Standardní hodnoty zabezpečení pro Linux
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Tento článek podrobně popisuje nastavení konfigurace pro hosty s Linuxem, jak je to možné v následujících implementacích:
- [Preview]: Počítače s Linuxem by měly splňovat požadavky na definici konfigurace hosta Azure Policy podle standardních hodnot zabezpečení služby Azure Compute.
- V Microsoft Defenderu pro cloud by se měla napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.
Další informace najdete v tématu Konfigurace hosta služby Azure Policy a přehled srovnávacího testu zabezpečení Azure (V2).
Obecné bezpečnostní prvky
| Název (CCEID) |
Detaily | Kontrola nápravy |
|---|---|---|
| Ujistěte se, že možnost nodev je nastavená na oddílu /home. (1.1.4) |
Popis: Útočník by mohl připojit speciální zařízení (například blokové nebo znakové zařízení) do oddílu /home. | Upravte soubor /etc/fstab a přidejte nodev do čtvrtého pole (možnosti připojení) pro oddíl /home. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že je v oddílu /tmp nastavená možnost nodev. (1.1.5) |
Popis: Útočník by mohl připojit speciální zařízení (například blokové nebo znakové zařízení) do oddílu /tmp. | Upravte soubor /etc/fstab a přidejte nodev do čtvrtého pole (možnosti připojení) pro oddíl /tmp. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že možnost nodev je nastavená na oddílu /var/tmp. (1.1.6) |
Popis: Útočník by mohl připojit speciální zařízení (například blokové nebo znakové zařízení) do oddílu /var/tmp. | Upravte soubor /etc/fstab a přidejte nodev do čtvrtého pole (možnosti připojení) pro oddíl /var/tmp. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že možnost nosid je nastavená na oddílu /tmp. (1.1.7) |
Popis: Vzhledem k tomu, že systém souborů /tmp je určený pouze pro dočasné úložiště souborů, nastavte tuto možnost, aby uživatelé nemohli vytvářet soubory setuid v /var/tmp. | Upravte soubor /etc/fstab a přidejte soubor nosuid do čtvrtého pole (možnosti připojení) pro oddíl /tmp. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že možnost nosid je nastavená na oddílu /var/tmp. (1.1.8) |
Popis: Vzhledem k tomu, že systém souborů /var/tmp je určený pouze pro dočasné úložiště souborů, nastavte tuto možnost, aby uživatelé nemohli vytvářet soubory setuid v /var/tmp. | Upravte soubor /etc/fstab a přidejte nosid do čtvrtého pole (možnosti připojení) pro oddíl /var/tmp. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že možnost noexec je nastavená na oddílu /var/tmp. (1.1.9) |
Popis: Vzhledem k tomu, že /var/tmp systém souborů je určen pouze pro dočasné úložiště souborů, nastavte tuto možnost, aby uživatelé nemohli spustit spustitelné binární soubory z /var/tmp . |
Upravte soubor /etc/fstab a přidejte noexec do čtvrtého pole (možnosti připojení) pro oddíl /var/tmp. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že je v oddílu /dev/shm nastavená možnost noexec. (1.1.16) |
Popis: Nastavení této možnosti v systému souborů zabrání uživatelům v provádění programů ze sdílené paměti. Tento ovládací prvek zneškodní uživatele v zavedení potenciálně škodlivého softwaru v systému. | Upravte soubor /etc/fstab a přidejte noexec do čtvrtého pole (možnosti připojení) pro oddíl /dev/shm. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Zakázání automatického připojování (1.1.21) |
Popis: S povoleným automatickým připojením může každý, kdo má fyzický přístup, připojit jednotku USB nebo disk a mít jeho obsah k dispozici v systému, i když nemají oprávnění k jeho připojení sami. | Zakažte službu autofs nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs. |
| Ujistěte se, že je zakázané připojení úložných zařízení USB. (1.1.21.1) |
Popis: Odebrání podpory úložných zařízení USB snižuje prostor pro místní útok na server. | Upravte nebo vytvořte soubor v /etc/modprobe.d/ adresáři, který končí na .conf, a přidejte install usb-storage /bin/true modul usb-storage nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Ujistěte se, že jsou omezené výpisy paměti jádra. (1.5.1) |
Popis: Nastavení pevného limitu pro výpisy paměti jádra zabrání uživatelům v přepsání softwarové proměnné. Pokud jsou vyžadovány základní výpisy paměti, zvažte nastavení limitů pro skupiny uživatelů (viz limits.conf(5)). Kromě toho nastavení fs.suid_dumpable proměnné na hodnotu 0 zabrání programům setuid v dumpingu jádra. |
Přidejte hard core 0 soubor /etc/security/limits.conf nebo do adresáře limits.d a nastavte fs.suid_dumpable = 0 v adresáři sysctl nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps. |
| Ujistěte se, že je předlink zakázaný. (1.5.4) |
Popis: Funkce předběžného propojení může kolidovat s operací AIDE, protože mění binární soubory. Předběžné propojení může také zvýšit ohrožení zabezpečení systému, pokud je uživatel se zlými úmysly schopen ohrozit společnou knihovnu, jako je libc. | odinstalujte prelink pomocí správce balíčků nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/motd. (1.7.1.4) |
Popis: Pokud /etc/motd soubor nemá správné vlastnictví, může ho upravit neoprávnění uživatelé s nesprávnými nebo zavádějícími informacemi. |
Nastavte vlastníka a skupinu /etc/motd na root a nastavte oprávnění na 0644 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r file-permissions. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue. (1.7.1.5) |
Popis: Pokud /etc/issue soubor nemá správné vlastnictví, může ho upravit neoprávnění uživatelé s nesprávnými nebo zavádějícími informacemi. |
Nastavte vlastníka a skupinu /etc/issue na root a nastavte oprávnění na 0644 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r file-permissions. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/issue.net. (1.7.1.6) |
Popis: Pokud /etc/issue.net soubor nemá správné vlastnictví, může ho upravit neoprávnění uživatelé s nesprávnými nebo zavádějícími informacemi. |
Nastavte vlastníka a skupinu /etc/issue.net na root a nastavte oprávnění na 0644 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r file-permissions. |
| Možnost nodev by měla být povolena pro všechna vyměnitelná média. (2.1) |
Popis: Útočník by mohl připojit speciální zařízení (například blokové nebo znakové zařízení) prostřednictvím vyměnitelného média. | Přidejte možnost nodev do čtvrtého pole (možnosti připojení) v /etc/fstab. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Možnost noexec by měla být povolena pro všechna vyměnitelná média. (2.2) |
Popis: Útočník by mohl načíst spustitelný soubor přes vyměnitelné médium. | Přidejte možnost noexec do čtvrtého pole (možnosti připojení) v /etc/fstab. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Možnost nosid by měla být povolena pro všechna vyměnitelná média. (2.3) |
Popis: Útočník by mohl načíst soubory, které běží se zvýšeným kontextem zabezpečení prostřednictvím vyměnitelného média. | Přidejte možnost nosid do čtvrtého pole (možnosti připojení) v /etc/fstab. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že klient talk není nainstalovaný. (2.3.3) |
Popis: Software představuje bezpečnostní riziko, protože pro komunikaci používá nešifrované protokoly. | Odinstalace talk nebo spuštění příkazu /opt/microsoft/omsagent/plugin/omsremediate -r remove-talk |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/hosts.allow. (3.4.4) |
Popis: Je důležité zajistit, aby /etc/hosts.allow byl soubor chráněný před neoprávněným přístupem k zápisu. I když je ve výchozím nastavení chráněná, oprávnění k souborům je možné změnit neúmyslně nebo prostřednictvím škodlivých akcí. |
Nastavte vlastníka a skupinu /etc/hosts.allow pro root a oprávnění 0644 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r file-permissions. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/hosts.deny. (3.4.5) |
Popis: Je důležité zajistit, aby /etc/hosts.deny byl soubor chráněný před neoprávněným přístupem k zápisu. I když je ve výchozím nastavení chráněná, oprávnění k souborům je možné změnit neúmyslně nebo prostřednictvím škodlivých akcí. |
Nastavte vlastníka a skupinu /etc/hosts.deny na kořen a oprávnění 0644 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r file-permissions. |
| Zajištění výchozích zásad odepření brány firewall (3.6.2) |
Popis: S výchozí zásadou přijetí brána firewall přijme všechny pakety, které nejsou explicitně odepřeny. Je jednodušší udržovat zabezpečenou bránu firewall s výchozí zásadou DROP, než je u výchozích zásad Povolit. | Nastavte výchozí zásady pro příchozí, odchozí a směrovaný provoz do deny nebo reject podle potřeby pomocí softwaru brány firewall. |
| Možnost nodev/nosuid by měla být povolená pro všechna připojení NFS. (5) |
Popis: Útočník by mohl načíst soubory, které běží se zvýšenými oprávněními zabezpečení nebo speciálními zařízeními prostřednictvím vzdáleného systému souborů. | Přidejte nosid a nodev možnosti do čtvrtého pole (možnosti připojení) v /etc/fstab. Další informace najdete na stránkách ručně zadaných na stránkách fstab(5). |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/ssh/sshd_config. (5.2.1) |
Popis: Soubor /etc/ssh/sshd_config musí být chráněn před neoprávněnými změnami neprivilegovanými uživateli. |
Nastavte vlastníka a skupinu /etc/ssh/sshd_config na root a nastavte oprávnění na 0600 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions. |
| Ujistěte se, že jsou nakonfigurované požadavky na vytvoření hesla. (5.3.1) |
Popis: Silná hesla chrání systémy před hackováním prostřednictvím metod hrubou silou. | Nastavte následující páry klíč/hodnota v příslušné PAM pro vaši distribuci: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements. |
| Ujistěte se, že je nakonfigurované uzamčení neúspěšných pokusů o zadání hesla. (5.3.2) |
Popis: Uzamčení ID uživatelů po n neúspěšných po sobě jdoucích pokusech o přihlášení zmírní útoky hrubou silou na vaše systémy. |
pro Ubuntu a Debian přidejte podle potřeby moduly pam_tally a pam_deny. Informace o všech ostatních distribucích najdete v dokumentaci k vaší distribuci. |
| Zakažte instalaci a použití systémů souborů, které nejsou potřeba (cramfs) (6.1) |
Popis: Útočník by mohl ke zvýšení oprávnění použít chybu zabezpečení v cramfs. | Přidejte soubor do adresáře /etc/modprob.d, který zakáže cramfs nebo spustí /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Zakažte instalaci a používání systémů souborů, které nejsou povinné (freevxfs) (6.2) |
Popis: Útočník může ke zvýšení oprávnění použít chybu zabezpečení ve funkci freevxfs. | Přidejte soubor do adresáře /etc/modprob.d, který zakáže freevxfs nebo spustí /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Ujistěte se, že existují domovské adresáře všech uživatelů. (6.2.7) |
Popis: Pokud domovský adresář uživatele neexistuje nebo není přiřazený, uživatel se umístí do kořenového adresáře svazku. Navíc uživatel nebude moct zapsat žádné soubory nebo nastavit proměnné prostředí. | Pokud domovské adresáře uživatelů neexistují, vytvořte je a ujistěte se, že příslušný uživatel adresář vlastní. Uživatelé bez přiřazeného domovského adresáře by měli podle potřeby odebrat nebo přiřadit domovský adresář. |
| Zajištění, aby uživatelé vlastní své domovské adresáře (6.2.9) |
Popis: Vzhledem k tomu, že je uživatel zodpovědný za soubory uložené v domovském adresáři uživatele, musí být uživatel vlastníkem adresáře. | Změňte vlastnictví všech domovských adresářů, které nejsou vlastněné definovaným uživatelem, na správného uživatele. |
| Ujistěte se, že soubory s tečkou uživatele nejsou seskupitelné nebo se dají zapisovat do světa. (6.2.10) |
Popis: Skupiny nebo soubory konfigurace uživatele s možností zápisu na světě můžou uživatelům se zlými úmysly umožnit ukrást nebo upravit data jiných uživatelů nebo získat oprávnění systému jiného uživatele. | Provádění globálních úprav souborů uživatelů bez upozorňování komunity uživatelů může vést k neočekávaným výpadkům a nespokojeným uživatelům. Proto doporučujeme vytvořit zásadu monitorování, která hlásí oprávnění k souborům s tečkou uživatele a určí akce nápravy zásad webu. |
| Ujistěte se, že žádní uživatelé nemají soubory .forward. (6.2.11) |
Popis: Použití .forward souboru představuje bezpečnostní riziko v tom, že citlivá data mohou být neúmyslně přenesena mimo organizaci. Soubor .forward také představuje riziko, protože se dá použít ke spouštění příkazů, které mohou provádět nezamýšlené akce. |
Provádění globálních úprav souborů uživatelů bez upozorňování komunity uživatelů může vést k neočekávaným výpadkům a nespokojeným uživatelům. Proto doporučujeme vytvořit zásadu monitorování, která bude hlásit soubory uživatelů .forward a určit akci, která se má provést v souladu se zásadami webu. |
| Ujistěte se, že žádní uživatelé nemají soubory .netrc. (6.2.12) |
Popis: Soubor .netrc představuje významné bezpečnostní riziko, protože ukládá hesla v nezašifrované podobě. I když je protokol FTP zakázaný, uživatelské účty mohly převést .netrc soubory z jiných systémů, které by mohly představovat riziko pro tyto systémy. |
Provádění globálních úprav souborů uživatelů bez upozorňování komunity uživatelů může vést k neočekávaným výpadkům a nespokojeným uživatelům. Proto doporučujeme vytvořit zásadu monitorování, která bude hlásit soubory uživatelů .netrc a určit akci, která se má provést v souladu se zásadami webu. |
| Ujistěte se, že žádní uživatelé nemají soubory .rhosts. (6.2.14) |
Popis: Tato akce je smysluplná pouze v případě, že .rhosts je v souboru /etc/pam.conf povolena podpora . I když .rhosts jsou soubory neefektivní, pokud je podpora zakázaná /etc/pam.conf , mohly být přeneseny z jiných systémů a mohly by obsahovat informace užitečné pro útočníka pro tyto ostatní systémy. |
Provádění globálních úprav souborů uživatelů bez upozorňování komunity uživatelů může vést k neočekávaným výpadkům a nespokojeným uživatelům. Proto doporučujeme vytvořit zásadu monitorování, která bude hlásit soubory uživatelů .rhosts a určit akci, která se má provést v souladu se zásadami webu. |
| Ujistěte se, že všechny skupiny v /etc/passwd existují ve skupině /etc/group. (6.2.15) |
Popis: Skupiny definované v souboru /etc/passwd, ale ne v souboru /etc/group představují hrozbu pro zabezpečení systému, protože oprávnění skupiny nejsou správně spravovaná. | Pro každou skupinu definovanou v /etc/passwd se ujistěte, že je v /etc/group odpovídající skupina. |
| Ujistěte se, že neexistují žádné duplicitní identifikátory UID. (6.2.16) |
Popis: Uživatelům musí být přiřazeny jedinečné identifikátory UID pro odpovědnost a zajistit odpovídající ochranu přístupu. | Vytvořte jedinečné identifikátory UID a zkontrolujte všechny soubory vlastněné sdílenými identifikátory UID a určete, ke kterému UID mají patřit. |
| Ujistěte se, že neexistují žádné duplicitní identifikátory GID. (6.2.17) |
Popis: Skupiny musí mít přiřazené jedinečné identifikátory GID pro odpovědnost a zajistit odpovídající ochranu přístupu. | Vytvořte jedinečné identifikátory GID a zkontrolujte všechny soubory, které vlastní sdílené identifikátory GID, a určete, ke kterým GID mají patřit. |
| Ujistěte se, že neexistují žádná duplicitní uživatelská jména. (6.2.18) |
Popis: Pokud je uživateli přiřazeno duplicitní uživatelské jméno, vytvoří se a bude mít přístup k souborům s prvním UID pro toto uživatelské jméno v /etc/passwd . Pokud má například test4 UID 1000 a následná položka test4 má UID 2000, přihlášení jako test4 použije UID 1000. Identifikátor UID se efektivně sdílí, což je problém se zabezpečením. |
Vytvořte jedinečná uživatelská jména pro všechny uživatele. Vlastnictví souborů bude změnu automaticky odrážet, pokud uživatelé mají jedinečné identifikátory UI. |
| Ujistěte se, že neexistují žádné duplicitní skupiny. (6.2.19) |
Popis: Pokud je skupině přiřazen duplicitní název skupiny, vytvoří a bude mít přístup k souborům s prvním GID pro tuto skupinu v /etc/group . GID se efektivně sdílí, což je bezpečnostní problém. |
Vytvořte jedinečné názvy pro všechny skupiny uživatelů. Vlastnictví skupiny souborů se automaticky projeví, pokud mají skupiny jedinečné identifikátory GID. |
| Ujistěte se, že je stínová skupina prázdná. (6.2.20) |
Popis: Všem uživatelům přiřazeným ke skupině stínů by byl udělen přístup pro čtení k souboru /etc/shadow. Pokud útočníci můžou získat přístup pro čtení k /etc/shadow souboru, můžou snadno spustit program prolomení hesla proti hashovaným heslům, aby je přerušili. Další informace o zabezpečení, které jsou uložené v /etc/shadow souboru (například vypršení platnosti), můžou být také užitečné k odvrácení jiných uživatelských účtů. |
Odebrání všech uživatelů ze stínové skupiny |
| Zakázání instalace a použití systémů souborů, které nejsou povinné (hfs) (6.3) |
Popis: Útočník může ke zvýšení oprávnění použít chybu zabezpečení v HFS. | Přidejte soubor do adresáře /etc/modprob.d, který zakáže hfs nebo spustí /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Zakázání instalace a použití systémů souborů, které nejsou povinné (hfsplus) (6.4) |
Popis: Útočník může ke zvýšení oprávnění použít chybu zabezpečení v hfsplus. | Přidejte soubor do adresáře /etc/modprob.d, který zakáže hfsplus nebo spustí /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Zakažte instalaci a používání systémů souborů, které nejsou povinné (jffs2) (6.5) |
Popis: Útočník může ke zvýšení oprávnění použít chybu zabezpečení v jffs2. | Přidejte soubor do adresáře /etc/modprob.d, který zakáže jffs2 nebo spustí /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Jádra by se měla zkompilovat pouze ze schválených zdrojů. (10) |
Popis: Jádro z neschváleného zdroje může obsahovat ohrožení zabezpečení nebo zadní vrátka, aby útočníkovi udělil přístup. | Nainstalujte jádro, které poskytuje dodavatel distribuce. |
| Oprávnění /etc/stínového souboru by měla být nastavená na 0400. (11.1) |
Popis: Útočník může načíst nebo manipulovat s hashovanými hesly z /etc/shadow, pokud není správně zabezpečený. | Nastavte oprávnění a vlastnictví /etc/shadow* nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms. |
| Oprávnění /etc/shadow- soubor by měla být nastavená na 0400. (11.2) |
Popis: Útočník může načíst nebo manipulovat s hashovanými hesly z /etc/shadow- pokud není správně zabezpečený. | Nastavte oprávnění a vlastnictví /etc/shadow* nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms. |
| Oprávnění souboru /etc/gshadow by měla být nastavená na 0400. (11.3) |
Popis: Útočník by se mohl připojit ke skupinám zabezpečení, pokud tento soubor není správně zabezpečený. | Nastavení oprávnění a vlastnictví /etc/gshadow- nebo spuštění /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms |
| /etc/gshadow– oprávnění k souborům by měla být nastavená na 0400. (11.4) |
Popis: Útočník by se mohl připojit ke skupinám zabezpečení, pokud tento soubor není správně zabezpečený. | Nastavte oprávnění a vlastnictví /etc/gshadow nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| Oprávnění souboru /etc/passwd by měla být 0644 (12.1) |
Popis: Útočník by mohl upravit identifikátory userID a přihlašovací prostředí. | Nastavte oprávnění a vlastnictví /etc/passwd nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms. |
| Oprávnění souboru /etc/group by měla být 0644 (12.2) |
Popis: Útočník může zvýšit oprávnění úpravou členství ve skupině. | Nastavení oprávnění a vlastnictví skupiny /etc/group nebo spuštění /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd– oprávnění k souborům by měla být nastavená na 0600. (12.3) |
Popis: Útočník by se mohl připojit ke skupinám zabezpečení, pokud tento soubor není správně zabezpečený. | Nastavení oprávnění a vlastnictví /etc/passwd- nebo spuštění /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- oprávnění k souborům by měla být 0644 (12.4) |
Popis: Útočník může zvýšit oprávnění úpravou členství ve skupině. | Nastavení oprávnění a vlastnictví /etc/group- nebo spuštění /opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| Přístup ke kořenovému účtu přes su by měl být omezen na kořenovou skupinu. (21) |
Popis: Útočník může eskalovat oprávnění odhadem hesla, pokud su není omezena na uživatele v kořenové skupině. | Spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions. Tento ovládací prvek přidá do souboru /etc/pam.d/su řádek auth required pam_wheel.so use_uid. |
| Kořenová skupina by měla existovat a obsahovat všechny členy, kteří mohou su-root. (22) |
Popis: Útočník může eskalovat oprávnění odhadem hesla, pokud su není omezena na uživatele v kořenové skupině. | Vytvořte kořenovou skupinu pomocí příkazu groupadd -g 0 root. |
| Všechny účty by měly mít heslo. (23.2) |
Popis: Útočník se může přihlásit k účtům bez hesla a spouštět libovolné příkazy. | Použití příkazu passwd k nastavení hesel pro všechny účty |
| Účty kromě kořenového adresáře musí mít jedinečné identifikátory UI Větší než nula(0). (24) |
Popis: Pokud má jiný účet, než je root, nula, útočník by mohl ohrozit účet a získat kořenová oprávnění. | Přiřaďte jedinečné nenulové uidy všem ne rootovým účtům pomocí usermod -u. |
| Mělo by být povolené náhodné umístění oblastí virtuální paměti. (25) |
Popis: Útočník by mohl napsat spustitelný kód do známých oblastí v paměti, což vede ke zvýšení oprávnění. | Přidejte hodnotu 1 nebo 2 do souboru /proc/sys/kernel/randomize_va_space. |
| Měla by být povolena podpora jádra pro funkci procesoru XD/NX. (26) |
Popis: Útočník by mohl způsobit spustitelný kód ze spustitelného kódu z oblastí dat v paměti, což vede ke zvýšení oprávnění. | Potvrďte, že soubor /proc/cpuinfo obsahuje příznak nx. |
| V kořenovém $PATH by se nemělo zobrazovat .. (27.1) |
Popis: Útočník může zvýšit oprávnění umístěním škodlivého souboru do kořenového $PATH | Úprava řádku export PATH=v /root/.profile |
| Domovské adresáře uživatelů by měly být v režimu 750 nebo více omezující. (28) |
Popis: Útočník by mohl načíst citlivé informace z domovských složek jiných uživatelů. | Nastavení oprávnění domovské složky na 750 nebo spuštění /opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| Výchozí umask pro všechny uživatele by měl být nastaven na 077 v login.defs. (29) |
Popis: Útočník by mohl načíst citlivé informace ze souborů vlastněných jinými uživateli. | Spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask. Tím přidáte řádek UMASK 077 do souboru /etc/login.defs. |
| Všechny spouštěcí zavaděče by měly mít povolenou ochranu heslem. (31) |
Popis: Útočník s fyzickým přístupem by mohl upravit možnosti zavaděče spouštění a poskytnout neomezený přístup k systému. | Přidání hesla zavaděče spouštění do souboru /boot/grub/grub.cfg |
| Ujistěte se, že jsou nakonfigurovaná oprávnění ke konfiguraci zavaděče spouštění. (31.1) |
Popis: Nastavení oprávnění ke čtení a zápisu pro kořenový adresář zabrání uživatelům, kteří nejsou root, aby viděli parametry spuštění nebo je změnili. Ne root uživatelé, kteří čtou parametry spouštění, můžou při spuštění identifikovat slabá místa v zabezpečení a mohou je zneužít. | Nastavte vlastníka a skupinu spouštěcího zavaděče na root:root a oprávnění na 0400 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions. |
| Ujistěte se, že ověřování vyžaduje režim jednoho uživatele. (33) |
Popis: Vyžadování ověřování v režimu jednoho uživatele zabrání neoprávněnému uživateli v restartování systému do jednoho uživatele, aby získal kořenové oprávnění bez přihlašovacích údajů. | Spuštěním následujícího příkazu nastavte heslo pro uživatele root: passwd root |
| Ujistěte se, že odesílání přesměrovávání paketů je zakázané. (38.3) |
Popis: Útočník by mohl zneužít napadeného hostitele k odeslání neplatných přesměrování PROTOKOLU ICMP na jiná zařízení směrovačů při pokusu o poškození směrování a mít přístup k systému nastavenému útočníkem na rozdíl od platného systému. | nastavte v souboru /etc/sysctl.conf následující parametry: "net.ipv4.conf.all.send_redirects = 0" a "net.ipv4.conf.default.send_redirects = 0" nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects. |
| Odesílání přesměrování PROTOKOLU ICMP by mělo být zakázané pro všechna rozhraní. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Popis: Útočník by mohl změnit směrovací tabulku tohoto systému a přesměrovat provoz do alternativního cíle. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects. |
| Odesílání přesměrování PROTOKOLU ICMP by mělo být zakázané pro všechna rozhraní. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Popis: Útočník by mohl změnit směrovací tabulku tohoto systému a přesměrovat provoz do alternativního cíle. | Spusťte sysctl -w key=value a nastavte odpovídající hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects. |
| Příjem zdrojových směrovaných paketů by se měl zakázat pro všechna rozhraní. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Popis: Útočník by mohl přesměrovat provoz pro škodlivé účely. | Spusťte sysctl -w key=value a nastavte na vyhovující hodnotu. |
| Příjem zdrojových směrovaných paketů by se měl zakázat pro všechna rozhraní. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Popis: Útočník by mohl přesměrovat provoz pro škodlivé účely. | Spusťte sysctl -w key=value a nastavte na vyhovující hodnotu. |
| Výchozí nastavení pro příjem zdrojových směrovaných paketů by mělo být pro síťová rozhraní zakázané. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Popis: Útočník by mohl přesměrovat provoz pro škodlivé účely. | Spusťte sysctl -w key=value a nastavte na vyhovující hodnotu. |
| Výchozí nastavení pro příjem zdrojových směrovaných paketů by mělo být pro síťová rozhraní zakázané. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Popis: Útočník by mohl přesměrovat provoz pro škodlivé účely. | Spusťte sysctl -w key=value a nastavte na vyhovující hodnotu. |
| Mělo by se povolit ignorování falešných odpovědí ICMP na všesměrové vysílání. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Popis: Útočník by mohl provést útok ICMP, který vede k systému DoS. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses. |
| Je třeba povolit ignorování požadavků odezvy PROTOKOLU ICMP (ping) odesílaných na adresy všesměrového vysílání nebo vícesměrového vysílání. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Popis: Útočník by mohl provést útok ICMP, který vede k systému DoS. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts. |
| Protokolování paketů martiánů (těch s nemožné adresami) by mělo být povolené pro všechna rozhraní. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Popis: Útočník by mohl odesílat provoz z falšovaných adres, aniž by ho zjistila. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians. |
| Pro všechna rozhraní by se mělo povolit ověřování zdroje podle zpětné cesty. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Popis: Systém přijme provoz z adres, které nejsou směrovatelné. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter. |
| Pro všechna rozhraní by se mělo povolit ověřování zdroje podle zpětné cesty. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Popis: Systém přijme provoz z adres, které nejsou směrovatelné. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter. |
| Měly by být povoleny soubory cookie TCP SYN. (net.ipv4.tcp_syncookies = 1) (47) |
Popis: Útočník by mohl provést doS přes TCP. | Spusťte sysctl -w key=value a nastavte vyhovující hodnotu nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies. |
| Systém by neměl fungovat jako síťový sniffer. (48) |
Popis: Útočník může použít promiskuuózní rozhraní k zašifrováním síťového provozu. | Režim promiscuous je povolený prostřednictvím položky promisc v /etc/network/interfaces nebo /etc/rc.local. Zkontrolujte soubory a odeberte tuto položku. |
| Všechna bezdrátová rozhraní by měla být zakázaná. (49) |
Popis: Útočník by mohl vytvořit falešný přístupový bod pro zachycení přenosů. | Ověřte, že jsou všechna bezdrátová rozhraní zakázaná v /etc/network/interfaces. |
| Měl by být povolený protokol IPv6. (50) |
Popis: To je nezbytné pro komunikaci v moderních sítích. | Otevřete soubor /etc/sysctl.conf a potvrďte, že je hodnota net.ipv6.conf.all.disable_ipv6 a net.ipv6.conf.default.disable_ipv6 nastavená na hodnotu 0. |
| Ujistěte se, že je DCCP zakázané. (54) |
Popis: Pokud protokol není povinný, doporučuje se, aby se ovladače nenainstalovali, aby se snížil potenciální prostor pro útok. | Upravte nebo vytvořte soubor v /etc/modprobe.d/ adresáři, který končí na .conf, a přidejte install dccp /bin/true modul dccp nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Ujistěte se, že je SCTP zakázaný. (55) |
Popis: Pokud protokol není povinný, doporučuje se, aby se ovladače nenainstalovali, aby se snížil potenciální prostor pro útok. | Upravte nebo vytvořte soubor v /etc/modprobe.d/ adresáři končícím na .conf a přidejte install sctp /bin/true modul sctp nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Zakažte podporu vzdálené plochy. (56) |
Popis: Útočník by mohl k ohrožení systému použít chybu zabezpečení ve vzdálené sadě RDS. | Upravte nebo vytvořte soubor v /etc/modprobe.d/ adresáři končícím na soubor .conf a pak rozbalte install rds /bin/true modul rds nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Ujistěte se, že je TIPC zakázaný. (57) |
Popis: Pokud protokol není povinný, doporučuje se, aby se ovladače nenainstalovali, aby se snížil potenciální prostor pro útok. | Upravte nebo vytvořte soubor v /etc/modprobe.d/ adresáři končícím na .conf a přidejte install tipc /bin/true modul tipc nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods. |
| Ujistěte se, že je nakonfigurované protokolování. (60) |
Popis: Velké množství důležitých informací souvisejících se zabezpečením se odesílá prostřednictvím rsyslog (například úspěšné a neúspěšné pokusy o přihlášení, neúspěšné pokusy o přihlášení, pokusy o přihlášení uživatele root atd.). |
Podle potřeby nakonfigurujte syslog, rsyslog nebo syslog-ng. |
| Měl by se nainstalovat balíček syslog, rsyslog nebo syslog-ng. (61) |
Popis: Problémy se spolehlivostí a zabezpečením nebudou protokolovány, což brání správné diagnostice. | Nainstalujte balíček rsyslog nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog. |
| Služba systemd-journald by měla být nakonfigurována tak, aby uchovávala zprávy protokolu. (61.1) |
Popis: Problémy se spolehlivostí a zabezpečením nebudou protokolovány, což brání správné diagnostice. | Vytvořte /var/log/journal a ujistěte se, že úložiště v souboru journald.conf je automatické nebo trvalé. |
| Ujistěte se, že je povolená služba protokolování. (62) |
Popis: Je nezbytné mít možnost protokolovat události na uzlu. | Povolení balíčku rsyslog nebo spuštění příkazu /opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog |
| Oprávnění souboru pro všechny soubory protokolu rsyslog by měla být nastavena na 640 nebo 600. (63) |
Popis: Útočník by mohl skrýt aktivitu manipulací s protokoly. | Přidejte řádek $FileCreateMode 0640 do souboru /etc/rsyslog.conf. |
| Ujistěte se, že jsou konfigurační soubory protokolovacího nástroje omezené. (63.1) |
Popis: Je důležité zajistit, aby soubory protokolu existovaly a měly správná oprávnění k zajištění archivace a ochrany citlivých dat syslogu. | Nastavte konfigurační soubory loggeru na 0640 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions. |
| Všechny soubory protokolu rsyslog by měly vlastnit skupina adm. (64) |
Popis: Útočník by mohl skrýt aktivitu manipulací s protokoly. | Přidejte řádek $FileGroup adm do souboru /etc/rsyslog.conf. |
| Všechny soubory protokolu rsyslog by měl vlastnit uživatel syslog. (65) |
Popis: Útočník by mohl skrýt aktivitu manipulací s protokoly. | Přidejte řádek $FileOwner syslog do souboru /etc/rsyslog.conf nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner. |
| Rsyslog by neměl přijímat vzdálené zprávy. (67) |
Popis: Útočník by mohl do syslogu vkládat zprávy, což způsobí, že služba DoS nebo se ruší od jiné aktivity. | Odeberte řádky $ModLoad imudp a $ModLoad imtcp ze souboru /etc/rsyslog.conf. |
| Měla by být povolena služba logrotate (syslog rotater). (68) |
Popis: Protokolovací soubory můžou růst nevázané a spotřebovávat veškeré místo na disku | Nainstalujte balíček logrotate a ověřte, že je položka logrotate cron aktivní (chmod 755 /etc/cron.daily/logrotate; root chown:root /etc/cron.daily/logrotate) |
| Služba rlogin by měla být zakázaná. (69) |
Popis: Útočník by mohl získat přístup a obejít přísné požadavky na ověřování. | Odeberte inetd službu. |
| Zakažte sadu inetd, pokud není vyžadována. (inetd) (70.1) |
Popis: Útočník by mohl zneužít chybu zabezpečení v inetd službě k získání přístupu. | Odinstalace inetd služby (apt-get remove inetd) |
| Pokud není vyžadováno, zakažte xinetd. (xinetd) (70.2) |
Popis: Útočník by mohl zneužít chybu zabezpečení ve službě xinetd k získání přístupu. | Odinstalace inetd služby (apt-get remove xinetd) |
| Nainstalujte inetd pouze v případě, že je to vhodné a vyžaduje vaše distribuce. Zabezpečení podle aktuálních standardů posílení zabezpečení. (v případě potřeby) (71.1) |
Popis: Útočník by mohl zneužít chybu zabezpečení v inetd službě k získání přístupu. | Odinstalace inetd služby (apt-get remove inetd) |
| Nainstalujte xinetd pouze v případě, že je to vhodné a vyžaduje distribuce. Zabezpečení podle aktuálních standardů posílení zabezpečení. (v případě potřeby) (71.2) |
Popis: Útočník by mohl zneužít chybu zabezpečení ve službě xinetd k získání přístupu. | Odinstalace inetd služby (apt-get remove xinetd) |
| Služba telnet by měla být zakázaná. (72) |
Popis: Útočník by mohl odposlouchát nebo zneužovat nešifrované relace telnetu. | Odeberte nebo okomentujte položku telnet v souboru /etc/inetd.conf. |
| Všechny balíčky telnetd by měly být odinstalovány. (73) |
Popis: Útočník by mohl odposlouchát nebo zneužovat nešifrované relace telnetu. | Odinstalace všech balíčků telnetd |
| Služba rcp/rsh by měla být zakázaná. (74) |
Popis: Útočník by mohl odposlouchát nebo zneužovat nešifrované relace. | Odeberte nebo okomentujte položku prostředí v souboru /etc/inetd.conf. |
| Balíček rsh-server by měl být odinstalován. (77) |
Popis: Útočník by mohl odposlouchát nebo zneužovat nešifrované relace rsh. | Odinstalace balíčku rsh-server (apt-get remove rsh-server) |
| Služba ypbind by měla být zakázaná. (78) |
Popis: Útočník by mohl načíst citlivé informace ze služby ypbind. | Odinstalace balíčku nis (apt-get remove nis) |
| Balíček nis by měl být odinstalován. (79) |
Popis: Útočník by mohl načíst citlivé informace ze služby NIS. | Odinstalace balíčku nis (apt-get remove nis) |
| Služba tftp by měla být zakázaná. (80) |
Popis: Útočník by mohl odposlouchát nebo unesl nešifrovanou relaci. | Odeberte položku tftp ze souboru /etc/inetd.conf. |
| Balíček tftpd by měl být odinstalován. (81) |
Popis: Útočník by mohl odposlouchát nebo unesl nešifrovanou relaci. | Odinstalace balíčku tftpd (apt-get remove tftpd) |
| Balíček readahead-fedora by měl být odinstalován. (82) |
Popis: Balíček nevytváří žádnou podstatnou expozici, ale zároveň nepřidá žádnou podstatnou výhodu. | Odinstalace balíčku readahead-fedora (apt-get remove readahead-fedora) |
| Služba Bluetooth/hidd by měla být zakázaná. (84) |
Popis: Útočník by mohl zachycovat bezdrátovou komunikaci nebo s nimi manipulovat. | Odinstalace balíčku Bluetooth (apt-get remove bluetooth) |
| Služba isdn by měla být zakázaná. (86) |
Popis: Útočník by mohl k získání neoprávněného přístupu použít modem. | Odinstalace základního balíčku isdnutils (apt-get remove isdnutils-base) |
| Základní balíček isdnutils by se měl odinstalovat. (87) |
Popis: Útočník by mohl k získání neoprávněného přístupu použít modem. | Odinstalace základního balíčku isdnutils (apt-get remove isdnutils-base) |
| Služba kdump by měla být zakázaná. (88) |
Popis: Útočník by mohl analyzovat chybu předchozího systému, aby načetl citlivé informace. | Odinstalace balíčku kdump-tools (apt-get remove kdump-tools) |
| Sítě Zeroconf by měly být zakázány. (89) |
Popis: Útočník by to mohl zneužít k získání informací o síťových systémech nebo falšování požadavků DNS kvůli chybám v modelu důvěryhodnosti. | Pro RedHat, CentOS a Oracle: Přidejte NOZEROCONF=yes or no do /etc/sysconfig/network. Pro všechny ostatní distribuce: Odeberte všechny položky ipv4ll v souboru /etc/network/interfaces nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf. |
| Služba crond by měla být povolena. (90) |
Popis: Cron vyžaduje téměř všechny systémy pro běžné úlohy údržby | Nainstalujte balíček cron (apt-get install -y cron) a potvrďte, že soubor /etc/init/cron.conf obsahuje řádek start on runlevel [2345]. |
| Oprávnění souboru pro /etc/anacrontab by měla být nastavena na root:root 600. (91) |
Popis: Útočník by mohl s tímto souborem manipulovat, aby zabránil naplánovaným úlohám nebo mohl spouštět škodlivé úkoly. | Nastavte vlastnictví a oprávnění na /etc/anacrontab nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.d. (93) |
Popis: Udělení přístupu k zápisu do tohoto adresáře pro neprivilegované uživatele by jim mohlo poskytnout prostředky pro získání neoprávněných zvýšených oprávnění. Udělení přístupu pro čtení k tomuto adresáři by mohlo poskytnout neprivilegovaným uživatelům přehled o tom, jak získat zvýšená oprávnění nebo obejít kontrolní mechanismy auditování. | Nastavte vlastníka a skupinu /etc/chron.d na root a oprávnění na 0700 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms. |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.daily. (94) |
Popis: Udělení přístupu k zápisu do tohoto adresáře pro neprivilegované uživatele by jim mohlo poskytnout prostředky pro získání neoprávněných zvýšených oprávnění. Udělení přístupu pro čtení k tomuto adresáři by mohlo poskytnout neprivilegovaným uživatelům přehled o tom, jak získat zvýšená oprávnění nebo obejít kontrolní mechanismy auditování. | Nastavte vlastníka a skupinu /etc/chron.daily na kořen a oprávnění 0700 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.hourly. (95) |
Popis: Udělení přístupu k zápisu do tohoto adresáře pro neprivilegované uživatele by jim mohlo poskytnout prostředky pro získání neoprávněných zvýšených oprávnění. Udělení přístupu pro čtení k tomuto adresáři by mohlo poskytnout neprivilegovaným uživatelům přehled o tom, jak získat zvýšená oprávnění nebo obejít kontrolní mechanismy auditování. | Nastavte vlastníka a skupinu /etc/chron.hourly na kořen a oprávnění na 0700 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.monthly. (96) |
Popis: Udělení přístupu k zápisu do tohoto adresáře pro neprivilegované uživatele by jim mohlo poskytnout prostředky pro získání neoprávněných zvýšených oprávnění. Udělení přístupu pro čtení k tomuto adresáři by mohlo poskytnout neprivilegovaným uživatelům přehled o tom, jak získat zvýšená oprávnění nebo obejít kontrolní mechanismy auditování. | Nastavte vlastníka a skupinu /etc/chron.monthly na kořen a oprávnění na 0700 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Ujistěte se, že jsou nakonfigurovaná oprávnění pro /etc/cron.weekly. (97) |
Popis: Udělení přístupu k zápisu do tohoto adresáře pro neprivilegované uživatele by jim mohlo poskytnout prostředky pro získání neoprávněných zvýšených oprávnění. Udělení přístupu pro čtení k tomuto adresáři by mohlo poskytnout neprivilegovaným uživatelům přehled o tom, jak získat zvýšená oprávnění nebo obejít kontrolní mechanismy auditování. | Nastavte vlastníka a skupinu /etc/chron.weekly na kořen a oprávnění na 0700 nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Ujistěte se, že je na autorizovaných uživatelích omezena možnost at/cron. (98) |
Popis: V mnoha systémech má oprávnění k plánování cron úloh pouze správce systému. cron.allow Pomocí souboru můžete řídit, kdo může spouštět cron úlohy, vynucuje tuto zásadu. Správa seznamu povolených uživatelů je jednodušší než seznam odepření. V seznamu odepřít můžete potenciálně přidat ID uživatele do systému a zapomenout ho přidat do souborů zamítnutí. |
Nahraďte /etc/cron.deny a /etc/at.deny příslušnými allow soubory nebo spusťte //opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow. |
| Pro splnění osvědčených postupů musí být nakonfigurovaný a spravovaný protokol SSH. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Popis: Útočník by mohl k získání přístupu použít chyby ve starší verzi protokolu SSH. | Spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol. Tím se v souboru /etc/ssh/sshd_config nastaví protokol 2. |
| Pro splnění osvědčených postupů musí být nakonfigurovaný a spravovaný protokol SSH. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Popis: Útočník by mohl k získání přístupu použít chyby v protokolu Rhosts. | Spusťte příkaz /usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts. Tím přidáte řádek IgnoreRhosts yes do souboru /etc/ssh/sshd_config. |
| Ujistěte se, že je úroveň protokolu SSH nastavená na INFO. (106.5) |
Popis: SSH poskytuje několik úrovní protokolování s různými objemy podrobností. DEBUG se nedoporučuje jinak než výhradně pro ladění komunikace SSH, protože poskytuje tolik dat, že je obtížné identifikovat důležité informace o zabezpečení. INFO úroveň je základní úroveň, která zaznamenává pouze přihlašovací aktivitu uživatelů SSH. V mnoha situacích, jako je reakce na incidenty, je důležité určit, kdy byl konkrétní uživatel v systému aktivní. Záznam odhlášení může eliminovat uživatele, kteří se odpojili, což pomáhá zúžit pole. |
/etc/ssh/sshd_config Upravte soubor tak, aby nastavil parametr následujícím způsobem: LogLevel INFO |
| Ujistěte se, že je SSH MaxAuthTries nastavená na 6 nebo méně. (106.7) |
Popis: Nastavení parametru MaxAuthTries na nízké číslo minimalizuje riziko úspěšných útoků hrubou silou na server SSH. I když je doporučené nastavení 4, nastavte číslo na základě zásad webu. |
Ujistěte se, že je SSH MaxAuthTries nastavená na hodnotu 6 nebo méně, upravte /etc/ssh/sshd_config soubor a nastavte parametr následujícím způsobem: MaxAuthTries 6 |
| Ujistěte se, že je omezený přístup SSH. (106.11) |
Popis: Omezení, kteří uživatelé můžou vzdáleně přistupovat k systému přes SSH, pomůže zajistit, aby k systému měli přístup jenom autorizovaní uživatelé. | Ujistěte se, že přístup SSH je omezený, upravte /etc/ssh/sshd_config soubor tak, aby nastavil jeden nebo více parametrů následujícím způsobem: AllowUsers AllowGroups DenyUsers DenyGroups |
| Emulace příkazu rsh prostřednictvím serveru ssh by měla být zakázána. - '/etc/ssh/sshd_config RhostsRSAAuthentication = ne' (107) |
Popis: Útočník by mohl k získání přístupu použít chyby v protokolu RHosts. | Spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth. Tím se do souboru /etc/ssh/sshd_config přidá řádek RhostsRSAAuthentication no. |
| Ověřování na základě hostitele SSH by mělo být zakázané. - '/etc/ssh/sshd_config HostbasedAuthentication = ne' (108) |
Popis: Útočník by mohl použít ověřování na základě hostitele k získání přístupu z ohroženého hostitele. | Spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth. Tím přidáte řádek HostbasedAuthentication no do souboru /etc/ssh/sshd_config. |
| Kořenové přihlášení přes SSH by mělo být zakázané. - '/etc/ssh/sshd_config PermitRootLogin = ne' (109) |
Popis: Útočník by mohl hrubou silou vynutit kořenové heslo nebo skrýt historii příkazů tak, že se přihlásí přímo jako root. | Spusťte příkaz /usr/local/bin/azsecd remediate -r disable-ssh-root-login. Tím přidáte řádek PermitRootLogin no do souboru /etc/ssh/sshd_config. |
| Vzdálená připojení z účtů s prázdnými hesly by měla být zakázaná. - '/etc/ssh/sshd_config PermitEmptyPasswords = ne' (110) |
Popis: Útočník by mohl získat přístup prostřednictvím odhadu hesla. | Spusťte příkaz /usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords. Tím přidáte řádek PermitEmptyPasswords no do souboru /etc/ssh/sshd_config. |
| Ujistěte se, že je nakonfigurovaný interval časového limitu nečinnosti SSH. (110.1) |
Popis: Žádná hodnota časového limitu přidružená k připojení by mohla umožnit neoprávněnému uživateli přístup k relaci ssh jiného uživatele. Nastavení hodnoty časového limitu alespoň snižuje riziko, že k tomu dochází. I když je doporučené nastavení 300 sekund (5 minut), nastavte tuto hodnotu časového limitu na základě zásad webu. Doporučené nastavení je ClientAliveCountMax 0. V takovém případě se relace klienta ukončí po 5 minutách nečinnosti a nebudou odeslány žádné zprávy o zachování. |
Upravte soubor /etc/ssh/sshd_config a nastavte parametry podle zásad. |
| Ujistěte se, že je SSH LoginGraceTime nastavený na jednu nebo méně minutu. (110.2) |
Popis: Nastavení parametru LoginGraceTime na nízké číslo minimalizuje riziko úspěšných útoků hrubou silou na server SSH. Omezí se také počet souběžných neověřených připojení, zatímco doporučené nastavení je 60 sekund (1 minuta), nastavte číslo na základě zásad webu. |
Upravte soubor /etc/ssh/sshd_config a nastavte parametry podle zásad nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time. |
| Ujistěte se, že se používají jenom schválené algoritmy MAC. (110.3) |
Popis: Algoritmy MD5 a 96bitového mac jsou považovány za slabé a ukázaly se, že zvyšují zneužití při útocích downgradu SSH. Slabé algoritmy mají stále velkou pozornost jako slabé místo, které lze využít s rozšířeným výpočetním výkonem. Útočník, který přeruší algoritmus, by mohl využít výhod pozice MiTM k dešifrování tunelu SSH a zachycení přihlašovacích údajů a informací. | Upravte soubor /etc/sshd_config a přidejte nebo upravte řádek mac tak, aby obsahoval čárkami oddělený seznam schválených řadičů MAC, nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r configure-macs. |
| Ujistěte se, že je banner upozornění vzdáleného přihlášení správně nakonfigurovaný. (111) |
Popis: Zprávy s upozorněním informují uživatele, kteří se pokoušejí přihlásit k systému svého právního stavu týkající se systému, a musí obsahovat název organizace, která vlastní systém, a všechny zavedené zásady monitorování. Zobrazení informací na úrovni operačního systému a oprav v přihlašovacích bannerech má také vedlejší vliv na poskytování podrobných systémových informací útočníkům, kteří se pokoušejí cílit na konkrétní zneužití systému. Oprávnění uživatelé můžou tyto informace snadno získat spuštěním uname -apříkazu po přihlášení. |
Odeberte všechny instance \m \r \s a \v ze souboru /etc/issue.net. |
| Ujistěte se, že je banner s upozorněním místního přihlášení správně nakonfigurovaný. (111.1) |
Popis: Zprávy s upozorněním informují uživatele, kteří se pokoušejí přihlásit k systému svého právního stavu týkající se systému, a musí obsahovat název organizace, která vlastní systém, a všechny zavedené zásady monitorování. Zobrazení informací na úrovni operačního systému a oprav v přihlašovacích bannerech má také vedlejší vliv na poskytování podrobných systémových informací útočníkům, kteří se pokoušejí cílit na konkrétní zneužití systému. Oprávnění uživatelé můžou tyto informace snadno získat spuštěním uname -apříkazu po přihlášení. |
Odeberte všechny instance \m \r \s a \v ze souboru /etc/issue. |
| Měl by být povolený banner s upozorněním SSH. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Popis: Uživatelé nebudou upozorněni, že jsou monitorovány jejich akce v systému. | Spusťte příkaz /usr/local/bin/azsecd remediate -r configure-ssh-banner. Tím přidáte řádek Banner /etc/azsec/banner.txt do souboru /etc/ssh/sshd_config. |
| Uživatelé nemůžou nastavit možnosti prostředí pro SSH. (112) |
Popis: Útočník může obejít některá omezení přístupu přes SSH. | Odeberte řádek PermitUserEnvironment yes ze souboru /etc/ssh/sshd_config. |
| Vhodné šifry by se měly používat pro SSH. (Šifry aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Popis: Útočník by mohl ohrozit slabě zabezpečené připojení SSH. | Spusťte příkaz /usr/local/bin/azsecd remediate -r configure-ssh-ciphers. Tím se přidá řádek Ciphers aes128-ctr,aes192-ctr,aes256-ctr' do souboru /etc/ssh/sshd_config. |
| Služba avahi-démon by měla být zakázaná. (114) |
Popis: Útočník by mohl k získání přístupu použít chybu zabezpečení démona avahi. | Zakažte službu avahi-daemon nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon. |
| Služba cups by měla být zakázaná. (115) |
Popis: Útočník může ke zvýšení oprávnění použít chybu ve službě Cups. | Zakažte službu Cups nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-cups. |
| Služba isc-dhcpd by měla být zakázaná. (116) |
Popis: Útočník by mohl použít dhcpd k poskytnutí vadných informací klientům, které zasahují do normálního provozu. | Odebrání balíčku isc-dhcp-server (apt-get remove isc-dhcp-server) |
| Balíček isc-dhcp-server by se měl odinstalovat. (117) |
Popis: Útočník by mohl použít dhcpd k poskytnutí vadných informací klientům, které zasahují do normálního provozu. | Odebrání balíčku isc-dhcp-server (apt-get remove isc-dhcp-server) |
| Balíček sendmail by měl být odinstalován. (120) |
Popis: Útočník by mohl tento systém použít k odesílání e-mailů se zlými úmysly jiným uživatelům. | Odinstalace balíčku sendmail (apt-get remove sendmail) |
| Balíček přípony by měl být odinstalován. (121) |
Popis: Útočník by mohl tento systém použít k odesílání e-mailů se zlými úmysly jiným uživatelům. | Odinstalujte balíček přípony (apt-get remove postfix) nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix. |
| Podle potřeby by mělo být zakázané naslouchacímu poslechu sítě. (122) |
Popis: Útočník by mohl tento systém použít k odesílání e-mailů se zlými úmysly jiným uživatelům. | Přidejte řádek inet_interfaces localhost do souboru /etc/postfix/main.cf. |
| Služba LDAP by měla být zakázaná. (124) |
Popis: Útočník by mohl manipulovat se službou LDAP na tomto hostiteli, aby distribuoval falešná data klientům LDAP. | Odinstalace balíčku slapd (apt-get remove slapd) |
| Služba rpcgssd by měla být zakázaná. (126) |
Popis: Útočník by mohl k získání přístupu použít chybu v rpcgssd/nfs. | Zakažte službu rpcgssd nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd. |
| Služba rpcidmapd by měla být zakázaná. (127) |
Popis: Útočník by mohl k získání přístupu použít chybu v idmapd/nfs. | Zakažte službu rpcidmapd nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd. |
| Služba mapy portů by měla být zakázaná. (129.1) |
Popis: Útočník by mohl k získání přístupu použít chybu v mapě portu. | Zakažte službu rpcbind nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind. |
| Služba systému souborů NFS (Network File System) by měla být zakázaná. (129.2) |
Popis: Útočník by mohl použít nfs k připojení sdílených složek a spouštění/kopírování souborů. | Zakažte službu nfs nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs. |
| Služba rpcsvcgssd by měla být zakázaná. (130) |
Popis: Útočník by mohl k získání přístupu použít chybu v rpcsvcgssd. | Odeberte řádek "NEED_SVCGSSD = yes" ze souboru /etc/inetd.conf. |
| Pojmenovaná služba by měla být zakázaná. (131) |
Popis: Útočník by mohl pomocí služby DNS distribuovat falešná data klientům. | Odinstalace balíčku bind9 (apt-get remove bind9) |
| Balíček vazby by měl být odinstalován. (132) |
Popis: Útočník by mohl pomocí služby DNS distribuovat falešná data klientům. | Odinstalace balíčku bind9 (apt-get remove bind9) |
| Služba dovecot by měla být zakázaná. (137) |
Popis: Systém se dá použít jako server IMAP/POP3. | Odinstalace balíčku dovecot-core (apt-get remove dovecot-core) |
| Balíček dovecot by měl být odinstalován. (138) |
Popis: Systém se dá použít jako server IMAP/POP3. | Odinstalace balíčku dovecot-core (apt-get remove dovecot-core) |
Ujistěte se, že v /etc/passwd neexistují žádné starší + položky.(156.1) |
Popis: Útočník by mohl získat přístup pomocí uživatelského jména +bez hesla. | Odeberte všechny položky v /etc/passwd, které začínají na +:. |
Ujistěte se, že ve stínu /etc/neexistují žádné starší + položky.(156.2) |
Popis: Útočník by mohl získat přístup pomocí uživatelského jména +bez hesla. | Odeberte všechny položky ve stínu /etc/, které začínají na +:. |
Ujistěte se, že ve skupině /etc/neexistují žádné starší + položky.(156.3) |
Popis: Útočník by mohl získat přístup pomocí uživatelského jména +bez hesla. | Odeberte všechny položky ve skupině /etc/, které začínají na +:. |
| Ujistěte se, že vypršení platnosti hesla je 365 dnů nebo méně. (157.1) |
Popis: Snížení maximálního stáří hesla také snižuje okno příležitostí útočníka využít ohrožené přihlašovací údaje nebo úspěšně ohrozit přihlašovací údaje prostřednictvím online útoku hrubou silou. | PASS_MAX_DAYS Nastavte parametr na maximálně 365 v /etc/login.defs nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days. |
| Ujistěte se, že dny upozornění na vypršení platnosti hesla jsou 7 nebo více. (157.2) |
Popis: Poskytnutí předběžného upozornění, že platnost hesla vyprší, dává uživatelům čas si představit zabezpečené heslo. Uživatelé si neuvědomili, že si můžou vybrat jednoduché heslo nebo si ho zapsat tam, kde se může objevit. | PASS_WARN_AGE Nastavte parametr na hodnotu 7 nebo /etc/login.defs spusťte /opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age. |
| Ujistěte se, že je opakované použití hesla omezené. (157.5) |
Popis: Vynucení toho, aby uživatelé nemuseli opakovaně používat posledních pět hesel, je méně pravděpodobné, že útočník bude moct heslo uhodnout. | Ujistěte se, že je možnost zapamatovat nastavená na alespoň 5 v /etc/pam.d/common-password nebo /etc/pam.d/password_auth a /etc/pam.d/system_auth nebo spusťte /opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history. |
| Ujistěte se, že algoritmus hash hesel je SHA-512. (157.11) |
Popis: Algoritmus SHA-512 poskytuje mnohem silnější hashování než MD5, čímž systému poskytuje dodatečnou ochranu zvýšením úsilí útočníka o úspěšné určení hesel. Poznámka: Tyto změny platí jenom pro účty nakonfigurované v místním systému. | Nastavte algoritmus hash hesel na sha512. Mnoho distribucí poskytuje nástroje pro aktualizaci konfigurace PAM. Podrobnosti najdete v dokumentaci. Pokud není k dispozici žádný nástroj, upravte příslušný /etc/pam.d/ konfigurační soubor a přidejte nebo upravte pam_unix.so řádky tak, aby zahrnovaly možnost sha512: password sufficient pam_unix.so sha512 |
| Ujistěte se, že minimální počet dnů mezi změnami hesla je 7 nebo více. (157.12) |
Popis: Omezením četnosti změn hesel může správce zabránit uživatelům v opakované změně hesla při pokusu o obejití ovládacích prvků pro opakované použití hesla. | PASS_MIN_DAYS Nastavte parametr na hodnotu 7 v /etc/login.defs: PASS_MIN_DAYS 7. Upravte uživatelské parametry pro všechny uživatele s nastaveným heslem tak, aby odpovídaly: chage --mindays 7 nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days. |
| Ujistěte se, že je datum poslední změny hesla všech uživatelů v minulosti. (157.14) |
Popis: Pokud je datum změny hesla zaznamenané uživatelem v budoucnu, mohli by obejít jakékoli nastavené vypršení platnosti hesla. | Ujistěte se, že neaktivní zámek hesla je 30 dnů nebo méně. Spuštěním následujícího příkazu nastavte výchozí dobu nečinnosti hesla na 30 dnů: # useradd -D -f 30 Upravte parametry uživatele pro všechny uživatele s nastaveným heslem, aby odpovídaly: # chage --inactive 30 |
| Ujistěte se, že systémové účty nejsou přihlášení. (157.15) |
Popis: Je důležité se ujistit, že účty, které nepoužívají běžní uživatelé, nebudou použity k poskytování interaktivního prostředí. Ve výchozím nastavení Ubuntu nastaví pole hesla pro tyto účty na neplatný řetězec, ale doporučuje se také, aby pole prostředí v souboru s heslem bylo nastaveno na /usr/sbin/nologin. Tím zabráníte, aby se účet potenciálně použil ke spuštění libovolných příkazů. |
Nastavte prostředí pro všechny účty vrácené skriptem auditu na /sbin/nologin |
| Ujistěte se, že výchozí skupina kořenového účtu je GID 0. (157.16) |
Popis: Použití GID 0 pro _root_ účet pomáhá zabránit _root_nechtěnému zpřístupnění souborů vlastněných neprivilegovaným uživatelům. |
Spuštěním následujícího příkazu nastavte root výchozí skupinu uživatele na GID 0 : # usermod -g 0 root |
| Ujistěte se, že kořenovým účtem je jediný účet UID 0. (157.18) |
Popis: Tento přístup musí být omezen pouze na výchozí root účet a pouze ze systémové konzoly. Správa istrativní přístup musí být prostřednictvím neprivilegovaného účtu pomocí schváleného mechanismu. |
Pokud je to vhodné, odeberte všechny uživatele kromě root UID 0 nebo jim přiřaďte nové UID. |
| Odebrání nepotřebných účtů (159) |
Popis: Dodržování předpisů | Odebrání nepotřebných účtů |
| Ujistěte se, že je povolená auditovaná služba. (162) |
Popis: Zachytávání systémových událostí poskytuje správcům systému informace, které jim umožní určit, jestli dochází k neoprávněnému přístupu k systému. | Instalace balíčku auditu (povolení auditování systemctl) |
| Spuštění služby AuditD (163) |
Popis: Zachytávání systémových událostí poskytuje správcům systému informace, které jim umožní určit, jestli dochází k neoprávněnému přístupu k systému. | Spuštění služby AuditD (spuštění auditování systemctl) |
| Ujistěte se, že server SNMP není povolený. (179) |
Popis: Server SNMP může komunikovat pomocí protokolu SNMP v1, který přenáší data v jasné podobě a nevyžaduje ověřování ke spouštění příkazů. Pokud to není nezbytně nutné, doporučuje se, aby se služba SNMP nepoužívala. Pokud je vyžadován protokol SNMP, měl by být server nakonfigurovaný tak, aby nepovoloval protokol SNMP v1. | Spuštěním jednoho z následujících příkazů zakažte snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Ujistěte se, že není povolená služba rsync. (181) |
Popis: Služba rsyncd představuje bezpečnostní riziko, protože ke komunikaci používá nešifrované protokoly. |
Spuštěním jednoho z následujících příkazů zakažte rsyncd : chkconfig rsyncd off, systemctl disable rsyncdupdate-rc.d rsyncd disable nebo spusťte příkaz /opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync. |
| Ujistěte se, že server NIS není povolený. (182) |
Popis: Služba NIS je ze své podstaty nezabezpečený systém, který je zranitelný vůči útokům DOS, přetečení vyrovnávací paměti a má špatné ověřování pro dotazování map NIS. NIS se obvykle nahrazuje protokoly, jako je protokol LDAP (Lightweight Directory Access Protocol). Doporučuje se, aby byla služba zakázaná a lépe zabezpečená. | Spuštěním jednoho z následujících příkazů zakažte ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Ujistěte se, že není nainstalovaný klient rsh. (183) |
Popis: Tito starší klienti obsahují řadu ohrožení zabezpečení a byli nahrazeni bezpečnějším balíčkem SSH. I když je server odebraný, je nejlepší zajistit, aby se klienti odebrali, aby se zabránilo neúmyslným pokusům o použití těchto příkazů a zveřejněním jejich přihlašovacích údajů. Všimněte si, že odebráním rsh balíčku odeberete klienty pro rshrcp a rlogin. |
Odinstalujte rsh pomocí příslušného správce balíčků nebo ruční instalace: yum remove rshapt-get remove rshzypper remove rsh |
| Zakázání protokolu SMB V1 pomocí Samba (185) |
Popis: Protokol SMB v1 má dobře známé závažné chyby zabezpečení a nešifruje přenášená data. Pokud se musí používat z obchodních důvodů, důrazně doporučujeme provést další kroky ke zmírnění rizik spojených s tímto protokolem. | Pokud Samba není spuštěný, odeberte balíček, jinak by měl existovat řádek v části [global] souboru /etc/samba/smb.conf: min protocol = SMB2 nebo run '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Poznámka:
Dostupnost konkrétních nastavení konfigurace hosta služby Azure Policy se může lišit v Azure Government a dalších národních cloudech.
Další kroky
Další články o službě Azure Policy a konfiguraci hosta:
- Konfigurace hosta služby Azure Policy
- Přehled dodržování právních předpisů
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.