问题标签 [hardening]

让我们从一些上下文开始：

我正在学习 CKS 并阅读 CIS_Kubernetes_Benchmark_v1.6.0.pdf 并且有一个令人困惑的部分：

关于检查是否/etc/kubernetes/manifests/kube-apiserver.yaml有一个条目的部分 - --enable-admission-plugins=NodeRestriction，... 是有道理的，烦人的部分是
"Follow the Kubernetes documentation and configure NodeRestriction plug-in on kubelets."
很难用谷歌搜索，而 Kubernetes 官方文档并不清楚如何做到这一点。

所以现在有了上下文，问题是：

在 kube-apiserver 上设置 - 后--enable-admission-plugins=NodeRestriction，如何验证 kubelet 上的 NodeRestriction 插件是否配置正确？

我正在使用Mindpoint Group的 Ansible 角色来创建一个 CIS 强化的 Azure VM 映像。这就是我正在做的事情：

1. azuser使用admin_username 和id_az.pubPublic Key创建一个 Ubuntu 18.04 VM [ubuntusoe]
2. 安装 Ansible 并下载 Ansible 角色并将其安装在 VM 上。
3. 跑sudo waagent -deprovision+user
4. 使用 AZ CLI，解除分配和泛化 VM
5. 使用AZ CLI，创建一个镜像版本，上面的镜像为Source，我们称之为ubuntu1804/0.0.1

图像创建良好。我可以使用上面的图像创建一个虚拟机，但有两个问题：

1. 无论我在使用 customimage 创建 VM 时提供什么用户名，我都只能使用创建源 VM 时使用的用户名和 SSH 密钥登录（即，azuser和id_az）
2. 主机名始终ubuntusoe是源图像的主机名。

我尝试禁用permitUserEnvironment设置为 nosshd_config但结果相同的步骤。

你能帮我解决这些问题吗？TIA

在 openscap 中运行修复脚本后反转特定规则的最佳实践是什么？我已使用此命令生成强化脚本。

运行 my-remediation-script.sh 后，我需要禁用特定规则。有什么办法吗？提前致谢。

我正在尝试遵循 Docker 容器的 CIS 安全基准，并且如果我使用的是 docker-compose 版本 3，则无法执行诸如“--pids-limit启动容器时使用具有适当值的标志”之类的检查。

所以我正在考虑运行一个脚本，docker container update --pids-limit 1234 <container-name>但遇到了以自动方式从 docker-compose 获取容器名称的问题，以便它为 yml 上列出的每个服务运行。

仅在使用强化运行时进行签名后，我的 Mac Adob​​e AIR 应用程序出现问题。如果我不强化运行时，它可以正常工作。该程序可能会启动，但最终会产生内存故障。

linux安全和root访问问题....

我正在为基于底层的区块链设置一个运行验证器节点的服务器。我试图加强我的服务器的安全性。我为所有端口设置了 ufw，但节点运行所需的端口除外。我用 ed25519 设置了 2FA、SSH，然后我花时间试图弄清楚，如果出于某种疯狂的原因有人进入......我怎么能阻止某人使用systemctl或poweroff拥有sudo特权。目标是最大化正常运行时间并始终与其他节点保持同步。

无论如何，我开始阻止bash允许 SSH 的用户帐户的命令并阻止 SSH 到root. 然后我又屏蔽了一些命令并想，如果有人能找到解决办法怎么办？所以，我刚开始阻止太多东西哈哈。即使我sudo为用户禁用并阻止了一些用户仍然可以使用的命令和systemctl节点。最终，我找到了关于如何只允许用户使用一些命令的指南。stopservice

更新：我没有正确地从 sudo 组中删除用户。之后他们仍然可以使用systemctl，但系统随后允许systemctl弹出输入 root 用户密码以进行身份​​验证。无论如何，我只是想要一些简单而安全的东西......

我最终删除了用户的所有命令并将 su 命令符号链接并将其重命名为只有我知道的随机命令。用户执行的所有其他命令都以

-rbash: /usr/lib/command-not-found: restricted: cannot specify /' in command names

我拿走了bash history和bash autocomplete/tab completion。现在你唯一能做的就是猜测命令，这将使你达到你仍然必须通过我的root密码的地步。当只有一个可用命令以这种方式被屏蔽时，黑客有没有办法扫描可用命令？

无论如何，我之所以这么说，是因为我一直听说最佳安全实践涉及“禁用根”。有时我认为它只是禁用 root SSH，我已经这样做了，但有时我读它就像禁用 root 帐户一样。有人说禁用密码并尝试将其与sudo特权分开，以便更容易追踪到个人用户。

就我而言，我需要以某种方式保留 root 访问权限，但我基本上将所有内容都隐藏在 root 用户中。所以，如果有人可以访问root，那就结束了。但是，它在 2FA、SSH 和一个未知命令之后，您可以尝试输入密码来访问 root。

我是否在考虑这个“为安全而禁用根”全错了，我应该完全禁用它，还是到目前为止我所做的一切有意义？

我希望能够在我的 WS 2019 上修改某些本地策略。我尝试使用 ansible 中的 win_security_policy 模块，但它无法识别“本地策略”部分。根据ansible 文档，本地策略是一个部分，我的键和值可能有问题，但我得到的错误如下：

这是我要启用的策略：设备： 阻止用户安装位于计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项下的打印机驱动器

我真的不确定我的处理方式，我没有找到任何关于本节的示例。任何帮助表示赞赏！

我正在尝试找到任何可直接用于根据 CIS 基准审核 Windows 2019 系统的开源工具或脚本，并最终获得每个项目的通过/失败状态的综合结果？

感谢您是否可以分享今天可用的任何此类工具或分享一些关于如何自动化审计工具的见解？

我正在尝试为我的工作制作服务器强化脚本，其中一部分是在将连接到 SIEM 管理器的服务器上安装 wazuh-agent。

该脚本有 2 个部分，其中一个添加了 repo 条目 - 工作正常。

第二部分安装 wazuh 代理（代码如下）。当我在 shell 上运行命令时，它们工作正常，但是使用脚本它给了我以下错误。

以下是错误[运行错误]