5.2.10 | nftables 규칙이 영구적인지 확인 | 중간 | 실패 |
4.2.3 | 로그 파일의 권한 확인 | 중간 | 실패 |
5.2.4 | 사용자의 SSH 액세스 제한 | 알 수 없음 | 실패 |
5.3.4 | 권한 에스컬레이션을 위해 사용자가 재인증 - sudo | 중간 | 실패 |
5.5.1.2 | 비밀번호 최대 기간 설정 | 중간 | 실패 |
통과한 추천
다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.1.1 | cramfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.2 | squashfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.3 | udf 마운트 사용 중지 | 낮음 | 통과 |
1.1.8.1 | /dev/shm에 nodev 옵션 추가 | 중간 | 통과 |
1.1.8.2 | /dev/shm에 noexec 옵션 추가 | 중간 | 통과 |
1.1.8.3 | /dev/shm에 nosuid 옵션 추가 | 중간 | 통과 |
1.1.9 | 자동 마운트 도구 사용 중지 | 중간 | 통과 |
1.1.10 | USB 저장소 드라이버의 Modprobe 로드 사용 중지 | 중간 | 통과 |
1.4.2 | /boot/grub/grub.cfg 권한 확인 | 중간 | 통과 |
1.5.1 | 가상 주소 공간의 무작위 레이아웃 사용 설정 | 중간 | 통과 |
1.5.2 | 패키지 'prelink'가 설치되어서는 안 됨 | 중간 | 통과 |
1.5.3 | Apport 서비스 사용 중지 | 알 수 없음 | 통과 |
1.5.4 | 모든 사용자의 코어 덤프 사용 중지 | 중간 | 통과 |
1.5.4 | SUID 프로그램의 코어 덤프 사용 중지 | 중간 | 통과 |
1.6.1.1 | AppArmor가 설치되어 있는지 확인 | 중간 | 통과 |
1.6.1.2 | 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 | 중간 | 통과 |
1.6.1.4 | 모든 AppArmor 프로필 적용 | 중간 | 통과 |
1.7.1 | 오늘의 시스템 메시지 배너 수정 | 중간 | 통과 |
1.7.2 | 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.3 | 원격 연결을 위한 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
2.1.1.1 | systemd_timesyncd 서비스 설치 | 높음 | 통과 |
2.1.3.2 | systemd_timesyncd 서비스 사용 설정 | 높음 | 통과 |
2.2.1 | X Windows 패키지 그룹 삭제 | 중간 | 통과 |
2.2.2 | Avahi 서버 소프트웨어 사용 중지 | 중간 | 통과 |
2.2.2 | avahi 서버 패키지 제거 | 중간 | 통과 |
2.2.3 | CUPS 서비스 사용 중지 | 알 수 없음 | 통과 |
2.2.3 | CUPS 패키지 제거 | 알 수 없음 | 통과 |
2.2.4 | DHCP 서버 패키지 제거 | 중간 | 통과 |
2.2.5 | openldap-servers 패키지 제거 | 낮음 | 통과 |
2.2.6 | nfs-kernel-server 패키지 제거 | 낮음 | 통과 |
2.2.7 | bind 패키지 제거 | 낮음 | 통과 |
2.2.8 | vsftpd 패키지 제거 | 높음 | 통과 |
2.2.9 | httpd 패키지 제거 | 알 수 없음 | 통과 |
2.2.9 | nginx 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | cyrus-imapd 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | dovecot 패키지 제거 | 알 수 없음 | 통과 |
2.2.11 | Samba 패키지 제거 | 알 수 없음 | 통과 |
2.2.12 | squid 패키지 제거 | 알 수 없음 | 통과 |
2.2.13 | net-snmp 패키지 제거 | 알 수 없음 | 통과 |
2.2.14 | nis 패키지 제거 | 낮음 | 통과 |
2.2.15 | 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 | 중간 | 통과 |
2.2.16 | rsync 패키지 제거 | 중간 | 통과 |
2.3.2 | rsh 패키지 제거 | 알 수 없음 | 통과 |
2.3.3 | talk 패키지 제거 | 중간 | 통과 |
2.3.4 | telnet 클라이언트 삭제 | 낮음 | 통과 |
2.3.5 | LDAP 클라이언트가 설치되지 않았는지 확인 | 낮음 | 통과 |
3.1.2 | 무선 네트워크 인터페이스 비활성화 | 중간 | 통과 |
3.2.1 | 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.1 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.2 | IPv6 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.3 | 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 | 중간 | 통과 |
3.3.3 | 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.4 | 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.4 | 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.5 | IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.6 | IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.8 | 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.9 | 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 | 중간 | 통과 |
3.3.9 | 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 | 중간 | 통과 |
3.4.1 | DCCP 지원 사용 중지 | 중간 | 통과 |
3.4.2 | SCTP 지원 사용 중지 | 중간 | 통과 |
3.4.3 | RDS 지원 사용 중지 | 낮음 | 통과 |
3.4.4 | TIPC 지원 사용 중지 | 낮음 | 통과 |
3.5.1.2 | iptables-persistent 패키지 삭제 | 중간 | 통과 |
3.5.2.1 | nftables 패키지 설치 | 중간 | 통과 |
3.5.2.4 | Nftables의 테이블이 있는지 확인 | 중간 | 통과 |
3.5.2.5 | Nftables의 기본 체인이 있는지 확인 | 중간 | 통과 |
3.5.2.9 | nftables 서비스가 사용 설정되어 있는지 확인 | 중간 | 통과 |
3.5.3.1.1 | iptables 패키지 설치 | 중간 | 통과 |
3.5.3.1.3 | ufw 패키지 삭제 | 중간 | 통과 |
4.1.1.1 | 감사 하위 시스템이 설치되어 있는지 확인 | 중간 | 통과 |
4.1.1.2 | auditd 서비스 사용 설정 | 중간 | 통과 |
4.1.1.4 | 감사 데몬의 감사 백로그 한도 연장 | 낮음 | 통과 |
4.1.2.1 | auditd 최대 로그 파일 크기 구성 | 중간 | 통과 |
4.1.2.2 | 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd admin_space_left 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd mail_acct 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd space_left 작업 구성 | 중간 | 통과 |
4.1.3.1 | auditd에서 시스템 관리자 작업을 수집하는지 확인 | 중간 | 통과 |
4.1.3.2 | 권한이 있는 실행 파일이 실행될 때 이벤트 기록 | 중간 | 통과 |
4.1.3.3 | 유지보수 활동 수행 시도 기록 | 중간 | 통과 |
4.1.3.4 | localtime 파일 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | adjtimex를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | clock_settime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | settimeofday를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | stime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.5 | 시스템의 네트워크 환경을 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - creat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - ftruncate | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - open | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - openat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - truncate | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr | 중간 | 통과 |
4.1.3.10 | auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) | 중간 | 통과 |
4.1.3.11 | 프로세스 및 세션 시작 정보 변경 시도 기록 | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat | 중간 | 통과 |
4.1.3.14 | 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.15 | chcon 실행 시도 기록 | 중간 | 통과 |
4.1.3.16 | setfacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.17 | chacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.18 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod | 중간 | 통과 |
4.1.3.20 | auditd 구성을 변경할 수 없도록 설정 | 중간 | 통과 |
4.1.4.1 | 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. | 중간 | 통과 |
4.1.4.2 | 루트에서 시스템 감사 로그를 소유해야 함 | 중간 | 통과 |
4.1.4.3 | 시스템 감사 로그는 루트가 소유한 그룹이어야 함 | 중간 | 통과 |
4.1.4.4 | 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. | 중간 | 통과 |
4.1.4.5 | /etc/audit/auditd.conf에 대한 권한 확인 | 중간 | 통과 |
4.1.4.5 | /etc/audit/rules.d/*.rules에 대한 권한 확인 | 중간 | 통과 |
4.1.4.6 | 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.7 | 그룹 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.8 | 감사 도구의 모드가 0755 이하인지 확인 | 중간 | 통과 |
4.1.4.9 | 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.1.4.10 | 그룹 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.2.1.1.1 | systemd-journal-remote 패키지 설치 | 중간 | 통과 |
4.2.1.1.4 | systemd-journal-remote 소켓 사용 중지 | 중간 | 통과 |
4.2.1.2 | systemd-journald 서비스 사용 설정 | 중간 | 통과 |
4.2.1.3 | journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 | 중간 | 통과 |
4.2.1.4 | journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 | 중간 | 통과 |
4.2.2.1 | rsyslog가 설치되어 있는지 확인 | 중간 | 통과 |
4.2.2.2 | rsyslog 서비스 사용 설정 | 중간 | 통과 |
4.2.2.4 | rsyslog 기본 파일 권한이 구성되었는지 확인 | 중간 | 통과 |
4.2.2.7 | 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 | 중간 | 통과 |
5.1.1 | cron 서비스 사용 설정 | 중간 | 통과 |
5.1.2 | Crontab을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.2 | crontab에서 소유자 확인 | 중간 | 통과 |
5.1.2 | crontab에 대한 권한 확인 | 중간 | 통과 |
5.1.3 | cron.hourly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에서 소유자 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에 대한 권한 확인 | 중간 | 통과 |
5.1.4 | cron.daily를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.4 | cron.daily에서 소유자 확인 | 중간 | 통과 |
5.1.4 | cron.daily에 대한 권한 확인 | 중간 | 통과 |
5.1.5 | cron.weekly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에서 소유자 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에 대한 권한 확인 | 중간 | 통과 |
5.1.6 | cron.monthly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에서 소유자 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에 대한 권한 확인 | 중간 | 통과 |
5.1.7 | cron.d를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.7 | cron.d에서 소유자 확인 | 중간 | 통과 |
5.1.7 | cron.d에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.deny가 존재하지 않는지 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.1.9 | /etc/at.deny가 없는지 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일 소유자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.2 | SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.3 | SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.5 | LogLevel을 INFO로 설정 | 낮음 | 통과 |
5.2.6 | PAM 사용 설정 | 중간 | 통과 |
5.2.7 | SSH 루트 로그인 사용 중지 | 중간 | 통과 |
5.2.8 | 호스트 기반 인증 사용 중지 | 중간 | 통과 |
5.2.9 | 비밀번호가 없는 SSH 액세스 사용 중지 | 높음 | 통과 |
5.2.10 | SSH 환경 옵션 허용 안함 | 중간 | 통과 |
5.2.11 | .rhosts 파일의 SSH 지원 사용 중지 | 중간 | 통과 |
5.2.12 | X11 전달 사용 중지 | 중간 | 통과 |
5.2.13 | 강력한 암호화만 사용 | 중간 | 통과 |
5.2.14 | 강력한 MAC만 사용 | 중간 | 통과 |
5.2.15 | 강력한 키 교환 알고리즘만 사용 | 중간 | 통과 |
5.2.16 | SSH TCP 전달 사용 중지 | 중간 | 통과 |
5.2.17 | SSH 경고 배너 사용 설정 | 중간 | 통과 |
5.2.18 | SSH 인증 시도 한도 설정 | 중간 | 통과 |
5.2.19 | SSH MaxStartups가 구성되었는지 확인 | 중간 | 통과 |
5.2.20 | SSH MaxSessions 한도 설정 | 중간 | 통과 |
5.2.21 | SSH LoginGraceTime이 구성되었는지 확인 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 최대 활성 수 설정 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 활성 간격 설정 | 중간 | 통과 |
5.3.1 | sudo 패키지 설치 | 중간 | 통과 |
5.3.2 | 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty | 중간 | 통과 |
5.3.3 | Sudo 로그 파일이 있는지 확인 - sudo logfile | 낮음 | 통과 |
5.3.5 | 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate | 중간 | 통과 |
5.3.6 | sudo 명령어를 사용할 때 재인증 필요 | 중간 | 통과 |
5.3.7 | su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 | 중간 | 통과 |
5.3.7 | pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 | 중간 | 통과 |
5.4.1 | pam_pwquality 패키지 설치 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 후 계정 잠금 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 횟수 집계 간격 설정 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 시 잠금 시간 설정 | 중간 | 통과 |
5.4.3 | 비밀번호 재사용 제한 | 중간 | 통과 |
5.4.4 | /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 | 중간 | 통과 |
5.5.1.1 | 기존 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.1 | 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.2 | 기존 비밀번호 최대 사용 기간 설정 | 중간 | 통과 |
5.5.1.3 | 비밀번호 경고 기간 설정 | 중간 | 통과 |
5.5.1.4 | 비활성 후 계정 만료 설정 | 중간 | 통과 |
5.5.1.5 | 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 | 중간 | 통과 |
5.5.2 | 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 | 중간 | 통과 |
5.5.3 | 루트에 기본 GID 0이 있는지 확인 | 높음 | 통과 |
5.5.4 | 기본 Bash Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 | 중간 | 통과 |
5.5.4 | /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.5 | 대화형 세션 만료 시간 설정 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.1 | passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.5 | shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.10 | 사용자가 모든 파일을 소유하고 있는지 확인 | 중간 | 통과 |
6.2.1 | 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 | 중간 | 통과 |
6.2.2 | 비밀번호가 비어 있거나 null인 계정이 없는지 확인 | 높음 | 통과 |
6.2.3 | /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 | 낮음 | 통과 |
6.2.4 | 섀도 그룹이 비어 있는지 확인 | 중간 | 통과 |
6.2.5 | 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 | 중간 | 통과 |
6.2.6 | 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 | 중간 | 통과 |
6.2.7 | 시스템의 모든 계정에 고유한 이름이 있는지 확인 | 중간 | 통과 |
6.2.8 | 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 | 중간 | 통과 |
6.2.9 | 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 | 알 수 없음 | 통과 |
6.2.9 | 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 | 중간 | 통과 |
6.2.10 | 루트에 UID 0만 있는지 확인 | 높음 | 통과 |
6.2.11 | 모든 대화형 사용자 홈 디렉터리가 있어야 함 | 중간 | 통과 |
6.2.12 | 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.12 | 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 | 중간 | 통과 |
6.2.13 | 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 | 중간 | 통과 |
6.2.14 | netrc 파일이 없는지 확인 | 중간 | 통과 |
6.2.15 | .forward 파일이 없는지 확인 | 중간 | 통과 |
6.2.16 | Rsh 신뢰 파일 삭제 | 높음 | 통과 |
6.2.17 | 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.17 | 기본 사용자가 사용자 초기화 파일을 소유해야 함 | 중간 | 통과 |
6.2.17 | 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 | 중간 | 통과 |
관련이 없는 추천
다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.2 | /tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.2.3 | /tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.2.4 | /tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.3.2 | /var에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.3.3 | /var에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.2 | /var/tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.4.3 | /var/tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.4 | /var/tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.2 | /var/log에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.3 | /var/log에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.5.4 | /var/log에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.6.2 | /var/log/audit에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.6.3 | /var/log/audit에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.6.4 | /var/log/audit에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.7.2 | /home에 nodev 옵션 추가 | 알 수 없음 | 해당 없음 |
1.1.7.3 | /home에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.10 | GNOME3 DConf 사용자 프로필 구성 | 높음 | 해당 없음 |
1.4.1 | UEFI 부팅 로더 비밀번호 설정 | 높음 | 해당 없음 |
1.8.1 | GDM 패키지 그룹 삭제 | 중간 | 해당 없음 |
1.8.10 | GDM에서 XDMCP 사용 중지 | 높음 | 해당 없음 |
1.8.4 | 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 | 중간 | 해당 없음 |
1.8.5 | 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 열기 사용 중지 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 사용 중지 | 중간 | 해당 없음 |
1.8.8 | GNOME3 자동 마운트 실행 사용 중지 | 낮음 | 해당 없음 |
2.1.4.1 | ntpd에 대한 서버 제한사항 구성 | 중간 | 해당 없음 |
2.1.4.3 | ntpd가 ntp 사용자로 실행되도록 구성 | 중간 | 해당 없음 |
2.1.4.4 | NTP 데몬 사용 설정 | 높음 | 해당 없음 |
2.2.15 | Postfix 네트워크 리슨 사용 중지 | 중간 | 해당 없음 |
3.5.1.3 | ufw 사용 설정 확인 | 중간 | 해당 없음 |
3.5.1.4 | UFW 루프백 트래픽 설정 | 중간 | 해당 없음 |
3.5.1.6 | 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.1.7 | ufw 기본 거부 방화벽 정책 확인 | 중간 | 해당 없음 |
3.5.3.2.1 | 수신 패킷에 대한 기본 iptables 정책 설정 | 중간 | 해당 없음 |
3.5.3.2.2 | 루프백 트래픽 구성 설정 | 중간 | 해당 없음 |
3.5.3.2.4 | 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.3.3.1 | 수신 패킷에 대한 기본 ip6tables 정책 설정 | 중간 | 해당 없음 |
3.5.3.3.4 | 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
1.31
버전
이 섹션에서는 다음 버전에 대해 설명합니다.
Google Distributed Cloud 버전 | Ubuntu 버전 | CIS Ubuntu 벤치마크 버전 | CIS 수준 |
---|---|---|---|
1.31 | 22.04 LTS | v1.0.0 | 수준 2 서버 |
실패한 추천
다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.1 | /tmp가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.3.1 | /var이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.4.1 | /var/tmp가 별도의 파티션에 있는지 확인 | 중간 | 실패 |
1.1.5.1 | /var/log가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.6.1 | var/log/audit가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.7.1 | /home이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.4.1 | grub2에서 부팅 로더 비밀번호 설정 | 높음 | 실패 |
1.4.3 | 단일 사용자 모드에 필요한 인증 확인 | 중간 | 실패 |
2.3.6 | rpcbind 패키지 제거 | 낮음 | 실패 |
3.2.2 | IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 실패 |
3.3.7 | 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 | 중간 | 실패 |
3.3.7 | 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 | 중간 | 실패 |
3.5.2.8 | nftables 기본 거부 방화벽 정책 확인 | 중간 | 실패 |
3.5.2.10 | nftables 규칙이 영구적인지 확인 | 중간 | 실패 |
4.2.3 | 로그 파일의 권한 확인 | 중간 | 실패 |
5.2.4 | 사용자의 SSH 액세스 제한 | 알 수 없음 | 실패 |
5.3.4 | 권한 에스컬레이션을 위해 사용자가 재인증 - sudo | 중간 | 실패 |
5.5.1.2 | 비밀번호 최대 기간 설정 | 중간 | 실패 |
통과한 추천
다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.1.1 | cramfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.2 | squashfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.3 | udf 마운트 사용 중지 | 낮음 | 통과 |
1.1.8.1 | /dev/shm에 nodev 옵션 추가 | 중간 | 통과 |
1.1.8.2 | /dev/shm에 noexec 옵션 추가 | 중간 | 통과 |
1.1.8.3 | /dev/shm에 nosuid 옵션 추가 | 중간 | 통과 |
1.1.9 | 자동 마운트 도구 사용 중지 | 중간 | 통과 |
1.1.10 | USB 저장소 드라이버의 Modprobe 로드 사용 중지 | 중간 | 통과 |
1.4.2 | /boot/grub/grub.cfg 권한 확인 | 중간 | 통과 |
1.5.1 | 가상 주소 공간의 무작위 레이아웃 사용 설정 | 중간 | 통과 |
1.5.2 | 패키지 'prelink'가 설치되어서는 안 됨 | 중간 | 통과 |
1.5.3 | Apport 서비스 사용 중지 | 알 수 없음 | 통과 |
1.5.4 | 모든 사용자의 코어 덤프 사용 중지 | 중간 | 통과 |
1.5.4 | SUID 프로그램의 코어 덤프 사용 중지 | 중간 | 통과 |
1.6.1.1 | AppArmor가 설치되어 있는지 확인 | 중간 | 통과 |
1.6.1.2 | 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 | 중간 | 통과 |
1.6.1.4 | 모든 AppArmor 프로필 적용 | 중간 | 통과 |
1.7.1 | 오늘의 시스템 메시지 배너 수정 | 중간 | 통과 |
1.7.2 | 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.3 | 원격 연결을 위한 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
2.1.1.1 | systemd_timesyncd 서비스 설치 | 높음 | 통과 |
2.1.3.2 | systemd_timesyncd 서비스 사용 설정 | 높음 | 통과 |
2.2.1 | X Windows 패키지 그룹 삭제 | 중간 | 통과 |
2.2.2 | Avahi 서버 소프트웨어 사용 중지 | 중간 | 통과 |
2.2.2 | avahi 서버 패키지 제거 | 중간 | 통과 |
2.2.3 | CUPS 서비스 사용 중지 | 알 수 없음 | 통과 |
2.2.3 | CUPS 패키지 제거 | 알 수 없음 | 통과 |
2.2.4 | DHCP 서버 패키지 제거 | 중간 | 통과 |
2.2.5 | openldap-servers 패키지 제거 | 낮음 | 통과 |
2.2.6 | nfs-kernel-server 패키지 제거 | 낮음 | 통과 |
2.2.7 | bind 패키지 제거 | 낮음 | 통과 |
2.2.8 | vsftpd 패키지 제거 | 높음 | 통과 |
2.2.9 | httpd 패키지 제거 | 알 수 없음 | 통과 |
2.2.9 | nginx 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | cyrus-imapd 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | dovecot 패키지 제거 | 알 수 없음 | 통과 |
2.2.11 | Samba 패키지 제거 | 알 수 없음 | 통과 |
2.2.12 | squid 패키지 제거 | 알 수 없음 | 통과 |
2.2.13 | net-snmp 패키지 제거 | 알 수 없음 | 통과 |
2.2.14 | nis 패키지 제거 | 낮음 | 통과 |
2.2.15 | 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 | 중간 | 통과 |
2.2.16 | rsync 패키지 제거 | 중간 | 통과 |
2.3.2 | rsh 패키지 제거 | 알 수 없음 | 통과 |
2.3.3 | talk 패키지 제거 | 중간 | 통과 |
2.3.4 | telnet 클라이언트 삭제 | 낮음 | 통과 |
2.3.5 | LDAP 클라이언트가 설치되지 않았는지 확인 | 낮음 | 통과 |
3.1.2 | 무선 네트워크 인터페이스 비활성화 | 중간 | 통과 |
3.2.1 | 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.1 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.2 | IPv6 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.3 | 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 | 중간 | 통과 |
3.3.3 | 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.4 | 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.4 | 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.5 | IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.6 | IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.8 | 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.9 | 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 | 중간 | 통과 |
3.3.9 | 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 | 중간 | 통과 |
3.4.1 | DCCP 지원 사용 중지 | 중간 | 통과 |
3.4.2 | SCTP 지원 사용 중지 | 중간 | 통과 |
3.4.3 | RDS 지원 사용 중지 | 낮음 | 통과 |
3.4.4 | TIPC 지원 사용 중지 | 낮음 | 통과 |
3.5.1.2 | iptables-persistent 패키지 삭제 | 중간 | 통과 |
3.5.2.1 | nftables 패키지 설치 | 중간 | 통과 |
3.5.2.4 | Nftables의 테이블이 있는지 확인 | 중간 | 통과 |
3.5.2.5 | Nftables의 기본 체인이 있는지 확인 | 중간 | 통과 |
3.5.2.9 | nftables 서비스가 사용 설정되어 있는지 확인 | 중간 | 통과 |
3.5.3.1.1 | iptables 패키지 설치 | 중간 | 통과 |
3.5.3.1.3 | ufw 패키지 삭제 | 중간 | 통과 |
4.1.1.1 | 감사 하위 시스템이 설치되어 있는지 확인 | 중간 | 통과 |
4.1.1.2 | auditd 서비스 사용 설정 | 중간 | 통과 |
4.1.1.4 | 감사 데몬의 감사 백로그 한도 연장 | 낮음 | 통과 |
4.1.2.1 | auditd 최대 로그 파일 크기 구성 | 중간 | 통과 |
4.1.2.2 | 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd admin_space_left 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd mail_acct 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd space_left 작업 구성 | 중간 | 통과 |
4.1.3.1 | auditd에서 시스템 관리자 작업을 수집하는지 확인 | 중간 | 통과 |
4.1.3.2 | 권한이 있는 실행 파일이 실행될 때 이벤트 기록 | 중간 | 통과 |
4.1.3.3 | 유지보수 활동 수행 시도 기록 | 중간 | 통과 |
4.1.3.4 | localtime 파일 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | adjtimex를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | clock_settime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | settimeofday를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | stime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.5 | 시스템의 네트워크 환경을 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - creat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - ftruncate | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - open | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - openat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - truncate | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr | 중간 | 통과 |
4.1.3.10 | auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) | 중간 | 통과 |
4.1.3.11 | 프로세스 및 세션 시작 정보 변경 시도 기록 | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat | 중간 | 통과 |
4.1.3.14 | 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.15 | chcon 실행 시도 기록 | 중간 | 통과 |
4.1.3.16 | setfacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.17 | chacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.18 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod | 중간 | 통과 |
4.1.3.20 | auditd 구성을 변경할 수 없도록 설정 | 중간 | 통과 |
4.1.4.1 | 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. | 중간 | 통과 |
4.1.4.2 | 루트에서 시스템 감사 로그를 소유해야 함 | 중간 | 통과 |
4.1.4.3 | 시스템 감사 로그는 루트가 소유한 그룹이어야 함 | 중간 | 통과 |
4.1.4.4 | 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. | 중간 | 통과 |
4.1.4.5 | /etc/audit/auditd.conf에 대한 권한 확인 | 중간 | 통과 |
4.1.4.5 | /etc/audit/rules.d/*.rules에 대한 권한 확인 | 중간 | 통과 |
4.1.4.6 | 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.7 | 그룹 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.8 | 감사 도구의 모드가 0755 이하인지 확인 | 중간 | 통과 |
4.1.4.9 | 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.1.4.10 | 그룹 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.2.1.1.1 | systemd-journal-remote 패키지 설치 | 중간 | 통과 |
4.2.1.1.4 | systemd-journal-remote 소켓 사용 중지 | 중간 | 통과 |
4.2.1.2 | systemd-journald 서비스 사용 설정 | 중간 | 통과 |
4.2.1.3 | journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 | 중간 | 통과 |
4.2.1.4 | journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 | 중간 | 통과 |
4.2.2.1 | rsyslog가 설치되어 있는지 확인 | 중간 | 통과 |
4.2.2.2 | rsyslog 서비스 사용 설정 | 중간 | 통과 |
4.2.2.4 | rsyslog 기본 파일 권한이 구성되었는지 확인 | 중간 | 통과 |
4.2.2.7 | 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 | 중간 | 통과 |
5.1.1 | cron 서비스 사용 설정 | 중간 | 통과 |
5.1.2 | Crontab을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.2 | crontab에서 소유자 확인 | 중간 | 통과 |
5.1.2 | crontab에 대한 권한 확인 | 중간 | 통과 |
5.1.3 | cron.hourly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에서 소유자 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에 대한 권한 확인 | 중간 | 통과 |
5.1.4 | cron.daily를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.4 | cron.daily에서 소유자 확인 | 중간 | 통과 |
5.1.4 | cron.daily에 대한 권한 확인 | 중간 | 통과 |
5.1.5 | cron.weekly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에서 소유자 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에 대한 권한 확인 | 중간 | 통과 |
5.1.6 | cron.monthly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에서 소유자 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에 대한 권한 확인 | 중간 | 통과 |
5.1.7 | cron.d를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.7 | cron.d에서 소유자 확인 | 중간 | 통과 |
5.1.7 | cron.d에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.deny가 존재하지 않는지 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.1.9 | /etc/at.deny가 없는지 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일 소유자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.2 | SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.3 | SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.5 | LogLevel을 INFO로 설정 | 낮음 | 통과 |
5.2.6 | PAM 사용 설정 | 중간 | 통과 |
5.2.7 | SSH 루트 로그인 사용 중지 | 중간 | 통과 |
5.2.8 | 호스트 기반 인증 사용 중지 | 중간 | 통과 |
5.2.9 | 비밀번호가 없는 SSH 액세스 사용 중지 | 높음 | 통과 |
5.2.10 | SSH 환경 옵션 허용 안함 | 중간 | 통과 |
5.2.11 | .rhosts 파일의 SSH 지원 사용 중지 | 중간 | 통과 |
5.2.12 | X11 전달 사용 중지 | 중간 | 통과 |
5.2.13 | 강력한 암호화만 사용 | 중간 | 통과 |
5.2.14 | 강력한 MAC만 사용 | 중간 | 통과 |
5.2.15 | 강력한 키 교환 알고리즘만 사용 | 중간 | 통과 |
5.2.16 | SSH TCP 전달 사용 중지 | 중간 | 통과 |
5.2.17 | SSH 경고 배너 사용 설정 | 중간 | 통과 |
5.2.18 | SSH 인증 시도 한도 설정 | 중간 | 통과 |
5.2.19 | SSH MaxStartups가 구성되었는지 확인 | 중간 | 통과 |
5.2.20 | SSH MaxSessions 한도 설정 | 중간 | 통과 |
5.2.21 | SSH LoginGraceTime이 구성되었는지 확인 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 최대 활성 수 설정 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 활성 간격 설정 | 중간 | 통과 |
5.3.1 | sudo 패키지 설치 | 중간 | 통과 |
5.3.2 | 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty | 중간 | 통과 |
5.3.3 | Sudo 로그 파일이 있는지 확인 - sudo logfile | 낮음 | 통과 |
5.3.5 | 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate | 중간 | 통과 |
5.3.6 | sudo 명령어를 사용할 때 재인증 필요 | 중간 | 통과 |
5.3.7 | su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 | 중간 | 통과 |
5.3.7 | pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 | 중간 | 통과 |
5.4.1 | pam_pwquality 패키지 설치 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 후 계정 잠금 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 횟수 집계 간격 설정 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 시 잠금 시간 설정 | 중간 | 통과 |
5.4.3 | 비밀번호 재사용 제한 | 중간 | 통과 |
5.4.4 | /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 | 중간 | 통과 |
5.5.1.1 | 기존 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.1 | 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.2 | 기존 비밀번호 최대 사용 기간 설정 | 중간 | 통과 |
5.5.1.3 | 비밀번호 경고 기간 설정 | 중간 | 통과 |
5.5.1.4 | 비활성 후 계정 만료 설정 | 중간 | 통과 |
5.5.1.5 | 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 | 중간 | 통과 |
5.5.2 | 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 | 중간 | 통과 |
5.5.3 | 루트에 기본 GID 0이 있는지 확인 | 높음 | 통과 |
5.5.4 | 기본 Bash Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 | 중간 | 통과 |
5.5.4 | /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.5 | 대화형 세션 만료 시간 설정 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.1 | passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.5 | shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.10 | 사용자가 모든 파일을 소유하고 있는지 확인 | 중간 | 통과 |
6.2.1 | 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 | 중간 | 통과 |
6.2.2 | 비밀번호가 비어 있거나 null인 계정이 없는지 확인 | 높음 | 통과 |
6.2.3 | /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 | 낮음 | 통과 |
6.2.4 | 섀도 그룹이 비어 있는지 확인 | 중간 | 통과 |
6.2.5 | 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 | 중간 | 통과 |
6.2.6 | 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 | 중간 | 통과 |
6.2.7 | 시스템의 모든 계정에 고유한 이름이 있는지 확인 | 중간 | 통과 |
6.2.8 | 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 | 중간 | 통과 |
6.2.9 | 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 | 알 수 없음 | 통과 |
6.2.9 | 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 | 중간 | 통과 |
6.2.10 | 루트에 UID 0만 있는지 확인 | 높음 | 통과 |
6.2.11 | 모든 대화형 사용자 홈 디렉터리가 있어야 함 | 중간 | 통과 |
6.2.12 | 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.12 | 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 | 중간 | 통과 |
6.2.13 | 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 | 중간 | 통과 |
6.2.14 | netrc 파일이 없는지 확인 | 중간 | 통과 |
6.2.15 | .forward 파일이 없는지 확인 | 중간 | 통과 |
6.2.16 | Rsh 신뢰 파일 삭제 | 높음 | 통과 |
6.2.17 | 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.17 | 기본 사용자가 사용자 초기화 파일을 소유해야 함 | 중간 | 통과 |
6.2.17 | 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 | 중간 | 통과 |
관련이 없는 추천
다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.2 | /tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.2.3 | /tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.2.4 | /tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.3.2 | /var에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.3.3 | /var에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.2 | /var/tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.4.3 | /var/tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.4 | /var/tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.2 | /var/log에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.3 | /var/log에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.5.4 | /var/log에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.6.2 | /var/log/audit에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.6.3 | /var/log/audit에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.6.4 | /var/log/audit에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.7.2 | /home에 nodev 옵션 추가 | 알 수 없음 | 해당 없음 |
1.1.7.3 | /home에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.4.1 | UEFI 부팅 로더 비밀번호 설정 | 높음 | 해당 없음 |
1.8.1 | GDM 패키지 그룹 삭제 | 중간 | 해당 없음 |
1.8.4 | 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 | 중간 | 해당 없음 |
1.8.5 | 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 열기 사용 중지 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 사용 중지 | 중간 | 해당 없음 |
1.8.8 | GNOME3 자동 마운트 실행 사용 중지 | 낮음 | 해당 없음 |
1.8.10 | GDM에서 XDMCP 사용 중지 | 높음 | 해당 없음 |
1.10 | GNOME3 DConf 사용자 프로필 구성 | 높음 | 해당 없음 |
2.1.4.1 | ntpd에 대한 서버 제한사항 구성 | 중간 | 해당 없음 |
2.1.4.3 | ntpd가 ntp 사용자로 실행되도록 구성 | 중간 | 해당 없음 |
2.1.4.4 | NTP 데몬 사용 설정 | 높음 | 해당 없음 |
2.2.15 | Postfix 네트워크 리슨 사용 중지 | 중간 | 해당 없음 |
3.5.1.3 | ufw 사용 설정 확인 | 중간 | 해당 없음 |
3.5.1.4 | UFW 루프백 트래픽 설정 | 중간 | 해당 없음 |
3.5.1.6 | 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.1.7 | ufw 기본 거부 방화벽 정책 확인 | 중간 | 해당 없음 |
3.5.3.2.1 | 수신 패킷에 대한 기본 iptables 정책 설정 | 중간 | 해당 없음 |
3.5.3.2.2 | 루프백 트래픽 구성 설정 | 중간 | 해당 없음 |
3.5.3.2.4 | 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.3.3.1 | 수신 패킷에 대한 기본 ip6tables 정책 설정 | 중간 | 해당 없음 |
3.5.3.3.4 | 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
1.30
버전
이 섹션에서는 다음 버전에 대해 설명합니다.
Google Distributed Cloud 버전 | Ubuntu 버전 | CIS Ubuntu 벤치마크 버전 | CIS 수준 |
---|---|---|---|
1.30 | 22.04 LTS | v1.0.0 | 수준 2 서버 |
실패한 추천
다음 표에는 벤치마크 추천에서 벗어나는 Google Distributed Cloud에 대한 추천이 나와 있습니다. 이러한 추천은 클러스터 노드와 관리자 워크스테이션에 적용됩니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.1 | /tmp가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.3.1 | /var이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.4.1 | /var/tmp가 별도의 파티션에 있는지 확인 | 중간 | 실패 |
1.1.5.1 | /var/log가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.6.1 | var/log/audit가 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.1.7.1 | /home이 별도의 파티션에 있는지 확인 | 낮음 | 실패 |
1.4.1 | grub2에서 부팅 로더 비밀번호 설정 | 높음 | 실패 |
1.4.3 | 단일 사용자 모드에 필요한 인증 확인 | 중간 | 실패 |
2.3.6 | rpcbind 패키지 제거 | 낮음 | 실패 |
3.2.2 | IPv4 인터페이스에서 IP 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 실패 |
3.3.7 | 기본적으로 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 파라미터 사용 설정 | 중간 | 실패 |
3.3.7 | 모든 IPv4 인터페이스에서 역방향 경로 필터링을 사용하도록 커널 매개변수 사용 설정 | 중간 | 실패 |
3.5.2.8 | nftables 기본 거부 방화벽 정책 확인 | 중간 | 실패 |
3.5.2.10 | nftables 규칙이 영구적인지 확인 | 중간 | 실패 |
4.2.3 | 로그 파일의 권한 확인 | 중간 | 실패 |
5.2.4 | 사용자의 SSH 액세스 제한 | 알 수 없음 | 실패 |
5.3.4 | 권한 에스컬레이션을 위해 사용자가 재인증 - sudo | 중간 | 실패 |
5.5.1.2 | 비밀번호 최대 기간 설정 | 중간 | 실패 |
통과한 추천
다음 표에는 벤치마크 추천을 준수하는 Google Distributed Cloud에 대한 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.1.1 | cramfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.2 | squashfs 마운트 사용 중지 | 낮음 | 통과 |
1.1.1.3 | udf 마운트 사용 중지 | 낮음 | 통과 |
1.1.8.1 | /dev/shm에 nodev 옵션 추가 | 중간 | 통과 |
1.1.8.2 | /dev/shm에 noexec 옵션 추가 | 중간 | 통과 |
1.1.8.3 | /dev/shm에 nosuid 옵션 추가 | 중간 | 통과 |
1.1.9 | 자동 마운트 도구 사용 중지 | 중간 | 통과 |
1.1.10 | USB 저장소 드라이버의 Modprobe 로드 사용 중지 | 중간 | 통과 |
1.4.2 | /boot/grub/grub.cfg 권한 확인 | 중간 | 통과 |
1.5.1 | 가상 주소 공간의 무작위 레이아웃 사용 설정 | 중간 | 통과 |
1.5.2 | 패키지 'prelink'가 설치되어서는 안 됨 | 중간 | 통과 |
1.5.3 | Apport 서비스 사용 중지 | 알 수 없음 | 통과 |
1.5.4 | 모든 사용자의 코어 덤프 사용 중지 | 중간 | 통과 |
1.5.4 | SUID 프로그램의 코어 덤프 사용 중지 | 중간 | 통과 |
1.6.1.1 | AppArmor가 설치되어 있는지 확인 | 중간 | 통과 |
1.6.1.2 | 부트로더 구성에서 AppArmor가 사용 설정되어 있는지 확인 | 중간 | 통과 |
1.6.1.4 | 모든 AppArmor 프로필 적용 | 중간 | 통과 |
1.7.1 | 오늘의 시스템 메시지 배너 수정 | 중간 | 통과 |
1.7.2 | 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.3 | 원격 연결을 위한 시스템 로그인 배너 수정 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너 소유권 확인 | 중간 | 통과 |
1.7.4 | 오늘의 메시지 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.5 | 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 그룹 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너 소유권 확인 | 중간 | 통과 |
1.7.6 | 원격 연결을 위한 시스템 로그인 배너에 대한 권한 확인 | 중간 | 통과 |
2.1.1.1 | systemd_timesyncd 서비스 설치 | 높음 | 통과 |
2.1.3.2 | systemd_timesyncd 서비스 사용 설정 | 높음 | 통과 |
2.2.1 | X Windows 패키지 그룹 삭제 | 중간 | 통과 |
2.2.2 | Avahi 서버 소프트웨어 사용 중지 | 중간 | 통과 |
2.2.2 | avahi 서버 패키지 제거 | 중간 | 통과 |
2.2.3 | CUPS 서비스 사용 중지 | 알 수 없음 | 통과 |
2.2.3 | CUPS 패키지 제거 | 알 수 없음 | 통과 |
2.2.4 | DHCP 서버 패키지 제거 | 중간 | 통과 |
2.2.5 | openldap-servers 패키지 제거 | 낮음 | 통과 |
2.2.6 | nfs-kernel-server 패키지 제거 | 낮음 | 통과 |
2.2.7 | bind 패키지 제거 | 낮음 | 통과 |
2.2.8 | vsftpd 패키지 제거 | 높음 | 통과 |
2.2.9 | httpd 패키지 제거 | 알 수 없음 | 통과 |
2.2.9 | nginx 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | cyrus-imapd 패키지 제거 | 알 수 없음 | 통과 |
2.2.10 | dovecot 패키지 제거 | 알 수 없음 | 통과 |
2.2.11 | Samba 패키지 제거 | 알 수 없음 | 통과 |
2.2.12 | squid 패키지 제거 | 알 수 없음 | 통과 |
2.2.13 | net-snmp 패키지 제거 | 알 수 없음 | 통과 |
2.2.14 | nis 패키지 제거 | 낮음 | 통과 |
2.2.15 | 메일 전송 에이전트가 루프백이 아닌 주소를 리슨하고 있지 않은지 확인 | 중간 | 통과 |
2.2.16 | rsync 패키지 제거 | 중간 | 통과 |
2.3.2 | rsh 패키지 제거 | 알 수 없음 | 통과 |
2.3.3 | talk 패키지 제거 | 중간 | 통과 |
2.3.4 | telnet 클라이언트 삭제 | 낮음 | 통과 |
2.3.5 | LDAP 클라이언트가 설치되지 않았는지 확인 | 낮음 | 통과 |
3.1.2 | 무선 네트워크 인터페이스 비활성화 | 중간 | 통과 |
3.2.1 | 기본적으로 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.1 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 전송에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.2.2 | IPv6 전달에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 모든 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv4 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.1 | 기본적으로 IPv6 인터페이스에서 소스 라우팅 패킷 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv4 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | 모든 IPv6 인터페이스에서 ICMP 리디렉션 수락 사용 중지 | 중간 | 통과 |
3.3.2 | IPv4 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.2 | IPv6 인터페이스에서 기본적으로 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.3 | 기본적으로 보안 리디렉션 허용에 사용되는 커널 파라미터 구성 | 중간 | 통과 |
3.3.3 | 모든 IPv4 인터페이스에서 보안 ICMP 리디렉션 수락에 사용되는 커널 파라미터 사용 중지 | 중간 | 통과 |
3.3.4 | 모든 IPv4 인터페이스에서 Martian 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.4 | 기본적으로 모든 IPv4 인터페이스에서 Martain 패킷을 로깅하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.5 | IPv4 인터페이스에서 ICMP 브로드캐스트 에코 요청을 무시하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.6 | IPv4 인터페이스에서 Bogus ICMP 오류 응답을 무시하도록 커널 파라미터 사용 설정 | 알 수 없음 | 통과 |
3.3.8 | 네트워크 인터페이스에서 TCP Syncookies를 사용하도록 커널 파라미터 사용 설정 | 중간 | 통과 |
3.3.9 | 모든 IPv6 인터페이스에서 라우터 광고 수락 구성 | 중간 | 통과 |
3.3.9 | 기본적으로 모든 IPv6 인터페이스에서 라우터 광고 수락 사용 중지 | 중간 | 통과 |
3.4.1 | DCCP 지원 사용 중지 | 중간 | 통과 |
3.4.2 | SCTP 지원 사용 중지 | 중간 | 통과 |
3.4.3 | RDS 지원 사용 중지 | 낮음 | 통과 |
3.4.4 | TIPC 지원 사용 중지 | 낮음 | 통과 |
3.5.1.2 | iptables-persistent 패키지 삭제 | 중간 | 통과 |
3.5.2.1 | nftables 패키지 설치 | 중간 | 통과 |
3.5.2.4 | Nftables의 테이블이 있는지 확인 | 중간 | 통과 |
3.5.2.5 | Nftables의 기본 체인이 있는지 확인 | 중간 | 통과 |
3.5.2.9 | nftables 서비스가 사용 설정되어 있는지 확인 | 중간 | 통과 |
3.5.3.1.1 | iptables 패키지 설치 | 중간 | 통과 |
3.5.3.1.3 | ufw 패키지 삭제 | 중간 | 통과 |
4.1.1.1 | 감사 하위 시스템이 설치되어 있는지 확인 | 중간 | 통과 |
4.1.1.2 | auditd 서비스 사용 설정 | 중간 | 통과 |
4.1.1.4 | 감사 데몬의 감사 백로그 한도 연장 | 낮음 | 통과 |
4.1.2.1 | auditd 최대 로그 파일 크기 구성 | 중간 | 통과 |
4.1.2.2 | 최대 로그 크기에 도달할 때 auditd max_log_file_action 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd admin_space_left 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd mail_acct 작업 구성 | 중간 | 통과 |
4.1.2.3 | 디스크 공간 부족 시 auditd space_left 작업 구성 | 중간 | 통과 |
4.1.3.1 | auditd에서 시스템 관리자 작업을 수집하는지 확인 | 중간 | 통과 |
4.1.3.2 | 권한이 있는 실행 파일이 실행될 때 이벤트 기록 | 중간 | 통과 |
4.1.3.3 | 유지보수 활동 수행 시도 기록 | 중간 | 통과 |
4.1.3.4 | localtime 파일 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | adjtimex를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | clock_settime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | settimeofday를 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.4 | stime을 통한 시간 변경 시도 기록 | 중간 | 통과 |
4.1.3.5 | 시스템의 네트워크 환경을 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - su | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudo | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - sudoedit | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - umount | 중간 | 통과 |
4.1.3.6 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - unix_chkpwd | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - creat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - ftruncate | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - open | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - openat | 중간 | 통과 |
4.1.3.7 | 파일 액세스 시도 실패 기록 - truncate | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/group | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/gshadow | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/passwd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/security/opasswd | 중간 | 통과 |
4.1.3.8 | 사용자/그룹 정보를 수정하는 이벤트 기록 - /etc/shadow | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - chown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmod | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchmodat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fchownat | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - fsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lchown | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lremovexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - lsetxattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - removexattr | 중간 | 통과 |
4.1.3.9 | 시스템의 재량적 액세스 제어를 수정하는 이벤트 기록 - setxattr | 중간 | 통과 |
4.1.3.10 | auditd에서 미디어로 내보내기에 대한 정보를 수집하는지 확인(성공) | 중간 | 통과 |
4.1.3.11 | 프로세스 및 세션 시작 정보 변경 시도 기록 | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - faillog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - lastlog | 중간 | 통과 |
4.1.3.12 | 로그인 및 로그아웃 이벤트 변경 시도 기록 - tallylog | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - rename | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - renameat | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlink | 중간 | 통과 |
4.1.3.13 | auditd에서 사용자별 파일 삭제 이벤트를 수집하는지 확인 - unlinkat | 중간 | 통과 |
4.1.3.14 | 시스템의 강제 액세스 제어를 수정하는 이벤트 기록 | 중간 | 통과 |
4.1.3.15 | chcon 실행 시도 기록 | 중간 | 통과 |
4.1.3.16 | setfacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.17 | chacl 실행 시도 기록 | 중간 | 통과 |
4.1.3.18 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - usermod | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 로드에 대한 정보를 수집하는지 확인 - init_module | 중간 | 통과 |
4.1.3.19 | auditd에서 커널 모듈 언로드에 대한 정보를 수집하는지 확인 - delete_module | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - insmod | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - modprobe | 중간 | 통과 |
4.1.3.19 | auditd에서 권한이 있는 명령어 사용에 대한 정보를 수집하는지 확인 - rmmod | 중간 | 통과 |
4.1.3.20 | auditd 구성을 변경할 수 없도록 설정 | 중간 | 통과 |
4.1.4.1 | 시스템 감사 로그의 허용 모드는 0640 이하여야 합니다. | 중간 | 통과 |
4.1.4.2 | 루트에서 시스템 감사 로그를 소유해야 함 | 중간 | 통과 |
4.1.4.3 | 시스템 감사 로그는 루트가 소유한 그룹이어야 함 | 중간 | 통과 |
4.1.4.4 | 시스템 감사 로그의 허용 모드는 0750 이하여야 합니다. | 중간 | 통과 |
4.1.4.5 | /etc/audit/auditd.conf에 대한 권한 확인 | 중간 | 통과 |
4.1.4.5 | /etc/audit/rules.d/*.rules에 대한 권한 확인 | 중간 | 통과 |
4.1.4.6 | 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.7 | 그룹 루트에서 감사 구성 파일을 소유해야 함 | 중간 | 통과 |
4.1.4.8 | 감사 도구의 모드가 0755 이하인지 확인 | 중간 | 통과 |
4.1.4.9 | 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.1.4.10 | 그룹 루트에서 감사 도구를 소유하고 있는지 확인 | 중간 | 통과 |
4.2.1.1.1 | systemd-journal-remote 패키지 설치 | 중간 | 통과 |
4.2.1.1.4 | systemd-journal-remote 소켓 사용 중지 | 중간 | 통과 |
4.2.1.2 | systemd-journald 서비스 사용 설정 | 중간 | 통과 |
4.2.1.3 | journald에서 대용량 로그 파일을 압축하도록 구성되었는지 확인 | 중간 | 통과 |
4.2.1.4 | journald에서 로그 파일을 영구 디스크에 쓰도록 구성되었는지 확인 | 중간 | 통과 |
4.2.2.1 | rsyslog가 설치되어 있는지 확인 | 중간 | 통과 |
4.2.2.2 | rsyslog 서비스 사용 설정 | 중간 | 통과 |
4.2.2.4 | rsyslog 기본 파일 권한이 구성되었는지 확인 | 중간 | 통과 |
4.2.2.7 | 로그 서버로 작동하지 않는 한 rsyslog에서 원격 메시지를 수락하지 않는지 확인 | 중간 | 통과 |
5.1.1 | cron 서비스 사용 설정 | 중간 | 통과 |
5.1.2 | Crontab을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.2 | crontab에서 소유자 확인 | 중간 | 통과 |
5.1.2 | crontab에 대한 권한 확인 | 중간 | 통과 |
5.1.3 | cron.hourly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에서 소유자 확인 | 중간 | 통과 |
5.1.3 | cron.hourly에 대한 권한 확인 | 중간 | 통과 |
5.1.4 | cron.daily를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.4 | cron.daily에서 소유자 확인 | 중간 | 통과 |
5.1.4 | cron.daily에 대한 권한 확인 | 중간 | 통과 |
5.1.5 | cron.weekly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에서 소유자 확인 | 중간 | 통과 |
5.1.5 | cron.weekly에 대한 권한 확인 | 중간 | 통과 |
5.1.6 | cron.monthly를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에서 소유자 확인 | 중간 | 통과 |
5.1.6 | cron.monthly에 대한 권한 확인 | 중간 | 통과 |
5.1.7 | cron.d를 소유하는 그룹 확인 | 중간 | 통과 |
5.1.7 | cron.d에서 소유자 확인 | 중간 | 통과 |
5.1.7 | cron.d에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.deny가 존재하지 않는지 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.8 | /etc/cron.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.1.9 | /etc/at.deny가 없는지 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일에 대한 권한 확인 | 중간 | 통과 |
5.1.9 | /etc/at.allow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일을 소유하는 그룹 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일 소유자 확인 | 중간 | 통과 |
5.2.1 | SSH 서버 구성 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.2 | SSH 서버 비공개 *_key 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.3 | SSH 서버 공개 *.pub 키 파일에 대한 권한 확인 | 중간 | 통과 |
5.2.5 | LogLevel을 INFO로 설정 | 낮음 | 통과 |
5.2.6 | PAM 사용 설정 | 중간 | 통과 |
5.2.7 | SSH 루트 로그인 사용 중지 | 중간 | 통과 |
5.2.8 | 호스트 기반 인증 사용 중지 | 중간 | 통과 |
5.2.9 | 비밀번호가 없는 SSH 액세스 사용 중지 | 높음 | 통과 |
5.2.10 | SSH 환경 옵션 허용 안함 | 중간 | 통과 |
5.2.11 | .rhosts 파일의 SSH 지원 사용 중지 | 중간 | 통과 |
5.2.12 | X11 전달 사용 중지 | 중간 | 통과 |
5.2.13 | 강력한 암호화만 사용 | 중간 | 통과 |
5.2.14 | 강력한 MAC만 사용 | 중간 | 통과 |
5.2.15 | 강력한 키 교환 알고리즘만 사용 | 중간 | 통과 |
5.2.16 | SSH TCP 전달 사용 중지 | 중간 | 통과 |
5.2.17 | SSH 경고 배너 사용 설정 | 중간 | 통과 |
5.2.18 | SSH 인증 시도 한도 설정 | 중간 | 통과 |
5.2.19 | SSH MaxStartups가 구성되었는지 확인 | 중간 | 통과 |
5.2.20 | SSH MaxSessions 한도 설정 | 중간 | 통과 |
5.2.21 | SSH LoginGraceTime이 구성되었는지 확인 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 최대 활성 수 설정 | 중간 | 통과 |
5.2.22 | SSH 클라이언트 활성 간격 설정 | 중간 | 통과 |
5.3.1 | sudo 패키지 설치 | 중간 | 통과 |
5.3.2 | 실제 tty에 로그인한 사용자만 Sudo를 실행할 수 있는지 확인 - sudo use_pty | 중간 | 통과 |
5.3.3 | Sudo 로그 파일이 있는지 확인 - sudo logfile | 낮음 | 통과 |
5.3.5 | 권한 에스컬레이션을 위해 사용자가 재인증하는지 확인 - sudo !authenticate | 중간 | 통과 |
5.3.6 | sudo 명령어를 사용할 때 재인증 필요 | 중간 | 통과 |
5.3.7 | su 인증을 위해 그룹 파라미터와 함께 pam_wheel 사용 적용 | 중간 | 통과 |
5.3.7 | pam_wheel 모듈에서 사용하는 그룹이 시스템에 있고 비어 있는지 확인 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 세션당 인증 재시도 프롬프트 허용 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 카테고리 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 문자 자릿수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 길이 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 소문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 특수 문자 수 | 중간 | 통과 |
5.4.1 | PAM에서 비밀번호 요구사항을 적용하는지 확인 - 최소 대문자 수 | 중간 | 통과 |
5.4.1 | pam_pwquality 패키지 설치 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 후 계정 잠금 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 횟수 집계 간격 설정 | 중간 | 통과 |
5.4.2 | 비밀번호 입력 실패 시 잠금 시간 설정 | 중간 | 통과 |
5.4.3 | 비밀번호 재사용 제한 | 중간 | 통과 |
5.4.4 | /etc/login.defs에서 비밀번호 해싱 알고리즘 설정 | 중간 | 통과 |
5.5.1.1 | 기존 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.1 | 비밀번호 최소 사용 기간 설정 | 중간 | 통과 |
5.5.1.2 | 기존 비밀번호 최대 사용 기간 설정 | 중간 | 통과 |
5.5.1.3 | 비밀번호 경고 기간 설정 | 중간 | 통과 |
5.5.1.4 | 비활성 후 계정 만료 설정 | 중간 | 통과 |
5.5.1.5 | 모든 사용자의 마지막 비밀번호 변경 날짜가 과거인지 확인 | 중간 | 통과 |
5.5.2 | 시스템 계정이 로그인 시 셸을 실행하지 않는지 확인 | 중간 | 통과 |
5.5.3 | 루트에 기본 GID 0이 있는지 확인 | 높음 | 통과 |
5.5.4 | 기본 Bash Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | 대화형 사용자의 기본 Umask가 올바르게 설정되어 있는지 확인 | 중간 | 통과 |
5.5.4 | /etc/profile에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.4 | login.defs에서 기본 Umask가 올바르게 설정되었는지 확인 | 중간 | 통과 |
5.5.5 | 대화형 세션 만료 시간 설정 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.1 | passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.1 | passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.2 | 백업 passwd 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.3 | 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.4 | 백업 그룹 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.5 | shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.5 | shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.6 | 백업 shadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.7 | gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 그룹 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일에 대한 권한 확인 | 중간 | 통과 |
6.1.8 | 백업 gshadow 파일을 소유하는 사용자 확인 | 중간 | 통과 |
6.1.10 | 사용자가 모든 파일을 소유하고 있는지 확인 | 중간 | 통과 |
6.2.1 | 모든 계정 비밀번호 해시가 섀도 처리되었는지 확인 | 중간 | 통과 |
6.2.2 | 비밀번호가 비어 있거나 null인 계정이 없는지 확인 | 높음 | 통과 |
6.2.3 | /etc/passwd에 참조된 모든 GID는 /etc/group에 정의되어야 함 | 낮음 | 통과 |
6.2.4 | 섀도 그룹이 비어 있는지 확인 | 중간 | 통과 |
6.2.5 | 시스템의 모든 계정에 고유한 사용자 ID가 있는지 확인 | 중간 | 통과 |
6.2.6 | 시스템의 모든 그룹에 고유한 그룹 ID가 있는지 확인 | 중간 | 통과 |
6.2.7 | 시스템의 모든 계정에 고유한 이름이 있는지 확인 | 중간 | 통과 |
6.2.8 | 시스템의 모든 그룹에 고유한 그룹 이름이 있는지 확인 | 중간 | 통과 |
6.2.9 | 루트 경로에 상대 경로나 null 디렉터리가 포함되지 않았는지 확인 | 알 수 없음 | 통과 |
6.2.9 | 루트 경로에 누구나 쓰기 또는 그룹이 쓸 수 있는 디렉터리가 포함되지 않았는지 확인 | 중간 | 통과 |
6.2.10 | 루트에 UID 0만 있는지 확인 | 높음 | 통과 |
6.2.11 | 모든 대화형 사용자 홈 디렉터리가 있어야 함 | 중간 | 통과 |
6.2.12 | 모든 대화형 사용자 홈 디렉터리는 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.12 | 기본 사용자가 모든 대화형 사용자 홈 디렉터리를 소유해야 함 | 중간 | 통과 |
6.2.13 | 모든 대화형 사용자 홈 디렉터리의 허용 모드 0750 이하여야 함 | 중간 | 통과 |
6.2.14 | netrc 파일이 없는지 확인 | 중간 | 통과 |
6.2.15 | .forward 파일이 없는지 확인 | 중간 | 통과 |
6.2.16 | Rsh 신뢰 파일 삭제 | 높음 | 통과 |
6.2.17 | 사용자 초기화 파일은 기본 그룹에서 소유하는 그룹이어야 함 | 중간 | 통과 |
6.2.17 | 기본 사용자가 사용자 초기화 파일을 소유해야 함 | 중간 | 통과 |
6.2.17 | 사용자 초기화 파일은 누구나 쓸 수 있는 프로그램을 실행해서는 안 됨 | 중간 | 통과 |
관련이 없는 추천
다음 표에는 Google Distributed Cloud에 적용되지 않는 추천이 나와 있습니다.
# | 권장사항 | 심각도 | 상태 |
---|---|---|---|
1.1.2.2 | /tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.2.3 | /tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.2.4 | /tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.3.2 | /var에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.3.3 | /var에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.2 | /var/tmp에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.4.3 | /var/tmp에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.4.4 | /var/tmp에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.2 | /var/log에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.5.3 | /var/log에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.5.4 | /var/log에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.6.2 | /var/log/audit에 noexec 옵션 추가 | 중간 | 해당 없음 |
1.1.6.3 | /var/log/audit에 nodev 옵션 추가 | 중간 | 해당 없음 |
1.1.6.4 | /var/log/audit에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.1.7.2 | /home에 nodev 옵션 추가 | 알 수 없음 | 해당 없음 |
1.1.7.3 | /home에 nosuid 옵션 추가 | 중간 | 해당 없음 |
1.4.1 | UEFI 부팅 로더 비밀번호 설정 | 높음 | 해당 없음 |
1.8.1 | GDM 패키지 그룹 삭제 | 중간 | 해당 없음 |
1.8.4 | 유휴 기간 후 GNOME3 화면 보호기 잠금 사용 설정 | 중간 | 해당 없음 |
1.8.5 | 활성화 기간 후 GNOME3 화면 보호기 잠금 지연 설정 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 열기 사용 중지 | 중간 | 해당 없음 |
1.8.6 | GNOME3 자동 마운트 사용 중지 | 중간 | 해당 없음 |
1.8.8 | GNOME3 자동 마운트 실행 사용 중지 | 낮음 | 해당 없음 |
1.8.10 | GDM에서 XDMCP 사용 중지 | 높음 | 해당 없음 |
1.10 | GNOME3 DConf 사용자 프로필 구성 | 높음 | 해당 없음 |
2.1.4.1 | ntpd에 대한 서버 제한사항 구성 | 중간 | 해당 없음 |
2.1.4.3 | ntpd가 ntp 사용자로 실행되도록 구성 | 중간 | 해당 없음 |
2.1.4.4 | NTP 데몬 사용 설정 | 높음 | 해당 없음 |
2.2.15 | Postfix 네트워크 리슨 사용 중지 | 중간 | 해당 없음 |
3.5.1.3 | ufw 사용 설정 확인 | 중간 | 해당 없음 |
3.5.1.4 | UFW 루프백 트래픽 설정 | 중간 | 해당 없음 |
3.5.1.6 | 모든 열린 포트에 ufw 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.1.7 | ufw 기본 거부 방화벽 정책 확인 | 중간 | 해당 없음 |
3.5.3.2.1 | 수신 패킷에 대한 기본 iptables 정책 설정 | 중간 | 해당 없음 |
3.5.3.2.2 | 루프백 트래픽 구성 설정 | 중간 | 해당 없음 |
3.5.3.2.4 | 모든 열린 포트에 iptables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
3.5.3.3.1 | 수신 패킷에 대한 기본 ip6tables 정책 설정 | 중간 | 해당 없음 |
3.5.3.3.4 | 모든 열린 포트에 ip6tables 방화벽 규칙이 있는지 확인 | 중간 | 해당 없음 |
AIDE 크론 작업 구성
AIDE는 CIS L1 서버 벤치마크 1.4 Filesystem Integrity Checking
규정 준수를 확인하는 파일 무결성 확인 도구입니다. Google Distributed Cloud에서 AIDE 프로세스가 높은 리소스 사용 문제를 일으켰습니다.
리소스 문제를 방지하기 위해 노드의 AIDE 프로세스는 기본적으로 중지되어 있습니다. 이는 CIS L1 서버 벤치마크 1.4.2를 준수하는 데 영향을 미칩니다. Ensure
filesystem integrity is regularly checked.
AIDE 크론 작업을 실행하도록 선택하려면 다음 단계를 완료하여 AIDE를 다시 사용 설정합니다.
DaemonSet를 만듭니다.
DaemonSet의 매니페스트는 다음과 같습니다.
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /
이전 매니페스트에서:
AIDE 크론 작업은 nodeSelector
cloud.google.com/gke-nodepool: pool-1
에 지정된 대로pool-1
노드 풀에서만 실행됩니다.nodeSelector
필드에서 풀을 지정하여 AIDE 프로세스가 원하는 만큼의 노드 풀에서 실행되도록 구성할 수 있습니다. 여러 노드 풀에서 동일한 크론 작업 일정을 실행하려면nodeSelector
필드를 삭제합니다. 하지만 호스트 리소스 정체를 방지하려면 별도의 일정을 유지하는 것이 좋습니다.크론 작업은
minute=30;hour=5
구성에 지정된 대로 오전 5시 30분에 매일 실행되도록 예약되어 있습니다. 필요에 따라 AIDE 크론 작업에 다른 일정을 구성할 수 있습니다.
enable-aide.yaml
파일에 매니페스트를 복사하고 DaemonSet를 만듭니다.kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
여기서 USER_CLUSTER_KUBECONFIG는 사용자 클러스터의 kubeconfig 파일 경로입니다.
보안 콘텐츠 자동화 프로토콜(SCAP) 평가 사용
설치를 직접 검사하여 Ubuntu Linux CIS 벤치마크 Level 2 규정 준수를 평가하는 것이 좋습니다. 클러스터와 관리자 워크스테이션을 스캔하는 데 사용할 수 있는 다양한 도구가 있습니다. 다음 단계를 수행하여 OpenSCAP 오픈소스 도구 모음을 설치하고 실행하여 Level 2 보안 평가를 수행할 수 있습니다.
다음 스크립트를
cis-benchmark.sh
파일에 복사합니다.#!/bin/bash set -x REPORTS_DIR="$1" mkdir -p "${REPORTS_DIR}" echo "Start CIS L2 benchmark evaluation..." apt update apt install libopenscap8 sudo oscap xccdf eval \ --profile cis_level2_server_customized \ --tailoring-file /etc/cloud/usg/tailored-cis-level2-server-anthos-wmware.xml \ --results "${REPORTS_DIR}"/cis-results.xml \ --report "${REPORTS_DIR}"/cis-report.html \ --verbose INFO \ --verbose-log-file "${REPORTS_DIR}/cis-output-verbose.log" \ /etc/cloud/usg/ssg-ubuntu2204-ds-1.2.xml > "${REPORTS_DIR}"/cis-output.log 2>&1 chmod -R 755 "${REPORTS_DIR}/.." echo "Done CIS L2 benchmark evaluation"
스크립트를 실행 가능하게 만듭니다.
chmod +x cis-benchmark.sh
스크립트를 실행합니다.
./cis-benchmark.sh REPORTS_DIR
REPORTS_DIR
를 생성된 평가 보고서를 저장할 기존 디렉터리의 경로로 바꿉니다.스크립트가 성공적으로 완료되면
REPORTS_DIR
디렉터리에 생성된cis-report.html
파일이 포함됩니다.