Línea base de seguridad de Linux
Precaución
En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su estado Final de ciclo vida (EOL). Tenga en cuenta su uso y planeación en consecuencia. Para obtener más información, consulte la guía de fin de vida de CentOS.
En este artículo se detallan los valores de configuración de los invitados de Linux según corresponda en las siguientes implementaciones:
- [Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de la línea de base de seguridad de Azure Compute Definición de la configuración de invitados de Azure Policy
- Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas en Microsoft Defender for Cloud
Para obtener más información, consulte Configuración de invitados de Azure Policy e Información general sobre Azure Security Benchmark (V2).
Controles de seguridad generales
| Nombre (CCEID) |
Detalles | Comprobación de corrección |
|---|---|---|
| Asegurarse de que la opción nodev está establecida en la partición /home. (1.1.4) |
Descripción: un atacante podría montar un dispositivo especial (por ejemplo, un dispositivo de bloque o de caracteres) en la partición /home. | Edite el archivo /etc/fstab y agregue nodev al cuarto campo (opciones de montaje) para la partición /home. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción nodev está establecida en la partición /tmp. (1.1.5) |
Descripción: un atacante podría montar un dispositivo especial (por ejemplo, un dispositivo de bloque o de caracteres) en la partición /tmp. | Edite el archivo /etc/fstab y agregue nodev al cuarto campo (opciones de montaje) para la partición /tmp. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción nodev está establecida en la partición /var/tmp. (1.1.6) |
Descripción: un atacante podría montar un dispositivo especial (por ejemplo, un dispositivo de bloque o de caracteres) en la partición /var/tmp. | Edite el archivo /etc/fstab y agregue nodev al cuarto campo (opciones de montaje) para la partición /var/tmp. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp. (1.1.7) |
Descripción: dado que el sistema de archivos /tmp solo está pensado para el almacenamiento temporal de archivos, establezca esta opción para asegurarse de que los usuarios no puedan crear archivos setuid en /var/tmp. | Edite el archivo /etc/fstab y agregue nosuid al cuarto campo (opciones de montaje) para la partición /tmp. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción nosuid está establecida en la partición /var/tmp. (1.1.8) |
Descripción: dado que el sistema de archivos /var/tmp solo está pensado para el almacenamiento temporal de archivos, establezca esta opción para asegurarse de que los usuarios no puedan crear archivos setuid en /var/tmp. | Edite el archivo /etc/fstab y agregue nosuid al cuarto campo (opciones de montaje) para la partición /var/tmp. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción noexec está establecida en la partición /var/tmp. (1.1.9) |
Descripción: dado que el sistema de archivos /var/tmp solo está pensado para el almacenamiento temporal de archivos, establezca esta opción para asegurarse de que los usuarios no puedan ejecutar archivos binarios ejecutables desde /var/tmp. |
Edite el archivo /etc/fstab y agregue noexec al cuarto campo (opciones de montaje) para la partición /var/tmp. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm. (1.1.16) |
Descripción: la configuración de esta opción en un sistema de archivos impide que los usuarios ejecuten programas desde la memoria compartida. Este control impide que los usuarios introduzcan software potencialmente malintencionado en el sistema. | Edite el archivo /etc/fstab y agregue noexec al cuarto campo (opciones de montaje) para la partición /dev/shm. Para obtener más información, vea las páginas del manual fstab(5). |
| Deshabilitar el montaje automático. (1.1.21) |
Descripción: con el montaje automático habilitado, cualquier persona con acceso físico podría conectar una unidad USB o un disco, y tener su contenido disponible en el sistema, incluso si faltan permisos para montarlos. | Deshabilite el servicio autofs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs". |
| Asegurarse de que el montaje de dispositivos de almacenamiento USB está deshabilitado. (1.1.21.1) |
Descripción: la eliminación de la compatibilidad con dispositivos de almacenamiento USB reduce la superficie de ataque local del servidor. | Edite o cree un archivo en el directorio /etc/modprobe.d/ que termine en .conf y agregue install usb-storage /bin/true; después, descargue el módulo usb-storage o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Asegurarse de que los volcados principales están restringidos. (1.5.1) |
Descripción: la configuración de un límite máximo en los volcados principales impide que los usuarios invaliden la variable de software. Si se requieren volcados principales, considere la posibilidad de establecer límites para los grupos de usuarios (vea limits.conf(5)). Además, si se establece la variable fs.suid_dumpable en 0, impedirá que los programas setuid realicen un volcado principal. |
Agregue hard core 0 a /etc/security/limits.conf o a un archivo en el directorio limits.d y establezca fs.suid_dumpable = 0 en sysctl, o bien ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps". |
| Asegurarse de que la vinculación previa está deshabilitada. (1.5.4) |
Descripción: la característica de vinculación previa puede interferir con el funcionamiento de AIDE, ya que cambia los archivos binarios. La vinculación previa también puede aumentar la vulnerabilidad del sistema en caso de que un usuario malintencionado sepa poner en peligro una biblioteca común, como libc. | Utilice el administrador de paquetes para desinstalar prelink o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink". |
| Asegurarse de que los permisos en /etc/motd están configurados. (1.7.1.4) |
Descripción: si el archivo /etc/motd no tiene la propiedad correcta, lo podrían modificar usuarios no autorizados con información incorrecta o engañosa. |
Establezca el propietario y el grupo de /etc/motd en raíz, y establezca los permisos en 0644 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Asegurarse de que están configurados los permisos en /etc/issue. (1.7.1.5) |
Descripción: si el archivo /etc/issue no tiene la propiedad correcta, lo podrían modificar usuarios no autorizados con información incorrecta o engañosa. |
Establezca el propietario y el grupo de /etc/issue en raíz, y establezca los permisos en 0644 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Asegurarse de que están configurados los permisos en /etc/issue.net. (1.7.1.6) |
Descripción: si el archivo /etc/issue.net no tiene la propiedad correcta, lo podrían modificar usuarios no autorizados con información incorrecta o engañosa. |
Establezca el propietario y el grupo de /etc/issue.net en raíz, y establezca los permisos en 0644 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| La opción nodev debe estar habilitada para todos los medios extraíbles. 2.1 |
Descripción: un atacante podría montar un dispositivo especial (por ejemplo, un dispositivo de bloque o de caracteres) a través de medios extraíbles. | Agregue la opción nodev al cuarto campo (opciones de montaje) en /etc/fstab. Para obtener más información, vea las páginas del manual fstab(5). |
| La opción noexec debe estar habilitada para todos los medios extraíbles. 2.2 |
Descripción: un atacante podría cargar el archivo ejecutable a través de medios extraíbles. | Agregue la opción noexec al cuarto campo (opciones de montaje) en /etc/fstab. Para obtener más información, vea las páginas del manual fstab(5). |
| La opción nosuid debe estar habilitada para todos los medios extraíbles. 2.3 |
Descripción: un atacante podría cargar archivos que se ejecutan con un contexto de seguridad elevado a través de medios extraíbles. | Agregue la opción nosuid al cuarto campo (opciones de montaje) en /etc/fstab. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que el cliente talk no está instalado. (2.3.3) |
Descripción: el software presenta un riesgo de seguridad, ya que utiliza protocolos no cifrados para la comunicación. | Desinstale talk o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk". |
| Asegurarse de que están configurados los permisos en /etc/hosts.allow. (3.4.4) |
Descripción: es fundamental asegurarse de que el archivo /etc/hosts.allow está protegido contra el acceso de escritura no autorizado. Aunque está protegido de manera predeterminada, los permisos de archivo se pueden cambiar de forma involuntaria o a través de acciones malintencionadas. |
Establezca el propietario y el grupo de /etc/hosts.allow en raíz, y los permisos en 0644, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Asegurarse de que están configurados los permisos en /etc/hosts.deny. (3.4.5) |
Descripción: es fundamental asegurarse de que el archivo /etc/hosts.deny está protegido contra el acceso de escritura no autorizado. Aunque está protegido de manera predeterminada, los permisos de archivo se pueden cambiar de forma involuntaria o a través de acciones malintencionadas. |
Establezca el propietario y el grupo de /etc/hosts.deny en raíz, y los permisos en 0644, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Garantizar la directiva de firewall de denegación predeterminada. (3.6.2) |
Descripción: con una directiva de aceptación predeterminada, el firewall aceptará cualquier paquete que no esté denegado explícitamente. Es más fácil mantener un firewall seguro con una directiva de ELIMINACIÓN predeterminada que con una directiva de Permiso predeterminada. | Establezca la directiva predeterminada para el tráfico entrante, saliente y enrutado en deny o reject, según corresponda con el software de firewall. |
| La opción nodev/nosuid debe estar habilitada para todos los montajes NFS. (5) |
Descripción: un atacante podría cargar archivos que se ejecutan con un contexto de seguridad elevado o dispositivos especiales a través del sistema de archivos remoto. | Agregue las opciones nosuid y nodev al cuarto campo (opciones de montaje) en /etc/fstab. Para obtener más información, vea las páginas del manual fstab(5). |
| Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config. (5.2.1) |
Descripción: los usuarios sin privilegios deben proteger el archivo /etc/ssh/sshd_config de los cambios no autorizados. |
Establezca el propietario y el grupo de /etc/ssh/sshd_config en raíz, y los permisos en 0600, o bien ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions". |
| Asegurarse de que están configurados los requisitos para la creación de contraseñas. (5.3.1) |
Descripción: las contraseñas seguras protegen los sistemas frente a ataques mediante métodos de fuerza bruta. | Establezca los siguientes pares clave-valor en la PAM adecuada para su distribución: minlen = 14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements". |
| Asegurarse de que se ha configurado el bloqueo de intentos de contraseña erróneos. (5.3.2) |
Descripción: al bloquear los Id. de usuario después de n intentos incorrectos consecutivos de inicio de sesión, se mitigan los ataques por fuerza bruta de contraseñas en los sistemas. |
En el caso de Ubuntu y Debian, agregue los módulos pam_tally y pam_deny, según corresponda. Para el resto de distribuciones, consulte la documentación de su distribución. |
| Deshabilitar la instalación y el uso de sistemas de archivos que no son necesarios (cramfs) 6.1 |
Descripción: un atacante podría usar una vulnerabilidad en cramfs para elevar los privilegios. | Agregue un archivo al directorio /etc/modprob.d que deshabilite cramfs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Deshabilitar la instalación y el uso de sistemas de archivos que no son necesarios (freevxfs) 6.2 |
Descripción: un atacante podría usar una vulnerabilidad en freevxfs para elevar los privilegios. | Agregue un archivo al directorio /etc/modprob.d que deshabilite freevxfs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Asegurarse de que existen todos los directorios principales de los usuarios. (6.2.7) |
Descripción: si el directorio principal del usuario no existe o no está asignado, el usuario se colocará en la raíz del volumen. Además, el usuario no podrá ni escribir archivos ni establecer variables de entorno. | Si los directorios principales de los usuarios no existen, créelos y asegúrese de que el usuario correspondiente es el propietario del directorio. Los usuarios sin un directorio particular asignado deben quitarse o asignarse a un directorio particular, según corresponda. |
| Asegurarse de que los usuarios son propietarios de sus directorios principales. (6.2.9) |
Descripción: dado que el usuario es responsable de los archivos almacenados en el directorio principal del usuario, debe ser el propietario del directorio. | Cambie la propiedad de los directorios particulares que no son propiedad del usuario definido al usuario correcto. |
| Asegurarse de que los archivos que comienzan por punto de los usuarios no son de grupo ni de escritura internacional. (6.2.10) |
Descripción: los archivos de configuración de usuario de grupo o de escritura internacional pueden permitir que los usuarios malintencionados roben o modifiquen los datos de otros usuarios, o que tengan privilegios de sistema de otro usuario. | Realizar modificaciones globales en los archivos de los usuarios sin avisar a la comunidad de usuarios puede provocar interrupciones inesperadas y usuarios insatisfechos. Por lo tanto, se recomienda establecer una directiva de supervisión para notificar permisos de archivo de punto de usuario y determinar las acciones de corrección de directivas de sitio. |
| Asegurarse de que ningún usuario tiene archivos .forward. (6.2.11) |
Descripción: el uso del archivo .forward supone un riesgo de seguridad, puesto que los datos confidenciales se pueden transferir accidentalmente fuera de la organización. El archivo .forward también supone un riesgo, ya que se puede usar para ejecutar comandos que pueden realizar acciones no intencionadas. |
Realizar modificaciones globales en los archivos de los usuarios sin avisar a la comunidad de usuarios puede provocar interrupciones inesperadas y usuarios insatisfechos. Por lo tanto, se recomienda establecer una directiva de supervisión para informar al usuario de los archivos .forward y determinar la acción que se realizará de acuerdo con la directiva de sitio. |
| Asegurarse de que ningún usuario tiene archivos .netrc. (6.2.12) |
Descripción: el archivo .netrc presenta un riesgo de seguridad importante, ya que almacena las contraseñas en formato no cifrado. Incluso si el FTP está deshabilitado, las cuentas de usuario pueden haber trasladado archivos .netrc de otros sistemas que podrían suponer un riesgo para esos sistemas |
Realizar modificaciones globales en los archivos de los usuarios sin avisar a la comunidad de usuarios puede provocar interrupciones inesperadas y usuarios insatisfechos. Por lo tanto, se recomienda establecer una directiva de supervisión para informar al usuario de los archivos .netrc y determinar la acción que se realizará de acuerdo con la directiva de sitio. |
| Asegurarse de que ningún usuario tiene archivos .rhosts. (6.2.14) |
Descripción: esta acción solo es significativa si se permite la compatibilidad de .rhosts en el archivo /etc/pam.conf. Aunque los archivos .rhosts no son eficaces si la compatibilidad está deshabilitada en /etc/pam.conf, es posible que se hayan trasladado desde otros sistemas y que contengan información útil para un atacante para esos otros sistemas. |
Realizar modificaciones globales en los archivos de los usuarios sin avisar a la comunidad de usuarios puede provocar interrupciones inesperadas y usuarios insatisfechos. Por lo tanto, se recomienda establecer una directiva de supervisión para informar al usuario de los archivos .rhosts y determinar la acción que se realizará de acuerdo con la directiva de sitio. |
| Asegurarse de que todos los grupos en /etc/passwd existen en /etc/group. (6.2.15) |
Descripción: los grupos que se definen en el archivo /etc/passwd, pero no en /etc/group, suponen una amenaza para la seguridad del sistema, ya que los permisos de grupo no se administran correctamente. | Para cada grupo definido en/etc/passwd, asegúrese de que haya un grupo correspondiente en /etc/group. |
| Asegurarse de que no existen UID duplicados. (6.2.16) |
Descripción: los usuarios deben tener asignados UID únicos para la responsabilidad y a fin de garantizar las protecciones de acceso adecuadas. | Establezca UID únicos y revise todos los archivos que pertenecen a los UID compartidos para determinar a cuál deben pertenecer. |
| Asegurarse de que no existe ningún GID duplicado. (6.2.17) |
Descripción: los grupos deben tener asignado GID únicos para la responsabilidad y a fin de garantizar las protecciones de acceso adecuadas. | Establezca GID únicos y revise todos los archivos que pertenecen a los GID compartidos para determinar a cuál deben pertenecer. |
| Asegurarse de que no existe ningún nombre de usuario duplicado. (6.2.18) |
Descripción: si se asigna un nombre de usuario duplicado a un usuario, se creará y tendrá acceso a los archivos con el primer UID de ese nombre de usuario en /etc/passwd. Por ejemplo, si "test4" tiene un UID de 1000 y una entrada posterior de "test4" tiene un UID de 2000, el inicio de sesión como "test4" usará el UID 1000. De hecho, el UID es compartido, lo que supone un problema de seguridad. |
Establezca nombres de usuario únicos para los usuarios. La propiedad de los archivos reflejará automáticamente el cambio siempre y cuando los usuarios tengan UID únicos. |
| Asegurarse de que no existen grupos duplicados. (6.2.19) |
Descripción: si se asigna un nombre de grupo duplicado a un grupo, se creará y tendrá acceso a los archivos con el primer UID de ese grupo en /etc/group. De hecho, el GID es compartido, lo que supone un problema de seguridad. |
Establezca nombres únicos para los grupos de usuarios. La propiedad de los grupos de archivos reflejará automáticamente el cambio siempre que los grupos tengan GID únicos. |
| Asegurarse de que el grupo de instantáneas está vacío. (6.2.20) |
Descripción: a todos los usuarios asignados al grupo de instantáneas se les concedería acceso de lectura al archivo /etc/shadow. Si los atacantes pueden obtener acceso de lectura al archivo /etc/shadow, podrán ejecutar fácilmente un programa de averiguación de contraseñas en las contraseñas con hash para interrumpirlas. Otra información de seguridad que se almacena en el archivo/etc/shadow (por ejemplo, la expiración) también podría ser útil para debilitar otras cuentas de usuario. |
Quite a todos los usuarios del grupo de instantáneas. |
| Deshabilitar la instalación y el uso de sistemas de archivos que no son necesarios (hfs) 6.3 |
Descripción: un atacante podría usar una vulnerabilidad en hfs para elevar los privilegios. | Agregue un archivo al directorio /etc/modprob.d que deshabilite hfs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Deshabilitar la instalación y el uso de sistemas de archivos que no son necesarios (hfsplus) 6.4 |
Descripción: un atacante podría usar una vulnerabilidad en hfsplus para elevar los privilegios. | Agregue un archivo al directorio /etc/modprob.d que deshabilite hfsplus o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Deshabilitar la instalación y el uso de sistemas de archivos que no son necesarios (jffs2) 6.5 |
Descripción: un atacante podría usar una vulnerabilidad en jffs2 para elevar los privilegios. | Agregue un archivo al directorio /etc/modprob.d que deshabilite jffs2 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Los kernels solo deben compilarse desde orígenes aprobados. (10) |
Descripción: un kernel de un origen no aprobado podría contener vulnerabilidades o puertas traseras para conceder acceso a un atacante. | Instale el kernel que ha proporcionado el proveedor de distribución. |
| Los permisos de archivo /etc/shadow deben establecerse en 0400. (11.1) |
Descripción: un atacante puede recuperar o manipular contraseñas con hash de /etc/shadow si no está protegido correctamente. | Establezca los permisos y la propiedad de /etc/shadow* o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms". |
| Los permisos de archivo /etc/shadow- deben establecerse en 0400. (11.2) |
Descripción: un atacante puede recuperar o manipular contraseñas con hash de /etc/shadow si no está protegido correctamente. | Establezca los permisos y la propiedad de /etc/shadow* o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms". |
| Los permisos de archivo /etc/gshadow deben establecerse en 0400. (11.3) |
Descripción: un atacante podría unirse a grupos de seguridad si este archivo no está protegido correctamente | Establezca los permisos y la propiedad de/etc/gshadow- o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms" |
| Los permisos de archivo/etc/gshadow- deben establecerse en 0400. (11.4) |
Descripción: un atacante podría unirse a grupos de seguridad si este archivo no está protegido correctamente | Establezca los permisos y la propiedad de/etc/gshadow o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms". |
| Los permisos de archivo /etc/passwd deben establecerse en 0644. (12.1) |
Descripción: un atacante podría modificar los id. de usuario y los shells de inicio de sesión. | Establezca los permisos y la propiedad de /etc/passwd o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms" |
| Los permisos de archivo /etc/group deben establecerse en 0644. (12.2) |
Descripción: un atacante podría elevar los privilegios mediante la modificación de la pertenencia a grupos. | Establezca los permisos y la propiedad de /etc/group o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms". |
| Los permisos de archivo /etc/passwd- deben establecerse en 0600. (12.3) |
Descripción: un atacante podría unirse a grupos de seguridad si este archivo no está protegido correctamente | Establezca los permisos y la propiedad de /etc/passwd- o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms". |
| Los permisos de archivo /etc/group- deben estar establecidos en 0644. (12.4) |
Descripción: un atacante podría elevar los privilegios mediante la modificación de la pertenencia a grupos. | Establezca los permisos y la propiedad de /etc/group- o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms". |
| El acceso a la cuenta raíz a través del comando su debe estar restringido al grupo "raíz". (21) |
Descripción: un atacante podría escalar permisos mediante la averiguación de contraseñas si el comando su no está restringido a los usuarios del grupo raíz. | Ejecute el comando "/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions". Esto controlará las addiciones de la línea "auth required pam_wheel.so use_uid" al archivo "/etc/pam.d/su" |
| El grupo "raíz" debe existir y contener todos los miembros que pueden ser su a raíz. (22) |
Descripción: un atacante podría escalar permisos mediante la averiguación de contraseñas si el comando su no está restringido a los usuarios del grupo raíz. | Cree el grupo raíz a través del comando "groupadd -g 0 root". |
| Todas las cuentas deben tener una contraseña (23.2) |
Descripción: un atacante puede iniciar sesión en cuentas sin contraseña y ejecutar comandos arbitrarios. | Use el comando passwd para establecer contraseñas para todas las cuentas. |
| Las cuentas que no sean raíz deben tener UID únicos mayores que cero (0). (24) |
Descripción: si una cuenta que no sea raíz tiene un UID cero, un atacante podría poner en peligro la cuenta y obtener privilegios de raíz. | Asigne UID únicos distintos de cero a todas las cuentas no raíz mediante "usermod-u". |
| La ubicación aleatoria de las regiones de memoria virtual debe estar habilitada. (25) |
Descripción: un atacante podría escribir código ejecutable en regiones conocidas en la memoria, lo que da como resultado la elevación de privilegios. | Agregue el valor "1" o "2" al archivo "/proc/sys/kernel/randomize_va_space". |
| Se debe habilitar la compatibilidad de kernel para la característica de procesador XD/NX. (26) |
Descripción: un atacante puede hacer que un sistema ejecute código ejecutable de regiones de datos en memoria, lo que da como resultado la elevación de privilegios. | Confirme que el archivo "/proc/cpuinfo" contiene la marca "NX". |
| El signo "." no debe aparecer en el elemento $PATH de la raíz (27.1) |
Descripción: un atacante podría elevar los privilegios mediante la colocación de un archivo malintencionado en el elemento $PATH de la raíz. | Modifique la línea "export PATH=" en /root/.profile |
| Los directorios particulares de usuario deben ser de modo 750 o más restrictivos. (28) |
Descripción: un atacante podría recuperar información confidencial de las carpetas particulares de otros usuarios. | Establezca los permisos de la carpeta principal en 750 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions". |
| El valor predeterminado de umask para todos los usuarios debe establecerse en 077 en login.defs. (29) |
Descripción: un atacante podría recuperar información confidencial de archivos que pertenecen a otros usuarios. | Ejecute el comando "/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask". Esto agregará la línea "UMASK 077" al archivo "/etc/login.defs". |
| Todos los cargadores de arranque deben tener habilitada la protección de contraseñas. (31) |
Descripción: un atacante con acceso físico podría modificar las opciones del cargador de arranque y proporcionar un acceso al sistema sin restricciones. | Agregue una contraseña de cargador de arranque al archivo "/boot/grub/grub.cfg". |
| Asegurarse de que están configurados los permisos en la configuración del cargador de arranque. (31.1) |
Descripción: al establecer los permisos para leer y escribir en la raíz, solo se impide que los usuarios que no son raíz vean los parámetros de arranque o los cambien. Los usuarios que no son raíz y que leen los parámetros de arranque pueden identificar los puntos débiles de la seguridad en el arranque y ser capaces de aprovecharlos. | Establezca el propietario y el grupo del cargador de arranque en root:root, y los permisos en 0400, o ejecute "opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions". |
| Asegurarse de la autenticación que se requiere para el modo de usuario único. (33) |
Descripción: requerir la autenticación en modo de usuario único impide que un usuario no autorizado reinicie el sistema en un solo usuario para obtener privilegios de raíz sin credenciales. | Ejecute el comando siguiente para establecer una contraseña para el usuario raíz: passwd root. |
| Asegurarse de que el envío de redireccionamiento de paquetes está deshabilitado. (38.3) |
Descripción: un atacante podría usar un host en peligro para enviar redirecciones ICMP no válidas a otros dispositivos de enrutador, en un intento de dañar el enrutamiento y que los usuarios tengan acceso a un sistema que configura el atacante en lugar de un sistema válido. | Establezca los parámetros siguientes en /etc/sysctl.conf: "net.ipv4.conf.all.send_redirects = 0" y "net.ipv4.conf.default.send_redirects = 0", o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects". |
| Enviar redirecciones ICMP debe estar deshabilitado para todas las interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Descripción: un atacante podría modificar la tabla de enrutamiento de este sistema, redirigiendo el tráfico a un destino alternativo. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects". |
| Enviar redirecciones ICMP debe estar deshabilitado para todas las interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Descripción: un atacante podría modificar la tabla de enrutamiento de este sistema, redirigiendo el tráfico a un destino alternativo. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects". |
| Aceptar los paquetes enrutados de origen debe estar deshabilitada para todas las interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Descripción: un atacante podría redirigir el tráfico con fines malintencionados. | Ejecute sysctl -w key=value y establézcalo en un valor compatible. |
| Aceptar los paquetes enrutados de origen debe estar deshabilitada para todas las interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Descripción: un atacante podría redirigir el tráfico con fines malintencionados. | Ejecute sysctl -w key=value y establézcalo en un valor compatible. |
| La configuración predeterminada para aceptar paquetes enrutados de origen debe deshabilitarse para las interfaces de red. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Descripción: un atacante podría redirigir el tráfico con fines malintencionados. | Ejecute sysctl -w key=value y establézcalo en un valor compatible. |
| La configuración predeterminada para aceptar paquetes enrutados de origen debe deshabilitarse para las interfaces de red. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Descripción: un atacante podría redirigir el tráfico con fines malintencionados. | Ejecute sysctl -w key=value y establézcalo en un valor compatible. |
| Omitir respuestas ICMP ficticias para las difusiones debe estar habilitado. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Descripción: un atacante podría realizar un ataque de ICMP que dé como resultado un ataque DoS. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses". |
| Omitir solicitudes de eco ICMP (pings) enviadas a direcciones de difusión o multidifusión debe estar habilitado. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Descripción: un atacante podría realizar un ataque de ICMP que dé como resultado un ataque DoS. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts". |
| Registrar paquetes marcianos (los que tienen direcciones imposibles) debe estar habilitado para todas las interfaces. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Descripción: un atacante podría enviar tráfico desde direcciones suplantadas sin ser detectado. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians". |
| Realizar la validación de origen mediante la ruta de acceso inversa debe estar habilitada para todas las interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Descripción: el sistema aceptará el tráfico de las direcciones que no se pueden enrutar. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter". |
| Realizar la validación de origen mediante la ruta de acceso inversa debe estar habilitada para todas las interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Descripción: el sistema aceptará el tráfico de las direcciones que no se pueden enrutar. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter". |
| Las cookies SYN de TCP deben estar habilitadas. (net.ipv4.tcp_syncookies = 1) (47) |
Descripción: un atacante podría realizar un ataque DoS en TCP. | Ejecute sysctl -w key=value y establézcalo en un valor compatible o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies". |
| El sistema no debe actuar como un analizador de protocolos de red. (48) |
Descripción: un atacante puede usar interfaces en modo promiscuo para rastrear el tráfico. | El modo promiscuo se habilita a través de una entrada "promisc" en "/etc/network/interfaces" o "/etc/rc.local.". Compruebe ambos archivos y quite esta entrada. |
| Todas las interfaces inalámbricas deben estar deshabilitadas. (49) |
Descripción: un atacante podría crear un AP falso para interceptar transmisiones. | Confirme que todas las interfaces inalámbricas están deshabilitadas en "/etc/network/interfaces". |
| El protocolo IPv6 debe estar habilitado. (50) |
Descripción: esto es necesario para la comunicación en redes modernas. | Abra /etc/sysctl.conf y confirme que "net.ipv6.conf.all.disable_ipv6" y "net.ipv6.conf.default.disable_ipv6" están establecidos en 0. |
| Asegurarse de que DCCP está deshabilitado (54) |
Descripción: si el protocolo no es necesario, se recomienda que los controladores no estén instalados para reducir la superficie de ataque potencial. | Edite o cree un archivo en el directorio /etc/modprobe.d/ que termine en .conf y agregue install dccp /bin/true; después, descargue el módulo dccp o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Asegurarse de que SCTP está deshabilitado (55) |
Descripción: si el protocolo no es necesario, se recomienda que los controladores no estén instalados para reducir la superficie de ataque potencial. | Edite o cree un archivo en el directorio /etc/modprobe.d/ que termine en .conf y agregue install sctp /bin/true; después, descargue el módulo sctp o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Deshabilitar la compatibilidad con RDS. (56) |
Descripción: un atacante podría usar una vulnerabilidad en RDS para poner en peligro el sistema. | Edite o cree un archivo en el directorio /etc/modprobe.d/ que termine en .conf y agregue install rds /bin/true; después, descargue el módulo rds o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Asegurarse de que TIPC está deshabilitado (57) |
Descripción: si el protocolo no es necesario, se recomienda que los controladores no estén instalados para reducir la superficie de ataque potencial. | Edite o cree un archivo en el directorio /etc/modprobe.d/ que termine en .conf y agregue install tipc /bin/true; después, descargue el módulo tipc o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Asegurarse de que el registro está configurado (60) |
Descripción: se envía una gran cantidad de información importante relacionada con la seguridad a través de rsyslog (por ejemplo, intentos correctos y erróneos de su, intentos de inicio de sesión erróneos, intentos de inicio de sesión raíz, etc.). |
Configure syslog, rsyslog o syslog-ng según corresponda. |
| El paquete syslog, rsyslog o syslog-ng debe estar instalado. (61) |
Descripción: no se registrarán las incidencias de fiabilidad y seguridad, lo que impide un diagnóstico adecuado. | Instale el paquete rsyslog o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog". |
| El servicio systemd-journald debe configurarse para conservar los mensajes de registro. (61.1) |
Descripción: no se registrarán las incidencias de fiabilidad y seguridad, lo que impide un diagnóstico adecuado. | Cree /var/log/journal y asegúrese de que el valor de Storage (Almacenamiento) en journald.conf sea auto (automático) o persistent (persistente). |
| Asegurarse de que un servicio de registro está habilitado. (62) |
Descripción: es imperativo tener la capacidad de registrar eventos en un nodo. | Habilite el paquete rsyslog o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog". |
| Los permisos de archivo para todos los archivos de registro de rsyslog deben establecerse en 640 o 600. (63) |
Descripción: un atacante podría ocultar la actividad mediante la manipulación de registros. | Agregue la línea "$FileCreateMode 0640" al archivo "/etc/rsyslog.conf". |
| Asegurarse de que los archivos de configuración del registrador están restringidos. (63.1) |
Descripción: es importante asegurarse de que los archivos de registro existen y tienen los permisos correctos para garantizar que los datos de syslog confidenciales se archivan y protegen. | Establezca los archivos de configuración del registrador en 0640 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions". |
| Todos los archivos de registro de rsyslog deben ser propiedad del grupo adm. (64) |
Descripción: un atacante podría ocultar la actividad mediante la manipulación de registros. | Agregue la línea "$FileGroup adm" al archivo "/etc/rsyslog.conf". |
| Todos los archivos de registro de rsyslog deben ser propiedad del usuario syslog. (65) |
Descripción: un atacante podría ocultar la actividad mediante la manipulación de registros. | Agregue la línea "$FileOwner syslog" al archivo "/etc/rsyslog.conf" o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner". |
| Rsyslog no debe aceptar mensajes remotos. (67) |
Descripción: un atacante podría insertar mensajes en syslog, lo que provocaría un ataque DoS o una distracción de otra actividad. | Quite las líneas "$ModLoad imudp" y "$ModLoad imtcp" del archivo "/etc/rsyslog.conf". |
| El servicio logrotate (rotador de syslog) debe estar habilitado. (68) |
Descripción: los archivos de registro podrían crecer de forma ilimitada y consumir todo el espacio en disco. | Instale el paquete logrotate y confirme que la entrada logrotate cron está activa (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate). |
| El servicio rlogin debe estar deshabilitado. (69) |
Descripción: un atacante podría obtener acceso, omitiendo los requisitos de autenticación estrictos. | Quite el servicio inetd. |
| Deshabilitar inetd a menos que sea necesario. (inetd) (70.1) |
Descripción: un atacante podría aprovechar una vulnerabilidad en un servicio inetd para obtener acceso. | Desinstale el servicio inetd (apt-get remove inetd). |
| Deshabilitar xinetd a menos que sea necesario. (xinetd) (70.2) |
Descripción: un atacante podría aprovechar una vulnerabilidad en un servicio xinetd para obtener acceso. | Desinstale el servicio inetd (apt-get remove xinetd). |
| Instalar inetd solo si es necesario y lo requiere su distribución. Proteger según los estándares de protección actuales. (en caso necesario). (71.1) |
Descripción: un atacante podría aprovechar una vulnerabilidad en un servicio inetd para obtener acceso. | Desinstale el servicio inetd (apt-get remove inetd). |
| Instalar xinetd solo si es necesario y lo requiere su distribución. Proteger según los estándares de protección actuales. (en caso necesario). (71.2) |
Descripción: un atacante podría aprovechar una vulnerabilidad en un servicio xinetd para obtener acceso. | Desinstale el servicio inetd (apt-get remove xinetd). |
| El servicio Telnet debe estar deshabilitado. (72) |
Descripción: un atacante podría interceptar o secuestrar sesiones de Telnet sin cifrar. | Quite o marque como comentario la entrada de Telnet en el archivo "/etc/inetd.conf". |
| Todos los paquetes telnetd deben estar desinstalados. (73) |
Descripción: un atacante podría interceptar o secuestrar sesiones de Telnet sin cifrar. | Desinstale los paquetes telnetd. |
| El servicio rcp/rsh debe estar deshabilitado. (74) |
Descripción: un atacante podría interceptar o secuestrar sesiones no cifradas. | Quite o marque como comentario la entrada de shell en el archivo "/etc/inetd.conf". |
| El paquete rsh-server debe estar desinstalado. (77) |
Descripción: un atacante podría interceptar o secuestrar sesiones rsh no cifradas. | Desinstale el paquete rsh-server (apt-get remove rsh-server). |
| El servicio ypbind debe estar deshabilitado. (78) |
Descripción: un atacante podría recuperar información confidencial del servicio ypbind. | Desinstale el paquete nis (apt-get remove nis). |
| El paquete nis debe estar desinstalado. (79) |
Descripción: un atacante podría recuperar información confidencial del servicio nis. | Desinstale el paquete nis (apt-get remove nis). |
| El servicio tftp debe estar deshabilitado. (80) |
Descripción: un atacante podría interceptar o secuestrar una sesión no cifrada. | Quite la entrada tftp del archivo "/etc/inetd.conf". |
| El paquete tftpd debe estar desinstalado. (81) |
Descripción: un atacante podría interceptar o secuestrar una sesión no cifrada. | Desinstale el paquete tftpd (apt-get remove tftpd). |
| El paquete readahead-fedora debe estar desinstalado. (82) |
Descripción: el paquete no crea una exposición considerable, pero tampoco agrega ninguna ventaja importante. | Desinstale el paquete readahead-fedora (apt-get remove readahead-fedora). |
| El servicio bluetooth/hidd debe estar deshabilitado. (84) |
Descripción: un atacante podría interceptar o manipular las comunicaciones inalámbricas. | Desinstale el paquete bluetooth (apt-get remove bluetooth). |
| El servicio isdn debe estar deshabilitado. (86) |
Descripción: un atacante podría usar un módem para obtener acceso no autorizado. | Desinstale el paquete isdnutils-base (apt-get remove isdnutils-base). |
| El paquete isdnutils-base debe estar deshabilitado. (87) |
Descripción: un atacante podría usar un módem para obtener acceso no autorizado. | Desinstale el paquete isdnutils-base (apt-get remove isdnutils-base). |
| El servicio kdump debe estar deshabilitado. (88) |
Descripción: un atacante podría analizar un bloqueo del sistema anterior para recuperar información confidencial. | Desinstale el paquete kdump-tools (apt-get remove kdump-tools). |
| Las redes zeroconf deben estar deshabilitadas. (89) |
Descripción: un atacante podría hacer un uso inapropiado de esto para obtener información sobre los sistemas de red o las solicitudes DNS de suplantación, debido a errores en su modelo de confianza. | En el caso de RedHat, CentOS y Oracle: agregue NOZEROCONF=yes or no a /etc/sysconfig/network. Para el resto de distribuciones: quite todas las entradas "ipv4ll" del archivo "/etc/network/interfaces" o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf". |
| El servicio crond debe estar habilitado. (90) |
Descripción: Cron es necesario para casi todos los sistemas de tareas de mantenimiento regulares. | Instale el paquete cron (apt-get install -y cron) y confirme que el archivo "/etc/init/cron.conf" contiene la línea "start on runlevel [2345]". |
| Los permisos de archivo para /etc/anacrontab deben estar establecidos en root:root 600. (91) |
Descripción: un atacante podría manipular este archivo para impedir tareas programadas o ejecutar tareas malintencionadas. | Establezca la propiedad y los permisos en /etc/anacrontab o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms". |
| Asegurarse de que los permisos en /etc/cron.d están configurados. (93) |
Descripción: conceder acceso de escritura a este directorio a usuarios sin privilegios podría proporcionarles los medios para obtener privilegios elevados no autorizados. Conceder acceso de lectura a este directorio podría proporcionar a un usuario sin privilegios información sobre cómo obtener privilegios elevados o cómo eludir los controles de auditoría. | Establezca el propietario y el grupo de /etc/chron.d en raíz, y los permisos en 0700, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Asegurarse de que los permisos en /etc/cron.daily están configurados. (94) |
Descripción: conceder acceso de escritura a este directorio a usuarios sin privilegios podría proporcionarles los medios para obtener privilegios elevados no autorizados. Conceder acceso de lectura a este directorio podría proporcionar a un usuario sin privilegios información sobre cómo obtener privilegios elevados o cómo eludir los controles de auditoría. | Establezca el propietario y el grupo de /etc/chron.daily en raíz, y los permisos en 0700, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Asegurarse de que los permisos en /etc/cron.hourly están configurados. (95) |
Descripción: conceder acceso de escritura a este directorio a usuarios sin privilegios podría proporcionarles los medios para obtener privilegios elevados no autorizados. Conceder acceso de lectura a este directorio podría proporcionar a un usuario sin privilegios información sobre cómo obtener privilegios elevados o cómo eludir los controles de auditoría. | Establezca el propietario y el grupo de /etc/chron.hourly en raíz, y los permisos en 0700, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Asegurarse de que los permisos en /etc/cron.monthly están configurados. (96) |
Descripción: conceder acceso de escritura a este directorio a usuarios sin privilegios podría proporcionarles los medios para obtener privilegios elevados no autorizados. Conceder acceso de lectura a este directorio podría proporcionar a un usuario sin privilegios información sobre cómo obtener privilegios elevados o cómo eludir los controles de auditoría. | Establezca el propietario y el grupo de /etc/chron.monthly en raíz, y los permisos en 0700, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Asegurarse de que los permisos en /etc/cron.weekly están configurados. (97) |
Descripción: conceder acceso de escritura a este directorio a usuarios sin privilegios podría proporcionarles los medios para obtener privilegios elevados no autorizados. Conceder acceso de lectura a este directorio podría proporcionar a un usuario sin privilegios información sobre cómo obtener privilegios elevados o cómo eludir los controles de auditoría. | Establezca el propietario y el grupo de /etc/chron.weekly en raíz, y los permisos en 0700, o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Asegurarse de que at/cron está restringido a los usuarios autorizados. (98) |
Descripción: en muchos sistemas, solo el administrador del sistema tiene autorización para programar trabajos cron. Al usar el archivo cron.allow para controlar quién puede ejecutar trabajos cron, se aplica esta directiva. Es más fácil administrar las listas de permitidos que las de denegación. En estas últimas, se puede agregar un identificador de usuario al sistema y olvidar agregarlo a los archivos de denegación. |
Reemplace /etc/cron.deny y /etc/at.deny por sus respectivos archivos allow o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow". |
| SSH debe configurarse y administrarse para cumplir los procedimientos recomendados. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Descripción: un atacante podría usar errores en una versión anterior del protocolo SSH para obtener acceso. | Ejecute el comando "/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol". Esta acción establecerá "Protocol 2" (Protocolo 2) en el archivo "/etc/ssh/sshd_config". |
| SSH debe configurarse y administrarse para cumplir los procedimientos recomendados. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Descripción: un atacante podría usar errores en el protocolo Rhosts para obtener acceso. | Ejecute el comando "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts". Esta acción agregará la línea "IgnoreRhosts yes" al archivo "/etc/ssh/sshd_config". |
| Asegúrese de que el valor de LogLevel de SSH esté establecido en INFO. (106.5) |
Descripción: SSH proporciona varios niveles de registro con diferentes cantidades de niveles de detalle. DEBUG no se recomienda específicamente si no es estrictamente para depurar las comunicaciones SSH, ya que proporciona tantos datos que es difícil identificar la información de seguridad importante. INFO level es el nivel básico que solo registra la actividad de inicio de sesión de los usuarios SSH. En muchas situaciones, como en la respuesta a incidentes, es importante determinar cuándo un usuario determinado estaba activo en un sistema. El registro de cierre de sesión puede eliminar a los usuarios que se desconectaron, lo que ayuda a reducir los datos. |
Edite el archivo /etc/ssh/sshd_config para establecer el parámetro de la manera siguiente: LogLevel INFO . |
| Asegúrese de que el valor de SSH MaxAuthTries sea 6, o menos. (106.7) |
Descripción: establecer el parámetro MaxAuthTries en un número bajo minimizará el riesgo de ataques por fuerza bruta con éxito al servidor SSH. Aunque la configuración recomendada es 4, establezca el número en función de la directiva del sitio. |
Asegúrese de que el valor de SSH MaxAuthTries esté establecido en 6 o menos. Edite el archivo /etc/ssh/sshd_config para establecer el parámetro de la siguiente manera: MaxAuthTries 6 . |
| Asegúrese de que el acceso SSH esté limitado. (106.11) |
Descripción: restringir qué usuarios pueden acceder de forma remota al sistema mediante SSH lo ayudará a garantizar que solo los usuarios autorizados accedan a dicho sistema. | Asegúrese de que el acceso SSH esté limitado. Edite el archivo /etc/ssh/sshd_config para establecer uno o varios de los parámetros como se muestra a continuación: AllowUsers AllowGroups DenyUsers DenyGroups . |
| La emulación del comando rsh mediante el servidor SSH debe deshabilitarse. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Descripción: un atacante podría usar errores en el protocolo Rhosts para obtener acceso. | Ejecute el comando "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth". Esta acción agregará la línea "RhostsRSAAuthentication no" al archivo "/etc/ssh/sshd_config". |
| La autenticación basada en host SSH debe deshabilitarse. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Descripción: un atacante podría usar la autenticación basada en host para obtener acceso desde un host en peligro | Ejecute el comando "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth". Esta acción agregará la línea "HostbasedAuthentication no" al archivo "/etc/ssh/sshd_config". |
| El inicio de sesión raíz mediante SSH debe estar deshabilitado. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Descripción: un atacante podría forzar brutamente la contraseña raíz u ocultar su historial de comandos iniciando sesión directamente como raíz. | Ejecute el comando "/usr/local/bin/azsecd remediate -r disable-ssh-root-login". Esta acción agregará la línea "PermitRootLogin no" al archivo "/etc/ssh/sshd_config". |
| Las conexiones remotas desde cuentas con contraseñas vacías deben deshabilitarse. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Descripción: un atacante podría obtener acceso averiguando la contraseña. | Ejecute el comando "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords". Esta acción agregará la línea "PermitEmptyPasswords no" al archivo "/etc/ssh/sshd_config". |
| Asegúrese de que esté configurado el intervalo de tiempo de espera de inactividad de SSH. (110.1) |
Descripción: no tener ningún valor de tiempo de espera asociado a una conexión podría permitir que un usuario no autorizado acceda a la sesión SSH de otro usuario. Establecer un valor de tiempo de espera reduce, al menos, el riesgo de que esto suceda. Aunque el valor recomendado es 300 segundos (5 minutos), establezca este valor de tiempo de espera en función de la directiva del sitio. El valor recomendado para ClientAliveCountMax es 0. En este caso, la sesión del cliente se finalizará después de 5 minutos de tiempo de inactividad y no se enviarán mensajes Keepalive. |
Edite el archivo /etc/ssh/sshd_config para establecer los parámetros según la directiva. |
| Asegúrese de que el valor de LoginGraceTime de SSH sea un minuto, o menos. (110.2) |
Descripción: establecer el parámetro LoginGraceTime en un número bajo minimizará el riesgo de ataques por fuerza bruta con éxito al servidor SSH. También limitará el número de conexiones simultáneas no autenticadas. Aunque la configuración recomendada es de 60 segundos (1 minuto), establezca el número en función de la directiva del sitio. |
Edite el archivo /etc/ssh/sshd_config para establecer los parámetros según la directiva o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time". |
| Asegurarse de que solo se usen algoritmos MAC aprobados. (110.3) |
Descripción: los algoritmos MAC MD5 y de 96 bits se consideran débiles y se ha demostrado que aumentan la vulnerabilidad de seguridad en los ataques de degradación de SSH. Los algoritmos débiles siguen siendo de gran interés por ser un punto débil que se puede aprovechar con una mayor potencia informática. Un atacante que vulnere el algoritmo podría aprovechar una posición de MiTM para descifrar el túnel SSH y capturar credenciales e información. | Edite el archivo /etc/sshd_config y agregue o modifique la línea de MAC para que contenga una lista separada por comas de los algoritmos MAC aprobados, o bien ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs". |
| Asegurarse de que el banner de advertencia de inicio de sesión remoto está configurado correctamente. (111) |
Descripción: los mensajes de advertencia informan a los usuarios que intentan iniciar sesión en el sistema de su estado legal en relación con el sistema, y deben incluir el nombre de la organización que posee el sistema y las directivas de supervisión que se hayan implementado. Presentar información de nivel de sistema operativo y de revisión en los banners de inicio de sesión también tiene el efecto secundario de proporcionar información detallada del sistema a los atacantes que intentan dirigirse a vulnerabilidades específicas de un sistema. Los usuarios autorizados pueden obtener esta información de forma sencilla mediante la ejecución del comando uname -a una vez que hayan iniciado sesión. |
Quite todas las instancias de \m, \r, \s y \v del archivo /etc/issue.net. |
| Asegurarse de que el banner de advertencia de inicio de sesión local está configurado correctamente. (111.1) |
Descripción: los mensajes de advertencia informan a los usuarios que intentan iniciar sesión en el sistema de su estado legal en relación con el sistema, y deben incluir el nombre de la organización que posee el sistema y las directivas de supervisión que se hayan implementado. Presentar información de nivel de sistema operativo y de revisión en los banners de inicio de sesión también tiene el efecto secundario de proporcionar información detallada del sistema a los atacantes que intentan dirigirse a vulnerabilidades específicas de un sistema. Los usuarios autorizados pueden obtener esta información de forma sencilla mediante la ejecución del comando uname -a una vez que hayan iniciado sesión. |
Quite todas las instancias de \m, \r, \s y \v del archivo /etc/issue. |
| El banner de advertencia de SSH debe estar habilitado. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Descripción: no se advertirá a los usuarios de que se supervisan sus acciones en el sistema. | Ejecute el comando "/usr/local/bin/azsecd remediate -r configure-ssh-banner". Esta acción agregará la línea "Banner /etc/azsec/banner.txt" al archivo "/etc/ssh/sshd_config". |
| Los usuarios no pueden establecer opciones de entorno para SSH. (112) |
Descripción: un atacante puede omitir algunas restricciones de acceso a través de SSH. | Quite la línea "PermitUserEnvironment yes" del archivo "/etc/ssh/sshd_config". |
| Se deben usar los cifrados adecuados para SSH. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Descripción: un atacante podría poner en peligro una conexión SSH débilmente protegida. | Ejecute el comando "/usr/local/bin/azsecd remediate -r configure-ssh-ciphers". Esta acción agregará la línea "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" al archivo "/etc/ssh/sshd_config". |
| El servicio avahi-daemon debe estar deshabilitado. (114) |
Descripción: un atacante podría usar una vulnerabilidad en avahi-daemon para obtener acceso. | Deshabilite el servicio avahi-daemon o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon". |
| El servicio cups debe estar deshabilitado. (115) |
Descripción: un atacante podría usar un error en el servicio cups para elevar los privilegios. | Deshabilite el servicio cups o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups". |
| El servicio isc-dhcpd debe estar deshabilitado. (116) |
Descripción: un atacante podría usar dhcpd para proporcionar información con errores a los clientes, lo que interfiere con el funcionamiento normal. | Quite el paquete isc-dhcp-server (apt-get remove isc-dhcp-server). |
| El paquete isc-dhcp-server debe estar desinstalado. (117) |
Descripción: un atacante podría usar dhcpd para proporcionar información con errores a los clientes, lo que interfiere con el funcionamiento normal. | Quite el paquete isc-dhcp-server (apt-get remove isc-dhcp-server). |
| El paquete sendmail debe estar desinstalado. (120) |
Descripción: un atacante podría usar este sistema para enviar correos electrónicos con contenido malintencionado a otros usuarios. | Desinstale el paquete sendmail (apt-get remove sendmail). |
| El paquete postfix debe estar desinstalado. (121) |
Descripción: un atacante podría usar este sistema para enviar correos electrónicos con contenido malintencionado a otros usuarios. | Desinstale el paquete postfix (apt-get remove postfix) o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix". |
| La escucha de red postfix debe estar deshabilitada según corresponda. (122) |
Descripción: un atacante podría usar este sistema para enviar correos electrónicos con contenido malintencionado a otros usuarios. | Agregue la línea "inet_interfaces localhost" al archivo "/etc/postfix/main.cf". |
| El servicio ldap debe estar deshabilitado. (124) |
Descripción: un atacante podría manipular el servicio LDAP en este host para distribuir los datos falsos a los clientes LDAP. | Desinstale el paquete slapd (apt-get remove slapd). |
| El servicio rpcgssd debe estar deshabilitado. (126) |
Descripción: un atacante podría usar un error en rpcgssd/nfs para obtener acceso. | Deshabilite el servicio rpcgssd o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd". |
| El servicio rpcidmapd debe estar deshabilitado. (127) |
Descripción: un atacante podría usar un error en idmapd/nfs para obtener acceso. | Deshabilite el servicio rpcidmapd o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd". |
| El servicio portmap debe estar deshabilitado. (129.1) |
Descripción: un atacante podría usar un error en portmap para obtener acceso. | Deshabilite el servicio rpcbind o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind". |
| El servicio Network File System (NFS) debe estar deshabilitado. (129.2) |
Descripción: un atacante puede usar nfs para montar recursos compartidos y ejecutar o copiar archivos. | Deshabilite el servicio nfs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs". |
| El servicio rpcsvcgssd debe estar deshabilitado. (130) |
Descripción: un atacante podría usar un error en rpcsvcgssd para obtener acceso. | Quite la línea "NEED_SVCGSSD = yes" del archivo "/etc/inetd.conf". |
| El servicio named debe estar deshabilitado. (131) |
Descripción: un atacante podría usar el servicio DNS para distribuir datos falsos a los clientes. | Desinstale el paquete bind9 (apt-get remove bind9). |
| El paquete bind debe estar desinstalado. (132) |
Descripción: un atacante podría usar el servicio DNS para distribuir datos falsos a los clientes. | Desinstale el paquete bind9 (apt-get remove bind9). |
| El servicio dovecot debe estar deshabilitado. (137) |
Descripción: el sistema podría usarse como un servidor IMAP/POP3. | Desinstale el paquete dovecot-core (apt-get remove dovecot-core). |
| El paquete dovecot debe estar desinstalado. (138) |
Descripción: el sistema podría usarse como un servidor IMAP/POP3. | Desinstale el paquete dovecot-core (apt-get remove dovecot-core). |
Asegurarse de que no existe ninguna entrada heredada + en /etc/passwd.(156.1) |
Descripción: un atacante podría obtener acceso mediante el nombre de usuario "+" sin contraseña. | Quite todas las entradas de /etc/passwd que empiecen por "+:". |
Asegurarse de que no existe ninguna entrada heredada + en /etc/shadow.(156.2) |
Descripción: un atacante podría obtener acceso mediante el nombre de usuario "+" sin contraseña. | Quite todas las entradas de /etc/shadow que empiecen por "+:". |
Asegurarse de que no existe ninguna entrada heredada + en /etc/group.(156.3) |
Descripción: un atacante podría obtener acceso mediante el nombre de usuario "+" sin contraseña. | Quite todas las entradas de /etc/group que empiecen por "+:". |
| Asegurarse de que la contraseña expira en un plazo máximo de 365 días. (157.1) |
Descripción: reducir la antigüedad máxima de una contraseña también reduce la ventana de oportunidad de un atacante para aprovechar las credenciales en peligro o comprometer las credenciales con éxito a través de un ataque por fuerza bruta en línea. | Establezca el parámetro PASS_MAX_DAYS en un valor que no sea superior a 365 en /etc/login.defs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days". |
| Asegurarse de que los días de advertencia para la expiración de contraseña es 7 o más. (157.2) |
Descripción: si se proporciona una advertencia por adelantado de que una contraseña va a expirar, los usuarios tendrán tiempo para pensar en una contraseña segura. Los usuarios desprevenidos puede que elijan una contraseña sencilla o que la escriban en un lugar donde se pueda descubrir. | Establezca el parámetro PASS_WARN_AGE en 7 en /etc/login.defs o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age". |
| Asegurarse de que la reutilización de la contraseña está limitada. (157.5) |
Descripción: obligar a los usuarios a que no vuelvan a usar las cinco contraseñas anteriores hace que sea menos probable que un atacante pueda adivinarla. | Asegúrese de que la opción "recordar" esté establecida en al menos 5 en /etc/pam.d/common-password, o en /etc/pam.d/password_auth y /etc/pam.d/system_auth, o bien ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history". |
| Asegurarse de que el algoritmo de hash de contraseña es SHA-512. (157.11) |
Descripción: el algoritmo SHA-512 proporciona un hash mucho más seguro que MD5, lo que proporciona una protección adicional al sistema mediante el aumento del nivel de esfuerzo que necesita un atacante para determinar correctamente las contraseñas. Nota: Estos cambios solo se aplican a las cuentas configuradas en el sistema local. | Establezca el algoritmo de hash de contraseña en SHA512. Muchas distribuciones proporcionan herramientas para actualizar la configuración de PAM. Consulte la documentación para obtener más información. Si no se proporciona ninguna herramienta, edite el archivo de configuración /etc/pam.d/ adecuado, y agregue o modifique las líneas pam_unix.so para incluir la opción sha512: password sufficient pam_unix.so sha512. |
| Asegurarse de que el número mínimo de días entre los cambios de contraseña es 7 o más. (157.12) |
Descripción: al restringir la frecuencia de los cambios de contraseña, un administrador puede impedir que los usuarios cambien la contraseña de forma repetida en un intento por eludir los controles de reutilización de contraseñas. | Establezca el parámetro PASS_MIN_DAYS en 7 en /etc/login.defs: PASS_MIN_DAYS 7. Modifique los parámetros de usuario para todos los usuarios con una contraseña establecida para que coincida: chage --mindays 7 o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days". |
| Asegurarse de que todos los usuarios tienen la última fecha de cambio de contraseña en el pasado. (157.14) |
Descripción: si una fecha de cambio de contraseña registrada de los usuarios es en el futuro, podrían omitir la expiración de la contraseña establecida. | Asegúrese de que el bloqueo de contraseña inactivo es de 30 días o menos. Ejecute el comando siguiente para establecer el período predeterminado de inactividad de la contraseña en 30 días: # useradd -D -f 30. Modifique los parámetros de usuario para todos los usuarios con una contraseña establecida para que coincidan: # chage --inactive 30 . |
| Asegurarse de que las cuentas del sistema no son de inicio de sesión. (157.15) |
Descripción: es importante asegurarse de que las cuentas que no usan los usuarios habituales no se pueden usar para proporcionar un shell interactivo. De manera predeterminada, Ubuntu establece el campo de contraseña para estas cuentas en una cadena no válida, pero también se recomienda que el campo shell del archivo de contraseña esté establecido en /usr/sbin/nologin. Esto impide que la cuenta se use potencialmente para ejecutar cualquier comando. |
Establezca el shell para las cuentas que devuelve el script de auditoría en /sbin/nologin. |
| Asegurarse de que el grupo predeterminado de la cuenta raíz es GID 0. (157.16) |
Descripción: usar GID 0 para la cuenta _root_ ayuda a impedir que los usuarios sin privilegios tengan acceso accidentalmente a los archivos de propiedad _root_. |
Ejecute el comando siguiente para establecer el grupo predeterminado del usuario root en GID 0: # usermod -g 0 root. |
| Asegurarse de que la raíz es la única cuenta de UID 0. (157.18) |
Descripción: este acceso debe estar limitado solo a la cuenta root predeterminada y únicamente desde la consola del sistema. El acceso administrativo debe realizarse a través de una cuenta sin privilegios mediante un mecanismo aprobado. |
Quite los usuarios que no sean root con UID 0 o asígneles un UID nuevo, si procede. |
| Quitar cuentas innecesarias. (159) |
Descripción: para cumplimiento. | Quite las cuentas innecesarias. |
| Asegurarse de que el servicio auditado está habilitado. (162) |
Descripción: la captura de eventos del sistema proporciona a los administradores del sistema información que les permite determinar si se está produciendo acceso no autorizado a su sistema. | Instale el paquete de auditoría (systemctl enable auditd). |
| Ejecutar servicio AuditD. (163) |
Descripción: la captura de eventos del sistema proporciona a los administradores del sistema información que les permite determinar si se está produciendo acceso no autorizado a su sistema. | Ejecute el servicio AuditD (systemctl start auditd). |
| Asegurarse de que el servidor SNMP no está habilitado. (179) |
Descripción: el servidor SNMP puede comunicarse mediante SNMP v1, que transmite los datos sin cifrar y no requiere autenticación para ejecutar comandos. A menos que sea absolutamente necesario, se recomienda no usar el servicio SNMP. Si se requiere SNMP, el servidor debe configurarse para no permitir SNMP v1. | Ejecute uno de los comandos siguientes para deshabilitar snmpd: # chkconfig snmpd off, # systemctl disable snmpd o # update-rc.d snmpd disable. |
| Asegurarse de que el servicio rsync no está habilitado. (181) |
Descripción: el servicio rsyncd presenta un riesgo para la seguridad, ya que utiliza protocolos no cifrados para la comunicación. |
Ejecute uno de los siguientes comandos para deshabilitar rsyncd: chkconfig rsyncd off, systemctl disable rsyncd,update-rc.d rsyncd disable o ejecute "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync" |
| Asegurarse de que el servidor NIS no está habilitado. (182) |
Descripción: el servicio NIS es, de forma intrínseca, un sistema no seguro que ha sido vulnerable a ataques DOS, al desbordamiento del búfer y que tiene una autenticación deficiente para consultar las asignaciones de NIS. Por lo general, NIS se reemplaza por protocolos como Protocolo ligero de acceso a directorios (LDAP). Se recomienda deshabilitar el servicio y usar servicios más seguros | Ejecute uno de los comandos siguientes para deshabilitar ypserv: # chkconfig ypserv off, # systemctl disable ypserv o # update-rc.d ypserv disable. |
| Asegurarse de que el cliente rsh no está instalado. (183) |
Descripción: estos clientes heredados contienen numerosas exposiciones de seguridad y se han reemplazado por el paquete SSH más seguro. Incluso si se quita el servidor, es mejor asegurarse de que los clientes también se han quitado para evitar que los usuarios intenten usar estos comandos de forma inadvertida y, por tanto, exponer sus credenciales. Tenga en cuenta que, al quitar el paquete rsh , se quitan los clientes de rsh, rcp y rlogin. |
Desinstale rsh con el administrador de paquetes adecuado o una instalación manual: yum remove rsh, apt-get remove rsh o zypper remove rsh. |
| Deshabilitar SMB V1 con Samba. (185) |
Descripción: SMB v1 tiene vulnerabilidades conocidas y graves, y no cifra los datos en tránsito. Si se debe usar por motivos empresariales, se recomienda encarecidamente que se tomen acciones adicionales para mitigar los riesgos inherentes a este protocolo. | Si Samba no se está ejecutando, quite el paquete; de lo contrario, debe haber una línea en la sección [global] de /etc/samba/smb.conf: min protocol = SMB2 o debe ejecutar "/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version". |
Nota
La disponibilidad de valores específicos de configuración de invitados de Azure Policy puede variar tanto en Azure Government como en otras nubes nacionales.
Pasos siguientes
Artículos adicionales sobre Azure Policy y la configuración de invitado:
- Configuración de invitado de Azure Policy.
- Introducción al Cumplimiento normativo.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.