これは一体・・
セキュリティのことを勉強していたら、CIS Benchmarksというものを知り、面白かったので、
書き殴りで書きました。簡易なメモです。
Center for Internet Security(CIS)とは
CIS Benchmarksは、米国のCIS(Center For Internet Security)が発行しているシステムを安全に構成するための構成基準およびベストプラクティスが記載されたガイドライン。
実行(診断)してみた
スクリプト実行、保存パス指定
- Evaluating Checklist Rules
01/243: Ensure mounting of cramfs filesystems is disabled........................................... Fail
02/243: Ensure mounting of freevxfs filesystems is disabled......................................... Fail
03/243: Ensure mounting of jffs2 filesystems is disabled............................................ Fail
04/243: Ensure mounting of hfs filesystems is disabled.............................................. Fail
05/243: Ensure mounting of hfsplus filesystems is disabled.......................................... Fail
06/243: Ensure mounting of squashfs filesystems is disabled......................................... Not Selected
07/243: Ensure mounting of udf filesystems is disabled.............................................. Fail
08/243: Ensure /tmp is configured................................................................... Fail
09/243: Ensure nodev option set on /tmp partition................................................... Fail
10/243: Ensure nosuid option set on /tmp partition.................................................. Pass
11/243: Ensure noexec option set on /tmp partition.................................................. Pass
12/243: Ensure /dev/shm is configured............................................................... Pass
~中略~
診断が終わるとこんな結果が出ます
~中略~
243/243: Ensure shadow group is empty............................................................... Pass
-----------------------------------------------------------------------------
***** Assessment Results Summary *****
-----------------------------------------------------------------------------
Total # of Results: 243
Total Scored Results: 185
Total Pass: 97
Total Fail: 88
Total Error: 0
Total Unknown: 0
Total Not Applicable: 0
Total Not Checked: 18
Total Not Selected: 38
Total Informational: 2
-----------------------------------------------------------------------------
***** Assessment Scoring *****
-----------------------------------------------------------------------------
Score Earned: 97.0
Maximum Available: 185.0
Total: 52.43%
-----------------------------------------------------------------------------
診断結果のレポート
こんな感じで、PassとFailについて、つらつらと書かれている。
RootでSSHしないように設定できているか?
というのもわかるらしい(❗️)(オモロイ)
5.3.10 Ensure SSH root login is disabled
1.7.2 Ensure local login warning banner is configured properly
5.1.2 Ensure permissions on /etc/crontab are configured
ただ、これはあくまでベンチマークなので、絶対的な指標として過信しない方がいいなと思いました。
それぞれの環境によって、適切な設定があると思うので・・
なので参考程度に、とか、第三者機関からの視点、この設定の記載はどんな意味があるのだろうか、というのを把握するにはいいツールだなと思いました。
特に、新入社員に向けて、この設定はこんな意味があるんやで、とか、研修の座学暗記テストを、実技形式に変えて、実際に〜を設定せよ、をこのベンチマークで一緒に確認していく、みたいな活用方法があるんじゃないかと思いました。
Reference links
・https://cloud.google.com/kubernetes-engine/docs/concepts/cis-benchmarks?hl=ja
・https://nxmnpg.lemoda.net/ja/1/sh
・https://www.cisecurity.org/cis-benchmarks/#kubernetes
・https://www.cisecurity.org/cybersecurity-tools/cis-cat-pro/cis-benchmarks-supported-by-cis-cat-pro/
・https://nekotosec.com/lets-use-cis/
参考にさせていただきました。ありがとうございます。