Linux-Sicherheitsbaseline
Achtung
In diesem Artikel wird auf CentOS verwiesen, eine Linux-Verteilung, die den Status "End Of Life" (EOL) aufweist. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
In diesem Artikel werden die jeweils anwendbaren Konfigurationseinstellungen für Linux-Gäste in den folgenden Implementierungen beschrieben:
- [Vorschau]: Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Azure Policy-Gastkonfigurationsdefinition
- Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern müssen entschärft werden in Microsoft Defender for Cloud
Weitere Informationen finden Sie unter Informationen zu Guest Configuration von Azure Policy und Übersicht über den Azure-Sicherheitsvergleichstest (V2).
Allgemeine Sicherheitskontrollen
| name (CCEID) |
Details | Korrekturmaßnahme |
|---|---|---|
| Ensure nodev option set on /home partition (Sicherstellen, dass die Option „nodev“ für die Partition „/home“ festgelegt ist) (1.1.4) |
Beschreibung: Ein Angreifer bindet möglicherweise ein spezielles Gerät (z. B. ein Block- oder Zeichengerät) in der Partition „/home“ ein. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „nodev“ für die Partition „/home“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure nodev option set on /tmp partition (Sicherstellen, dass die Option „nodev“ für die Partition „/tmp“ festgelegt ist) (1.1.5) |
Beschreibung: Ein Angreifer bindet möglicherweise ein spezielles Gerät (z. B. ein Block- oder Zeichengerät) in der Partition „/tmp“ ein. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „nodev“ für die Partition „/tmp“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure nodev option set on /var/tmp partition (Sicherstellen, dass die Option „nodev“ für die Partition „/var/tmp“ festgelegt ist) (1.1.6) |
Beschreibung: Ein Angreifer bindet möglicherweise ein spezielles Gerät (z. B. ein Block- oder Zeichengerät) in der Partition „/var/tmp“ ein. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „nodev“ für die Partition „/var/tmp“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure nosuid option set on /tmp partition (Sicherstellen, dass die Option „nosuid“ für die Partition „/tmp“ festgelegt ist) (1.1.7) |
Beschreibung: Da das /tmp-Dateisystem nur für temporären Dateispeicher vorgesehen ist, legen Sie diese Option fest, damit Benutzer keine setuid-Dateien in „/var/tmp“ erstellen können. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „nosuid“ für die Partition „/tmp“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure nosuid option set on /var/tmp partition (Sicherstellen, dass die Option „nosuid“ für die Partition „/var/temp“ festgelegt ist) (1.1.8) |
Beschreibung: Da das /var/tmp-Dateisystem nur für temporären Dateispeicher vorgesehen ist, legen Sie diese Option fest, damit Benutzer keine setuid-Dateien in „/var/tmp“ erstellen können. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „nosuid“ für die Partition „/var/tmp“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure noexec option set on /var/tmp partition (Sicherstellen, dass die Option „noexec“ für die Partition „/var/tmp“ festgelegt ist) (1.1.9) |
Beschreibung: Da das /var/tmp-Dateisystem nur für temporären Dateispeicher vorgesehen ist, legen Sie diese Option fest, damit Benutzer keine ausführbaren Binärdateien über /var/tmp ausführen können. |
Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „noexec“ für die Partition „/var/tmp“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure noexec option set on /dev/shm partition (Sicherstellen, dass die Option „noexec“ für die Partition „/dev/shm“ festgelegt ist) (1.1.16) |
Beschreibung: Durch Festlegen dieser Option für ein Dateisystem wird verhindert, dass Benutzer Programme über den gemeinsam genutzten Speicherbereich ausführen. Durch dieses Steuerelement werden Benutzer an der Einschleusung potenziell bösartiger Software in das System gehindert. | Bearbeiten Sie die Datei „/etc/fstab“, und fügen Sie dem vierten Feld (Einbindungsoptionen) „noexec“ für die Partition „/dev/shm“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Disable automounting (Automatisches Einbinden deaktivieren) (1.1.21) |
Beschreibung: Wenn die automatische Einbindung aktiviert ist, kann jede Person mit physischem Zugriff ein USB-Laufwerk oder einen Datenträger anschließen und im System darüber verfügen, auch wenn sie über keine Berechtigungen zum Einbinden verfügt. | Deaktivieren Sie den autofs-Dienst oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs“ aus. |
| Ensure mounting of USB storage devices is disabled (Sicherstellen, dass die Einbindung von USB-Speichergeräten deaktiviert ist) (1.1.21.1) |
Beschreibung: Wenn USB-Speichergeräte nicht unterstützt werden, verringert sich die lokale Angriffsfläche des Servers. | Bearbeiten oder erstellen Sie im Verzeichnis /etc/modprobe.d/ eine CONF-Datei, und fügen Sie install usb-storage /bin/true hinzu. Entladen Sie dann das Modul „usb-storage“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Ensure core dumps are restricted (Sicherstellen, dass Kernspeicherabbilder eingeschränkt sind) (1.5.1) |
Beschreibung: Durch Festlegen eines festen Limits für Kernspeicherabbilder wird verhindert, dass Benutzer die Variable überschreiben. Wenn Kernspeicherabbilder erforderlich sind, sollten Sie Limits für Benutzergruppen festlegen (siehe limits.conf(5)). Außerdem wird durch Festlegen der Variablen fs.suid_dumpable auf 0 verhindert, dass setuid-Programme Kernspeicherabbilder erstellen. |
Fügen Sie hard core 0 zu „/etc/security/limits.conf“ oder einer Datei im Verzeichnis „limits.d“ hinzu, und legen Sie fs.suid_dumpable = 0 in sysctl fest. Oder führen Sie „opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps“ aus. |
| Ensure prelink is disabled (Sicherstellen, dass Prelinking deaktiviert ist) (1.5.4) |
Beschreibung: Das Prelinking-Feature kann die Funktion von AIDE beeinträchtigen, da es Binärdateien ändert. Prelinking kann zudem das Sicherheitsrisiko für das System erhöhen, wenn ein böswilliger Benutzer eine gemeinsame Bibliothek, z. B. libc, kompromittieren kann. | Deinstallieren Sie prelink mithilfe des Paket-Managers, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink“ aus. |
| Ensure permissions on /etc/motd are configured (Sicherstellen, dass Berechtigungen für „/etc/motd“ konfiguriert sind) (1.7.1.4) |
Beschreibung: Wenn für die Datei /etc/motd nicht die richtigen Besitzrechte vorhanden sind, kann sie von nicht autorisierten Benutzern mit falschen oder irreführenden Informationen geändert werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/motd“ auf „root“ fest, und legen Sie die Berechtigungen auf „0644“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions“ aus. |
| Ensure permissions on /etc/issue are configured (Sicherstellen, dass Berechtigungen für „/etc/issue“ konfiguriert sind) (1.7.1.5) |
Beschreibung: Wenn für die Datei /etc/issue nicht die richtigen Besitzrechte vorhanden sind, kann sie von nicht autorisierten Benutzern mit falschen oder irreführenden Informationen geändert werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/issue“ auf „root“ fest, und legen Sie die Berechtigungen auf „0644“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions“ aus. |
| Ensure permissions on /etc/issue.net are configured (Sicherstellen, dass Berechtigungen für „/etc/issue.net“ konfiguriert sind) (1.7.1.6) |
Beschreibung: Wenn für die Datei /etc/issue.net nicht die richtigen Besitzrechte vorhanden sind, kann sie von nicht autorisierten Benutzern mit falschen oder irreführenden Informationen geändert werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/issue.net“ auf „root“ fest, und legen Sie die Berechtigungen auf „0644“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions“ aus. |
| The nodev option should be enabled for all removable media. (Die nodev-Option muss für alle Wechselmedien aktiviert sein.) (2.1) |
Beschreibung: Ein Angreifer bindet möglicherweise über Wechselmedien ein spezielles Gerät (z. B. ein Block- oder Zeichengerät) ein. | Fügen Sie dem vierten Feld (Einbindungsoptionen) in „/etc/fstab“ die Option „nodev“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| The noexec option should be enabled for all removable media. (Die Option „noexec“ muss für alle Wechselmedien aktiviert sein.) (2.2) |
Beschreibung: Ein Angreifer kann über Wechselmedien eine ausführbare Datei laden. | Fügen Sie dem vierten Feld (Einbindungsoptionen) in „/etc/fstab“ die Option „noexec“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| The nosuid option should be enabled for all removable media. (Die Option „nosuid“ muss für alle Wechselmedien aktiviert sein.) (2.3) |
Beschreibung: Ein Angreifer kann über Wechselmedien Dateien laden, die mit erweitertem Sicherheitskontext ausgeführt werden. | Fügen Sie dem vierten Feld (Einbindungsoptionen) in „/etc/fstab“ die Option „nosuid“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Ensure talk client is not installed (Sicherstellen, dass der talk-Client nicht installiert ist) (2.3.3) |
Beschreibung: Die Software stellt ein Sicherheitsrisiko dar, da sie unverschlüsselte Protokolle für die Kommunikation verwendet. | Deinstallieren Sie talk oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk“ aus. |
| Ensure permissions on /etc/hosts.allow are configured (Sicherstellen, dass Berechtigungen für „/etc/hosts.allow“ konfiguriert sind) (3.4.4) |
Beschreibung: Es muss unbedingt sichergestellt werden, dass die Datei /etc/hosts.allow vor nicht autorisiertem Schreibzugriff geschützt ist. Obwohl sie standardmäßig geschützt ist, können die Dateiberechtigungen entweder versehentlich oder durch böswillige Aktionen geändert werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/hosts.allow“ auf „root“ und die Berechtigungen auf „0644“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions“ aus. |
| Ensure permissions on /etc/hosts.deny are configured (Sicherstellen, dass Berechtigungen für „/etc/hosts.deny“ konfiguriert sind) (3.4.5) |
Beschreibung: Es muss unbedingt sichergestellt werden, dass die Datei /etc/hosts.deny vor nicht autorisiertem Schreibzugriff geschützt ist. Obwohl sie standardmäßig geschützt ist, können die Dateiberechtigungen entweder versehentlich oder durch böswillige Aktionen geändert werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/hosts.deny“ auf „root“ und die Berechtigungen auf „0644“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions“ aus. |
| Ensure default deny firewall policy (Richtlinie für standardmäßiges Verweigern sicherstellen) (3.6.2) |
Beschreibung: Die Firewall akzeptiert bei einer Standard-Akzeptanzrichtlinie alle Pakete, die nicht explizit abgelehnt werden. Es ist einfacher, eine sichere Firewall mit einer DROP-Standardrichtlinie als mit einer Standard-Zulassungsrichtlinie zu verwalten. | Legen Sie die Standardrichtlinie für eingehenden, ausgehenden und weitergeleiteten Datenverkehr mit der Firewallsoftware auf deny bzw. reject fest. |
| The nodev/nosuid option should be enabled for all NFS mounts. (Die Option „nodev/nosuid“ sollte für alle NFS-Einbindungen aktiviert werden.) (5) |
Beschreibung: Ein Angreifer kann über ein Remotedateisystem Dateien, die mit erweitertem Sicherheitskontext ausgeführt werden, oder spezielle Geräte laden. | Fügen Sie dem vierten Feld (Einbindungsoptionen) in „/etc/fstab“ die Optionen „nosuid“ und „nodev“ hinzu. Weitere Informationen finden Sie auf den Handbuchseiten zu fstab(5). |
| Stellen Sie sicher, dass Berechtigungen für „/etc/ssh/sshd“ konfiguriert sind. (5.2.1) |
Beschreibung: Die /etc/ssh/sshd_config-Datei muss vor nicht autorisierten Änderungen durch nicht privilegierte Benutzer geschützt werden. |
Legen Sie den Besitzer und die Gruppe von „/etc/ssh/sshd_config“ auf „root“ und die Berechtigungen auf „0600“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions“ aus. |
| Ensure password creation requirements are configured (Sicherstellen, dass Anforderungen für die Kennworterstellung konfiguriert sind) (5.3.1) |
Beschreibung: Sichere Kennwörter schützen Systeme vor dem Hacken durch Brute-Force-Angriffe. | Legen Sie im entsprechenden PAM für Ihre Distribution die folgenden Schlüssel-Wert-Paare fest: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements“ aus. |
| Ensure lockout for failed password attempts is configured (Sicherstellen, dass Sperrung für Versuche mit falschem Kennwort konfiguriert ist) (5.3.2) |
Beschreibung: Das Sperren von Benutzer-IDs nach n aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen verringert die Gefahr durch Brute-Force-Kennwortangriffe auf Ihre Systeme. |
Fügen Sie für Ubuntu und Debian das Modul „pam_tally“ bzw. „pam_deny“ hinzu. Informationen zu allen anderen Distributionen finden Sie in der Dokumentation zu Ihrer Distribution. |
| Die Installation und Verwendung von Dateisystemen deaktivieren, die nicht erforderlich sind (cramfs) (6.1) |
Beschreibung: Angreifer können eine Sicherheitslücke in cramfs nutzen, um Rechte zu erhöhen. | Fügen Sie dem Verzeichnis „/etc/modprob.d“ eine Datei hinzu, die cramfs deaktiviert, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Die Installation und Verwendung von Dateisystemen deaktivieren, die nicht erforderlich sind (freevxfs) (6.2) |
Beschreibung: Angreifer können eine Sicherheitslücke in freevxfs nutzen, um Rechte zu erhöhen. | Fügen Sie dem Verzeichnis „/etc/modprob.d“ eine Datei hinzu, die freevxfs deaktiviert, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Ensure all users' home directories exist (Sicherstellen, dass die Basisverzeichnisse aller Benutzer vorhanden sind) (6.2.7) |
Beschreibung: Wenn das Basisverzeichnis des Benutzers nicht existiert oder nicht zugewiesen ist, wird der Benutzer in den Volumestamm platziert. Außerdem kann der Benutzer keine Dateien schreiben oder Umgebungsvariablen setzen. | Wenn die Basisverzeichnisse von Benutzern nicht vorhanden sind, erstellen Sie sie, und stellen Sie sicher, dass der jeweilige Benutzer der Besitzer des Verzeichnisses ist. Benutzer ohne zugewiesenes Basisverzeichnis sollten entfernt oder einem Basisverzeichnis zugewiesen werden. |
| Ensure users own their home directories (Sicherstellen, dass die Benutzer Besitzer ihrer Basisverzeichnisse sind) (6.2.9) |
Beschreibung: Da der Benutzer für die Dateien verantwortlich ist, die in seinem Basisverzeichnis gespeichert sind, muss er der Besitzer des Verzeichnisses sein. | Ändern Sie die Besitzer von Basisverzeichnissen, die nicht mit dem definierten Benutzer übereinstimmen, in den richtigen Benutzer. |
| Sicherstellen, dass die Dotfiles der Benutzer nicht group-writable oder world-writable sind (6.2.10) |
Beschreibung: Als group-writable oder world-writable festgelegte Konfigurationsdateien können es böswilligen Benutzern ermöglichen, Daten anderer Benutzer zu stehlen oder zu ändern oder auf die Systemberechtigungen eines anderen Benutzers zuzugreifen. | Wenn an Dateien von Benutzern globale Änderungen vorgenommen werden, ohne die Benutzercommunity zu benachrichtigen, kann dies zu unerwarteten Ausfällen und unzufriedenen Benutzern führen. Daher wird empfohlen, eine Überwachungsrichtlinie einzurichten, um Dotfileberechtigungen von Benutzern zu melden und Wartungsaktionen für Websiterichtlinien zu ermitteln. |
| Ensure no users have .forward files (Sicherstellen, dass keine Benutzer über FORWARD-Dateien verfügen) (6.2.11) |
Beschreibung: Die Verwendung einer .forward-Datei stellt ein Sicherheitsrisiko dar, da vertrauliche Daten versehentlich an Empfänger außerhalb der Organisation übertragen werden können. .forward-Dateien stellen auch ein Risiko dar, da sie zum Ausführen von Befehlen verwendet werden können, die möglicherweise unbeabsichtigte Aktionen auslösen. |
Wenn an Dateien von Benutzern globale Änderungen vorgenommen werden, ohne die Benutzercommunity zu benachrichtigen, kann dies zu unerwarteten Ausfällen und unzufriedenen Benutzern führen. Daher wird das Erstellen einer Überwachungsrichtlinie empfohlen, um Benutzerberechtigungen für .forward-Dateien zu melden und die Aktion zu bestimmen, die in Übereinstimmung mit der Standortrichtlinie durchgeführt werden soll. |
| Ensure no users have .netrc files (Sicherstellen, dass keine Benutzer über NETRC-Dateien verfügen) (6.2.12) |
Beschreibung: .netrc-Dateien stellen ein erhebliches Sicherheitsrisiko dar, da in ihnen Kennwörter unverschlüsselt gespeichert werden. Auch wenn FTP deaktiviert ist, wurden durch Benutzerkonten möglicherweise .netrc-Dateien aus anderen Systemen übertragen, die für diese Systeme ein Risiko darstellen können. |
Wenn an Dateien von Benutzern globale Änderungen vorgenommen werden, ohne die Benutzercommunity zu benachrichtigen, kann dies zu unerwarteten Ausfällen und unzufriedenen Benutzern führen. Daher wird das Erstellen einer Überwachungsrichtlinie empfohlen, um Benutzerberechtigungen für .netrc-Dateien zu melden und die Aktion zu bestimmen, die in Übereinstimmung mit der Standortrichtlinie durchgeführt werden soll. |
| Ensure no users have .rhosts files (Sicherstellen, dass keine Benutzer über RHOSTS-Dateien verfügen) (6.2.14) |
Beschreibung: Diese Aktion ist nur sinnvoll, wenn in der Datei /etc/pam.conf die Unterstützung von .rhosts zugelassen wird. Obwohl die .rhosts-Dateien unwirksam sind, wenn in /etc/pam.conf die Unterstützung deaktiviert ist, wurden sie möglicherweise aus anderen Systemen übernommen und können Informationen enthalten, die für einen Angreifer dieser anderen Systeme nützlich sind. |
Wenn an Dateien von Benutzern globale Änderungen vorgenommen werden, ohne die Benutzercommunity zu benachrichtigen, kann dies zu unerwarteten Ausfällen und unzufriedenen Benutzern führen. Daher wird das Erstellen einer Überwachungsrichtlinie empfohlen, um Benutzerberechtigungen für .rhosts-Dateien zu melden und die Aktion zu bestimmen, die in Übereinstimmung mit der Standortrichtlinie durchgeführt werden soll. |
| Ensure all groups in /etc/passwd exist in /etc/group (Sicherstellen, dass alle Gruppen in „/etc/passwd“ in „/etc/group“ vorhanden sind) (6.2.15) |
Beschreibung: Gruppen, die in der Datei „/etc/passwd“, jedoch nicht in der Datei „/etc/group“ definiert sind, gefährden die Systemsicherheit, da die Gruppenberechtigungen nicht ordnungsgemäß verwaltet werden. | Stellen Sie für jede in „/etc/passwd“ definierte Gruppe sicher, dass in „/etc/group“ eine entsprechende Gruppe vorhanden ist. |
| Ensure no duplicate UIDs exist (Sicherstellen, dass keine doppelten UIDs vorhanden sind) (6.2.16) |
Beschreibung: Benutzern müssen eindeutige UIDs zugewiesen werden, um Zurechenbarkeit und angemessenen Zugriffsschutz sicherzustellen. | Legen Sie eindeutige UIDs fest, und überprüfen Sie alle Dateien mit gemeinsam genutzten UIDs, um zu bestimmen, welcher UID sie zugeordnet sein sollten. |
| Ensure no duplicate GIDs exist (Sicherstellen, dass keine doppelten GIDs vorhanden sind) (6.2.17) |
Beschreibung: Gruppen müssen eindeutige GIDs zugewiesen werden, um Zurechenbarkeit und angemessenen Zugriffsschutz sicherzustellen. | Legen Sie eindeutige GIDs fest, und überprüfen Sie alle Dateien mit gemeinsam genutzten GIDs, um zu bestimmen, welcher GID sie zugeordnet sein sollten. |
| Ensure no duplicate user names exist (Sicherstellen, dass keine doppelten Benutzernamen vorhanden sind) (6.2.18) |
Beschreibung: Wenn einem Benutzer ein doppelter Benutzername zugewiesen wird, wird er erstellt und verfügt mit der ersten UID für diesen Benutzernamen in /etc/passwd über Dateizugriff. Wenn z. B „test4“ die UID 1000 und ein nachfolgender Eintrag „test4“ die UID 2000 aufweist, wird bei der Anmeldung als „test4“ die UID 1000 verwendet. Die UID wird also gemeinsam genutzt, und dies stellt ein Sicherheitsproblem dar. |
Legen Sie für alle Benutzer eindeutige Benutzernamen fest. Wechselnde Dateibesitzer werden richtig wiedergegeben, solange die Benutzer über eindeutige UIDs verfügen. |
| Ensure no duplicate groups exist (Sicherstellen, dass keine doppelten Gruppen vorhanden sind) (6.2.19) |
Beschreibung: Wenn einem Benutzer ein doppelter Gruppenname zugewiesen wird, wird dieser erstellt und verfügt mit der ersten GID für diese Gruppe in /etc/group über Dateizugriff. Die GID wird also gemeinsam genutzt, und dies stellt ein Sicherheitsproblem dar. |
Legen Sie für alle Benutzergruppen eindeutige Namen fest. Änderungen bei Dateigruppenbesitzern werden richtig wiedergegeben, solange die Gruppen über eindeutige GIDs verfügen. |
| Ensure shadow group is empty (Sicherstellen, dass die Schattengruppe leer ist) (6.2.20) |
Beschreibung: Allen Benutzern, die der Schattengruppe zugewiesen werden, wird Lesezugriff auf die Datei „/etc/shadow“ gewährt. Wenn Angreifer Lesezugriff auf die Datei /etc/shadow erlangen können, können sie gehashte Kennwörter mit einem entsprechenden Programm mühelos entschlüsseln. Mit weiteren in der Datei /etc/shadow gespeicherten Sicherheitsinformationen (z. B. zum Ablauf) können zudem andere Benutzerkonten unterwandert werden. |
Entfernen Sie alle Benutzer aus der Schattengruppe. |
| Die Installation und Verwendung von Dateisystemen deaktivieren, die nicht erforderlich sind (hfs) (6.3) |
Beschreibung: Angreifer können eine Sicherheitslücke in hfs nutzen, um Rechte zu erhöhen. | Fügen Sie dem Verzeichnis „/etc/modprob.d“ eine Datei hinzu, die hfs deaktiviert, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Die Installation und Verwendung von Dateisystemen deaktivieren, die nicht erforderlich sind (hfsplus) (6.4) |
Beschreibung: Angreifer können eine Sicherheitslücke in hfsplus nutzen, um Rechte zu erhöhen. | Fügen Sie dem Verzeichnis „/etc/modprob.d“ eine Datei hinzu, die hfsplus deaktiviert, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Die Installation und Verwendung von Dateisystemen deaktivieren, die nicht erforderlich sind (jffs2) (6.5) |
Beschreibung: Angreifer können eine Sicherheitslücke in jffs2 nutzen, um Rechte zu erhöhen. | Fügen Sie dem Verzeichnis „/etc/modprob.d“ eine Datei hinzu, die jffs2 deaktiviert, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Kernels should only be compiled from approved sources (Kernels sollten nur aus genehmigten Quellen kompiliert werden.) (10) |
Beschreibung: Kernel aus einer nicht genehmigten Quelle können Schwachstellen oder Hintertüren enthalten, über die Angreifer Zugriff erlangen. | Installieren Sie den Kernel, der von Ihrem Distributionsanbieter bereitgestellt wird. |
| /etc/shadow file permissions should be set to 0400 (Berechtigungen für die Datei „etc/shadow“ sollten auf 0400 festgelegt werden.) (11.1) |
Beschreibung: Angreifer können gehashte Kennwörter aus „etc/shadow“ abrufen oder ändern, wenn die Datei nicht ordnungsgemäß geschützt ist. | Legen Sie die Berechtigungen und den Besitz von „/etc/shadow*“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms“ aus. |
| /etc/shadow- file permissions should be set to 0400 (Berechtigungen für die Datei „etc/shadow-“ sollten auf 0400 festgelegt werden.) (11.2) |
Beschreibung: Angreifer können gehashte Kennwörter aus „etc/shadow-“ abrufen oder ändern, wenn die Datei nicht ordnungsgemäß geschützt ist. | Legen Sie die Berechtigungen und den Besitz von „/etc/shadow*“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms“ aus. |
| /etc/gshadow file permissions should be set to 0400 (Berechtigungen für die Datei „etc/gshadow“ sollten auf 0400 festgelegt werden.) (11.3) |
Beschreibung: Angreifer können Sicherheitsgruppen beitreten, wenn diese Datei nicht ordnungsgemäß geschützt ist. | Legen Sie die Berechtigungen und den Besitz von „/etc/gshadow-“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms“ aus. |
| /etc/gshadow- file permissions should be set to 0400 (Berechtigungen für die Datei „etc/gshadow-“ sollten auf 0400 festgelegt werden.) (11.4) |
Beschreibung: Angreifer können Sicherheitsgruppen beitreten, wenn diese Datei nicht ordnungsgemäß geschützt ist. | Legen Sie die Berechtigungen und den Besitz von „/etc/gshadow“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms“ aus. |
| /etc/passwd file permissions should be set to 0644 (Berechtigungen für die Datei „etc/passwd“ sollten auf 0644 festgelegt werden.) (12.1) |
Beschreibung: Benutzer-IDs und Login-Shells können von einem Angreifer geändert werden. | Legen Sie die Berechtigungen und den Besitz von „/etc/passwd“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms“ aus. |
| /etc/group file permissions should be 0644 (Berechtigungen für die Datei „etc/group“ sollten 0644 lauten.) (12.2) |
Beschreibung: Ein Angreifer kann durch Ändern der Gruppenmitgliedschaft Rechte erhöhen. | Legen Sie die Berechtigungen und den Besitz von „/etc/group“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms“ aus. |
| /etc/passwd- file permissions should be set to 0600 (Berechtigungen für die Datei „etc/passwd-“ sollten auf 0600 festgelegt werden.) (12.3) |
Beschreibung: Angreifer können Sicherheitsgruppen beitreten, wenn diese Datei nicht ordnungsgemäß geschützt ist. | Legen Sie die Berechtigungen und den Besitz von „/etc/passwd-“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms“ aus. |
| /etc/group- file permissions should be set to 0644 (Berechtigungen für die Datei „etc/group-“ sollten 0644 lauten.) (12.4) |
Beschreibung: Ein Angreifer kann durch Ändern der Gruppenmitgliedschaft Rechte erhöhen. | Legen Sie die Berechtigungen und den Besitz von „/etc/group-“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms“ aus. |
| Der Zugriff auf das Root-Konto über „su“ sollte auf die Gruppe „root“ beschränkt sein. (21) |
Beschreibung: Ein Angreifer kann durch Erraten von Kennwörtern Rechte erhöhen, wenn „su“ nicht auf Benutzer in der Gruppe „root“ beschränkt ist. | Führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions“ aus. Durch dieses Steuerelement wird der Datei „/etc/pam.d/su“ die Zeile „auth required pam_wheel.so use_uid“ hinzugefügt. |
| The 'root' group should exist, and contain all members who can su to root (Die Gruppe „root“ muss vorhanden sein und alle Mitglieder enthalten, die „su“ für „root“ ausführen können.) (22) |
Beschreibung: Ein Angreifer kann durch Erraten von Kennwörtern Rechte erhöhen, wenn „su“ nicht auf Benutzer in der Gruppe „root“ beschränkt ist. | Erstellen Sie die Gruppe „root“ mit dem Befehl „groupadd -g 0 root“. |
| Alle Konten sollten über ein Kennwort verfügen. (23.2) |
Beschreibung: Ein Angreifer kann sich bei Konten ohne Kennwort anmelden und beliebige Befehle ausführen. | Verwenden Sie den Befehl „passwd“, um Kennwörter für alle Konten festzulegen. |
| Accounts other than root must have unique UIDs greater than zero(0) (Andere Konten als „root“ müsse eindeutige UIDs aufweisen, die größer als null (0) sind.) (24) |
Beschreibung: Wenn ein anderes Konto als „root“ die UID null (0) aufweist, können Angreifer das Konto kompromittieren und Root-Berechtigungen erlangen. | Weisen Sie mit „usermod -u“ allen Konten außer „root“ eindeutige UIDs ungleich null zu. |
| Randomized placement of virtual memory regions should be enabled (Die zufällige Platzierung virtueller Speicherbereiche sollte aktiviert werden.) (25) |
Beschreibung: Ein Angreifer kann ausführbaren Code in bekannte Speicherbereiche schreiben und so eine Erhöhung von Rechten bewirken. | Fügen Sie der Datei „/proc/sys/kernel/randomize_va_space“ den Wert 1 oder 2 hinzu. |
| Kernel support for the XD/NX processor feature should be enabled (Die Kernelunterstützung für das XD/NX-Prozessorfeature muss aktiviert sein.) (26) |
Beschreibung: Ein Angreifer kann das Ausführen von Code aus Datenbereichen im Arbeitsspeicher erzwingen und so eine Erhöhung von Rechten bewirken. | Vergewissern Sie sich, dass die Datei „/proc/cpuinfo“ das Flag „nx“ enthält. |
| In $PATH des Stamms darf „.“ nicht vorkommen. (27.1) |
Beschreibung: Ein Angreifer kann Rechte erhöhen, indem er eine bösartige Datei im $PATH von root platziert. | Ändern Sie in „/root/.profile“ die Zeile „export PATH=“. |
| User home directories should be mode 750 or more restrictive (Benutzerbasisverzeichnisse sollten Modus 750 oder einen restriktiveren Modus aufweisen.) (28) |
Beschreibung: Ein Angreifer kann aus den Basisordnern anderer Benutzer vertrauliche Informationen abrufen. | Legen Sie die Basisordnerberechtigungen auf 750 fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions“ aus. |
| The default umask for all users should be set to 077 in login.defs (Der umask-Standardbefehl für alle Benutzer sollte in „login.defs“ auf 077 festgelegt werden.) (29) |
Beschreibung: Ein Angreifer kann vertrauliche Informationen aus Dateien abrufen, die sich im Besitz anderer Benutzer befinden. | Führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask“ aus. Dadurch wird der Datei „/etc/login.defs“ die Zeile „UMASK 077“ hinzugefügt. |
| All bootloaders should have password protection enabled. (Für alle Bootloader muss Kennwortschutz aktiviert sein.) (31) |
Beschreibung: Ein Angreifer mit physischem Zugriff kann die Bootloaderoptionen ändern und so uneingeschränkten Systemzugriff erhalten. | Fügen Sie der Datei „/boot/grub/grub.cfg“ ein Bootloaderkennwort hinzu. |
| Ensure permissions on bootloader config are configured (Sicherstellen, dass Berechtigungen für die Bootloaderkonfiguration festgelegt sind) (31.1) |
Beschreibung: Durch Festlegen der Berechtigungen für den Lese- und Schreibzugriff für root wird nur verhindert, dass Nicht-Root-Benutzer die Startparameter anzeigen oder ändern können. Nicht-Root-Benutzer, die die Startparameter lesen, können möglicherweise beim Starten Sicherheitslücken identifizieren und ausnutzen. | Legen Sie den Besitzer und die Gruppe des Bootloaders auf „root:root“ und die Berechtigungen auf 0400 fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions“ aus. |
| Ensure authentication required for single user mode (Sicherstellen, dass für den Einzelbenutzermodus Authentifizierung erforderlich ist) (33) |
Beschreibung: Wenn im Einzelbenutzermodus Authentifizierung erforderlich ist, wird verhindert, dass ein nicht autorisierter Benutzer das System im Einzelbenutzermodus neu startet, um ohne Anmeldeinformationen Root-Berechtigungen zu erhalten. | Führen Sie den folgenden Befehl aus, um ein Kennwort für den Root-Benutzer festzulegen: passwd root |
| Ensure packet redirect sending is disabled (Sicherstellen, dass das Senden von Paketumleitungen deaktiviert ist) (38.3) |
Beschreibung: Ein Angreifer kann einen kompromittierten Host verwenden, um ungültige ICMP-Umleitungen an andere Routergeräte zu senden, sodass Benutzer statt auf ein gültiges System auf ein vom Angreifer eingerichtetes System zugreifen. | Legen Sie in „/etc/sysctl.conf“ die folgenden Parameter fest: „net.ipv4.conf.all.send_redirects = 0“ und „net.ipv4.conf.default.send_redirects = 0“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects“ aus. |
| Sending ICMP redirects should be disabled for all interfaces. (Das Senden von ICMP-Umleitungen sollte für alle Schnittstellen deaktiviert werden.) (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Beschreibung: Ein Angreifer kann die Routingtabelle dieses Systems ändern und den Datenverkehr an ein anderes Ziel umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects“ aus. |
| Sending ICMP redirects should be disabled for all interfaces. (Das Senden von ICMP-Umleitungen sollte für alle Schnittstellen deaktiviert werden.) (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Beschreibung: Ein Angreifer kann die Routingtabelle dieses Systems ändern und den Datenverkehr an ein anderes Ziel umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects“ aus. |
| Accepting source routed packets should be disabled for all interfaces. (Das Akzeptieren von Quellroutingpaketen sollte für alle Schnittstellen deaktiviert werden.) (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Beschreibung: Ein Angreifer kann den Datenverkehr zu böswilligen Zwecken umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest. |
| Accepting source routed packets should be disabled for all interfaces. (Das Akzeptieren von Quellroutingpaketen sollte für alle Schnittstellen deaktiviert werden.) (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Beschreibung: Ein Angreifer kann den Datenverkehr zu böswilligen Zwecken umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest. |
| Die Standardeinstellung zum Akzeptieren von Quellroutingpaketen sollte für Netzwerkschnittstellen deaktiviert sein. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Beschreibung: Ein Angreifer kann den Datenverkehr zu böswilligen Zwecken umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest. |
| Die Standardeinstellung zum Akzeptieren von Quellroutingpaketen sollte für Netzwerkschnittstellen deaktiviert sein. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Beschreibung: Ein Angreifer kann den Datenverkehr zu böswilligen Zwecken umleiten. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest. |
| Ignoring bogus ICMP responses to broadcasts should be enabled. (Das Ignorieren von ungültiger ICMP-Antworten auf Übertragungen sollte aktiviert sein.) (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Beschreibung: Ein Angreifer kann einen ICMP-Angriff ausführen, der DoS bewirkt. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses“ aus. |
| Ignoring ICMP echo requests (pings) sent to broadcast / multicast addresses should be enabled. (Das Ignorieren von an Broadcast-/Multicast-Adressen gesendeten ICMP-Echoanforderungen (Pings) sollte aktiviert sein.) (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Beschreibung: Ein Angreifer kann einen ICMP-Angriff ausführen, der DoS bewirkt. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts“ aus. |
| Logging of martian packets (those with impossible addresses) should be enabled for all interfaces. (Die Protokollierung von Martian-Paketen (Pakete mit nicht möglichen Adressen) sollte für alle Schnittstellen aktiviert sein.) (net.ipv4.conf.all.log_martians = 1) (45.1) |
Beschreibung: Ein Angreifer kann unerkannt Datenverkehr von gefälschten Adressen senden. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians“ aus. |
| Performing source validation by reverse path should be enabled for all interfaces. (Die Quellvalidierung durch Pfadumkehrung sollte für alle Schnittstellen aktiviert sein.) (net.IPv4.conf.all.rp_filter = 1) (46.1) |
Beschreibung: Das System akzeptiert Datenverkehr von Adressen, die nicht routingfähig sind. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter“ aus. |
| Performing source validation by reverse path should be enabled for all interfaces. (Die Quellvalidierung durch Pfadumkehrung sollte für alle Schnittstellen aktiviert sein.) (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Beschreibung: Das System akzeptiert Datenverkehr von Adressen, die nicht routingfähig sind. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter“ aus. |
| TCP-SYN-Cookies sollten aktiviert sein. (net.ipv4.tcp_syncookies = 1) (47) |
Beschreibung: Ein Angreifer kann einen DoS-Angriff über TCP ausführen. | Führen Sie sysctl -w key=value aus, und legen Sie einen konformen Wert fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies“ aus. |
| Das System darf nicht als Netzwerk-Sniffer fungieren. (48) |
Beschreibung: Ein Angreifer kann promiske Schnittstellen zum Ermitteln von Netzwerkdatenverkehr verwenden. | Der promiske Modus wird mit dem Eintrag „promisc“ in „/etc/network/interfaces“ oder „/etc/rc.local“ aktiviert. Überprüfen Sie beide Dateien, und entfernen Sie diesen Eintrag. |
| All wireless interfaces should be disabled. (Alle Drahtlosschnittstellen sollten deaktiviert sein.) (49) |
Beschreibung: Ein Angreifer kann eine gefälschte IP-Adresse erstellen, um Übertragungen abzufangen. | Vergewissern Sie sich in „/etc/network/interfaces“, dass alle Drahtlosschnittstellen deaktiviert sind. |
| The IPv6 protocol should be enabled. (Das IPv6-Protokoll muss aktiviert sein.) (50) |
Beschreibung: Dies ist für die Kommunikation in modernen Netzwerken erforderlich. | Öffnen Sie „/etc/sysctl.conf“, und vergewissern Sie sich, dass „net.ipv6.conf.all.disable_ipv6“ und „net.ipv6.conf.default.disable_ipv6“ auf 0 festgelegt sind. |
| Sicherstellen, dass DCCP deaktiviert ist (54) |
Beschreibung: Wenn das Protokoll nicht erforderlich ist, wird empfohlen, die Treiber nicht zu installieren, um die potenzielle Angriffsfläche zu reduzieren. | Bearbeiten oder erstellen Sie im Verzeichnis /etc/modprobe.d/ eine CONF-Datei, und fügen Sie install dccp /bin/true hinzu. Entladen Sie dann das Modul „dccp“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Sicherstellen, dass SCTP deaktiviert ist (55) |
Beschreibung: Wenn das Protokoll nicht erforderlich ist, wird empfohlen, die Treiber nicht zu installieren, um die potenzielle Angriffsfläche zu reduzieren. | Bearbeiten oder erstellen Sie im Verzeichnis /etc/modprobe.d/ eine CONF-Datei, und fügen Sie install sctp /bin/true hinzu. Entladen Sie dann das Modul „stcp“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Disable support for RDS. (Unterstützung für RDS deaktivieren) (56) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in RDS verwenden, um das System zu kompromittieren. | Bearbeiten oder erstellen Sie im Verzeichnis /etc/modprobe.d/ eine CONF-Datei, und fügen Sie install rds /bin/true hinzu. Entladen Sie dann das Modul „rds“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Sicherstellen, dass TIPC deaktiviert ist (57) |
Beschreibung: Wenn das Protokoll nicht erforderlich ist, wird empfohlen, die Treiber nicht zu installieren, um die potenzielle Angriffsfläche zu reduzieren. | Bearbeiten oder erstellen Sie im Verzeichnis /etc/modprobe.d/ eine CONF-Datei, und fügen Sie install tipc /bin/true hinzu. Entladen Sie dann das Modul „tipc“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods“ aus. |
| Sicherstellen, dass die Protokollierung konfiguriert ist (60) |
Beschreibung: Über rsyslog werden viele wichtige sicherheitsrelevante Informationen gesendet (z. B. erfolgreiche und fehlgeschlagene su-Befehle, fehlgeschlagene Anmeldeversuche, Root-Anmeldeversuche usw.). |
Konfigurieren Sie „syslog“, „rsyslog“ bzw. „syslog-ng“. |
| The syslog, rsyslog, or syslog-ng package should be installed. (Das syslog-, rsyslog- oder syslog-ng-Paket muss installiert sein.) (61) |
Beschreibung: Zuverlässigkeits- und Sicherheitsprobleme werden nicht protokolliert. Dies verhindert eine ordnungsgemäße Diagnose. | Installieren Sie das rsyslog-Paket, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog“ aus. |
| Der „systemd-journald“-Dienst sollte so konfiguriert sein, dass Protokollmeldungen beibehalten werden. (61.1) |
Beschreibung: Zuverlässigkeits- und Sicherheitsprobleme werden nicht protokolliert. Dies verhindert eine ordnungsgemäße Diagnose. | Erstellen Sie „/var/log/journal“, und stellen Sie sicher, dass „Storage“ in „journald.conf“ „automatisch“ oder „persistent“ ist. |
| Ensure a logging service is enabled (Sicherstellen, dass ein Protokollierungsdienst aktiviert ist) (62) |
Beschreibung: Es ist zwingend erforderlich, Ereignisse auf einem Knoten protokollieren zu können. | Aktivieren Sie das rsyslog-Paket, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog“ aus. |
| File permissions for all rsyslog log files should be set to 640 or 600. (Die Dateiberechtigungen für alle rsyslog-Protokolldateien sollten auf 640 oder 600 festgelegt sein.) (63) |
Beschreibung: Ein Angreifer kann möglicherweise durch Ändern von Protokollen Aktivitäten verbergen. | Fügen Sie der Datei „/etc/rsyslog.conf“ die Zeile „$FileCreateMode 0640“ hinzu. |
| Ensure logger configuration files are restricted (Sicherstellen, dass die Protokollierungskonfigurationsdateien eingeschränkt sind) (63.1) |
Beschreibung: Es ist wichtig sicherzustellen, dass Protokolldateien vorhanden sind und über die richtigen Berechtigungen verfügen, damit sensible syslog-Daten archiviert und geschützt werden. | Legen Sie die Konfigurationsdateien der Protokollierung auf 0640 fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions“ aus. |
| All rsyslog log files should be owned by the adm group. (Alle rsyslog-Protokolldateien sollten im Besitz der Gruppe „adm“ sein.) (64) |
Beschreibung: Ein Angreifer kann möglicherweise durch Ändern von Protokollen Aktivitäten verbergen. | Fügen Sie der Datei „/etc/rsyslog.conf“ die Zeile „$FileGroup adm“ hinzu. |
| All rsyslog log files should be owned by the syslog user. (Alle rsyslog-Protokolldateien sollten im Besitz des syslog-Benutzers sein.) (65) |
Beschreibung: Ein Angreifer kann möglicherweise durch Ändern von Protokollen Aktivitäten verbergen. | Fügen Sie der Datei „/etc/rsyslog.conf“ die Zeile „$FileOwner syslog“ hinzu, oder führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner“ aus. |
| Rsyslog darf keine Remotemeldungen akzeptieren. (67) |
Beschreibung: Ein Angreifer kann Meldungen in syslog einschleusen, wodurch DoS oder eine Ablenkung von anderen Aktivitäten verursacht wird. | Entfernen Sie die Zeilen „$ModLoad imudp“ und „$ModLoad imtcp“ aus der Datei „/etc/rsyslog.conf“. |
| The logrotate (syslog rotater) service should be enabled. (Der logrotate-Dienst (syslog-Rotation) muss aktiviert sein.) (68) |
Beschreibung: Protokolldateien können unbegrenzt wachsen und den gesamten Speicherplatz verbrauchen. | Installieren Sie das logrotate-Paket, und vergewissern Sie sich, dass der logrotate-cron-Eintrag aktiviert ist (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate). |
| The rlogin service should be disabled. (Der rlogin-Dienst muss deaktiviert sein). (69) |
Beschreibung: Ein Angreifer kann durch die Umgehung strenger Authentifizierungsanforderungen Zugriff erlangen. | Entfernen Sie den inetd-Dienst. |
| Disable inetd unless required. (inetd deaktivieren, sofern nicht erforderlich) (inetd) (70.1) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in einem inetd-Dienst ausnutzen, um Zugriff zu erlangen. | Deinstallieren Sie den inetd-Dienst (apt-get remove inetd). |
| Disable xinetd unless required. (xinetd deaktivieren, sofern nicht erforderlich) (xinetd) (70.2) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in einem xinetd-Dienst ausnutzen, um Zugriff zu erlangen. | Deinstallieren Sie den inetd-Dienst (apt-get remove xinetd). |
| Install inetd only if appropriate and required by your distro. Secure according to current hardening standards. (if required) (Installieren Sie inetd nur, wenn dies sinnvoll und für Ihre Distribution erforderlich ist. Sichern Sie den Dienst gemäß den aktuellen Härtungsstandards (sofern erforderlich).) (71.1) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in einem inetd-Dienst ausnutzen, um Zugriff zu erlangen. | Deinstallieren Sie den inetd-Dienst (apt-get remove inetd). |
| Install xinetd only if appropriate and required by your distro. Secure according to current hardening standards. (if required) (Installieren Sie xinetd nur, wenn dies sinnvoll und für Ihre Distribution erforderlich ist. Sichern Sie den Dienst gemäß den aktuellen Härtungsstandards (sofern erforderlich).) (71.2) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in einem xinetd-Dienst ausnutzen, um Zugriff zu erlangen. | Deinstallieren Sie den inetd-Dienst (apt-get remove xinetd). |
| The telnet service should be disabled. (Der Telnet-Dienst muss deaktiviert sein). (72) |
Beschreibung: Ein Angreifer kann unverschlüsselte Telnet-Sitzungen abhören oder durch Hijacking übernehmen. | Entfernen Sie den telnet-Eintrag in der Datei „/etc/inetd.conf“, oder kommentieren Sie ihn aus. |
| All telnetd packages should be uninstalled. (Alle telnetd-Pakete müssen deinstalliert sein.) (73) |
Beschreibung: Ein Angreifer kann unverschlüsselte Telnet-Sitzungen abhören oder durch Hijacking übernehmen. | Deinstallieren Sie alle telnetd-Pakete. |
| The rcp/rsh service should be disabled. (Der RCP-/RSH-Dienst muss deaktiviert sein.) (74) |
Beschreibung: Ein Angreifer kann unverschlüsselte Sitzungen abhören oder durch Hijacking übernehmen. | Entfernen Sie den shell-Eintrag in der Datei „/etc/inetd.conf“, oder kommentieren Sie ihn aus. |
| The rsh-server package should be uninstalled. (Das rsh-server-Paket muss deinstalliert sein.) (77) |
Beschreibung: Ein Angreifer kann unverschlüsselte RSH-Sitzungen abhören oder durch Hijacking übernehmen. | Deinstallieren Sie das rsh-server-Paket (apt-get remove rsh-server). |
| The ypbind service should be disabled. (Der ypbind-Dienst muss deaktiviert sein). (78) |
Beschreibung: Ein Angreifer kann vertrauliche Informationen aus dem ypbind-Dienst abrufen. | Deinstallieren Sie das nis-Paket (apt-get remove nis). |
| The nis package should be uninstalled. (Das nis-Paket muss deinstalliert sein.) (79) |
Beschreibung: Ein Angreifer kann vertrauliche Informationen aus dem NIS-Dienst abrufen. | Deinstallieren Sie das nis-Paket (apt-get remove nis). |
| The tftp service should be disabled. (Der TFTP-Dienst muss deinstalliert sein.) (80) |
Beschreibung: Ein Angreifer kann unverschlüsselte Sitzungen abhören oder durch Hijacking übernehmen. | Entfernen Sie den tftp-Eintrag aus der Datei „/etc/inetd.conf“. |
| The tftpd package should be uninstalled. (Das tftpd-Paket muss deinstalliert sein.) (81) |
Beschreibung: Ein Angreifer kann unverschlüsselte Sitzungen abhören oder durch Hijacking übernehmen. | Deinstallieren Sie das tftpd-Paket (apt-get remove tftpd). |
| The readahead-fedora package should be uninstalled. (Das readahead-fedora-Paket muss deinstalliert sein.) (82) |
Beschreibung: Das Paket stellt keine erhebliche Gefährdung dar, bietet aber auch keinen erheblichen Vorteil. | Deinstallieren Sie das readahead-fedora-Paket (apt-get remove readahead-fedora). |
| The bluetooth/hidd service should be disabled. (Der Bluetooth/HIDD-Dienst muss deaktiviert sein.) (84) |
Beschreibung: Ein Angreifer kann die drahtlose Kommunikation abfangen oder manipulieren. | Deinstallieren Sie das bluetooth-Paket (apt-get remove bluetooth) |
| The isdn service should be disabled. (Der ISDN-Dienst muss deinstalliert sein.) (86) |
Beschreibung: Ein Angreifer kann über ein Modem nicht autorisierten Zugriff erlangen. | Deinstallieren Sie das isdnutils-base-Paket (apt-get remove isdnutils-base). |
| The isdnutils-base package should be uninstalled. (Das isdnutils-base-Paket muss deinstalliert sein.) (87) |
Beschreibung: Ein Angreifer kann über ein Modem nicht autorisierten Zugriff erlangen. | Deinstallieren Sie das isdnutils-base-Paket (apt-get remove isdnutils-base). |
| The kdump service should be disabled. (Der Kdump-Dienst muss deaktiviert sein.) (88) |
Beschreibung: Ein Angreifer kann einen früheren Systemabsturz analysieren, um vertrauliche Informationen abzurufen. | Deinstallieren Sie das kdump-tools-Paket (apt-get remove kdump-tools). |
| Zeroconf networking should be disabled. (Zeroconf-Netzwerke müssen deaktiviert sein.) (89) |
Beschreibung: Ein Angreifer kann durch Missbrauch dieses Features Informationen über vernetzte Systeme erlangen oder aufgrund von Fehlern im Vertrauensmodell DNS-Anforderungen spoofen. | Für RedHat, CentOS und Oracle: Fügen Sie in „/etc/sysconfig/network“ NOZEROCONF=yes or no hinzu. Für alle anderen Distributionen: Entfernen Sie alle ipv4ll-Einträge in der Datei „/etc/network/interfaces“, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf“ aus. |
| The crond service should be enabled. (Der Crond-Dienst muss aktiviert sein.) (90) |
Beschreibung: Fast alle Systeme erfordern Cron für regelmäßige Wartungsaufgaben. | Installieren Sie das cron-Paket (apt-get install -y cron), und vergewissern Sie sich, dass die Datei „/etc/init/cron.conf“ die Zeile „start on runlevel [2345]“ enthält. |
| File permissions for /etc/anacrontab should be set to root:root 600. (Dateiberechtigungen für „/etc/anacrontab“ müssen auf „root:root 600“ festgelegt sein.) (91) |
Beschreibung: Ein Angreifer kann diese Datei ändern, um geplante Tasks zu verhindern oder bösartige Tasks auszuführen. | Legen Sie den Besitz und die Berechtigungen für „/etc/anacrontab“ fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms“ aus. |
| Ensure permissions on /etc/cron.d are configured (Sicherstellen, dass Berechtigungen für „/etc/cron.d“ konfiguriert sind) (93) |
Beschreibung: Das Gewähren von Schreibzugriff auf dieses Verzeichnis für nicht berechtigte Benutzer kann es diesen ermöglichen, nicht autorisierte erhöhte Rechte zu erhalten. Durch Gewähren von Lesezugriff auf dieses Verzeichnis kann ein nicht berechtigter Benutzer ermitteln, wie er erhöhte Rechte erlangen oder Überwachungskontrollen umgehen kann. | Legen Sie den Besitzer und die Gruppe von „/etc/chron.d“ auf „root“ fest, und legen Sie die Berechtigungen auf „0700“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms“ aus. |
| Ensure permissions on /etc/cron.daily are configured (Sicherstellen, dass Berechtigungen für „/etc/cron.daily“ konfiguriert sind) (94) |
Beschreibung: Das Gewähren von Schreibzugriff auf dieses Verzeichnis für nicht berechtigte Benutzer kann es diesen ermöglichen, nicht autorisierte erhöhte Rechte zu erhalten. Durch Gewähren von Lesezugriff auf dieses Verzeichnis kann ein nicht berechtigter Benutzer ermitteln, wie er erhöhte Rechte erlangen oder Überwachungskontrollen umgehen kann. | Legen Sie den Besitzer und die Gruppe von „/etc/chron.daily“ auf „root“ fest, und legen Sie die Berechtigungen auf „0700“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms“ aus. |
| Ensure permissions on /etc/cron.hourly are configured (Sicherstellen, dass Berechtigungen für „/etc/cron.hourly“ konfiguriert sind) (95) |
Beschreibung: Das Gewähren von Schreibzugriff auf dieses Verzeichnis für nicht berechtigte Benutzer kann es diesen ermöglichen, nicht autorisierte erhöhte Rechte zu erhalten. Durch Gewähren von Lesezugriff auf dieses Verzeichnis kann ein nicht berechtigter Benutzer ermitteln, wie er erhöhte Rechte erlangen oder Überwachungskontrollen umgehen kann. | Legen Sie den Besitzer und die Gruppe von „/etc/chron.hourly“ auf „root“ fest, und legen Sie die Berechtigungen auf „0700“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms“ aus. |
| Ensure permissions on /etc/cron.monthly are configured (Sicherstellen, dass Berechtigungen für „/etc/cron.monthly“ konfiguriert sind) (96) |
Beschreibung: Das Gewähren von Schreibzugriff auf dieses Verzeichnis für nicht berechtigte Benutzer kann es diesen ermöglichen, nicht autorisierte erhöhte Rechte zu erhalten. Durch Gewähren von Lesezugriff auf dieses Verzeichnis kann ein nicht berechtigter Benutzer ermitteln, wie er erhöhte Rechte erlangen oder Überwachungskontrollen umgehen kann. | Legen Sie den Besitzer und die Gruppe von „/etc/chron.monthly“ auf „root“ fest, und legen Sie die Berechtigungen auf „0700“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms“ aus. |
| Ensure permissions on /etc/cron.weekly are configured (Sicherstellen, dass Berechtigungen für „/etc/cron.weekly“ konfiguriert sind) (97) |
Beschreibung: Das Gewähren von Schreibzugriff auf dieses Verzeichnis für nicht berechtigte Benutzer kann es diesen ermöglichen, nicht autorisierte erhöhte Rechte zu erhalten. Durch Gewähren von Lesezugriff auf dieses Verzeichnis kann ein nicht berechtigter Benutzer ermitteln, wie er erhöhte Rechte erlangen oder Überwachungskontrollen umgehen kann. | Legen Sie den Besitzer und die Gruppe von „/etc/chron.weekly“ auf „root“ fest, und legen Sie die Berechtigungen auf „0700“ fest. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms“ aus. |
| Ensure at/cron is restricted to authorized users (Sicherstellen, dass „at/cron“ auf autorisierte Benutzer beschränkt ist) (98) |
Beschreibung: In vielen Systemen ist nur der Systemadministrator zum Planen von cron-Aufträgen autorisiert. Diese Richtlinie wird erzwungen, indem mit der Datei cron.allow gesteuert wird, wer cron-Aufträge ausführen darf. Positivlisten lassen sich einfacher verwalten als Verweigerungslisten. Sie können möglicherweise in einer Verweigerungsliste dem System eine Benutzer-ID hinzufügen und vergessen, sie den Verweigerungsdateien hinzuzufügen. |
Ersetzen Sie „/etc/cron.deny“ und „/etc/at.deny“ durch ihre jeweiligen allow-Dateien, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow“ aus. |
| SSH muss so konfiguriert und verwaltet werden, dass bewährte Methoden erfüllt sind. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Beschreibung: Ein Angreifer könnte Fehler in einer früheren Version des SSH-Protokolls verwenden, um Zugriff zu erlangen. | Führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol“ aus. Dadurch wird „Protocol 2“ in der Datei „/etc/ssh/sshd_config“ festgelegt. |
| SSH muss so konfiguriert und verwaltet werden, dass bewährte Methoden erfüllt sind. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Beschreibung: Ein Angreifer könnte Fehler im Rhosts-Protokoll verwenden, um Zugriff zu erlangen. | Führen Sie den Befehl „/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „IgnoreRhosts yes“ hinzugefügt. |
| Sicherstellen, dass „LogLevel“ für SSH auf INFO festgelegt ist (106.5) |
Beschreibung: SSH bietet mehrere Protokolliergrade mit unterschiedlichen Ausführlichkeitsgraden. DEBUG wird ausdrücklich nicht empfohlen als ausschließlich für das Debuggen der SSH-Kommunikation, da sie so viele Daten bereitstellt, dass es schwierig ist, wichtige Sicherheitsinformationen zu identifizieren. INFO Ebene ist die grundlegende Ebene, die nur Anmeldeaktivitäten von SSH-Benutzern erfasst. In vielen Situationen, z. B. bei der Reaktion auf Vorfälle (Incident Response), ist es wichtig zu bestimmen, wann ein bestimmter Benutzer auf einem System aktiv war. Der Abmeldedatensatz kann die Benutzer beseitigen, die die Verbindung getrennt haben, wodurch sich das Feld eingrenzen lässt. |
Bearbeiten Sie die Datei /etc/ssh/sshd_config, um die Parameter wie folgt festzulegen: LogLevel INFO |
| Sicherstellen, dass „MaxAuthTries“ für SSH auf höchstens 6 festgelegt ist (106.7) |
Beschreibung: Wenn Sie den Parameter MaxAuthTries auf einen niedrigen Wert festlegen, wird das Risiko erfolgreicher Brute-Force-Angriffe auf den SSH-Server minimiert. Die empfohlene Einstellung ist zwar 4, doch legen Sie den Wert basierend auf der Standortrichtlinie fest. |
Sicherstellen, dass „MaxAuthTries“ für SSH auf höchstens 6 festgelegt ist. Bearbeiten Sie die Datei /etc/ssh/sshd_config, um den Parameter wie folgt festzulegen: MaxAuthTries 6 |
| Sicherstellen, dass der SSH-Zugriff eingeschränkt ist (106.11) |
Beschreibung: Das Einschränken, welche Benutzer remote über SSH auf das System zugreifen können, hilft sicherzustellen, dass nur autorisierte Benutzer auf das System zugreifen. | Sicherstellen, dass der SSH-Zugriff eingeschränkt ist. Bearbeiten Sie die Datei /etc/ssh/sshd_config, um einen oder mehrere der Parameter wie folgt festzulegen: AllowUsers AllowGroups DenyUsers DenyGroups |
| Die Emulation des rsh-Befehls über den SSH-Server sollte deaktiviert sein. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Beschreibung: Ein Angreifer könnte Fehler im RHosts-Protokoll verwenden, um Zugriff zu erlangen. | Führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „RhostsRSAAuthentication no“ hinzugefügt. |
| Die hostbasierte SSH-Authentifizierung sollte deaktiviert sein. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Beschreibung: Angreifer*innen könnten die hostbasierte Authentifizierung verwenden, um Zugriff von einem kompromittierten Host aus zu erlangen. | Führen Sie den Befehl „/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „HostbasedAuthentication no“ hinzugefügt. |
| Stammanmeldung über SSH sollte deaktiviert sein. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Beschreibung: Ein Angreifer könnte einen Brute-Force-Angriff auf das Stammkennwort durchführen oder seinen Befehlsverlauf ausblenden, indem er sich direkt als root-Benutzer anmeldet. | Führen Sie den Befehl „/usr/local/bin/azsecd remediate -r disable-ssh-root-login“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „PermitRootLogin no“ hinzugefügt. |
| Remoteverbindungen von Konten mit leeren Kennwörtern sollten deaktiviert sein. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Beschreibung: Ein Angreifer könnte durch Erraten des Kennworts Zugriff erlangen. | Führen Sie den Befehl „/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „PermitEmptyPasswords no“ hinzugefügt. |
| Stellen Sie sicher, dass das Timeoutintervall für Leerlauf für SSH konfiguriert ist. (110.1) |
Beschreibung: Wenn einer Verbindung kein Timeoutwert zugeordnet ist, könnte ein nicht autorisierter Benutzer Zugriff auf die SSH-Sitzung eines anderen Benutzers erlangen. Das Festlegen eines Timeoutwerts verringert zumindest das Risiko, dass dies geschieht. Während die empfohlene Einstellung 300 Sekunden (5 Minuten) beträgt, legen Sie diesen Timeoutwert basierend auf der Standortrichtlinie fest. Die empfohlene Einstellung für ClientAliveCountMax ist 0. In diesem Fall wird die Clientsitzung nach 5 Minuten Leerlaufzeit beendet, und es werden keine Keepalive-Nachrichten mehr gesendet. |
Bearbeiten Sie die Datei „/etc/ssh/sshd_config“, um die Parameter gemäß der Richtlinie festzulegen. |
| Stellen Sie sicher, dass „LoginGraceTime“ für SSH auf höchstens eine Minute festgelegt ist. (110.2) |
Beschreibung: Wenn Sie den Parameter LoginGraceTime auf einen niedrigen Wert festlegen, wird das Risiko erfolgreicher Brute-Force-Angriffe auf den SSH-Server minimiert. Sie schränkt auch die Anzahl gleichzeitiger nicht authentifizierter Verbindungen ein. Die empfohlene Einstellung beträgt zwar 60 Sekunden (1 Minute), doch legen Sie die Anzahl basierend auf der Standortrichtlinie fest. |
Bearbeiten Sie die Datei „/etc/ssh/sshd_config“, um die Parameter gemäß der Richtlinie festzulegen, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time“ aus. |
| Sicherstellen, dass nur genehmigte MAC-Algorithmen verwendet werden (110.3) |
Beschreibung: MD5- und 96-Bit-MAC-Algorithmen gelten als schwach, und es wurde gezeigt, dass sie die Ausnutzbarkeit bei SSH-Downgradeangriffen erhöhen. Schwache Algorithmen erfahren weiterhin große Aufmerksamkeit als Schwachstelle, die mit erweiterter Rechenleistung ausgenutzt werden kann. Ein Angreifer, der den Algorithmus bricht, könnte eine MiTM-Position ausnutzen, um den SSH-Tunnel zu entschlüsseln und Anmeldeinformationen und Informationen abzufangen. | Bearbeiten Sie die Datei „/etc/sshd_config“, und fügen Sie die MACs-Zeile so hinzu bzw. ändern Sie sie so, dass sie eine durch Trennzeichen getrennte Liste der genehmigten MACs enthält, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs“ aus. |
| Ensure remote login warning banner is configured properly (Sicherstellen, dass das Warnbanner für Remoteanmeldung richtig konfiguriert ist) (111) |
Beschreibung: Warnmeldungen informieren Benutzer, die versuchen, sich beim System anzumelden, über ihren rechtlichen Status im System. Sie müssen den Namen der Organisation, die Besitzer des Systems ist, sowie alle Überwachungsrichtlinien enthalten, die in Kraft sind. Das Anzeigen von Informationen zu Betriebssystem und Patchebene in den Anmeldebannern liefert außerdem Angreifern, die spezielle Sicherheitslücken eines Systems auszunutzen versuchen, ausführliche Systeminformationen. Autorisierte Benutzer können diese Informationen einfach mit dem Befehl uname -a abrufen, nachdem sie sich angemeldet haben. |
Entfernen Sie alle Instanzen von „\m“, „\r“, „\s“ und „\v“ aus der Datei „/etc/issue.net“. |
| Ensure local login warning banner is configured properly (Sicherstellen, dass das Warnbanner für lokale Anmeldung richtig konfiguriert ist) (111.1) |
Beschreibung: Warnmeldungen informieren Benutzer, die versuchen, sich beim System anzumelden, über ihren rechtlichen Status im System. Sie müssen den Namen der Organisation, die Besitzer des Systems ist, sowie alle Überwachungsrichtlinien enthalten, die in Kraft sind. Das Anzeigen von Informationen zu Betriebssystem und Patchebene in den Anmeldebannern liefert außerdem Angreifern, die spezielle Sicherheitslücken eines Systems auszunutzen versuchen, ausführliche Systeminformationen. Autorisierte Benutzer können diese Informationen einfach mit dem Befehl uname -a abrufen, nachdem sie sich angemeldet haben. |
Entfernen Sie alle Instanzen von „\m“, „\r“, „\s“ und „\v“ aus der Datei „/etc/issue“. |
| Das SSH-Warnbanner sollte aktiviert sein. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Beschreibung: Benutzer werden nicht gewarnt, dass ihre Aktionen auf dem System überwacht werden. | Führen Sie den Befehl „/usr/local/bin/azsecd remediate -r configure-ssh-banner“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „Banner /etc/azsec/banner.txt“ hinzugefügt. |
| Benutzer dürfen keine Umgebungsoptionen für SSH festlegen. (112) |
Beschreibung: Ein Angreifer kann möglicherweise einige Zugriffseinschränkungen über SSH umgehen. | Entfernen Sie die Zeile „PermitUserEnvironment yes“ aus der Datei „/etc/ssh/sshd_config“. |
| Für SSH sollten geeignete Verschlüsselungsverfahren verwendet werden. (Verschlüsselungsverfahren aes128-ctr, aes192-ctr, aes256-ctr) (113) |
Beschreibung: Ein Angreifer könnte eine schwach gesicherte SSH-Verbindung kompromittieren. | Führen Sie den Befehl „/usr/local/bin/azsecd remediate -r configure-ssh-ciphers“ aus. Dadurch wird der Datei „/etc/ssh/sshd_config“ die Zeile „Ciphers aes128-ctr,aes192-ctr,aes256-ctr“ hinzugefügt. |
| The avahi-daemon service should be disabled. (Der avahi-daemon-Dienst muss deaktiviert sein.) (114) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke im Avahi-Daemon verwenden, um Zugriff zu erlangen. | Deaktivieren Sie den avahi-daemon-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon“ aus. |
| The cups service should be disabled. (Der CUPS-Dienst muss deaktiviert sein.) (115) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke im CUPS-Dienst verwenden, um Rechte zu erhöhen. | Deaktivieren Sie den CUPS-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups“ aus. |
| The isc-dhcpd service should be disabled. (Der ISC-DHCPD-Dienst muss deaktiviert sein.) (116) |
Beschreibung: Ein Angreifer kann DHCPD verwenden, um fehlerhafte Informationen für Clients bereitzustellen und den normalen Betrieb zu beeinträchtigen. | Entfernen Sie das isc-dhcp-server-Paket (apt-get remove isc-dhcp-server). |
| The isc-dhcp-server package should be uninstalled. (Das isc-dhcp-server-Paket muss deinstalliert sein.) (117) |
Beschreibung: Ein Angreifer kann DHCPD verwenden, um fehlerhafte Informationen für Clients bereitzustellen und den normalen Betrieb zu beeinträchtigen. | Entfernen Sie das isc-dhcp-server-Paket (apt-get remove isc-dhcp-server). |
| The sendmail package should be uninstalled. (Das sendmail-Paket muss deinstalliert sein.) (120) |
Beschreibung: Ein Angreifer kann dieses System verwenden, um E-Mails mit bösartigem Inhalt an andere Benutzer zu senden. | Deinstallieren Sie das sendmail-Paket (apt-get remove sendmail). |
| The postfix package should be uninstalled. (Das postfix-Paket muss deinstalliert sein.) (121) |
Beschreibung: Ein Angreifer kann dieses System verwenden, um E-Mails mit bösartigem Inhalt an andere Benutzer zu senden. | Deinstallieren Sie das postfix-Paket (apt-get remove postfix), oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix“ aus. |
| Postfix network listening should be disabled as appropriate. (Das Lauschen in Netzwerken per Postfix sollte ggf. deaktiviert werden.) (122) |
Beschreibung: Ein Angreifer kann dieses System verwenden, um E-Mails mit bösartigem Inhalt an andere Benutzer zu senden. | Fügen Sie der Datei „/etc/postfix/main.cf“ die Zeile „inet_interfaces localhost“ hinzu. |
| The ldap service should be disabled. (Der LDAP-Dienst muss deaktiviert sein.) (124) |
Beschreibung: Ein Angreifer kann den LDAP-Dienst auf diesem Host ändern, um falsche Daten an LDAP-Clients zu verteilen. | Deinstallieren Sie das slapd-Paket (apt-get remove slapd). |
| The rpcgssd service should be disabled. (Der rpcgssd-Dienst muss deaktiviert sein.) (126) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in „rpcgssd/nfs“ nutzen, um Zugriff zu erlangen. | Deaktivieren Sie den rpcgssd-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd“ aus. |
| The rpcidmapd service should be disabled. (Der rpcidmapd-Dienst muss deaktiviert sein.) (127) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in „idmapd/nfs“ nutzen, um Zugriff zu erlangen. | Deaktivieren Sie den rpcidmapd-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd“ aus. |
| The portmap service should be disabled. (Der Portmap-Dienst muss deaktiviert sein.) (129.1) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in Portmap nutzen, um Zugriff zu erlangen. | Deaktivieren Sie den rpcbind-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind“ aus. |
| The Network File System (NFS) service should be disabled. (Der NFS-Dienst (Network File System) muss deaktiviert sein.) (129.2) |
Beschreibung: Ein Angreifer könnte NFS verwenden, um Freigaben einzubinden und Dateien auszuführen/zu kopieren. | Deaktivieren Sie den NFS-Dienst, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs“ aus. |
| The rpcsvcgssd service should be disabled. (Der rpcsvcgssd-Dienst muss deaktiviert sein.) (130) |
Beschreibung: Ein Angreifer kann eine Sicherheitslücke in rpcsvcgssd nutzen, um Zugriff zu erlangen. | Entfernen Sie die Zeile „NEED_SVCGSSD = yes“ aus der Datei „/etc/inetd.conf“. |
| The named service should be disabled. (Der named-Dienst muss deaktiviert sein.) (131) |
Beschreibung: Ein Angreifer kann den DNS-Dienst verwenden, um falsche Daten an Clients zu verteilen. | Deinstallieren Sie das bind9-Paket (apt-get remove bind9). |
| The bind package should be uninstalled. (Das bind-Paket muss deinstalliert sein.) (132) |
Beschreibung: Ein Angreifer kann den DNS-Dienst verwenden, um falsche Daten an Clients zu verteilen. | Deinstallieren Sie das bind9-Paket (apt-get remove bind9). |
| The dovecot service should be disabled. (Der Dovecot-Dienst muss deaktiviert sein.) (137) |
Beschreibung: Das System kann als IMAP-/POP3-Server verwendet werden. | Deinstallieren Sie das dovecot-core-Paket (apt-get remove dovecot-core). |
| The dovecot package should be uninstalled. (Das dovecot-Paket muss deinstalliert sein.) (138) |
Beschreibung: Das System kann als IMAP-/POP3-Server verwendet werden. | Deinstallieren Sie das dovecot-core-Paket (apt-get remove dovecot-core). |
Stellen Sie sicher, dass in „/etc/passwd“ keine älteren +-Einträge vorhanden sind.(156.1) |
Beschreibung: Ein Angreifer kann mithilfe des Benutzernamens „+“ ohne Kennwort Zugriff erlangen. | Entfernen Sie in „/etc/passwd“ alle Einträge, die mit „+:“ beginnen. |
Stellen Sie sicher, dass in „/etc/shadow“ keine älteren +-Einträge vorhanden sind.(156.2) |
Beschreibung: Ein Angreifer kann mithilfe des Benutzernamens „+“ ohne Kennwort Zugriff erlangen. | Entfernen Sie in „/etc/shadow“ alle Einträge, die mit „+:“ beginnen. |
Stellen Sie sicher, dass in „/etc/group“ keine älteren +-Einträge vorhanden sind.(156.3) |
Beschreibung: Ein Angreifer kann mithilfe des Benutzernamens „+“ ohne Kennwort Zugriff erlangen. | Entfernen Sie in „/etc/group“ alle Einträge, die mit „+:“ beginnen. |
| Ensure password expiration is 365 days or less (Sicherstellen, dass der Kennwortablauf höchstens 365 Tage beträgt) (157.1) |
Beschreibung: Das Verringern des maximalen Kennwortalters verkleinert auch das Zeitfenster, das Angreifer für den Missbrauch kompromittierter Anmeldeinformationen oder das erfolgreiche Ausspähen durch Brute Forcing haben. | Legen Sie den Parameter PASS_MAX_DAYS in /etc/login.defs auf maximal 365 Tage fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days“ aus. |
| Ensure password expiration warning days is 7 or more (Sicherstellen, dass die Anzahl der Tage vor einer Warnung zum Kennwortablauf mindestens 7 Tage beträgt) (157.2) |
Beschreibung: Durch Bereitstellen einer vorherigen Warnung zum Ablauf eines Kennworts erhalten die Benutzer genügend Zeit, um ein sicheres Kennwort festzulegen. Benutzer, die schnell ein neues Kennwort erstellen müssen, wählen vielleicht ein einfaches Kennwort oder notieren es auf eine Weise, dass es eingesehen werden kann. | Legen Sie den Parameter PASS_WARN_AGE in /etc/login.defs auf 7 fest, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age“ aus. |
| Ensure password reuse is limited (Sicherstellen, dass die Wiederverwendung von Kennwörtern beschränkt ist) (157.5) |
Beschreibung: Wenn Sie erzwingen, dass Benutzer ihre letzten fünf Kennwörter nicht wiederverwenden dürfen, ist es weniger wahrscheinlich, dass ein Angreifer das Kennwort erraten kann. | Stellen Sie sicher, dass die Option „remember“ in „/etc/pam.d/common-password“ oder sowohl in „/etc/pam.d/password_auth“ als auch in „/etc/pam.d/system_auth“ auf mindestens 5 festgelegt ist. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history“ aus. |
| Ensure password hashing algorithm is SHA-512 (Sicherstellen, dass der Kennworthashalgorithmus SHA-512 lautet) (157.11) |
Beschreibung: Der SHA-512-Algorithmus ermöglicht wesentlich stärkeres Hashing als MD5 und bietet so zusätzlichen Schutz für das System, indem der Aufwand für die erfolgreiche Ermittlung von Kennwörtern durch Angreifer erhöht wird. Hinweis: Diese Änderungen werden nur für Konten angewendet, die im lokalen System konfiguriert sind. | Legen Sie den Kennworthashalgorithmus auf sha512 fest. Viele Distributionen bieten Tools zum Aktualisieren der PAM-Konfiguration. Weitere Informationen finden Sie in der Dokumentation. Wenn keine Tools bereitgestellt werden, bearbeiten Sie die entsprechende Konfigurationsdatei /etc/pam.d/, und fügen Sie pam_unix.so-Zeilen hinzu (oder ändern Sie sie entsprechend), um die Option „sha512“ einzuschließen: password sufficient pam_unix.so sha512. |
| Ensure minimum days between password changes is 7 or more (Sicherstellen, dass die Anzahl der Tage zwischen Kennwortänderungen mindestens 7 beträgt) (157.12) |
Beschreibung: Durch Einschränken der Häufigkeit von Kennwortänderungen kann ein Administrator verhindern, dass Benutzer ihr Kennwort wiederholt ändern, um die Kontrollen der Kennwortwiederverwendung zu umgehen. | Legen Sie den Parameter PASS_MIN_DAYS in /etc/login.defs auf 7 fest: PASS_MIN_DAYS 7. Ändern Sie die Benutzerparameter für alle Benutzer mit einem festgelegten Kennwort in chage --mindays 7, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days“ aus. |
| Ensure all users last password change date is in the past (Sicherstellen, dass das Datum der letzten Kennwortänderung für alle Benutzer in der Vergangenheit liegt) (157.14) |
Beschreibung: Wenn das aufgezeichnete Datum der Kennwortänderung von Benutzern in der Zukunft liegt, können sie den festgelegten Kennwortablauf umgehen. | Ensure inactive password lock is 30 days or less (Sicherstellen, dass die Sperrung inaktiver Konten maximal 30 Tage nach Kennwortablauf erfolgt) Führen Sie den folgenden Befehl aus, um den Standardzeitraum für Inaktivität nach Kennwortablauf auf 30 Tage festzulegen: # useradd -D -f 30. Ändern Sie die Benutzerparameter für alle Benutzer mit einem Kennwort in # chage --inactive 30 . |
| Ensure system accounts are non-login (Sicherstellen, dass Systemkonten für die NoLogin-Shell verwendet werden) (157.15) |
Beschreibung: Es ist wichtig, sicherzustellen, dass mit Konten, die nicht von regulären Benutzern verwendet werden, keine interaktive Shell bereitgestellt wird. Standardmäßig legt Ubuntu das Kennwortfeld für diese Konten auf eine ungültige Zeichenfolge fest. Es wird jedoch außerdem empfohlen, das Feld „shell“ in der Kennwortdatei auf /usr/sbin/nologin festzulegen. Dadurch wird verhindert, dass das Konto zum Ausführen von Befehlen verwendet wird. |
Legen Sie für Konten, die vom Überwachungsskript zurückgegeben werden, die Shell auf /sbin/nologin fest. |
| Ensure default group for the root account is GID 0 (Sicherstellen, dass die Standardgruppe für das Root-Konto GID 0 lautet) (157.16) |
Beschreibung: Die Verwendung von GID 0 für das root Konto trägt dazu bei, zu verhindern, dass rootdateien versehentlich für nicht privilegierte Benutzer zugänglich sind. |
Führen Sie den folgenden Befehl aus, um die root-Standardbenutzergruppe auf die GID 0 festzulegen: # usermod -g 0 root. |
| Ensure root is the only UID 0 account (Sicherstellen, dass „root“ das einzige Konto mit UID 0 ist) (157.18) |
Beschreibung: Dieser Zugriff darf nur auf das Standardkonto root und nur über die Systemkonsole beschränkt sein. Der Administratorzugriff über ein nicht berechtigtes Konto muss mit einem genehmigten Mechanismus erfolgen. |
Entfernen Sie alle Benutzer außer root, deren UID 0 lautet, oder weisen Sie ihnen ggf. eine neue UID zu. |
| Remove unnecessary accounts (Nicht erforderlichen Konten entfernen) (159) |
Beschreibung: Für die Konformität | Entfernen Sie die nicht erforderlichen Konten. |
| Ensure auditd service is enabled (Sicherstellen, dass der AuditD-Dienst aktiviert ist) (162) |
Beschreibung: Die Erfassung von Systemereignissen liefert Systemadministratoren Informationen, anhand derer sie ermitteln können, ob nicht autorisierter Zugriff auf ihr System erfolgt. | Installieren Sie das Überwachungspaket (systemctl enable auditd). |
| Run AuditD service (AuditD-Dienst ausführen) (163) |
Beschreibung: Die Erfassung von Systemereignissen liefert Systemadministratoren Informationen, anhand derer sie ermitteln können, ob nicht autorisierter Zugriff auf ihr System erfolgt. | Führen Sie den AuditD-Dienst aus (systemctl start auditd). |
| Ensure SNMP Server is not enabled (Sicherstellen, dass der SNMP-Server nicht aktiviert ist) (179) |
Beschreibung: Der SNMP-Server kann mithilfe von SNMP v1 kommunizieren. Dabei werden Daten unverschlüsselt übertragen, und zum Ausführen von Befehlen ist keine Authentifizierung erforderlich. Es wird empfohlen, den SNMP-Dienst nicht zu verwenden, sofern dies nicht unbedingt erforderlich ist. Wenn SNMP erforderlich ist, muss der Server so konfiguriert werden, dass SNMP v1 nicht zulässig ist. | Führen Sie zum Deaktivieren von snmpd einen der folgenden Befehle aus: # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
| Ensure rsync service is not enabled (Sicherstellen, dass der rsync-Dienst nicht aktiviert ist) (181) |
Beschreibung: Der rsyncd-Dienst stellt ein Sicherheitsrisiko dar, da er unverschlüsselte Protokolle für die Kommunikation verwendet. |
Führen Sie zum Deaktivieren von rsyncd einen der folgenden Befehle aus: chkconfig rsyncd off, systemctl disable rsyncd oder update-rc.d rsyncd disable, oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync'“ aus. |
| Ensure NIS server is not enabled (Sicherstellen, dass kein NIS-Server aktiviert ist) (182) |
Beschreibung: Der NIS-Dienst ist grundsätzlich ein unsicheres System, das für DoS-Angriffe und Pufferüberläufe anfällig ist und eine mangelhafte Authentifizierung für das Abfragen von NIS Maps bietet. NIS wird im Allgemeinen durch Protokolle wie LDAP (Lightweight Directory Access Protocol) ersetzt. Es wird empfohlen, den Dienst zu deaktivieren und Dienste zu verwenden, die mehr Sicherheit bieten. | Führen Sie zum Deaktivieren von ypserv einen der folgenden Befehle aus: # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
| Ensure rsh client is not installed (Sicherstellen, dass der RSH-Client nicht installiert ist) (183) |
Beschreibung: Diese Legacyclients weisen zahlreiche Sicherheitsrisiken auf und wurden durch das sicherere SSH-Paket ersetzt. Auch wenn der Server entfernt wird, sollten Sie sicherstellen, dass die Clients ebenfalls entfernt werden, um zu verhindern, dass Benutzer versehentlich versuchen, diese Befehle zu verwenden, und so ihre Anmeldeinformationen verfügbar machen. Beachten Sie, dass durch das Entfernen des rsh Pakets die Clients für rshund rcp rlogin. |
Deinstallieren Sie rsh mit dem entsprechenden Paket-Manager oder manuell: yum remove rsh apt-get remove rsh zypper remove rsh |
| Disable SMB V1 with Samba (SMB V1 mit Samba deaktivieren) (185) |
Beschreibung: SMB v1 weist bekannte, schwerwiegende Sicherheitsrisiken auf und verschlüsselt Daten während der Übertragung nicht. Wenn es aus geschäftlichen Gründen verwendet werden muss, wird dringend empfohlen, zusätzliche Schritte zu unternehmen, um die Risiken, die mit diesem Protokoll verbunden sind, zu minimieren. | Wenn Samba nicht ausgeführt wird, entfernen Sie das Paket. Andernfalls sollte im Abschnitt „[global]“ von „/etc/samba/smb.conf:“ die Zeile „min protocol = SMB2“ vorhanden sein. Oder führen Sie „/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version“ aus. |
Hinweis
Die Verfügbarkeit spezifischer Einstellungen der Azure Policy-Gastkonfiguration kann in Azure Government und anderen nationalen Clouds variieren.
Nächste Schritte
Weitere Artikel zu Azure Policy und Gastkonfiguration:
- Azure Policy-Gastkonfiguration.
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für