أساس أمان Linux
تنبيه
تشير هذه المقالة إلى CentOS، وهو توزيع Linux هو حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.
توضح هذه المقالة تفاصيل إعدادات التكوين لضيوف Linux حسب الاقتضاء في التطبيقات التالية:
- [معاينة]: يجب أن تفي أجهزة Linux بمتطلبات تعريف تكوين ضيف نهج Azure الأساسي لأمان حساب Azure
- يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك في Microsoft Defender for Cloud
للمزيد من المعلومات، راجع تكوين ضيف Azure Policy ونظرة عامة على Azure Security Benchmark (V2).
عناصر تحكم أمان الشبكة
| الاسم (CCEID) |
التفاصيل | فحص المعالجة |
|---|---|---|
| التأكد من ضبط خيار nodev على قسم /home. (1.1.4) |
الوصف: يمكن للمخترق إدخال جهاز خاص (على سبيل المثال، جهاز كتل أو أحرف) على قسم /home. | قم بتحرير الملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات الإدخال) لقسم /home. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| التأكد من ضبط خيار nodev على قسم /tmp. (1.1.5) |
الوصف: يمكن للمخترق إدخال جهاز خاص (على سبيل المثال، جهاز كتل أو أحرف) على قسم /tmp. | قم بتحرير الملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات الإدخال) لقسم /tmp. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| التأكد من ضبط خيار nodev على قسم /var/tmp. (1.1.6) |
الوصف: يمكن للمخترق إدخال جهاز خاص (على سبيل المثال، جهاز كتل أو أحرف) على قسم /var/tmp. | قم بتحرير الملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات الإدخال) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| التأكد من ضبط خيار nosuid على قسم /tmp. (1.1.7) |
الوصف: نظرا لأن نظام ملفات /tmp مخصص فقط لتخزين الملفات المؤقتة، قم بتعيين هذا الخيار للتأكد من أن المستخدمين لا يمكنهم إنشاء ملفات setuid في /var/tmp. | قم بتحرير الملف /etc/fstab وأضف nosuid إلى الحقل الرابع (خيارات الإدخال) لقسم /tmp. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| التأكد من ضبط خيار nosuid على قسم /var/tmp. (1.1.8) |
الوصف: نظرا لأن نظام ملفات /var/tmp مخصص فقط لتخزين الملفات المؤقتة، قم بتعيين هذا الخيار للتأكد من أن المستخدمين لا يمكنهم إنشاء ملفات setuid في /var/tmp. | قم بتحرير الملف /etc/fstab وأضف nosuid إلى الحقل الرابع (خيارات الإدخال) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| التأكد من ضبط خيار noexec على قسم /var/tmp. (1.1.9) |
الوصف: نظرا لأن /var/tmp نظام الملفات مخصص فقط لتخزين الملفات المؤقت، قم بتعيين هذا الخيار للتأكد من أن المستخدمين لا يمكنهم تشغيل الثنائيات القابلة للتنفيذ من /var/tmp . |
قم بتحرير الملف /etc/fstab وأضف noexec إلى الحقل الرابع (خيارات الإدخال) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| تأكد من تعيين خيار noexec على قسم /dev/shm. (1.1.16) |
الوصف: يؤدي ضبط هذا الخيار على نظام ملفات إلى منع المستخدمين من تنفيذ البرامج من الذاكرة المشتركة. يمنع عنصر التحكم هذا المستخدمين من إدخال برامج ضارة محتملة على النظام. | قم بتحرير الملف /etc/fstab وأضف noexec إلى الحقل الرابع (خيارات الإدخال) لقسم /dev/shm. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| تعطيل عملية الإدخال التلقائي (1.1.21) |
الوصف: مع تمكين الإدخال التلقائي، يمكن لأي شخص لديه حق الوصول الفعلي إرفاق محرك أقراص أو قرص USB وإتاحة محتوياته في النظام حتى إذا لم يكن لديه أذونات لإدخاله بنفسه. | قم بتعطيل خدمة autofs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs» |
| التأكد من تعطيل إدخال أجهزة تخزين USB (1.1.21.1) |
الوصف: تؤدي إزالة دعم أجهزة تخزين USB إلى تقليل الأجزاء المعرضة للهجوم المحلي على الخادم. | قم بتحرير أو إنشاء ملف في الدليل /etc/modprobe.d/ الذي ينتهي بـ .conf وأضف install usb-storage /bin/true ثم قم بإلغاء تحميل وحدة تخزين USB أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تأكد من تقييد عمليات تفريغ الذاكرة الأساسية. (1.5.1) |
الوصف: يؤدي إعداد حد ثابت على عمليات تفريغ الذاكرة الأساسية إلى منع المستخدمين من تجاوز المتغيّر المبدئي. إذا كانت عمليات تفريغ أعطال الذاكرة الأساسية مطلوبة، ففكر في إعداد حدود لمجموعات المستخدمين (راجع limits.conf(5) ). بالإضافة إلى ذلك، سيؤدي تعين المتغيّر fs.suid_dumpable إلى 0 إلى منع برامج setuid من تفريغ الذاكرة الأساسية. |
قم بإضافة hard core 0 إلى /etc/security/limits.conf أو ملف في دليل limits.d وتعيين fs.suid_dumpable = 0 في sysctl أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps» |
| التأكد من تعطيل عملية الارتباط المسبق. (1.5.4) |
الوصف: يمكن أن تتداخل ميزة الارتباط المسبق مع تشغيل AIDE، لأنها تغير الثنائيات. يمكن أن يزيد الارتباط المسبق أيضًا من ثغرة النظام إذا كان المستخدم الضار قادرا على اختراق مكتبة شائعة مثل libc. | قم بإلغاء تثبيت prelink باستخدام مدير الحزمة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink» |
| تأكد من تكوين الأذونات على /etc/motd. (1.7.1.4) |
الوصف: إذا /etc/motd لم يكن للملف الملكية الصحيحة، فقد يتم تعديله من قبل مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بضبط المالك والمجموعة لـ /etc/motd على الجذر وضبط الأذونات على 0644 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions» |
| تأكد من تكوين الأذونات على /etc/issue. (1.7.1.5) |
الوصف: إذا /etc/issue لم يكن للملف الملكية الصحيحة، فقد يتم تعديله من قبل مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بضبط المالك والمجموعة لـ /etc/issue على الجذر وضبط الأذونات على 0644 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions» |
| تأكد من تكوين الأذونات على /etc/issue.net. (1.7.1.6) |
الوصف: إذا /etc/issue.net لم يكن للملف الملكية الصحيحة، فقد يتم تعديله من قبل مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بضبط المالك والمجموعة لـ /etc/issue.net على الجذر وضبط الأذونات على 0644 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions» |
| يجب تمكين خيار nodev لجميع الوسائط القابلة للإزالة. (2.1) |
الوصف: يمكن للمخترق إدخال جهاز خاص (على سبيل المثال، جهاز كتل أو أحرف) عبر الوسائط القابلة للإزالة. | أضف خيار nodev إلى الحقل الرابع (خيارات الإدخال) في /etc/fstab. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| يجب تمكين خيار noexec لجميع الوسائط القابلة للإزالة. (2.2) |
الوصف: يمكن للمخترق تحميل ملف تنفيذي عبر الوسائط القابلة للإزالة | أضف خيار noexec إلى الحقل الرابع (خيارات الإدخال) في /etc/fstab. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| يجب تمكين خيار nosuid لجميع الوسائط القابلة للإزالة. (2.3) |
الوصف: يمكن للمخترق تحميل الملفات التي تعمل بسياق أمان غير مقيد عبر الوسائط القابلة للإزالة | أضف خيار nosuid إلى الحقل الرابع (خيارات الإدخال) في /etc/fstab. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| تأكد من عدم تثبيت عميل talk. (2.3.3) |
الوصف: يعرض البرنامج خطراً أمنياً لأنه يستخدم بروتوكولات غير مشفرة للاتصال. | قم بإلغاء تثبيت talk أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| تأكد من تكوين الأذونات على /etc/hosts.allow. (3.4.4) |
الوصف: من الضروري التأكد من حماية /etc/hosts.allow الملف من الوصول غير المصرح به للكتابة. على الرغم من أنه محمي بشكل افتراضي، يمكن تغيير أذونات الملف إما عن غير قصد أو من خلال إجراءات ضارة. |
قم بضبط المالك والمجموعة لـ /etc/hosts.allow على الجذر وضبط الأذونات على 0644 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions» |
| تأكد من تكوين الأذونات على /etc/hosts.deny. (3.4.5) |
الوصف: من الضروري التأكد من حماية /etc/hosts.deny الملف من الوصول غير المصرح به للكتابة. على الرغم من أنه محمي بشكل افتراضي، يمكن تغيير أذونات الملف إما عن غير قصد أو من خلال إجراءات ضارة. |
قم بضبط المالك والمجموعة لـ /etc/hosts.deny على الجذر وضبط الأذونات على 0644 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions» |
| تأكد من نهج الرفض الافتراضي لجدار الحماية (3.6.2) |
الوصف: مع نهج قبول افتراضي، سيقبل جدار الحماية أي حزمة غير مرفوضة بشكل صريح. من الأسهل الحفاظ على جدار حماية آمن باستخدام نهج DROP افتراضي مما هو عليه مع نهج السماح الافتراضي. | ضبط النهج الافتراضي لنسبة استخدام الشبكة الواردة والصادرة والموجهة إلى deny أو reject باستخدام برامج الجدار الحماية حسب الاقتضاء |
| يجب تمكين خيار nodev/nosuid لجميع عمليات إدخال NFS. (5) |
الوصف: يمكن للمخترق تحميل الملفات التي تعمل مع سياق أمان مرتفع أو أجهزة خاصة عبر نظام الملفات البعيد | أضف خيار nosuid وnodev إلى الحقل الرابع (خيارات الإدخال) في /etc/fstab. لمزيد من المعلومات، راجع صفحات الدليل fstab(5). |
| تأكد من تكوين الأذونات على /etc/ssh/sshd_config. (5.2.1) |
الوصف: يجب حماية الملف /etc/ssh/sshd_config من التغييرات غير المصرح بها من قِبل المستخدمين غير المتميزين. |
قم بضبط المالك والمجموعة لـ /etc/ssh/sshd_config على الجذر وضبط الأذونات على 0600 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions» |
| تأكد من تكوين متطلبات إنشاء كلمة المرور. (5.3.1) |
الوصف: كلمات المرور القوية تحمي الأنظمة من اختراقها من خلال أساليب القوة الغاشمة. | تعيين أزواج المفتاح/القيمة التالية في PAM المناسبة لتوزيعك: minlen=14، minclass = 4، dcredit = -1، ucredit = -1، ocredit = -1، lcredit = -1، أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| تأكد من تكوين تأمين محاولات كلمة المرور الفاشلة. (5.3.2) |
الوصف: تأمين معرفات المستخدم بعد n محاولات تسجيل الدخول المتتالية غير الناجحة يخفف من هجمات القوة الغاشمة لكلمات المرور ضد أنظمتك. |
بالنسبة إلى Ubuntu وD debian، أضف وحدات pam_tally وpam_deny النمطية حسب الاقتضاء. بالنسبة لجميع التوزيعات الأخرى، راجع وثائق توزيعك |
| تعطيل تثبيت أنظمة الملفات غير المطلوبة واستخدامها (cramfs) (6.1) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في cramfs لرفع مستوى الامتيازات | قم بإضافة ملف إلى الدليل /etc/modprob.d الذي يعطل cramfs أو قم بتشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تعطيل تثبيت أنظمة الملفات غير المطلوبة واستخدامها (freevxfs) (6.2) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في freevxfs لرفع مستوى الامتيازات | قم بإضافة ملف إلى الدليل /etc/modprob.d الذي يعطل freevxfs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تأكد من وجود جميع الدلائل الرئيسية للمستخدمين (6.2.7) |
الوصف: إذا لم يكن الدليل الرئيسي للمستخدم موجودا أو لم يتم تعيينه، وضع المستخدم في جذر وحدة التخزين. علاوة على ذلك، لن يتمكن المستخدم من كتابة أي ملفات أو تعيين متغيرات البيئة. | إذا لم تكن الدلائل الرئيسية لأي مستخدم موجودة، قم بإنشائها وتأكد من أن المستخدم المعني يمتلك الدليل. يجب إزالة المستخدمين الذين ليس لديهم دليل الصفحة الرئيسية المعيّن أو تعيين دليل الصفحة الرئيسية حسب الاقتضاء. |
| التأكد من أن المستخدمين يمتلكون الدلائل الرئيسية الخاصة بهم (6.2.9) |
الوصف: بما أن المستخدم مسؤول عن الملفات المخزنة في الدليل الرئيسي له، يجب أن يكون المستخدم مالك الدليل. | قم بتغيير ملكية أي دلائل منزلية غير مملوكة للمستخدم المحدد إلى المستخدم الصحيح. |
| تأكد من أن الملفات المنقطة للمستخدمين غير قابلة للكتابة في المجموعة أو العالم. (6.2.10) |
الوصف: قد تُمكّن ملفات تكوين المستخدم القابلة للكتابة العمومية أو في المجموعة المستخدمين الضارين من سرقة بيانات المستخدمين الآخرين أو تعديلها أو الحصول على امتيازات نظام مستخدم آخر. | يمكن أن يؤدي إجراء تعديلات عمومية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاعات غير متوقعة ومستخدمين مستاءين. لذلك، نوصي بإنشاء نهج مراقبة للإبلاغ عن أذونات ملف نقطة المستخدم وتحديد إجراءات معالجة نهج الموقع. |
| التأكد من عدم وجود ملفات .forward للمستخدمين (6.2.11) |
الوصف: يشكل استخدام الملف .forward خطرًا أمنيًا يتمثل في أن البيانات الحساسة قد يتم نقلها عن غير قصد خارج المؤسسة. كما يشكل الملف .forward خطرًا لأنه يمكن استخدامه لتنفيذ الأوامر التي قد تنفذ إجراءات غير مقصودة. |
يمكن أن يؤدي إجراء تعديلات عمومية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاعات غير متوقعة ومستخدمين مستاءين. لذلك، يوصى بإنشاء نهج مراقبة للإبلاغ عن ملفات المستخدمين .forward وتحديد الإجراء الذي سيتم اتخاذه وفقا لنهج الموقع. |
| التأكد من عدم وجود ملفات .netrc للمستخدمين (6.2.12) |
الوصف: يمثل الملف .netrc خطرًا أمنيًا كبيرًا لأنه يخزن كلمات المرور في شكل غير مشفر. حتى إذا تم تعطيل FTP، فمن المحتمل أن تكون حسابات المستخدمين قد جلبت .netrc ملفات من أنظمة أخرى قد تشكل خطرا على تلك الأنظمة |
يمكن أن يؤدي إجراء تعديلات عمومية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاعات غير متوقعة ومستخدمين مستاءين. لذلك، يوصى بإنشاء نهج مراقبة للإبلاغ عن ملفات المستخدمين .netrc وتحديد الإجراء الذي سيتم اتخاذه وفقا لنهج الموقع. |
| التأكد من عدم وجود مستخدمين لديهم ملفات .rhosts (6.2.14) |
الوصف: لا يكون هذا الإجراء مفيدًا إلا إذا .rhosts كان الدعم مسموحًا به في الملف /etc/pam.conf . على الرغم من أن الملفات .rhosts غير فعالة إذا تم تعطيل الدعم في /etc/pam.conf، فقد تكون قد تم إحضارها من أنظمة أخرى ويمكن أن تحتوي على معلومات مفيدة للمخترق لتلك الأنظمة الأخرى. |
يمكن أن يؤدي إجراء تعديلات عمومية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاعات غير متوقعة ومستخدمين مستاءين. لذلك، يوصى بإنشاء نهج مراقبة للإبلاغ عن ملفات المستخدمين .rhosts وتحديد الإجراء الذي سيتم اتخاذه وفقا لنهج الموقع. |
| التأكد من وجود جميع المجموعات في /etc/passwd في /etc/group (6.2.15) |
الوصف: تشكل المجموعات المحددة في ملف /etc/passwd ولكن ليس في ملف /etc/group تهديدا لأمن النظام نظرا لعدم إدارة أذونات المجموعة بشكل صحيح. | بالنسبة إلى كل مجموعة يتم تعريفها في /etc/passwd، تأكد من وجود مجموعة مقابلة في /etc/group |
| التأكد من عدم وجود واجهات مستخدم مكررة (6.2.16) |
الوصف: يجب تعيين UIDS فريدة للمستخدمين للمساءلة وضمان حماية الوصول المناسبة. | قم بإنشاء معرفات UID فريدة ومراجعة جميع الملفات المملوكة لمعرفات UID المشتركة لتحديد معرف UID الذي من المفترض أن تنتمي إليه. |
| التأكد من عدم وجود ملفات GID مكررة (6.2.17) |
الوصف: يجب تعيين معرفات GID فريدة للمجموعات للمساءلة وضمان حماية الوصول المناسبة. | قم بإنشاء معرفات GID فريدة ومراجعة جميع الملفات المملوكة لتعريفات GID المشتركة لتحديد معرف GID الذي من المفترض أن تنتمي إليه. |
| التأكد من عدم وجود أسماء مستخدمين مكررة (6.2.18) |
الوصف: إذا تم تعيين اسم مستخدم مكرر للمستخدم، فسينشئ ملفات ويكون له حق الوصول إليها باستخدام معرف UID الأول لاسم المستخدم هذا في /etc/passwd. على سبيل المثال، إذا كان لدى "test4" معرف UID بقيمة 1000 وإدخال "test4" لاحق له معرف UID بقيمة 2000، فسيستخدم تسجيل الدخول بصفة "test4" معرف UID بقيمة 1000. تتم مشاركة UID بشكل فعال، وهي مشكلة أمنية. |
قم بإنشاء أسماء مستخدمين فريدة لجميع المستخدمين. ستعكس ملكية الملفات التغيير تلقائيًا طالما أن المستخدمين لديهم معرفات UID فريدة. |
| تأكد من عدم وجود مجموعات مكررة (6.2.19) |
الوصف: إذا تم تعيين اسم مجموعة مكرر للمجموعة، فسينشئ ملفات ويكون له حق الوصول إليها باستخدام معرف GID الأول لتلك المجموعة في /etc/group. تتم مشاركة GID بشكل فعال، وهي مشكلة أمنية. |
قم بإنشاء أسماء فريدة لمجموعات المستخدمين. ستعكس ملكيات مجموعة الملفات التغيير تلقائيًا طالما أن المجموعات لديها معرفات GID فريدة. |
| التأكد من أن مجموعة الظل فارغة (6.2.20) |
الوصف: سيتم منح أي مستخدمين معيّنين لمجموعة الظل حق الوصول للقراءة فقط إلى ملف /etc/shadow. إذا تمكن المخترقون من الوصول للقراءة فقط إلى ملف /etc/shadow، فيمكنهم بسهولة تشغيل برنامج اكتشاف كلمة المرور مقابل كلمات المرور المجزأة لكسرها. قد تكون معلومات الأمان الأخرى المخزنة /etc/shadow في الملف (مثل انتهاء الصلاحية) مفيدة أيضا لتخريب حسابات المستخدمين الأخرى. |
قم بإزالة جميع المستخدمين الذين يشكلون مجموعة الظل |
| تعطيل تثبيت أنظمة الملفات غير المطلوبة واستخدامها (hfs) (6.3) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في hfs لرفع مستوى الامتيازات | قم بإضافة ملف إلى الدليل /etc/modprob.d الذي يعطل hfs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تعطيل تثبيت أنظمة الملفات غير المطلوبة واستخدامها (hfsplus) (6.4) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في hfsplus لرفع مستوى الامتيازات | قم بإضافة ملف إلى الدليل /etc/modprob.d الذي يعطل hfsplus أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تعطيل تثبيت أنظمة الملفات غير المطلوبة واستخدامها (jffs2) (6.5) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في jffs2 لرفع مستوى الامتيازات | قم بإضافة ملف إلى الدليل /etc/modprob.d الذي يعطل jffs2 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| يجب تحويل الأنوية برمجيًا فقط من المصادر المعتمدة. (10) |
الوصف: يمكن أن تحتوي النواة من مصدر غير معتمد على ثغرات أمنية أو أبواب خلفية لمنح المخترق حق الوصول. | قم بتثبيت النواة التي يوفرها مورّد التوزيع. |
| يجب ضبط أذونات ملف /etc/shadow على 0400 (11.1) |
الوصف: يمكن للمهاجم استرداد كلمات المرور المجزوفة أو معالجتها من /etc/shadow إذا لم يتم تأمينها بشكل صحيح. | قم بضبط أذونات وملكية /etc/shadow* أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms» |
| يجب ضبط أذونات ملف /etc/shadow- على 0400 (11.2) |
الوصف: يمكن للمهاجم استرداد كلمات المرور المجزوفة أو معالجتها من /etc/shadow- إذا لم يتم تأمينها بشكل صحيح. | قم بضبط أذونات وملكية /etc/shadow* أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms» |
| يجب ضبط أذونات ملف /etc/gshadow على 0400 (11.3) |
الوصف: يمكن للمهاجم الانضمام إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | قم بضبط أذونات وملكية /etc/gshadow- أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms» |
| يجب ضبط أذونات ملف /etc/gshadow- على 0400 (11.4) |
الوصف: يمكن للمهاجم الانضمام إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | قم بضبط أذونات وملكية /etc/gshadow أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms» |
| يجب ضبط أذونات ملف /etc/passwd على 0644 (12.1) |
الوصف: يمكن للمخترق تعديل معرفات المستخدم وواجهات تسجيل دخول Shell. | قم بضبط أذونات وملكية /etc/passwd أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms» |
| يجب ضبط أذونات ملف /etc/group على 0644 (12.2) |
الوصف: يمكن للمخترق رفع مستوى الامتيازات عن طريق تعديل عضوية المجموعة | قم بضبط أذونات وملكية /etc/group أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms» |
| يجب ضبط أذونات ملف /etc/passwd- على 0600 (12.3) |
الوصف: يمكن للمهاجم الانضمام إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | قم بضبط أذونات وملكية /etc/passwd- أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms» |
| يجب ضبط أذونات ملف /etc/group- على 0644 (12.4) |
الوصف: يمكن للمخترق رفع مستوى الامتيازات عن طريق تعديل عضوية المجموعة | قم بضبط أذونات وملكية /etc/group- أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms» |
| يجب تقييد الوصول إلى حساب الجذر عبر وحدة البحث إلى مجموعة "الجذر" (21) |
الوصف: يمكن للمخترق تصعيد الأذونات عن طريق تخمين كلمة المرور إذا لم تقتصر وحدة البحث على المستخدمين في مجموعة الجذر. | قم بتشغيل الأمر «/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions». يضيف عنصر التحكم هذا السطر "auth required pam_wheel.so use_uid" إلى الملف '/etc/pam.d/su' |
| يجب أن تكون مجموعة "الجذر" متوفرة، وتحتوي على جميع الأعضاء الذين يمكنهم استخدام وحدة البحث للجذر (22) |
الوصف: يمكن للمخترق تصعيد الأذونات عن طريق تخمين كلمة المرور إذا لم تقتصر وحدة البحث على المستخدمين في مجموعة الجذر. | قم بإنشاء مجموعة الجذر عبر الأمر «groupadd -g 0 root» |
| يجب أن تحتوي جميع الحسابات على كلمة مرور (23.2) |
الوصف: يمكن للمخترق تسجيل الدخول إلى حسابات بدون كلمة مرور وتنفيذ أوامر تحكّمية. | قم باستخدام الأمر passwd لضبط كلمات المرور لجميع الحسابات |
| يجب أن تحتوي الحسابات بخلاف الجذر على معرفات UID فريدة أكبر من الصفر (0) (24) |
الوصف: إذا كان حساب آخر غير الجذر يحتوي على القيمة صفر لمعرف UID، يمكن للمخترق اختراق الحساب والحصول على امتيازات الجذر. | قم بتعيين معرفات UID فريدة بقيمة بخلاف الصفر لجميع الحسابات غير الجذر باستخدام "usermod -u" |
| يجب تمكين موضع عشوائي لمناطق الذاكرة الظاهرية (25) |
الوصف: يمكن للمخترق كتابة تعليمات برمجية تنفيذية إلى مناطق معروفة في الذاكرة، ما يؤدي إلى رفع مستوى الامتيازات | قم بإضافة القيمة «1» أو «2» إلى الملف «/proc/sys/kernel/randomize_va_space» |
| يجب تمكين دعم النواة لميزة معالج XD/NX (26) |
الوصف: قد يتسبب المخترق في وجود نظام للتعليمات البرمجية التنفيذية من مناطق البيانات في الذاكرة، ما يؤدي إلى رفع مستوى الامتيازات. | قم بالتأكد من أن الملف «/proc/cpuinfo» يحتوي على العلامة «nx» |
| يجب ألا يظهر '.' في $PATH الجذر (27.1) |
الوصف: يمكن للمخترق رفع مستوى الامتيازات عن طريق وضع ملف ضار في $PATH للجذر | قم تعديل سطر «export PATH=» في /root/.profile |
| يجب أن تكون دلائل المستخدم الرئيسية بوضع 750 أو أكثر تقييداً (28) |
الوصف: يمكن للمخترق استرداد المعلومات الحساسة من المجلدات الرئيسية للمستخدمين الآخرين. | قم بضبط أذونات المجلد الرئيسي على 750 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions» |
| يجب تعيين umask الافتراضي لجميع المستخدمين إلى 077 في login.defs (29) |
الوصف: يمكن للمخترق استرداد المعلومات الحساسة من المجلدات المملوكة للمستخدمين الآخرين. | قم بتشغيل الأمر «/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask». سيؤدي ذلك إلى إضافة السطر "UMASK 077" إلى الملف "/etc/login.defs" |
| يجب تمكين حماية كلمة المرور لجميع برامج Bootloader. (31) |
الوصف: يمكن للمخترق الذي له وصول فعلي تعديل خيارات برنامج Bootloader، ما يؤدي إلى وصول غير مقيد إلى النظام | قم بإضافة كلمة مرور برنامج Bootloader إلى الملف «/boot/grub/grub.cfg» |
| التأكد من تكوين الأذونات على تكوين برنامج Bootloader (31.1) |
الوصف: يؤدي إعداد الأذونات للقراءة والكتابة للجذر فقط إلى منع المستخدمين غير الجذر من رؤية معلمات التمهيد أو تغييرها. قد يتمكن المستخدمون غير الجذر الذين يقرؤون معلمات التمهيد من تحديد نقاط الضعف في الأمان عند التمهيد ويكون بإمكانهم على استغلالها. | قم بضبط المالك أو المجموعة على برنامج Bootloader لديك على root:root والأذونات على 0400 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions» |
| التأكد من المصادقة المطلوبة لوضع مستخدم واحد. (33) |
الوصف: يؤدي طلب المصادقة في وضع المستخدم الواحد إلى منع مستخدم غير مصرح به من إعادة تشغيل النظام إلى مستخدم واحد للحصول على امتيازات الجذر دون بيانات اعتماد. | قم بتشغيل الأمر التالي لضبط كلمة مرور للمستخدم الجذر: passwd root |
| التأكد من تعطيل إرسال إعادة توجيه الرزمة. (38.3) |
الوصف: يمكن للمخترق استخدام مضيف مخترق لإرسال عمليات إعادة توجيه ICMP غير صالحة إلى أجهزة جهاز التوجيه الأخرى في محاولة لإفساد التوجيه وجعل المستخدمين يصلون إلى نظام تم إعداده بواسطة المخترق بدلاً من نظام صالح. | قم بضبط المعلمات التالية في /etc/sysctl.conf: «net.ipv4.conf.all.send_redirects = 0» و«net.ipv4.conf.default.send_redirects = 0» أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects» |
| يجب تعطيل إرسال عمليات إعادة توجيه ICMP لجميع الواجهات. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
الوصف: يمكن للمخترق تغيير جدول توجيه هذا النظام، وإعادة توجيه نسبة استخدام الشبكة إلى وجهة بديلة | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects» |
| يجب تعطيل إرسال عمليات إعادة توجيه ICMP لجميع الواجهات. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
الوصف: يمكن للمخترق تغيير جدول توجيه هذا النظام، وإعادة توجيه نسبة استخدام الشبكة إلى وجهة بديلة | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects» |
| يجب تعطيل قبول الرزم المصدر التي تم توجيهها لجميع الواجهات. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
الوصف: يمكن للمخترق إعادة توجيه نسبة استخدام الشبكة لأغراض ضارة. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة. |
| يجب تعطيل قبول الرزم المصدر التي تم توجيهها لجميع الواجهات. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
الوصف: يمكن للمخترق إعادة توجيه نسبة استخدام الشبكة لأغراض ضارة. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة. |
| يجب تعطيل الإعداد الافتراضي لقبول الرزم المصدر التي تم توجيهها لواجهات الشبكة. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
الوصف: يمكن للمخترق إعادة توجيه نسبة استخدام الشبكة لأغراض ضارة. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة. |
| يجب تعطيل الإعداد الافتراضي لقبول الرزم المصدر التي تم توجيهها لواجهات الشبكة. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
الوصف: يمكن للمخترق إعادة توجيه نسبة استخدام الشبكة لأغراض ضارة. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة. |
| يجب تمكين تجاهل استجابات ICMP المزيفة للبث. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
الوصف: يمكن للمخترق تنفيذ هجوم ICMP ينتج عنه DoS | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses» |
| يجب تمكين تجاهل طلبات صدى ICMP (أدوات اختبار الاتصال) المرسلة إلى عناوين البث / البث المتعدد. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
الوصف: يمكن للمخترق تنفيذ هجوم ICMP ينتج عنه DoS | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts» |
| يجب تمكين تسجيل الرزم المريخية (تلك ذات العناوين المستحيلة) لجميع الواجهات. (net.ipv4.conf.all.log_martians = 1) (45.1) |
الوصف: يمكن للمخترق إرسال نسبة استخدام الشبكة من عناوين مخادعة دون أن يتم الكشف عنه | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians» |
| يجب تمكين إجراء التحقق من صحة المصدر عن طريق المسار العكسي لجميع الواجهات. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
الوصف: سيقبل النظام نسبة استخدام الشبكة من العناوين غير القابلة للتوجيه. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter» |
| يجب تمكين إجراء التحقق من صحة المصدر عن طريق المسار العكسي لجميع الواجهات. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
الوصف: سيقبل النظام نسبة استخدام الشبكة من العناوين غير القابلة للتوجيه. | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter» |
| يجب تمكين ملفات تعريف الارتباط TCP SYN. (net.ipv4.tcp_syncookies = 1) (47) |
الوصف: يمكن للمخترق تنفيذ DoS عبر TCP | قم بتشغيل sysctl -w key=value وضبطه على قيمة متوافقة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies» |
| يجب ألا يعمل النظام كمشمس للشبكة. (48) |
الوصف: قد يستخدم المخترق واجهات مخادعة لمراقبة نسبة استخدام الشبكة | يتم تمكين الوضع المختلط عبر إدخال «promisc» في «/etc/network/interfaces» أو «/etc/rc.local.» تحقق من كلا الملفين وأزل هذا الإدخال. |
| يجب تعطيل جميع الواجهات اللاسلكية. (49) |
الوصف: يمكن للمخترق إنشاء AP وهمية لاعتراض عمليات الإرسال. | تأكد من تعطيل جميع الواجهات اللاسلكية في «/etc/network/interfaces» |
| يجب تمكين بروتوكول IPv6. (50) |
الوصف: هذا ضروري للاتصال على الشبكات الحديثة. | افتح /etc/sysctl.conf وتأكد من تعيين 'net.ipv6.conf.all.disable_ipv6' و 'net.ipv6.conf.default.disable_ipv6' إلى 0 |
| ضمان تعطيل DCCP (54) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | قم بتحرير أو إنشاء ملف في الدليل /etc/modprobe.d/ الذي ينتهي بـ .conf وإضافة install dccp /bin/true ثم إلغاء تحميل وحدة dccp أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| ضمان تعطيل SCTP (55) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | قم بتحرير أو إنشاء ملف في الدليل /etc/modprobe.d/ الذي ينتهي بـ .conf وإضافة install sctp /bin/true ثم إلغاء تحميل وحدة sctp أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| تعطيل دعم RDS. (56) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في RDS لتهديد النظام | قم بتحرير أو إنشاء ملف في الدليل /etc/modprobe.d/ الذي ينتهي بـ .conf وإضافة install rds /bin/true ثم إلغاء تحميل وحدة rds أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| ضمان تعطيل TIPC (57) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | قم بتحرير أو إنشاء ملف في الدليل /etc/modprobe.d/ الذي ينتهي بـ .conf وإضافة install tipc /bin/true ثم إلغاء تحميل وحدة tipc أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods» |
| التأكد من تكوين التسجيل (60) |
الوصف: يتم إرسال قدر كبير من المعلومات الهامة المتعلقة بالأمان عبر rsyslog (على سبيل المثال، محاولات وحدة بحث ناجحة وفاشلة، ومحاولات تسجيل الدخول الفاشلة، ومحاولات تسجيل الدخول الجذر، وغير ذلك). |
تكوين syslog أو rsyslog أو syslog-ng حسب الاقتضاء |
| يجب تثبيت حزمة syslog أو rsyslog أو syslog-ng. (61) |
الوصف: لن يتم تسجيل مشكلات الموثوقية والأمان، ما يمنع التشخيص المناسب. | قم بتثبيت حزمة rsyslog، أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog» |
| يجب تكوين خدمة دفتر اليومية للنظام لاستمرار رسائل السجل (61.1) |
الوصف: لن يتم تسجيل مشكلات الموثوقية والأمان، ما يمنع التشخيص المناسب. | قم بإنشاء /var/log/journal والتأكد من أن التخزين في journald.conf تلقائي أو ثابت |
| التأكد من تمكين خدمة التسجيل (62) |
الوصف: من الضروري أن يكون لديك القدرة على تسجيل الأحداث على عقدة. | قم بتمكين حزمة rsyslog، أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog» |
| يجب ضبط أذونات الملفات لجميع ملفات سجل rsyslog على 640 أو 600. (63) |
الوصف: يمكن للمخترق إخفاء النشاط عن طريق معالجة السجلات | قم بإضافة السطر «$FileCreateMode 0640» إلى الملف «/etc/rsyslog.conf» |
| التأكد من تقييد ملفات تكوين المسجّل. (63.1) |
الوصف: من المهم التأكد من وجود ملفات السجل وتوافر الأذونات الصحيحة لضمان أرشفة بيانات سجل النظام الحساسة وحمايتها. | قم بضبط ملفات تكوين المسجّل على 0640 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions» |
| يجب أن تكون جميع ملفات سجل rsyslog مملوكة لمجموعة adm. (64) |
الوصف: يمكن للمخترق إخفاء النشاط عن طريق معالجة السجلات | قم بإضافة السطر "$FileGroup adm" إلى الملف "/etc/rsyslog.conf" |
| يجب أن تكون جميع ملفات سجل rsyslog مملوكة لمستخدم syslog. (65) |
الوصف: يمكن للمخترق إخفاء النشاط عن طريق معالجة السجلات | قم بإضافة السطر "$FileOwner syslog" إلى الملف "/etc/rsyslog.conf" أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner" |
| يجب ألا يقبل Rsyslog الرسائل البعيدة. (67) |
الوصف: يمكن للمخترق إدخال رسائل في syslog، ما يتسبب في DoS أو تشتيت الانتباه عن نشاط آخر | إزالة الأسطر "$ModLoad imudp" و"$ModLoad imtcp" من الملف "/etc/rsyslog.conf" |
| يجب تمكين خدمة logrotate (syslog rotater). (68) |
الوصف: يمكن أن تزداد ملفات السجل بشكل غير مقيد وتستهلك جميع مساحة القرص | قم بتثبيت حزمة logrotate وتأكد من أن إدخال logrotate cron نشط (chmod 755 /etc/cron.daily/logrotate؛ جذر chown:root /etc/cron.daily/logrotate) |
| يجب تعطيل خدمة rlogin. (69) |
الوصف: يمكن للمخترق الوصول، متجاوزًا متطلبات المصادقة الصارمة | قم بإزالة خدمة inetd. |
| تعطيل inetd ما لم يُطلب ذلك. (inetd) (70.1) |
الوصف: يمكن للمخترق استغلال ثغرة أمنية في خدمة inetd للوصول | قم بإلغاء تثبيت خدمة inetd (apt-get remove inetd) |
| تعطيل xinetd ما لم يكن مطلوبًا. (xinetd) (70.2) |
الوصف: يمكن للمخترق استغلال ثغرة أمنية في خدمة xinetd للوصول | قم بإلغاء تثبيت خدمة inetd (apt-get remove xinetd) |
| تثبيت inetd فقط إذا كان ذلك مناسباً ومطلوباً من قِبل توزيعك. آمن وفقاً لمعايير زيادة الحماية الحالية. (إذا لزم الأمر) (71.1) |
الوصف: يمكن للمخترق استغلال ثغرة أمنية في خدمة inetd للوصول | قم بإلغاء تثبيت خدمة inetd (apt-get remove inetd) |
| تثبيت xinetd فقط إذا كان ذلك مناسباً ومطلوباً من قِبل توزيعك. آمن وفقاً لمعايير زيادة الحماية الحالية. (إذا لزم الأمر) (71.2) |
الوصف: يمكن للمخترق استغلال ثغرة أمنية في خدمة xinetd للوصول | قم بإلغاء تثبيت خدمة inetd (apt-get remove xinetd) |
| يجب تعطيل خدمة telnet. (72) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على جلسات telnet غير المشفرة | قم بإزالة إدخال telnet أو التعليق عليه في الملف «/etc/inetd.conf» |
| يجب إلغاء تثبيت جميع حزم telnetd. (73) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على جلسات telnet غير المشفرة | قم بإلغاء تثبيت أي حزم telnetd |
| يجب تعطيل خدمة rcp/rsh. (74) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على الجلسات غير المشفرة | قم بإزالة إدخال shell أو التعليق عليه في الملف «/etc/inetd.conf» |
| يجب إلغاء تثبيت حزمة خادم rsh. (77) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على جلسات rsh غير المشفرة | قم بإلغاء تثبيت حزمة خادم rsh (apt-get remove rsh-server) |
| يجب تعطيل خدمة ypbind. (78) |
الوصف: يمكن للمخترق استرداد المعلومات الحساسة من خدمة ypbind | قم بإلغاء تثبيت حزمة nis (apt-get remove nis) |
| يجب إلغاء تثبيت حزمة nis. (79) |
الوصف: يمكن للمخترق استرداد المعلومات الحساسة من خدمة NIS | قم بإلغاء تثبيت حزمة nis (apt-get remove nis) |
| يجب تعطيل خدمة tftp. (80) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على جلسة غير مشفرة | قم بإزالة إدخال tftp من الملف «/etc/inetd.conf» |
| يجب إلغاء تثبيت حزمة tftpd. (81) |
الوصف: يمكن للمخترق التنصت أو الاستحواذ على جلسة غير مشفرة | قم بإلغاء تثبيت حزمة tftpd (apt-get remove tftpd) |
| يجب إلغاء تثبيت حزمة readahead-fedora. (82) |
الوصف: لا تسبب الحزمة أي تعرض كبير، ولكنها لا تضيف أيضاً أي ميزة كبيرة. | قم بإلغاء تثبيت حزمة readahead-fedora (apt-get remove readahead-fedora) |
| يجب تعطيل خدمة bluetooth/hidd. (84) |
الوصف: يمكن للمخترق اعتراض الاتصالات اللاسلكية أو معالجتها. | إلغاء تثبيت حزمة bluetooth (apt-get remove bluetooth) |
| يجب تعطيل خدمة isdn. (86) |
الوصف: يمكن للمخترق استخدام مودم للحصول على وصول غير مصرح به | إلغاء تثبيت حزمة isdnutils-base (apt-get remove isdnutils-base) |
| يجب إلغاء تثبيت حزمة isdnutils-base. (87) |
الوصف: يمكن للمخترق استخدام مودم للحصول على وصول غير مصرح به | إلغاء تثبيت حزمة isdnutils-base (apt-get remove isdnutils-base) |
| يجب تعطيل خدمة kdump. (88) |
الوصف: يمكن للمخترق تحليل تعطل نظام سابق لاسترداد المعلومات الحساسة | إلغاء تثبيت حزمة kdump-tools (apt-get remove kdump-tools) |
| يجب تعطيل شبكة Zeroconf. (89) |
الوصف: يمكن للمخترق إساءة استخدام ذلك للحصول على معلومات حول الأنظمة الشبكية، أو انتحال طلبات DNS بسبب عيوب في نموذج الثقة الخاص به | بالنسبة إلى RedHat وCentOS وOracle: أضف NOZEROCONF=yes or no إلى /etc/sysconfig/network. بالنسبة إلى جميع التوزيعات الأخرى: قم بإزالة أي إدخالات «ipv4ll» في الملف «/etc/network/interfaces» أو قم بتشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf» |
| يجب تمكين خدمة crond. (90) |
الوصف: Cron مطلوب من قِبل جميع الأنظمة تقريبًا لمهام الصيانة العادية | قم بتثبيت حزمة cron (apt-get install -y cron) والتأكد من أن الملف «/etc/init/cron.conf» يحتوي على السطر «start on runlevel [2345]» |
| يجب ضبط أذونات الملف لـ /etc/anacrontab على root:root 600. (91) |
الوصف: يمكن للمخترق معالجة هذا الملف لمنع المهام المجدولة أو تنفيذ مهام ضارة | قم بضبط الملكية والأذونات على /etc/anacrontab أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms» |
| التأكد من تكوين الأذونات على /etc/cron.d. (93) |
الوصف: منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المتميزين يمكن أن يوفر لهم الوسائل للحصول على امتيازات غير مقيدة وغير مصرح بها. يمكن أن يعمل منح حق الوصول للقراءة فقط إلى هذا الدليل على توفير رؤية مستخدم غير متميز بخصوص كيفية الحصول على امتيازات غير مقيدة أو التحايل على عناصر التحكم في التدقيق. | قم بضبط المالك والمجموعة لـ /etc/chron.d على الجذر وضبط الأذونات على 0700 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms» |
| التأكد من تكوين الأذونات على /etc/cron.daily. (94) |
الوصف: منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المتميزين يمكن أن يوفر لهم الوسائل للحصول على امتيازات غير مقيدة وغير مصرح بها. يمكن أن يعمل منح حق الوصول للقراءة فقط إلى هذا الدليل على توفير رؤية مستخدم غير متميز بخصوص كيفية الحصول على امتيازات غير مقيدة أو التحايل على عناصر التحكم في التدقيق. | قم بضبط المالك والمجموعة لـ /etc/chron.daily على الجذر وضبط الأذونات على 0700 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms» |
| التأكد من تكوين الأذونات على /etc/cron.hourly. (95) |
الوصف: منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المتميزين يمكن أن يوفر لهم الوسائل للحصول على امتيازات غير مقيدة وغير مصرح بها. يمكن أن يعمل منح حق الوصول للقراءة فقط إلى هذا الدليل على توفير رؤية مستخدم غير متميز بخصوص كيفية الحصول على امتيازات غير مقيدة أو التحايل على عناصر التحكم في التدقيق. | قم بضبط المالك والمجموعة لـ /etc/chron.hourly على الجذر وضبط الأذونات على 0700 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms» |
| التأكد من تكوين الأذونات على /etc/cron.monthly. (96) |
الوصف: منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المتميزين يمكن أن يوفر لهم الوسائل للحصول على امتيازات غير مقيدة وغير مصرح بها. يمكن أن يعمل منح حق الوصول للقراءة فقط إلى هذا الدليل على توفير رؤية مستخدم غير متميز بخصوص كيفية الحصول على امتيازات غير مقيدة أو التحايل على عناصر التحكم في التدقيق. | قم بضبط المالك والمجموعة لـ /etc/chron.monthly على الجذر وضبط الأذونات على 0700 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms» |
| التأكد من تكوين الأذونات على /etc/cron.weekly. (97) |
الوصف: منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المتميزين يمكن أن يوفر لهم الوسائل للحصول على امتيازات غير مقيدة وغير مصرح بها. يمكن أن يعمل منح حق الوصول للقراءة فقط إلى هذا الدليل على توفير رؤية مستخدم غير متميز بخصوص كيفية الحصول على امتيازات غير مقيدة أو التحايل على عناصر التحكم في التدقيق. | قم بضبط المالك والمجموعة لـ /etc/chron.weekly على الجذر وضبط الأذونات على 0700 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms» |
| التأكد من تقييد at/cron للمستخدمين المعتمدين (98) |
الوصف: في العديد من الأنظمة، يتم تخويل مسؤول النظام فقط لجدولة المهام cron. يؤدي استخدام الملف cron.allow للتحكم في من يمكنه تشغيل المهام cron إلى فرض هذا النهج. من الأسهل إدارة قائمة السماح من قائمة الرفض. في قائمة الرفض، يمكنك من المحتمل إضافة معرف مستخدم إلى النظام ونسيان إضافته إلى ملفات الرفض. |
استبدل /etc/cron.deny و/etc/at.deny بملفاتهم الخاصة allow أو قم بتشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow» |
| يجب تكوين SSH وإدارته لتلبية أفضل الممارسات. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
الوصف: يمكن للمخترق استخدام عيوب في إصدار سابق من بروتوكول SSH للوصول | قم بتشغيل الأمر «/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol». سيؤدي ذلك إلى ضبط "البروتوكول 2" في الملف "/etc/ssh/sshd_config" |
| يجب تكوين SSH وإدارته لتلبية أفضل الممارسات. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
الوصف: يمكن للمخترق استخدام عيوب في بروتوكول Rhosts للوصول | قم بتشغيل الأمر "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts". سيؤدي ذلك إلى إضافة السطر "IgnoreRhosts yes" إلى الملف "/etc/ssh/sshd_config" |
| التأكد من تعيين SSH LogLevel إلى INFO (106.5) |
الوصف: يوفر SSH العديد من مستويات التسجيل مع كميات مختلفة من الإسهاب. DEBUGلا ينصح به على وجه التحديد بخلاف بدقة لتصحيح أخطاء اتصالات SSH لأنه يوفر الكثير من البيانات بحيث يصعب تحديد معلومات الأمان المهمة. INFO المستوى هو المستوى الأساسي الذي يسجل نشاط تسجيل الدخول لمستخدمي SSH فقط. في العديد من الحالات، مثل الاستجابة للحوادث، من المهم تحديد متى كان مستخدم معين نشطا على نظام. يمكن أن يزيل سجل تسجيل الخروج هؤلاء المستخدمين الذين قطعوا الاتصال، ما يساعد على تضييق الحقل. |
قم بتحرير الملف /etc/ssh/sshd_config لضبط المعلمة كما يلي: LogLevel INFO |
| التأكد من ضبط SSH MaxAuthTries على 6 أو أقل (106.7) |
الوصف: سيؤدي إعداد المعلمة MaxAuthTriesعلى رقم منخفض إلى تقليل مخاطر العمليات الناجحة للهجوم بقوة غاشمة على خادم SSH. في حين أن الإعداد الموصى به هو 4، قم بضبط الرقم حسب نهج الموقع. |
تأكد من ضبط SSH MaxAuthTries على 6 أو أقل. قم بتحرير الملف /etc/ssh/sshd_config لضبط المعلمة كما يلي: MaxAuthTries 6 |
| التأكد من أن وصول SSH محدود (106.11) |
الوصف: سيساعد تقييد المستخدمين الذين يمكنهم الوصول إلى النظام عن بعد عبر SSH على ضمان وصول المستخدمين المصرح لهم فقط إلى النظام. | تأكد من أن وصول SSH محدود. قم بتحرير الملف /etc/ssh/sshd_config لضبط معلمة واحدة أو أكثر على النحو التالي: AllowUsers AllowGroups DenyUsers DenyGroups |
| يجب تعطيل محاكاة الأمر rsh من خلال خادم ssh. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
الوصف: يمكن للمخترق استخدام عيوب في بروتوكول RHosts للوصول | قم بتشغيل الأمر «/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth». سيؤدي هذا إلى إضافة السطر «RhostsRSAAuthentication no» إلى الملف «/etc/ssh/sshd_config» |
| يجب تعطيل المصادقة المستندة إلى مضيف SSH. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
الوصف: يمكن للمهاجم استخدام المصادقة المستندة إلى المضيف للوصول من مضيف مخترق | قم بتشغيل الأمر «/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth». سيؤدي هذا إلى إضافة السطر «HostbasedAuthentication no» إلى الملف «/etc/ssh/sshd_config» |
| يجب تعطيل تسجيل الدخول الجذر عبر SSH. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
الوصف: يمكن للمخترق يهاجم كلمة مرور الجذر بقوة غاشمة، أو إخفاء محفوظات الأوامر الخاصة به عن طريق تسجيل الدخول مباشرةً كجذر | قم بتشغيل الأمر «/usr/local/bin/azsecd remediate -r disable-ssh-root-login». سيؤدي ذلك إلى إضافة السطر «PermitRootLogin no» إلى الملف «/etc/ssh/sshd_config» |
| يجب تعطيل الاتصالات البعيدة من الحسابات ذات كلمات المرور الفارغة. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
الوصف: يمكن للمخترق الوصول من خلال تخمين كلمة المرور | قم بتشغيل الأمر "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords". سيؤدي ذلك إلى إضافة السطر «PermitEmptyPasswords no» إلى الملف «/etc/ssh/sshd_config» |
| التأكد من تكوين فاصل زمني لتعطل SSH. (110.1) |
الوصف: عدم وجود قيمة وقت مقترنة باتصال يمكن أن يسمح لمستخدم غير مصرح له بالوصول إلى جلسة عمل مستخدم آخر. يؤدي إعداد قيمة وقت إلى تقليل مخاطر حدوث ذلك على الأقل. في حين أن الإعداد الموصى به هو 300 ثانية (5 دقائق)، قم بتعيين قيمة الوقت هذه حسب نهج الموقع. الإعداد الموصى به لـ ClientAliveCountMax هو 0. في هذه الحالة، سيتم إنهاء جلسة عمل العميل بعد 5 دقائق من وقت التعطل ولن يتم إرسال أي رسائل KeepAlive. |
قم بتحرير ملف /etc/ssh/sshd_config لضبط المعلمات وفقاً للنهج |
| التأكد من ضبط SSH LoginGraceTime على دقيقة واحدة أو أقل. (110.2) |
الوصف: سيؤدي إعداد المعلمة LoginGraceTimeعلى رقم منخفض إلى تقليل مخاطر العمليات الناجحة للهجوم بقوة غاشمة على خادم SSH. كما أنه سيحد من عدد الاتصالات المتزامنة غير المصادقة بينما يكون الإعداد الموصى به هو 60 ثانية (دقيقة واحدة)، قم بضبط الرقم حسب نهج الموقع. |
قم بتحرير ملف /etc/ssh/sshd_config لضبط المعلمات وفقاً للنهج أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time» |
| التأكد من استخدام خوارزميات وحدة تحكم وصول الوسائط المعتمدة فقط (110.3) |
الوصف: تعتبر خوارزميات وحدة تحكم وصول الوسائط لـ MD5 و96 بت ضعيفة وقد ثبت أنها تزيد من قابلية الاستغلال في هجمات الرجوع إلى إصدار أقدم لـ SSH. لا تزال الخوارزميات الضعيفة تحظى بقدر كبير من الاهتمام كنقطة ضعيفة يمكن استغلالها باستخدام قوة الحوسبة الموسعة. يمكن للمخترق الذي يقاطع الخوارزمية الاستفادة من وضع MiTM لفك تشفير نفق SSH والتقاط بيانات الاعتماد والمعلومات | قم بتحرير ملف /etc/sshd_config وإضافة/تعديل سطر وحدات تحكم وصول الوسائط لاحتواء قائمة مفصولة بفواصل من وحدات تحكم وصول الوسائط المعتمدة أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs» |
| التأكد من تكوين شعار تحذير تسجيل الدخول عن بُعد بشكل صحيح. (111) |
الوصف: تخبر رسائل التحذير المستخدمين الذين يحاولون تسجيل الدخول إلى النظام بحالتهم القانونية فيما يتعلق بالنظام وضرورة تضمين اسم المؤسسة التي تمتلك النظام وأي نهج مراقبة موجود. عرض معلومات مستوى نظام التشغيل والتصحيح في شعارات تسجيل الدخول له أيضًا تأثير جانبي لتوفير معلومات النظام التفصيلية للمخترقين الذين يحاولون استهداف نقاط استغلال محددة للنظام. يمكن للمستخدمين المعتمدين بسهولة الحصول على هذه المعلومات عن طريق تشغيل الأمر uname -a بمجرد تسجيل الدخول. |
قم بإزالة أي مثيلات لـ \m \r \s و\v من الملف /etc/issue.net |
| التأكد من تكوين شعار تحذير تسجيل الدخول المحلي بشكل صحيح (111.1) |
الوصف: تخبر رسائل التحذير المستخدمين الذين يحاولون تسجيل الدخول إلى النظام بحالتهم القانونية فيما يتعلق بالنظام وضرورة تضمين اسم المؤسسة التي تمتلك النظام وأي نهج مراقبة موجود. عرض معلومات مستوى نظام التشغيل والتصحيح في شعارات تسجيل الدخول له أيضًا تأثير جانبي لتوفير معلومات النظام التفصيلية للمخترقين الذين يحاولون استهداف نقاط استغلال محددة للنظام. يمكن للمستخدمين المعتمدين بسهولة الحصول على هذه المعلومات عن طريق تشغيل الأمر uname -a بمجرد تسجيل الدخول. |
قم بإزالة أي مثيلات لـ \m \r \s و\v من الملف /etc/issue |
| يجب تمكين شعار تحذير SSH. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
الوصف: لن يتم تحذير المستخدمين من مراقبة إجراءاتهم على النظام | قم بتشغيل الأمر «/usr/local/bin/azsecd remediate -r configure-ssh-banner». سيؤدي ذلك إلى إضافة السطر "Banner /etc/azsec/banner.txt" إلى الملف «/etc/ssh/sshd_config» |
| لا يسمح للمستخدمين بتعيين خيارات البيئة ل SSH. (112) |
الوصف: قد يتمكن المخترق من تجاوز بعض قيود الوصول عبر SSH | قم بإزالة السطر «PermitUserEnvironment yes» من الملف «/etc/ssh/sshd_config» |
| يجب استخدام التشفيرات المناسبة لـ SSH. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
الوصف: يمكن للمخترق اختراق اتصال SSH آمن بشكل ضعيف | قم بتشغيل الأمر «/usr/local/bin/azsecd remediate -r configure-ssh-ciphers». سيؤدي ذلك إلى إضافة السطر "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" إلى الملف "/etc/ssh/sshd_config" |
| يجب تعطيل خدمة avahi-daemon. (114) |
الوصف: يمكن للمخترق استخدام ثغرة أمنية في برنامج avahi daemon للوصول | قم بتعطيل خدمة avahi-daemon أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon» |
| يجب تعطيل خدمة cups. (115) |
الوصف: يمكن للمخترق استخدام عيب في خدمة cups لرفع مستوى الامتيازات | قم بتعطيل خدمة cups أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups» |
| يجب تعطيل خدمة isc-dhcpd. (116) |
الوصف: يمكن للمخترق استخدام dhcpd لتوفير معلومات خاطئة للعملاء، ما يتداخل مع العملية العادية. | قم بإزالة حزمة isc-dhcp-server (apt-get remove isc-dhcp-server) |
| يجب إلغاء تثبيت حزمة خادم isc-dhcp-server. (117) |
الوصف: يمكن للمخترق استخدام dhcpd لتوفير معلومات خاطئة للعملاء، ما يتداخل مع العملية العادية. | قم بإزالة حزمة isc-dhcp-server (apt-get remove isc-dhcp-server) |
| يجب إلغاء تثبيت حزمة sendmail. (120) |
الوصف: يمكن للمخترق استخدام هذا النظام لإرسال رسائل البريد الإلكتروني ذات المحتوى الضار إلى مستخدمين آخرين | قم بإلغاء تثبيت حزمة sendmail (apt-get remove sendmail) |
| يجب إلغاء تثبيت حزمة postfix. (121) |
الوصف: يمكن للمخترق استخدام هذا النظام لإرسال رسائل البريد الإلكتروني ذات المحتوى الضار إلى مستخدمين آخرين | قم بإلغاء تثبيت حزمة postfix (apt-get remove postfix) أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix» |
| يجب تعطيل الاستماع إلى شبكة Postfix حسب الاقتضاء. (122) |
الوصف: يمكن للمخترق استخدام هذا النظام لإرسال رسائل البريد الإلكتروني ذات المحتوى الضار إلى مستخدمين آخرين | أضف السطر "inet_interfaces localhost" إلى الملف "/etc/postfix/main.cf" |
| يجب تعطيل خدمة ldap. (124) |
الوصف: يمكن للمخترق معالجة خدمة LDAP على هذا المضيف لتوزيع بيانات خاطئة لعملاء LDAP | قم بإلغاء تثبيت حزمة slapd (apt-get remove slapd) |
| يجب تعطيل خدمة rpcgssd. (126) |
الوصف: يمكن للمخترق استخدام عيب في rpcgssd/nfs للوصول | قم بتعطيل خدمة rpcgssd أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd» |
| يجب تعطيل خدمة rpcidmapd. (127) |
الوصف: يمكن للمخترق استخدام عيب في idmapd/nfs للوصول | قم بتعطيل خدمة rpcidmapd أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd» |
| يجب تعطيل خدمة portmap. (129.1) |
الوصف: يمكن للمخترق استخدام عيب في portmap للوصول | قم بتعطيل خدمة rpcbind أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind» |
| يجب تعطيل خدمة نظام ملفات الشبكة (NFS). (129.2) |
الوصف: يمكن للمخترق استخدام nfs لإدخال المشاركات وتنفيذ/نسخ الملفات. | قم بتعطيل خدمة nfs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs» |
| يجب تعطيل خدمة rpcsvcgssd. (130) |
الوصف: يمكن للمخترق استخدام عيب في rpcsvcgssd للوصول | إزالة السطر «NEED_SVCGSSD = yes» من الملف «/etc/inetd.conf» |
| يجب تعطيل الخدمة المسماة. (131) |
الوصف: يمكن للمخترق استخدام خدمة DNS لتوزيع بيانات خاطئة للعملاء | قم بإلغاء تثبيت حزمة bind9 (apt-get remove bind9) |
| يجب إلغاء تثبيت حزمة bind. (132) |
الوصف: يمكن للمخترق استخدام خدمة DNS لتوزيع بيانات خاطئة للعملاء | قم بإلغاء تثبيت حزمة bind9 (apt-get remove bind9) |
| يجب تعطيل خدمة dovecot. (137) |
الوصف: يمكن استخدام النظام كخادم IMAP/POP3 | قم بإلغاء تثبيت حزمة dovecot-core (apt-get remove dovecot-core) |
| يجب إلغاء تثبيت حزمة dovecot. (138) |
الوصف: يمكن استخدام النظام كخادم IMAP/POP3 | قم بإلغاء تثبيت حزمة dovecot-core (apt-get remove dovecot-core) |
التأكد من عدم وجود إدخالات + قديمة في /etc/passwd(156.1) |
الوصف: يمكن للمخترق الوصول باستخدام اسم المستخدم «+» بدون كلمة مرور | قم بإزالة أي إدخالات في /etc/passwd تبدأ بـ «+». |
التأكد من عدم وجود إدخالات + قديمة في /etc/shadow(156.2) |
الوصف: يمكن للمخترق الوصول باستخدام اسم المستخدم «+» بدون كلمة مرور | قم بإزالة أي إدخالات في /etc/shadow تبدأ بـ «+». |
التأكد من عدم وجود إدخالات + قديمة في /etc/group(156.3) |
الوصف: يمكن للمخترق الوصول باستخدام اسم المستخدم «+» بدون كلمة مرور | قم بإزالة أي إدخالات في /etc/group تبدأ بـ «+». |
| التأكد من انتهاء صلاحية كلمة المرور خلال 365 يوماً أو أقل. (157.1) |
الوصف: يقلص تقليل الحد الأقصى لعمر كلمة المرور أيضاً من فرصة المخترق للاستفادة من بيانات الاعتماد المخترقة أو اختراق بيانات الاعتماد بنجاح عبر الهجوم بقوة غاشمة عبر الإنترنت. | قم بضبط المعلمة PASS_MAX_DAYS على ما لا يزيد عن 365 في /etc/login.defs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days» |
| التأكد من أن أيام التحذير من انتهاء صلاحية كلمة المرور هي 7 أو أكثر. (157.2) |
الوصف: يؤدي توفير تحذير مسبق بأن كلمة المرور ستنتهي صلاحيتها إلى منح المستخدمين الوقت للتفكير في كلمة مرور آمنة. يمكن للمستخدمين الذين يتم الكشف بأنهم غير مدركين اختيار كلمة مرور بسيطة أو كتابتها حيث يمكن اكتشافها. | قم بضبط المعلمة PASS_WARN_AGE على 7 في /etc/login.defs أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age» |
| التأكد من أن إعادة استخدام كلمة المرور محدودة. (157.5) |
الوصف: يؤدي إجبار المستخدمين على عدم إعادة استخدام كلمات المرور الخمس السابقة إلى تقليل احتمالية أن يتمكن المهاجم من تخمين كلمة المرور. | التأكد من ضبط خيار "تذكر" إلى 5 على الأقل إما في /etc/pam.d/common-password أو كل من /etc/pam.d/password_auth و/etc/pam.d/system_auth أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history» |
| التأكد من أن خوارزمية تجزئة كلمة المرور هي SHA-512 (157.11) |
الوصف: توفر خوارزمية SHA-512 تجزئة أقوى بكثير من MD5، ما يوفر حماية إضافية للنظام عن طريق زيادة مستوى الجهد للمخترق لتحديد كلمات المرور بنجاح. ملاحظة: تنطبق هذه التغييرات فقط على الحسابات التي تم تكوينها على النظام المحلي. | قم بضبط خوارزمية تجزئة كلمة المرور إلى sha512. توفر العديد من التوزيعات أدوات لتحديث تكوين إدارة الوصول المتميز، وارجع إلى وثائقك للحصول على التفاصيل. إذا لم يتم توفير أي أدوات، فحرر ملف التكوين /etc/pam.d/ المناسب وأضف الأسطر pam_unix.so أو عدلها لتضمين خيار sha512: password sufficient pam_unix.so sha512 |
| التأكد من أن الحد الأدنى للأيام بين تغييرات كلمة المرور هو 7 أيام أو أكثر. (157.12) |
الوصف: من خلال تقييد تردد تغييرات كلمة المرور، يمكن للمسؤول منع المستخدمين من تغيير كلمة المرور الخاصة بهم بشكل متكرر في محاولة للتحايل على عناصر التحكم في إعادة استخدام كلمة المرور. | قم بضبط المعلمة PASS_MIN_DAYS على 7 في /etc/login.defs: PASS_MIN_DAYS 7. وقم بتعديل معلمات المستخدم لجميع المستخدمين الذين لديهم كلمة مرور معينة لمطابقة: chage --mindays 7 أو تشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days» |
| التأكد من أن تاريخ تغيير كلمة المرور الأخير لجميع المستخدمين في الماضي (157.14) |
الوصف: إذا سجل المستخدمون تاريخ تغيير كلمة المرور في المستقبل، فيمكنهم تجاوز أي انتهاء صلاحية محدد لكلمة المرور. | تأكد من أن تأمين كلمة المرور غير النشط هو 30 يوماً أو أقل، قم بتشغيل الأمر التالي لضبط فترة عدم نشاط كلمة المرور الافتراضية على 30 يوماً: # useradd -D -f 30 قم بتعديل معلمات المستخدم لجميع المستخدمين الذين تم ضبط كلمة مرور لمطابقتها: # chage --inactive 30 |
| التأكد من عدم تسجيل حسابات النظام (157.15) |
الوصف: من المهم التأكد من منع استخدام الحسابات التي لا يستخدمها المستخدمون العاديون لتوفير shell تفاعلي. بشكل افتراضي، يعين Ubuntu حقل كلمة المرور لهذه الحسابات إلى سلسلة غير صالحة، ولكن يوصى أيضا بتعيين حقل shell في ملف كلمة المرور إلى /usr/sbin/nologin. يمنع هذا الحساب من الاستخدام المحتمل لتشغيل أي أوامر. |
قم بضبط shell لأي حسابات تم إرجاعها بواسطة البرنامج النصي للتدقيق إلى /sbin/nologin |
| التأكد من أن المجموعة الافتراضية للحساب الجذر هي GID 0 (157.16) |
الوصف: يساعد استخدام GID 0 للحساب على root منع rootوصول الملفات المملوكة عن طريق الخطأ للمستخدمين غير المميزين. |
قم بتشغيل الأمر التالي لضبط مجموعة المستخدم الافتراضية root على 0: # usermod -g 0 root |
| التأكد من أن الجذر هو حساب UID 0 الوحيد (157.18) |
الوصف: يجب أن يقتصر هذا الوصول على الحساب الافتراضي root فقط ومن وحدة تحكم النظام فقط. يجب أن يكون الوصول الإداري من خلال حساب غير متميز باستخدام آلية معتمدة. |
قم بإزالة أي مستخدمين بخلاف root لديهم UID 0 أو قم بتعيين UID جديد لهم إذا كان ذلك مناسباً. |
| إزالة الحسابات غير الضرورية (159) |
الوصف: من أجل التوافق | قم بإزالة الحسابات غير الضرورية |
| التأكد من تمكين خدمة auditd (162) |
الوصف: يوفر تسجيل أحداث النظام لمسؤولي النظام معلومات للسماح لهم بتحديد ما إذا كان هناك وصول غير مصرح به إلى نظامهم. | تثبيت حزمة التدقيق (systemctl يُمكّن auditd) |
| تشغيل خدمة AuditD (163) |
الوصف: يوفر تسجيل أحداث النظام لمسؤولي النظام معلومات للسماح لهم بتحديد ما إذا كان هناك وصول غير مصرح به إلى نظامهم. | تشغيل خدمة AuditD (systemctl يبدأ auditd) |
| التأكد من عدم تمكين خادم SNMP (179) |
الوصف: يمكن لخادم SNMP الاتصال باستخدام SNMP v1، والذي ينقل البيانات بشكل واضح ولا يتطلب مصادقة لتنفيذ الأوامر. ما لم يكن ذلك ضروريا تماما، يوصى بعدم استخدام خدمة SNMP. إذا كان SNMP مطلوباً، فيجب تكوين الخادم بحيث لا يسمح ببروتوكول SNMP v1. | قم بتشغيل أحد الأوامر التالية لتعطيل snmpd: # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
| التأكد من عدم تمكين خدمة rsync (181) |
الوصف: تمثل الخدمة rsyncd خطراً أمنياً لأنه يستخدم بروتوكولات غير مشفرة للاتصال. |
قم بتشغيل أحد الأوامر التالية لتعطيل rsyncd : chkconfig rsyncd offأو systemctl disable rsyncdأو update-rc.d rsyncd disable تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| التأكد من عدم تمكين خادم NIS (182) |
الوصف: خدمة NIS هي نظام غير آمن بطبيعته كان عرضة لهجمات DOS، وتجاوزات المخزن المؤقت، ولديها مصادقة ضعيفة للاستعلام عن مخططات NIS. يتم استبدال NIS بشكل عام ببروتوكولات مثل بروتوكول الوصول المباشر غير الهام (LDAP). يوصى بتعطيل الخدمة واستخدام خدمات أكثر أمانا | قم بتشغيل أحد الأوامر التالية لتعطيل ypserv : # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
| التأكد من عدم تثبيت عميل rsh (183) |
الوصف: تحتوي هذه العملاء القديمة على العديد من التعرضات الأمنية وتم استبدالها بحزمة SSH الأكثر أماناً. حتى إذا تمت إزالة الخادم، فمن الأفضل التأكد من إزالة العملاء أيضا لمنع المستخدمين من محاولة استخدام هذه الأوامر عن غير قصد وبالتالي تعريض بيانات الاعتماد الخاصة بهم. لاحظ أن إزالة الحزمة rsh يزيل العملاء ل rshوrcp.rlogin |
إلغاء التثبيت rsh باستخدام مدير الحزمة المناسب أو التثبيت اليدوي: yum remove rsh apt-get remove rsh zypper remove rsh |
| تعطيل SMB V1 مع Samba (185) |
الوصف: يحتوي SMB v1 على ثغرات أمنية معروفة وخطيرة ولا يقوم بتشفير البيانات أثناء النقل. إذا كان يجب استخدامه لأسباب تجارية، فمن المستحسن بشدة اتخاذ خطوات إضافية للتخفيف من المخاطر المتأصلة في هذا البروتوكول. | إذا لم يكن Samba قيد التشغيل، فقم بإزالة الحزمة، وإلا يجب أن يكون هناك سطر في القسم [العمومي] من /etc/samba/smb.conf: min protocol = SMB2 أو قم بتشغيل «/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version» |
إشعار
قد يختلف توفر إعدادات تكوين الضيف الخاصة بـ Azure Policy في Azure Government والسحب الوطنية الأخرى.
الخطوات التالية
مقالات إضافية حول نهج Azure وتكوين الضيف:
- تكوين ضيف نهج Azure.
- نظرة عامة على التوافق التنظيمي.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.