Linux biztonsági alapkonfiguráció
Figyelemfelhívás
Ez a cikk az End Of Life (EOL) állapotú Linux-disztribúcióra, a CentOS-ra hivatkozik. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Ez a cikk a Linux-vendégek konfigurációs beállításait ismerteti a következő implementációkban:
- [Előzetes verzió]: A Linux-gépeknek meg kell felelniük az Azure-beli számítási biztonsági alapkonfiguráció azure policy-vendégkonfigurációjának követelményeinek
- A gépek biztonsági konfigurációjának biztonsági réseit a Felhőhöz készült Microsoft Defender
További információkért lásd az Azure Policy vendégkonfigurációját és az Azure Security Benchmark (V2) áttekintését.
Általános biztonsági vezérlők
| Név (CCEID) |
Részletek | Szervizelési ellenőrzés |
|---|---|---|
| Győződjön meg arról, hogy a nodev beállítás be van állítva a /home partíción. (1.1.4) |
Leírás: A támadók csatlakoztathatnak egy speciális eszközt (például blokk- vagy karaktereszközt) a /home partícióra. | Szerkessze a /etc/fstab fájlt, és adja hozzá a nodev-t a /home partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a nodev beállítás be van állítva a /tmp partíción. (1.1.5) |
Leírás: A támadók csatlakoztathatnak egy speciális eszközt (például blokk- vagy karaktereszközt) a /tmp partícióra. | Szerkessze a /etc/fstab fájlt, és adja hozzá a nodev-t a /tmp partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a nodev beállítás be van állítva a /var/tmp partíción. (1.1.6) |
Leírás: A támadók csatlakoztathatnak egy speciális eszközt (például blokk- vagy karaktereszközt) a /var/tmp partícióra. | Szerkessze az /etc/fstab fájlt, és adja hozzá a nodev-t a /var/tmp partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a nosuid beállítás be van állítva a /tmp partíción. (1.1.7) |
Leírás: Mivel a /tmp fájlrendszer csak ideiglenes fájltárolásra szolgál, állítsa be ezt a beállítást, hogy a felhasználók ne tudjanak setuid fájlokat létrehozni a /var/tmp fájlban. | Szerkessze a /etc/fstab fájlt, és adja hozzá a nosuid értéket a /tmp partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a nosuid beállítás be van állítva a /var/tmp partíción. (1.1.8) |
Leírás: Mivel a /var/tmp fájlrendszer csak ideiglenes fájltárolásra szolgál, állítsa be ezt a beállítást, hogy a felhasználók ne tudjanak setuid fájlokat létrehozni a /var/tmp fájlban. | Szerkessze az /etc/fstab fájlt, és adja hozzá a nosuid értéket a /var/tmp partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a noexec beállítás be van állítva a /var/tmp partíción. (1.1.9) |
Leírás: Mivel a /var/tmp fájlrendszer csak ideiglenes fájltárolásra szolgál, állítsa be ezt a beállítást, hogy a felhasználók ne tudjanak végrehajtható bináris fájlokat futtatni./var/tmp |
Szerkessze a /etc/fstab fájlt, és adja hozzá a noexec fájlt a /var/tmp partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a noexec beállítás be van állítva a /dev/shm partíción. (1.1.16) |
Leírás: A beállítás fájlrendszeren való beállítása megakadályozza, hogy a felhasználók programokat hajtanak végre a megosztott memóriából. Ez a vezérlő elrettenti a felhasználókat attól, hogy potenciálisan rosszindulatú szoftvereket vezessenek be a rendszeren. | Szerkessze a /etc/fstab fájlt, és adja hozzá a noexec fájlt a /dev/shm partíció negyedik mezőjéhez (csatlakoztatási beállítások). További információ: fstab(5) manuális oldalak. |
| Automatikus leválasztás letiltása (1.1.21) |
Leírás: Ha az automatikus leválasztás engedélyezve van, bárki, aki fizikai hozzáféréssel rendelkezik, csatlakoztathat egy USB-meghajtót vagy lemezt, és a tartalma akkor is elérhető a rendszerben, ha nincs engedélye arra, hogy saját maga csatlakoztatja. | Tiltsa le az autofs szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs" |
| Győződjön meg arról, hogy az USB-tárolóeszközök csatlakoztatása le van tiltva (1.1.21.1) |
Leírás: Az USB-tárolóeszközök támogatásának eltávolítása csökkenti a kiszolgáló helyi támadási felületét. | Szerkessze vagy hozzon létre egy fájlt a /etc/modprobe.d/ .conf végződésű könyvtárban, majd adja hozzá install usb-storage /bin/true , majd távolítsa el az usb-storage modult, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Győződjön meg arról, hogy az alapvető memóriaképek korlátozottak. (1.5.1) |
Leírás: Az alapvető memóriaképekre vonatkozó szigorú korlát beállítása megakadályozza, hogy a felhasználók felülbírálják a helyreállítható változót. Ha alapvető memóriaképekre van szükség, fontolja meg a felhasználói csoportokra vonatkozó korlátok beállítását (lásd limits.conf(5): ). Emellett a változó 0 értékre állítása megakadályozza, hogy a fs.suid_dumpable setuid programok memóriaképet hozzanak létre. |
Adja hozzá hard core 0 a /etc/security/limits.conf fájlhoz vagy egy fájlhoz a limits.d könyvtárban, és állítsa be fs.suid_dumpable = 0 a sysctl-ben, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps" |
| Győződjön meg arról, hogy az előhivatkozás le van tiltva. (1.5.4) |
Leírás: Az előkapcsolási funkció zavarhatja az AIDE működését, mert módosítja a bináris fájlokat. Az előkapcsolás akkor is növelheti a rendszer biztonsági rését, ha egy rosszindulatú felhasználó képes feltörni egy közös kódtárat, például a libcet. | távolítsa el prelink a csomagkezelővel, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink" |
| Győződjön meg arról, hogy a /etc/motd engedélyek konfigurálva vannak. (1.7.1.4) |
Leírás: Ha a /etc/motd fájl nem rendelkezik a megfelelő tulajdonossal, akkor az illetéktelen felhasználók módosíthatják helytelen vagy félrevezető információkkal. |
Állítsa a /etc/motd tulajdonosát és csoportját gyökérszintűre, és állítsa be az engedélyeket a 0644-re, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" parancsot. |
| Győződjön meg arról, hogy a /etc/issue engedélyeit konfigurálta. (1.7.1.5) |
Leírás: Ha a /etc/issue fájl nem rendelkezik a megfelelő tulajdonossal, akkor az illetéktelen felhasználók módosíthatják helytelen vagy félrevezető információkkal. |
Állítsa a /etc/issue tulajdonosát és csoportját a 0644-re, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" parancsot. |
| Győződjön meg arról, hogy a /etc/issue.net webhelyen konfigurálva vannak az engedélyek. (1.7.1.6) |
Leírás: Ha a /etc/issue.net fájl nem rendelkezik a megfelelő tulajdonossal, akkor az illetéktelen felhasználók módosíthatják helytelen vagy félrevezető információkkal. |
Állítsa a /etc/issue.net tulajdonosát és csoportját gyökérként, és állítsa be az engedélyeket a 0644-re, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" parancsot. |
| A csomópontváltozási beállítást minden cserélhető adathordozón engedélyezni kell. (2.1) |
Leírás: A támadó csatlakoztathat egy speciális eszközt (például blokk- vagy karaktereszközt) cserélhető adathordozón keresztül | Adja hozzá a nodev beállítást a negyedik mezőhöz (csatlakoztatási beállítások) az /etc/fstab fájlban. További információ: fstab(5) manuális oldalak. |
| A noexec beállítást minden cserélhető adathordozón engedélyezni kell. (2.2) |
Leírás: A támadó végrehajtható fájlt tölthet be cserélhető adathordozón keresztül | Adja hozzá a noexec lehetőséget a negyedik mezőhöz (csatlakoztatási beállítások) az /etc/fstab fájlban. További információ: fstab(5) manuális oldalak. |
| A nosuid beállítást minden cserélhető adathordozón engedélyezni kell. (2.3) |
Leírás: A támadók emelt szintű biztonsági környezettel futtatott fájlokat tölthetnek be cserélhető adathordozón keresztül | Adja hozzá a nosuid beállítást a negyedik mezőhöz (csatlakoztatási beállítások) az /etc/fstab fájlban. További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a talk-ügyfél nincs telepítve. (2.3.3) |
Leírás: A szoftver biztonsági kockázatot jelent, mivel titkosítatlan protokollokat használ a kommunikációhoz. | Távolítsa el talk vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk" |
| Győződjön meg arról, hogy a /etc/hosts.allow engedélyek konfigurálva vannak. (3.4.4) |
Leírás: Kritikus fontosságú annak biztosítása, hogy a fájl védett legyen a /etc/hosts.allow jogosulatlan írási hozzáféréssel. Bár alapértelmezés szerint védett, a fájlengedélyek véletlenül vagy rosszindulatú műveletekkel módosíthatók. |
Állítsa be a /etc/hosts.allow tulajdonosát és csoportját a 0644-re, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" parancsot. |
| Győződjön meg arról, hogy a /etc/hosts.deny engedélyek konfigurálva vannak. (3.4.5) |
Leírás: Kritikus fontosságú annak biztosítása, hogy a fájl védett legyen a /etc/hosts.deny jogosulatlan írási hozzáféréssel. Bár alapértelmezés szerint védett, a fájlengedélyek véletlenül vagy rosszindulatú műveletekkel módosíthatók. |
Állítsa a /etc/hosts.deny tulajdonosát és csoportját a gyökérre, az engedélyeket pedig a 0644-re, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" parancsot. |
| Győződjön meg arról, hogy az alapértelmezett megtagadási tűzfalszabályzat (3.6.2) |
Leírás: Alapértelmezett elfogadási szabályzat esetén a tűzfal minden olyan csomagot elfogad, amely nincs explicit módon elutasítva. A biztonságos tűzfalat egyszerűbb fenntartani alapértelmezett DROP-szabályzattal, mint az alapértelmezett Engedélyezési szabályzattal. | Állítsa be a bejövő, kimenő és átirányított forgalom deny alapértelmezett szabályzatát a tűzfalszoftverrel, vagy reject a megfelelő módon |
| A nodev/nosuid beállítást minden NFS-csatlakoztatáshoz engedélyezni kell. (5) |
Leírás: A támadók emelt szintű biztonsági környezettel vagy speciális eszközökkel futtatott fájlokat tölthetnek be távoli fájlrendszeren keresztül | Adja hozzá a nosuid és nodev beállításokat a negyedik mezőhöz (csatlakoztatási beállítások) az /etc/fstab fájlban. További információ: fstab(5) manuális oldalak. |
| Győződjön meg arról, hogy a /etc/ssh/sshd_config engedélyei konfigurálva vannak. (5.2.1) |
Leírás: A /etc/ssh/sshd_config fájlt védeni kell a nem jogosultsággal rendelkező felhasználók jogosulatlan módosításaitól. |
Állítsa a /etc/ssh/sshd_config tulajdonosát és csoportját gyökérre, és állítsa az engedélyeket 0600-ra, vagy futtassa a "/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions" parancsot. |
| Győződjön meg arról, hogy a jelszó-létrehozási követelmények konfigurálva vannak. (5.3.1) |
Leírás: Az erős jelszavak védik a rendszereket attól, hogy találgatásos módszerekkel feltörjék őket. | Állítsa be a következő kulcs/érték párokat a disztribúcióhoz megfelelő PAM-ban: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, vagy futtassa a "/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements" parancsot. |
| Győződjön meg arról, hogy a sikertelen jelszókísérletek zárolása konfigurálva van. (5.3.2) |
Leírás: A felhasználói azonosítók sikertelen egymást követő bejelentkezési kísérletek utáni n zárolása enyhíti a rendszerekkel szembeni találgatásos jelszótámadásokat. |
Ubuntu és Debian esetén szükség szerint adja hozzá a pam_tally és pam_deny modulokat. Az összes többi disztribúció esetén tekintse meg a disztribúció dokumentációját |
| A nem szükséges fájlrendszerek telepítésének és használatának letiltása (cramfs) (6.1) |
Leírás: A támadó a cramfs biztonsági rését használhatja a jogosultságok emeléséhez | Adjon hozzá egy fájlt a /etc/modprob.d könyvtárhoz, amely letiltja a cramfs parancsokat, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Tiltsa le a nem szükséges fájlrendszerek telepítését és használatát (freevxfs) (6.2) |
Leírás: A támadó a freevxfs biztonsági résének használatával emelheti a jogosultságokat | Adjon hozzá egy fájlt a /etc/modprob.d könyvtárhoz, amely letiltja a freevxfs fájlt, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Győződjön meg arról, hogy az összes felhasználó otthoni címtára létezik (6.2.7) |
Leírás: Ha a felhasználó kezdőkönyvtára nem létezik vagy nincs hozzárendelve, a felhasználó a kötet gyökérkönyvtárába kerül. Ezenkívül a felhasználó nem tud fájlokat írni, vagy környezeti változókat beállítani. | Ha a felhasználók otthoni címtárai nem léteznek, hozza létre őket, és győződjön meg arról, hogy a megfelelő felhasználóé a címtár. A hozzárendelt kezdőkönyvtárral nem rendelkező felhasználókat szükség szerint el kell távolítani vagy ki kell osztani egy kezdőkönyvtárat. |
| Győződjön meg arról, hogy a felhasználók birtokolják az otthoni címtáraikat (6.2.9) |
Leírás: Mivel a felhasználó felelős a felhasználói kezdőkönyvtárban tárolt fájlokért, a felhasználónak a címtár tulajdonosának kell lennie. | Módosítsa a megadott felhasználó tulajdonában nem lévő otthoni címtárak tulajdonjogát a megfelelő felhasználóra. |
| Győződjön meg arról, hogy a felhasználók pontfájljai nem csoport- vagy világ írhatóak. (6.2.10) |
Leírás: A csoport- vagy világ írható felhasználói konfigurációs fájlok lehetővé tehetik, hogy a rosszindulatú felhasználók ellopják vagy módosítsák más felhasználók adatait, vagy megszerezhessék egy másik felhasználó rendszerjogjogait. | A felhasználói fájlok globális módosítása a felhasználói közösség értesítése nélkül váratlan kimaradásokat és boldogtalan felhasználókat eredményezhet. Ezért azt javasoljuk, hogy hozzon létre egy figyelési szabályzatot a felhasználói pont fájlengedélyeinek jelentéséhez és a webhelyházirend szervizelési műveleteinek meghatározásához. |
| Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .forward fájlokkal (6.2.11) |
Leírás: A fájl használata .forward biztonsági kockázatot jelent abban az esetben, ha a bizalmas adatok véletlenül átkerülnek a szervezeten kívülre. A .forward fájl kockázatot is jelent, mivel olyan parancsok végrehajtására is használható, amelyek nem kívánt műveleteket hajthatnak végre. |
A felhasználói fájlok globális módosítása a felhasználói közösség értesítése nélkül váratlan kimaradásokat és boldogtalan felhasználókat eredményezhet. Ezért ajánlott létrehozni egy figyelési szabályzatot a felhasználói .forward fájlok jelentésére, és meghatározni a webhelyházirendnek megfelelően végrehajtandó műveletet. |
| Győződjön meg arról, hogy egyetlen felhasználó sem rendelkezik .netrc-fájlokkal (6.2.12) |
Leírás: A .netrc fájl jelentős biztonsági kockázatot jelent, mivel titkosítatlan formában tárolja a jelszavakat. Ha az FTP le van tiltva, előfordulhat, hogy a felhasználói fiókok más rendszerekből származó fájlokat hoztak át .netrc , amelyek kockázatot jelenthetnek ezekre a rendszerekre. |
A felhasználói fájlok globális módosítása a felhasználói közösség értesítése nélkül váratlan kimaradásokat és boldogtalan felhasználókat eredményezhet. Ezért ajánlott létrehozni egy figyelési szabályzatot a felhasználói .netrc fájlok jelentésére, és meghatározni a webhelyházirendnek megfelelően végrehajtandó műveletet. |
| Győződjön meg arról, hogy a felhasználók nem rendelkeznek .rhosts-fájlokkal (6.2.14) |
Leírás: Ez a művelet csak akkor hasznos, ha .rhosts a fájlban /etc/pam.conf engedélyezve van a támogatás. Annak ellenére, hogy a .rhosts fájlok hatástalanok, ha a támogatás le van tiltva /etc/pam.conf , előfordulhat, hogy más rendszerekről hozták át őket, és hasznos információkat tartalmazhatnak a támadók számára a többi rendszer számára. |
A felhasználói fájlok globális módosítása a felhasználói közösség értesítése nélkül váratlan kimaradásokat és boldogtalan felhasználókat eredményezhet. Ezért ajánlott létrehozni egy figyelési szabályzatot a felhasználói .rhosts fájlok jelentésére, és meghatározni a webhelyházirendnek megfelelően végrehajtandó műveletet. |
| Győződjön meg arról, hogy az /etc/passwd összes csoportja létezik az /etc/group-ban (6.2.15) |
Leírás: A /etc/passwd fájlban definiált, de a /etc/group fájlban nem definiált csoportok veszélyt jelentenek a rendszerbiztonságra, mivel a csoportengedélyek kezelése nem megfelelő. | Az /etc/passwd csoportban definiált összes csoporthoz győződjön meg arról, hogy van egy megfelelő csoport a /etc/group-ban |
| Győződjön meg arról, hogy nincsenek ismétlődő felhasználói azonosítók (6.2.16) |
Leírás: A felhasználókat egyedi felhasználói azonosítókkal kell ellátni az elszámoltathatóság és a megfelelő hozzáférés-védelem biztosítása érdekében. | Hozzon létre egyedi felhasználói azonosítókat, és tekintse át a megosztott felhasználói felületek tulajdonában lévő összes fájlt annak megállapításához, hogy melyik UID-hez tartoznak. |
| Győződjön meg arról, hogy nincsenek ismétlődő GID-k (6.2.17) |
Leírás: A csoportokhoz egyedi GID-ket kell hozzárendelni az elszámoltathatóság és a megfelelő hozzáférés-védelem biztosítása érdekében. | Hozzon létre egyedi GID-ket, és tekintse át a megosztott GID-k tulajdonában lévő összes fájlt annak megállapításához, hogy melyik GID-hez tartoznak. |
| Győződjön meg arról, hogy nincsenek ismétlődő felhasználónevek (6.2.18) |
Leírás: Ha egy felhasználóhoz duplikált felhasználónév van rendelve, a rendszer létrehozza és hozzáfér a felhasználónév első UID azonosítójával rendelkező fájlokhoz./etc/passwd Ha például a "test4" 1000-es UID azonosítóval rendelkezik, és egy későbbi "test4" bejegyzés 2000-es UID azonosítóval rendelkezik, akkor a "test4" néven való bejelentkezés az UID 1000 azonosítót fogja használni. A UID gyakorlatilag meg van osztva, ami biztonsági probléma. |
Egyedi felhasználónevek létrehozása az összes felhasználó számára. A fájltulajdonok automatikusan tükrözik a változást, amíg a felhasználók egyedi felhasználói azonosítókkal rendelkeznek. |
| Győződjön meg arról, hogy nincsenek ismétlődő csoportok (6.2.19) |
Leírás: Ha egy csoporthoz duplikált csoportnév van rendelve, akkor létrehozza és hozzáfér a csoport első GID-jével rendelkező fájlokhoz a következőben /etc/group : . A GID gyakorlatilag meg van osztva, ami biztonsági probléma. |
Hozzon létre egyedi neveket az összes felhasználói csoporthoz. A fájlcsoportok tulajdonjogai automatikusan tükrözik a változást, amennyiben a csoportok egyedi GID-kkel rendelkeznek. |
| Ellenőrizze, hogy az árnyékcsoport üres-e (6.2.20) |
Leírás: Az árnyékcsoporthoz rendelt felhasználók olvasási hozzáférést kapnak az /etc/shadow fájlhoz. Ha a támadók olvasási hozzáférést kapnak a /etc/shadow fájlhoz, könnyen futtathatnak jelszótörő programot a kivonatolt jelszavak ellen, hogy megtörjék őket. A fájlban tárolt egyéb biztonsági információk (például a /etc/shadow lejárat) más felhasználói fiókok is hasznosak lehetnek. |
Az árnyékcsoportot alkotó összes felhasználó eltávolítása |
| A nem szükséges fájlrendszerek telepítésének és használatának letiltása (hfs) (6.3) |
Leírás: A támadók biztonsági rést használhatnak a HFS-ben a jogosultságok emeléséhez | Adjon hozzá egy fájlt a /etc/modprob.d könyvtárhoz, amely letiltja a hfs parancsokat, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| A nem szükséges fájlrendszerek telepítésének és használatának letiltása (hfsplus) (6.4) |
Leírás: A támadó a hfsplus biztonsági rését használhatja a jogosultságok emeléséhez | Adjon hozzá egy fájlt a /etc/modprob.d könyvtárhoz, amely letiltja a hfsplust, vagy futtatja a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| A nem szükséges fájlrendszerek telepítésének és használatának letiltása (jffs2) (6.5) |
Leírás: A támadó a jffs2 biztonsági résének használatával emelheti a jogosultságokat | Adjon hozzá egy fájlt a /etc/modprob.d könyvtárhoz, amely letiltja a jffs2-t, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| A kerneleket csak jóváhagyott forrásokból szabad lefordítani. (10) |
Leírás: A nem jóváhagyott forrásból származó kernel biztonsági réseket vagy háttérrendszereket tartalmazhat a támadók hozzáférésének biztosításához. | Telepítse a disztribúciós szállító által biztosított kernelt. |
| Az /etc/shadow fájl engedélyeinek 0400-ra kell állítaniuk (11.1) |
Leírás: A támadó lekérheti vagy módosíthatja a kivonatolt jelszavakat a /etc/shadow fájlból, ha az nem megfelelően van védve. | Állítsa be a /etc/shadow* engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms" |
| /etc/shadow- fájlengedélyeket 0400-ra kell állítani (11.2) |
Leírás: A támadó lekérheti vagy módosíthatja a kivonatolt jelszavakat a /etc/shadow fájlból, ha az nincs megfelelően biztosítva. | Állítsa be a /etc/shadow* engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms" |
| A /etc/gshadow fájlengedélyeket 0400-ra kell állítani (11.3) |
Leírás: A támadó csatlakozhat biztonsági csoportokhoz, ha a fájl nincs megfelelően védve | Állítsa be a /etc/gshadow engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms" |
| /etc/gshadow - a fájlengedélyeket 0400-ra kell állítani (11.4) |
Leírás: A támadó csatlakozhat biztonsági csoportokhoz, ha a fájl nincs megfelelően védve | Állítsa be a /etc/gshadow engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms" |
| A /etc/passwd fájlengedélyek 0644-nek kell lenniük (12.1) |
Leírás: A támadó módosíthatja a felhasználói azonosítókat és a bejelentkezési rendszerhéjakat | Állítsa be a /etc/passwd engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms" |
| A /etc/group fájlengedélyeinek 0644-nek kell lenniük (12.2) |
Leírás: A támadó a csoporttagság módosításával emelheti a jogosultságokat | Állítsa be a /etc/group engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd - a fájlengedélyeket 0600-ra kell állítani (12.3) |
Leírás: A támadó csatlakozhat biztonsági csoportokhoz, ha a fájl nincs megfelelően védve | Állítsa be a /etc/passwd engedélyeit és tulajdonjogát, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- fájlengedélynek 0644-nek kell lennie (12.4) |
Leírás: A támadó a csoporttagság módosításával emelheti a jogosultságokat | Állítsa be a /etc/group- vagy a run '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms< /opt/microsoft/omsremediate -r set-etc-group-perms |
| A gyökérfiók su-on keresztüli elérését a "gyökér" csoportra kell korlátozni (21) |
Leírás: A támadók jelszó-találgatással eszkalálhatják az engedélyeket, ha az su nem korlátozódik a gyökércsoport felhasználóira. | Futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions" parancsot. Ez a vezérlő hozzáadja a "hitelesítéshez szükséges pam_wheel.so use_uid" sort az "/etc/pam.d/su" fájlhoz |
| A "gyökér" csoportnak léteznie kell, és tartalmaznia kell az összes olyan tagot, aki a legfelső szintű (22) |
Leírás: A támadók jelszó-találgatással eszkalálhatják az engedélyeket, ha az su nem korlátozódik a gyökércsoport felhasználóira. | Hozza létre a gyökércsoportot a "groupadd -g 0 root" paranccsal |
| Minden fióknak rendelkeznie kell jelszóval (23.2) |
Leírás: A támadó jelszó nélkül bejelentkezhet a fiókokba, és tetszőleges parancsokat hajthat végre. | Jelszó beállítása az összes fiókhoz a passwd paranccsal |
| A gyökéren kívüli fiókoknak nullánál (0) nagyobb egyedi felhasználói azonosítóval kell rendelkezniük (24) |
Leírás: Ha a gyökéren kívüli fiók uid értéke nulla, a támadók veszélyeztethetik a fiókot, és gyökérjogjogokat szerezhetnek. | Egyedi, nem nulla azonosítók hozzárendelése az összes nem gyökérfiókhoz a "usermod -u" használatával |
| Engedélyezni kell a virtuális memóriarégiók véletlenszerű elhelyezését (25) |
Leírás: A támadó végrehajtható kódot írhat a memória ismert régióiba, ami jogosultságszint-emelést eredményez | Adja hozzá az "1" vagy a "2" értéket a következő fájlhoz: "/proc/sys/kernel/randomize_va_space" |
| Engedélyezni kell az XD/NX processzorfunkció kerneltámogatását (26) |
Leírás: A támadók a rendszer által végrehajtható kódot okozhatnak a memóriában lévő adatrégiókból, ami jogosultságszint-emelést eredményez. | Ellenőrizze, hogy a"/proc/cpuinfo" fájl tartalmazza-e az "nx" jelzőt |
| A "." nem jelenik meg a gyökér $PATH (27.1) |
Leírás: A támadók emelhetik a jogosultságokat, ha rosszindulatú fájlt helyeznek el a gyökér $PATH | Az "export PATH=" sor módosítása a /root/.profile fájlban |
| A felhasználói otthoni címtáraknak 750-ös vagy szigorúbb módnak kell lenniük (28) |
Leírás: A támadók bizalmas információkat kaphatnak más felhasználók otthoni mappáiból. | Állítsa be a kezdőmappa engedélyeit 750-re, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| Az összes felhasználó alapértelmezett umask értéke 077 legyen a login.defsben (29) |
Leírás: A támadók bizalmas információkat kaphatnak más felhasználók tulajdonában lévő fájlokból. | Futtassa a következő parancsot: "/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask". Ezzel hozzáadja az "UMASK 077" sort a "/etc/login.defs" fájlhoz |
| Minden rendszerindítónak engedélyeznie kell a jelszóvédelmet. (31) |
Leírás: A fizikai hozzáféréssel rendelkező támadó módosíthatja a bootloader beállításait, ami korlátlan rendszerhozzáférést eredményez | Rendszertöltőjelszó hozzáadása a következő fájlhoz: "/boot/grub/grub.cfg" |
| Győződjön meg arról, hogy a rendszerindító konfigurációjának engedélyei konfigurálva vannak (31.1) |
Leírás: A gyökérszintű olvasási és írási engedélyek beállítása megakadályozza, hogy a nem gyökérfelhasználók láthassák a rendszerindítási paramétereket, vagy módosíthassák őket. A rendszerindítási paramétereket olvasó nem gyökérfelhasználók a rendszerindításkor felismerhetik a biztonsági hiányosságokat, és kihasználhatják azokat. | Állítsa a bootloader tulajdonosát és csoportját root:root értékre és engedélyekre 0400-ra, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Győződjön meg arról, hogy az egyfelhasználós módhoz szükséges hitelesítés szükséges. (33) |
Leírás: A hitelesítés megkövetelése egyetlen felhasználói módban megakadályozza, hogy egy jogosulatlan felhasználó újraindítsa a rendszert egyetlen felhasználóvá, hogy hitelesítő adatok nélküli legfelső szintű jogosultságokat szerezzen. | Futtassa a következő parancsot a legfelső szintű felhasználó jelszavának beállításához: passwd root |
| Győződjön meg arról, hogy a csomagátirányítás küldése le van tiltva. (38.3) |
Leírás: A támadó egy feltört gazdagép használatával érvénytelen ICMP-átirányításokat küldhet más útválasztó-eszközökre az útválasztás sérülése érdekében, és a felhasználók hozzáférhetnek egy, a támadó által beállított rendszerhez, szemben egy érvényes rendszerrel. | állítsa be a következő paramétereket a /etc/sysctl.conf fájlban: "net.ipv4.conf.all.send_redirects = 0" és "net.ipv4.conf.default.send_redirects = 0", vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| Az ICMP-átirányítások küldését le kell tiltani minden felületen. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Leírás: A támadó megváltoztathatja a rendszer útválasztási tábláját, és átirányíthatja a forgalmat egy másik célhelyre | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects". |
| Az ICMP-átirányítások küldését le kell tiltani minden felületen. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Leírás: A támadó megváltoztathatja a rendszer útválasztási tábláját, és átirányíthatja a forgalmat egy másik célhelyre | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects" |
| A forrás által átirányított csomagok fogadását minden adapter esetében le kell tiltani. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Leírás: A támadó rosszindulatú célokra átirányíthatja a forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket. |
| A forrás által átirányított csomagok fogadását minden adapter esetében le kell tiltani. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Leírás: A támadó rosszindulatú célokra átirányíthatja a forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket. |
| A forrásalapú csomagok elfogadásának alapértelmezett beállítását le kell tiltani a hálózati adapterek esetében. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Leírás: A támadó rosszindulatú célokra átirányíthatja a forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket. |
| A forrásalapú csomagok elfogadásának alapértelmezett beállítását le kell tiltani a hálózati adapterek esetében. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Leírás: A támadó rosszindulatú célokra átirányíthatja a forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket. |
| Engedélyezni kell a hamis ICMP-válaszok figyelmen kívül hagyását a közvetítésekre. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Leírás: A támadó ICMP-támadást hajthat végre, amely DoS-t eredményez | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses" |
| A szórási/csoportos küldési címekre küldött ICMP-visszhangkérések (pingek) figyelmen kívül hagyását engedélyezni kell. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Leírás: A támadó ICMP-támadást hajthat végre, amely DoS-t eredményez | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts" |
| A marsi csomagok naplózását (a lehetetlen címekkel rendelkezőket) minden felületen engedélyezni kell. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Leírás: A támadó a hamisított címekről anélkül küldhet forgalmat, hogy észlelné | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians" |
| A forrásellenőrzés fordított útvonalon történő végrehajtását minden illesztőnél engedélyezni kell. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Leírás: A rendszer fogadja a nem átirányítható címekről érkező forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter" |
| A forrásellenőrzés fordított útvonalon történő végrehajtását minden illesztőnél engedélyezni kell. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Leírás: A rendszer fogadja a nem átirányítható címekről érkező forgalmat. | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter" |
| A TCP SYN-cookie-kat engedélyezni kell. (net.ipv4.tcp_syncookies = 1) (47) |
Leírás: A támadó a DoS-t TCP-en keresztül hajthatja végre | Futtassa sysctl -w key=value és állítsa be a megfelelő értéket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies" |
| A rendszernek nem szabad hálózati figyelőként működnie. (48) |
Leírás: A támadók a hálózati forgalom szippantására használhatnak nem egyértelmű interfészeket | A "/etc/network/interfaces" vagy a "/etc/rc.local" "promisc" bejegyzéssel engedélyezve van a "/etc/network/interfaces" vagy a "/etc/rc.local". Ellenőrizze mindkét fájlt, és távolítsa el ezt a bejegyzést. |
| Minden vezeték nélküli adaptert le kell tiltani. (49) |
Leírás: A támadó létrehozhat egy hamis AP-t az átvitelek elfogásához. | Ellenőrizze, hogy az összes vezeték nélküli adapter le van-e tiltva a "/etc/network/interfaces" területen |
| Az IPv6 protokollt engedélyezni kell. (50) |
Leírás: Ez a modern hálózatokon való kommunikációhoz szükséges. | Nyissa meg a /etc/sysctl.conf fájlt, és győződjön meg arról, hogy a "net.ipv6.conf.all.disable_ipv6" és a "net.ipv6.conf.default.disable_ipv6" értéke 0 |
| Ellenőrizze, hogy a DCCP le van-e tiltva (54) |
Leírás: Ha a protokoll nem szükséges, javasoljuk, hogy az illesztőprogramok ne legyenek telepítve a lehetséges támadási felület csökkentése érdekében. | Szerkessze vagy hozzon létre egy fájlt a /etc/modprobe.d/ .conf végződésű könyvtárban, majd adja hozzá install dccp /bin/true , majd távolítsa el a dccp modult, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Győződjön meg arról, hogy az SCTP le van tiltva (55) |
Leírás: Ha a protokoll nem szükséges, javasoljuk, hogy az illesztőprogramok ne legyenek telepítve a lehetséges támadási felület csökkentése érdekében. | Szerkessze vagy hozzon létre egy fájlt a /etc/modprobe.d/ .conf végződésű könyvtárban, majd adja hozzá install sctp /bin/true , majd távolítsa el az sctp modult, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Az RDS támogatásának letiltása. (56) |
Leírás: A támadó az RDS biztonsági résével veszélyeztetheti a rendszert | Szerkessze vagy hozzon létre egy fájlt a /etc/modprobe.d/ .conf végződésű könyvtárban, majd adja hozzá install rds /bin/true , majd távolítsa el az rds modult, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" parancsot. |
| Győződjön meg arról, hogy a TIPC le van tiltva (57) |
Leírás: Ha a protokoll nem szükséges, javasoljuk, hogy az illesztőprogramok ne legyenek telepítve a lehetséges támadási felület csökkentése érdekében. | Szerkessze vagy hozzon létre egy fájlt a /etc/modprobe.d/ .conf végződésű könyvtárban, majd adja hozzá install tipc /bin/true , majd távolítsa el a tipc modult, vagy futtassa a "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" parancsot. |
| Győződjön meg arról, hogy a naplózás konfigurálva van (60) |
Leírás: A rendszer számos fontos, biztonsággal kapcsolatos információt küld el rsyslog (például sikeres és sikertelen su kísérletek, sikertelen bejelentkezési kísérletek, fő bejelentkezési kísérletek stb.). |
A syslog, rsyslog vagy syslog-ng konfigurálása a megfelelő módon |
| Telepíteni kell a syslog, rsyslog vagy syslog-ng csomagot. (61) |
Leírás: A rendszer nem naplózza a megbízhatósági és biztonsági problémákat, megakadályozva a megfelelő diagnózist. | Telepítse az rsyslog csomagot, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog" |
| A systemd-journald szolgáltatást úgy kell konfigurálni, hogy megőrizze a naplóüzeneteket (61.1) |
Leírás: A rendszer nem naplózza a megbízhatósági és biztonsági problémákat, megakadályozva a megfelelő diagnózist. | Hozzon létre /var/log/journal fájlt, és győződjön meg arról, hogy a journald.conf tárterülete automatikus vagy állandó |
| Győződjön meg arról, hogy a naplózási szolgáltatás engedélyezve van (62) |
Leírás: Elengedhetetlen, hogy képes legyen eseményeket naplózni egy csomóponton. | Engedélyezze az rsyslog csomagot, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog" |
| Az összes rsyslog naplófájl fájlengedélyeinek 640 vagy 600 értékűnek kell lenniük. (63) |
Leírás: A támadó a naplók módosításával elrejtheti a tevékenységeket | Adja hozzá a "$FileCreateMode 0640" sort az "/etc/rsyslog.conf" fájlhoz |
| Győződjön meg arról, hogy a naplózó konfigurációs fájljai korlátozottak. (63.1) |
Leírás: Fontos, hogy a naplófájlok létezhessenek, és megfelelő engedélyekkel rendelkezzenek a bizalmas syslog-adatok archiválásához és védelméhez. | Állítsa a naplózó konfigurációs fájljait 0640-re, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions" |
| Az összes rsyslog naplófájlnak az adm-csoport tulajdonában kell lennie. (64) |
Leírás: A támadó a naplók módosításával elrejtheti a tevékenységeket | Adja hozzá az "$FileGroup adm" sort az "/etc/rsyslog.conf" fájlhoz |
| Az összes rsyslog naplófájlnak a syslog-felhasználó tulajdonában kell lennie. (65) |
Leírás: A támadó a naplók módosításával elrejtheti a tevékenységeket | Adja hozzá a "$FileOwner syslog" sort az "/etc/rsyslog.conf" fájlhoz, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| Az Rsyslog nem fogad távoli üzeneteket. (67) |
Leírás: A támadó üzeneteket injektálhat a syslogba, ami DoS-t vagy más tevékenységtől való elterelést okozhat | Távolítsa el az "$ModLoad imudp" és a "$ModLoad imtcp" sorokat az "/etc/rsyslog.conf" fájlból |
| A logrotate (syslog roter) szolgáltatást engedélyezni kell. (68) |
Leírás: A naplófájlok kötetlenné válhatnak, és minden lemezterületet felhasználhatnak | Telepítse a logrotate csomagot, és ellenőrizze, hogy a logrotate cron bejegyzés aktív-e (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| Az rlogin szolgáltatást le kell tiltani. (69) |
Leírás: A támadó hozzáférhet, megkerülve a szigorú hitelesítési követelményeket | Távolítsa el az inetd szolgáltatást. |
| Tiltsa le az inetd parancsot, hacsak nem szükséges. (inetd) (70.1) |
Leírás: A támadó kihasználhat egy biztonsági rést egy inetd szolgáltatásban a hozzáférés megszerzéséhez | Az inetd szolgáltatás eltávolítása (apt-get remove inetd) |
| Tiltsa le a xinetd parancsot, hacsak nem szükséges. (xinetd) (70.2) |
Leírás: A támadó kihasználhatja a biztonsági rést egy xinetd szolgáltatásban a hozzáférés megszerzéséhez | Az inetd szolgáltatás eltávolítása (apt-get remove xinetd) |
| Csak akkor telepítse az inetd elemet, ha szükséges, és ezt a disztribúció megköveteli. Biztonságos a jelenlegi keményítési szabványoknak megfelelően. (ha szükséges) (71.1) |
Leírás: A támadó kihasználhat egy biztonsági rést egy inetd szolgáltatásban a hozzáférés megszerzéséhez | Az inetd szolgáltatás eltávolítása (apt-get remove inetd) |
| Telepítse a xinetdet, ha szükséges, és ezt a disztribúció megköveteli. Biztonságos a jelenlegi keményítési szabványoknak megfelelően. (ha szükséges) (71.2) |
Leírás: A támadó kihasználhat egy biztonsági rést egy xinetd szolgáltatásban a hozzáférés megszerzéséhez | Az inetd szolgáltatás eltávolítása (apt-get remove xinetd) |
| A telnet szolgáltatást le kell tiltani. (72) |
Leírás: A támadó lehallgathatja vagy eltérítheti a titkosítatlan telnet-munkameneteket | Távolítsa el vagy fűzzön megjegyzést a telnet bejegyzéshez a következő fájlban: "/etc/inetd.conf" |
| Minden telnetes csomagot el kell távolítani. (73) |
Leírás: A támadó lehallgathatja vagy eltérítheti a titkosítatlan telnet-munkameneteket | A telnetes csomagok eltávolítása |
| Az rcp/rsh szolgáltatást le kell tiltani. (74) |
Leírás: A támadó lehallgathatja vagy eltérítheti a titkosítatlan munkameneteket | Távolítsa el vagy fűzzön megjegyzést a rendszerhéj bejegyzéséhez a következő fájlban: "/etc/inetd.conf" |
| Az rsh-server csomagot el kell távolítani. (77) |
Leírás: A támadó lehallgathatja vagy eltérítheti a titkosítatlan rsh-munkameneteket | Távolítsa el az rsh-server csomagot (apt-get remove rsh-server) |
| Az ypbind szolgáltatást le kell tiltani. (78) |
Leírás: A támadó bizalmas adatokat tud lekérni az ypbind szolgáltatásból | Távolítsa el a nis-csomagot (apt-get remove nis) |
| A nis-csomagot el kell távolítani. (79) |
Leírás: A támadó bizalmas információkat tud lekérni a NIS szolgáltatásból | Távolítsa el a nis-csomagot (apt-get remove nis) |
| A tftp szolgáltatást le kell tiltani. (80) |
Leírás: A támadó lehallgathat vagy eltéríthet egy titkosítatlan munkamenetet | Távolítsa el a tftp bejegyzést a következő fájlból: "/etc/inetd.conf" |
| A tftpd csomagot el kell távolítani. (81) |
Leírás: A támadó lehallgathat vagy eltéríthet egy titkosítatlan munkamenetet | Távolítsa el a tftpd csomagot (apt-get remove tftpd) |
| A readahead-fedora csomagot el kell távolítani. (82) |
Leírás: A csomag nem hoz létre jelentős kitettséget, de nem ad jelentős előnyt. | Távolítsa el a readahead-fedora csomagot (apt-get remove readahead-fedora) |
| A bluetooth/rejtett szolgáltatást le kell tiltani. (84) |
Leírás: A támadó képes elfogni vagy manipulálni a vezeték nélküli kommunikációt. | Távolítsa el a bluetooth-csomagot (apt-get remove bluetooth) |
| Az isdn szolgáltatást le kell tiltani. (86) |
Leírás: A támadók modemet használhatnak jogosulatlan hozzáféréshez | Távolítsa el az isdnutils-base csomagot (apt-get remove isdnutils-base) |
| Az isdnutils-base csomagot el kell távolítani. (87) |
Leírás: A támadók modemet használhatnak jogosulatlan hozzáféréshez | Távolítsa el az isdnutils-base csomagot (apt-get remove isdnutils-base) |
| A kdump szolgáltatást le kell tiltani. (88) |
Leírás: A támadó elemezhet egy korábbi rendszerösszeomlást a bizalmas információk lekéréséhez | Távolítsa el a kdump-tools csomagot (apt-get remove kdump-tools) |
| A Zeroconf hálózatkezelést le kell tiltani. (89) |
Leírás: A támadó ezzel visszaélve információkat szerezhet a hálózati rendszerekről, vagy hamis DNS-kéréseket kaphat a megbízhatósági modell hibái miatt | RedHat, CentOS és Oracle esetén: Hozzáadás NOZEROCONF=yes or no a /etc/sysconfig/network szolgáltatáshoz. Minden egyéb disztribúció esetén: Távolítsa el az "/etc/network/interfaces" fájlban található "ipv4ll" bejegyzéseket, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf" |
| A crond szolgáltatást engedélyezni kell. (90) |
Leírás: Cronra szinte minden rendszernek szüksége van a rendszeres karbantartási feladatokhoz | Telepítse a cron csomagot (apt-get install -y cron), és győződjön meg arról, hogy a "/etc/init/cron.conf" fájl tartalmazza a "start on runlevel [2345]" sort. |
| A /etc/anacrontab fájlengedélyeit root:root 600 értékre kell állítani. (91) |
Leírás: A támadók módosíthatják ezt a fájlt, hogy megakadályozzák az ütemezett feladatokat, vagy rosszindulatú feladatokat hajtsanak végre | Állítsa be a tulajdonjogot és az engedélyeket a /etc/anacrontab oldalon, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms" |
| Győződjön meg arról, hogy a /etc/cron.d engedélyei konfigurálva vannak. (93) |
Leírás: Ha írási hozzáférést ad ehhez a könyvtárhoz a nem emelt jogosultságú felhasználók számára, lehetővé teheti számukra a jogosulatlan emelt szintű jogosultságok megszerzését. Ha olvasási hozzáférést ad ehhez a könyvtárhoz, az jogosultság nélküli felhasználói betekintést adhat arra, hogyan szerezhet emelt szintű jogosultságokat, vagy megkerülheti a naplózási vezérlőket. | Állítsa a /etc/chron.d tulajdonosát és csoportját 0700-ra, vagy futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms" parancsot. |
| Győződjön meg arról, hogy a /etc/cron.daily engedélyek konfigurálva vannak. (94) |
Leírás: Ha írási hozzáférést ad ehhez a könyvtárhoz a nem emelt jogosultságú felhasználók számára, lehetővé teheti számukra a jogosulatlan emelt szintű jogosultságok megszerzését. Ha olvasási hozzáférést ad ehhez a könyvtárhoz, az jogosultság nélküli felhasználói betekintést adhat arra, hogyan szerezhet emelt szintű jogosultságokat, vagy megkerülheti a naplózási vezérlőket. | Állítsa a /etc/chron.daily tulajdonosát és csoportját 0700-ra, vagy futtassa a "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms" parancsot. |
| Győződjön meg arról, hogy a /etc/cron.hourly engedélyek konfigurálva vannak. (95) |
Leírás: Ha írási hozzáférést ad ehhez a könyvtárhoz a nem emelt jogosultságú felhasználók számára, lehetővé teheti számukra a jogosulatlan emelt szintű jogosultságok megszerzését. Ha olvasási hozzáférést ad ehhez a könyvtárhoz, az jogosultság nélküli felhasználói betekintést adhat arra, hogyan szerezhet emelt szintű jogosultságokat, vagy megkerülheti a naplózási vezérlőket. | Állítsa a /etc/chron.hourly tulajdonosát és csoportját 0700-ra, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Győződjön meg arról, hogy a /etc/cron.monthly engedélyek konfigurálva vannak. (96) |
Leírás: Ha írási hozzáférést ad ehhez a könyvtárhoz a nem emelt jogosultságú felhasználók számára, lehetővé teheti számukra a jogosulatlan emelt szintű jogosultságok megszerzését. Ha olvasási hozzáférést ad ehhez a könyvtárhoz, az jogosultság nélküli felhasználói betekintést adhat arra, hogyan szerezhet emelt szintű jogosultságokat, vagy megkerülheti a naplózási vezérlőket. | Állítsa a /etc/chron.monthly tulajdonosát és csoportját 0700-ra, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Győződjön meg arról, hogy a /etc/cron.weekly engedélyek konfigurálva vannak. (97) |
Leírás: Ha írási hozzáférést ad ehhez a könyvtárhoz a nem emelt jogosultságú felhasználók számára, lehetővé teheti számukra a jogosulatlan emelt szintű jogosultságok megszerzését. Ha olvasási hozzáférést ad ehhez a könyvtárhoz, az jogosultság nélküli felhasználói betekintést adhat arra, hogyan szerezhet emelt szintű jogosultságokat, vagy megkerülheti a naplózási vezérlőket. | Állítsa a /etc/chron.weekly tulajdonosát és csoportját 0700-ra, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Győződjön meg arról, hogy az at/cron csak a jogosult felhasználókra korlátozódik (98) |
Leírás: Számos rendszeren csak a rendszergazda jogosult feladatok ütemezésére cron . cron.allow A fájl használatával szabályozhatja, hogy ki futtathat cron feladatokat, kényszeríti ezt a szabályzatot. Az engedélyezési listák egyszerűbben kezelhetők, mint a megtagadási listák. A megtagadási listákban előfordulhat, hogy felhasználói azonosítót ad hozzá a rendszerhez, és elfelejti hozzáadni a megtagadási fájlokhoz. |
Cserélje le a /etc/cron.deny és /etc/at.deny fájlt a megfelelő allow fájlokra, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow" |
| Az SSH-t úgy kell konfigurálni és felügyelni, hogy megfeleljen az ajánlott eljárásoknak. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Leírás: A támadó az SSH protokoll egy korábbi verziójának hibáit használhatja a hozzáférés megszerzéséhez | Futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol" parancsot. Ezzel beállítja a "2. protokollt" a következő fájlban: "/etc/ssh/sshd_config" |
| Az SSH-t úgy kell konfigurálni és felügyelni, hogy megfeleljen az ajánlott eljárásoknak. - '/etc/ssh/sshd_config IgnoreRhosts = igen' (106.3) |
Leírás: A támadó az Rhosts protokoll hibáit használhatja a hozzáférés megszerzéséhez | Futtassa a következő parancsot: "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts". Ezzel hozzáadja az "IgnoreRhosts yes" sort a fájlhoz : '/etc/ssh/sshd_config' |
| Győződjön meg arról, hogy az SSH LogLevel értéke INFO (106.5) |
Leírás: Az SSH több naplózási szintet biztosít, amelyek különböző mennyiségű részletességet biztosítanak. DEBUG kifejezetten nem ajánlott, kivéve szigorúan az SSH-kommunikáció hibakeresését, mivel olyan sok adatot biztosít, hogy nehéz azonosítani a fontos biztonsági információkat. INFO szint az az alapszint, amely csak az SSH-felhasználók bejelentkezési tevékenységét rögzíti. Számos esetben, például incidenskezelés esetén fontos meghatározni, hogy egy adott felhasználó mikor volt aktív egy rendszeren. A bejelentkezési rekord kiküszöbölheti azokat a felhasználókat, akik leválasztották a kapcsolatot, ami segít a mező szűkítésében. |
Szerkessze a /etc/ssh/sshd_config fájlt a paraméter beállításához az alábbiak szerint: LogLevel INFO |
| Győződjön meg arról, hogy az SSH MaxAuthTries értéke 6 vagy kevesebb (106.7) |
Leírás: A paraméter alacsony számra állítása MaxAuthTries minimálisra csökkenti az SSH-kiszolgálóra irányuló sikeres találgatásos támadások kockázatát. Bár az ajánlott beállítás 4, állítsa be a számot a webhelyházirend alapján. |
Győződjön meg arról, hogy az SSH MaxAuthTries értéke 6 vagy kevesebb: Szerkessze a /etc/ssh/sshd_config fájlt a paraméter beállításához az alábbiak szerint: MaxAuthTries 6 |
| Győződjön meg arról, hogy az SSH-hozzáférés korlátozott (106.11) |
Leírás: Ha korlátozza, hogy mely felhasználók férhetnek hozzá távolról a rendszerhez az SSH-val, azzal biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá a rendszerhez. | Győződjön meg arról, hogy az /etc/ssh/sshd_config SSH-hozzáférés korlátozott a fájl szerkesztéséhez a paraméter egy vagy több beállításához az alábbiak szerint: AllowUsers AllowGroups DenyUsers DenyGroups |
| Az rsh-parancs ssh-kiszolgálón keresztüli emulációját le kell tiltani. - '/etc/ssh/sshd_config RhostsRSAAuthentication = nem" (107) |
Leírás: A támadó az RHosts protokoll hibáit használhatja a hozzáférés megszerzéséhez | Futtassa a következő parancsot: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth". Ezzel hozzáadja az "RhostsRSAAuthentication no" sort az "/etc/ssh/sshd_config" fájlhoz |
| Az SSH-gazdagépalapú hitelesítést le kell tiltani. - '/etc/ssh/sshd_config HostbasedAuthentication = nem" (108) |
Leírás: A támadó gazdagépalapú hitelesítéssel érheti el a feltört gazdagépet | Futtassa az "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth" parancsot. Ezzel hozzáadja a "HostbasedAuthentication no" sort a következő fájlhoz: "/etc/ssh/sshd_config" |
| Az SSH-val történő fő bejelentkezést le kell tiltani. - '/etc/ssh/sshd_config PermitRootLogin = nem' (109) |
Leírás: A támadó találgatással kényszerítheti a gyökérjelszót, vagy elrejtheti a parancselőzményeket úgy, hogy közvetlenül gyökérként jelentkezik be | Futtassa a következő parancsot: "/usr/local/bin/azsecd remediate -r disable-ssh-root-login". Ezzel hozzáadja a "PermitRootLogin no" sort a fájlhoz: "/etc/ssh/sshd_config" |
| Az üres jelszóval rendelkező fiókok távoli kapcsolatait le kell tiltani. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Leírás: A támadó jelszó-találgatással érheti el a hozzáférést | Futtassa a következő parancsot: "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords". Ezzel hozzáadja a "PermitEmptyPasswords no" sort az "/etc/ssh/sshd_config" fájlhoz |
| Győződjön meg arról, hogy az SSH tétlen időtúllépési időköze konfigurálva van. (110.1) |
Leírás: A kapcsolathoz társított időtúllépési érték nem teszi lehetővé, hogy jogosulatlan felhasználó hozzáférjen egy másik felhasználó ssh-munkamenetéhez. Az időtúllépési érték beállítása legalább csökkenti ennek a kockázatát. Bár az ajánlott beállítás 300 másodperc (5 perc), állítsa be ezt az időtúllépési értéket a webhelyházirend alapján. A javasolt beállítás a ClientAliveCountMax 0. Ebben az esetben az ügyfél munkamenete 5 perc tétlenségi idő után leáll, és a rendszer nem küld megőrzési üzeneteket. |
A /etc/ssh/sshd_config fájl szerkesztése a paraméterek szabályzat szerinti beállításához |
| Győződjön meg arról, hogy az SSH LoginGraceTime értéke legalább egy perc. (110.2) |
Leírás: A paraméter alacsony számra állítása LoginGraceTime minimálisra csökkenti az SSH-kiszolgálóra irányuló sikeres találgatásos támadások kockázatát. Emellett az egyidejűleg nem hitelesített kapcsolatok számát is korlátozza, míg az ajánlott beállítás 60 másodperc (1 perc), állítsa be a számot a webhelyházirend alapján. |
Szerkessze az /etc/ssh/sshd_config fájlt a paraméterek szabályzat szerinti beállításához, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time" |
| Győződjön meg arról, hogy csak jóváhagyott MAC-algoritmusok vannak használatban (110.3) |
Leírás: Az MD5 és a 96 bites MAC-algoritmusok gyengenek minősülnek, és kimutatták, hogy növelik az SSH-leminősítési támadások kihasználhatóságát. A gyenge algoritmusok továbbra is nagy figyelmet fordítanak a gyenge pontra, amelyet kiterjesztett számítási teljesítménnyel lehet kihasználni. Az algoritmust megszakító támadó kihasználhatja a MiTM-pozíció előnyeit az SSH-alagút visszafejtéséhez és hitelesítő adatok és információk rögzítéséhez | Szerkessze a /etc/sshd_config fájlt, és adja hozzá/módosítsa a MACs-sort úgy, hogy az tartalmazza a jóváhagyott macsok vesszővel tagolt listáját, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs" |
| Győződjön meg arról, hogy a távoli bejelentkezésre figyelmeztető szalagcím megfelelően van konfigurálva. (111) |
Leírás: A figyelmeztető üzenetek tájékoztatják a rendszerbe bejelentkezni próbáló felhasználókat a rendszer jogi állapotáról, és tartalmazniuk kell a rendszer tulajdonosa szervezet nevét és a érvényben lévő figyelési szabályzatokat. Az operációs rendszer és a javításszintű információk bejelentkezési szalagcímeken való megjelenítése annak a mellékhatása is, hogy részletes rendszerinformációkat ad a támadóknak, amelyek megkísérlik megcélozni a rendszer adott biztonsági réseit. A jogosult felhasználók egyszerűen lekérhetik ezeket az információkat, ha a bejelentkezés után futtatják a uname -aparancsot. |
Távolítsa el az \m \r \s és a \v példányokat a /etc/issue.net fájlból |
| Győződjön meg arról, hogy a helyi bejelentkezési figyelmeztető szalagcím megfelelően van konfigurálva. (111.1) |
Leírás: A figyelmeztető üzenetek tájékoztatják a rendszerbe bejelentkezni próbáló felhasználókat a rendszer jogi állapotáról, és tartalmazniuk kell a rendszer tulajdonosa szervezet nevét és a érvényben lévő figyelési szabályzatokat. Az operációs rendszer és a javításszintű információk bejelentkezési szalagcímeken való megjelenítése annak a mellékhatása is, hogy részletes rendszerinformációkat ad a támadóknak, amelyek megkísérlik megcélozni a rendszer adott biztonsági réseit. A jogosult felhasználók egyszerűen lekérhetik ezeket az információkat, ha a bejelentkezés után futtatják a uname -aparancsot. |
Távolítsa el az \m \r \s és a \v példányokat a /etc/issue fájlból |
| Engedélyezni kell az SSH figyelmeztető szalagcímét. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Leírás: A rendszer nem figyelmezteti a felhasználókat, hogy a rendszer figyeli a rendszer műveleteit | Futtassa a következő parancsot: "/usr/local/bin/azsecd remediate -r configure-ssh-banner". Ezzel hozzáadja a "Banner /etc/azsec/banner.txt" sort a "/etc/ssh/sshd_config" fájlhoz. |
| A felhasználók nem állíthatnak be környezeti beállításokat az SSH-hoz. (112) |
Leírás: Előfordulhat, hogy a támadó képes megkerülni bizonyos hozzáférési korlátozásokat az SSH-val szemben | Távolítsa el az "PermitUserEnvironment yes" sort az "/etc/ssh/sshd_config" fájlból |
| Az SSH-hoz megfelelő titkosítást kell használni. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Leírás: A támadó veszélyeztetheti a gyengén biztonságos SSH-kapcsolatot | Futtassa a következő parancsot: "/usr/local/bin/azsecd remediate -r configure-ssh-ciphers". Ezzel hozzáadja a "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" sort a következő fájlhoz: "/etc/ssh/sshd_config" |
| Az avahi-démon szolgáltatást le kell tiltani. (114) |
Leírás: A támadó egy biztonsági rést használhat az avahi démonban a hozzáférés megszerzéséhez | Tiltsa le az avahi-daemon szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon" |
| A csészeszolgáltatást le kell tiltani. (115) |
Leírás: A támadó a cups szolgáltatás hibájával emelheti a jogosultságokat | Tiltsa le a cups szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups" |
| Az isc-dhcpd szolgáltatást le kell tiltani. (116) |
Leírás: A támadó a dhcpd használatával hibás információkat biztosíthat az ügyfeleknek, és megzavarhatja a normál működést. | Az isc-dhcp-server csomag eltávolítása (apt-get remove isc-dhcp-server) |
| Az isc-dhcp-server csomagot el kell távolítani. (117) |
Leírás: A támadó a dhcpd használatával hibás információkat biztosíthat az ügyfeleknek, és megzavarhatja a normál működést. | Az isc-dhcp-server csomag eltávolítása (apt-get remove isc-dhcp-server) |
| A sendmail csomagot el kell távolítani. (120) |
Leírás: A támadó ezzel a rendszerrel rosszindulatú tartalommal rendelkező e-maileket küldhet más felhasználóknak | Távolítsa el a sendmail csomagot (apt-get remove sendmail) |
| A postfix-csomagot el kell távolítani. (121) |
Leírás: A támadó ezzel a rendszerrel rosszindulatú tartalommal rendelkező e-maileket küldhet más felhasználóknak | Távolítsa el a postfix-csomagot (apt-get remove postfix) vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix" |
| A postfix hálózat figyelését szükség szerint le kell tiltani. (122) |
Leírás: A támadó ezzel a rendszerrel rosszindulatú tartalommal rendelkező e-maileket küldhet más felhasználóknak | Adja hozzá a "inet_interfaces localhost" sort a következő fájlhoz: "/etc/postfix/main.cf" |
| Az ldap szolgáltatást le kell tiltani. (124) |
Leírás: A támadó manipulálhatja a gazdagép LDAP-szolgáltatását, hogy hamis adatokat terjesszen az LDAP-ügyfeleknek | Távolítsa el az összecsukott csomagot (apt-get remove slapd) |
| Az rpcgssd szolgáltatást le kell tiltani. (126) |
Leírás: A támadó az rpcgssd/nfs hibáit használhatja a hozzáférés megszerzéséhez | Tiltsa le az rpcgssd szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd" |
| A rpcidmapd szolgáltatást le kell tiltani. (127) |
Leírás: A támadó az idmapd/nfs hibáit használhatja a hozzáférés megszerzéséhez | Tiltsa le a rpcidmapd szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd" |
| A porttérkép szolgáltatást le kell tiltani. (129.1) |
Leírás: A támadó a porttérkép hibáját használhatja a hozzáférés megszerzéséhez | Tiltsa le az rpcbind szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind" |
| A hálózati fájlrendszer (NFS) szolgáltatást le kell tiltani. (129.2) |
Leírás: A támadó nfs használatával csatlakoztathatja a megosztásokat, és fájlokat futtathat/másolhat. | Tiltsa le az nfs szolgáltatást, vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs" |
| Az rpcsvcgssd szolgáltatást le kell tiltani. (130) |
Leírás: A támadó az rpcsvcgssd hibáját használhatja a hozzáférés megszerzéséhez | Távolítsa el a "NEED_SVCGSSD = igen" sort a következő fájlból: "/etc/inetd.conf" |
| A megnevezett szolgáltatást le kell tiltani. (131) |
Leírás: A támadó a DNS-szolgáltatással hamis adatokat terjeszthet az ügyfeleknek | A bind9-csomag eltávolítása (apt-get remove bind9) |
| A kötéscsomagot el kell távolítani. (132) |
Leírás: A támadó a DNS-szolgáltatással hamis adatokat terjeszthet az ügyfeleknek | A bind9-csomag eltávolítása (apt-get remove bind9) |
| A dovecot szolgáltatást le kell tiltani. (137) |
Leírás: A rendszer IMAP/POP3-kiszolgálóként is használható | Távolítsa el a dovecot-core csomagot (apt-get remove dovecot-core) |
| A dovecot-csomagot el kell távolítani. (138) |
Leírás: A rendszer IMAP/POP3-kiszolgálóként is használható | Távolítsa el a dovecot-core csomagot (apt-get remove dovecot-core) |
Győződjön meg arról, hogy nincsenek régi + bejegyzések a /etc/passwd fájlban(156.1) |
Leírás: A támadó a "+" felhasználónévvel, jelszó nélkül férhet hozzá | Távolítsa el azokat a bejegyzéseket a /etc/passwd fájlból, amelyek a következővel kezdődnek: "+:" |
Győződjön meg arról, hogy nincsenek régi + bejegyzések az /etc/shadow fájlban(156.2) |
Leírás: A támadó a "+" felhasználónévvel, jelszó nélkül férhet hozzá | Távolítsa el a következővel kezdődő /etc/shadow bejegyzéseket: "+:" |
Győződjön meg arról, hogy nincsenek régi + bejegyzések az /etc/group-ban(156.3) |
Leírás: A támadó a "+" felhasználónévvel, jelszó nélkül férhet hozzá | Távolítsa el a következővel kezdődő /etc/group bejegyzéseket: "+:" |
| Győződjön meg arról, hogy a jelszó lejárata legalább 365 nap. (157.1) |
Leírás: A jelszó maximális életkorának csökkentése egyúttal csökkenti a támadók számára azt a lehetőséget is, hogy feltört hitelesítő adatokat használjanak, vagy egy online találgatásos támadással sikeresen feltörhessék a hitelesítő adatokat. | Állítsa a PASS_MAX_DAYS paramétert legfeljebb 365 értékre a következőben /etc/login.defs : "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days" |
| Győződjön meg arról, hogy a jelszó lejárati figyelmeztetési napja 7 vagy több. (157.2) |
Leírás: Ha előre figyelmezteti, hogy a jelszó le fog lejárni, a felhasználók időt kapnak arra, hogy biztonságos jelszóra gondoljanak. A nem tudó felhasználók választhatnak egy egyszerű jelszót, vagy leírhatják, ahol felfedezhetik. | Állítsa a paramétert 7-re/etc/login.defs, vagy futtassa a PASS_WARN_AGE következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age" |
| Győződjön meg arról, hogy a jelszó újrafelhasználása korlátozott. (157.5) |
Leírás: Ha arra kényszeríti a felhasználókat, hogy ne használják újra az elmúlt öt jelszót, kevésbé valószínű, hogy a támadó kitalálja a jelszót. | Győződjön meg arról, hogy az "emlékezz" beállítás értéke legalább 5 legyen a /etc/pam.d/common-password vagy a /etc/pam.d/password_auth és /etc/pam.d/system_auth vagy futtassa a "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history" parancsot. |
| Győződjön meg arról, hogy a jelszókivonat-algoritmus SHA-512 (157.11) |
Leírás: Az SHA-512 algoritmus sokkal erősebb kivonatolást biztosít, mint az MD5, így további védelmet nyújt a rendszer számára azáltal, hogy növeli a támadók számára a jelszavak sikeres meghatározásához szükséges erőfeszítéseket. Megjegyzés: Ezek a módosítások csak a helyi rendszeren konfigurált fiókokra vonatkoznak. | Jelszókivonat-algoritmus beállítása sha512 értékre. Számos disztribúció biztosít eszközöket a PAM-konfiguráció frissítéséhez, a részletekért tekintse meg a dokumentációt. Ha nincs eszközkészlet, szerkessze a megfelelő /etc/pam.d/ konfigurációs fájlt, és adja hozzá vagy módosítsa a pam_unix.so sorokat úgy, hogy az tartalmazza a sha512 beállítást: password sufficient pam_unix.so sha512 |
| Győződjön meg arról, hogy a jelszómódosítások között legalább 7 nap van. (157.12) |
Leírás: A jelszómódosítások gyakoriságának korlátozásával a rendszergazda megakadályozhatja, hogy a felhasználók ismételten módosítsák a jelszavukat a jelszó újrafelhasználási vezérlőinek megkerülése érdekében. | Állítsa a paramétert PASS_MIN_DAYS 7 értékre a következőben /etc/login.defs: PASS_MIN_DAYS 7. Módosítsa az összes jelszókészlettel rendelkező felhasználó felhasználói paramétereit a következőre: vagy futtassa a következőt: chage --mindays 7 "/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days" |
| Győződjön meg arról, hogy az összes felhasználó legutóbbi jelszómódosítási dátuma a múltban van (157.14) |
Leírás: Ha a felhasználók a jövőben rögzítik a jelszómódosítás dátumát, akkor megkerülhetik a beállított jelszó lejáratát. | Győződjön meg arról, hogy az inaktív jelszózárolás legalább 30 nap. Futtassa a következő parancsot az alapértelmezett jelszó-inaktivitási időszak 30 napra való beállításához: # useradd -D -f 30 Módosítsa a felhasználói paramétereket az összes jelszókészlettel rendelkező felhasználónál a következőhöz: # chage --inactive 30 |
| Győződjön meg arról, hogy a rendszerfiókok nem jelentkeznek be (157.15) |
Leírás: Fontos meggyőződni arról, hogy a normál felhasználók által nem használt fiókok nem használhatók interaktív felület biztosítására. Az Ubuntu alapértelmezés szerint érvénytelen sztringre állítja a fiókok jelszómezőjét, de azt is javasoljuk, hogy a jelszófájl rendszerhéj mezőjét állítsa be /usr/sbin/nologin. Ez megakadályozza, hogy a fiók bármilyen parancs futtatására használható legyen. |
Állítsa be a rendszerhéjat az auditszkript által visszaadott fiókokhoz /sbin/nologin |
| Győződjön meg arról, hogy a legfelső szintű fiók alapértelmezett csoportja a GID 0 (157.16) |
Leírás: A GID 0 használata a fiókhoz segít megakadályozniroot, hogy a root tulajdonban lévő fájlok véletlenül akadálymentessé váljanak a nem kiemelt felhasználók számára. |
Futtassa a következő parancsot a root felhasználó alapértelmezett csoportjának GID-hez 0 való beállításához: # usermod -g 0 root |
| Győződjön meg arról, hogy a gyökér az egyetlen UID 0-fiók (157.18) |
Leírás: Ennek a hozzáférésnek csak az alapértelmezett root fiókra kell korlátozódnia, és csak a rendszerkonzolról. A rendszergazdai hozzáférésnek egy jóváhagyott mechanizmussal nem rendelkező fiókon keresztül kell lennie. |
Távolítsa el a felhasználói 0 azonosítótól eltérő root felhasználókat, vagy szükség esetén rendeljen hozzájuk egy új UID azonosítót. |
| Szükségtelen fiókok eltávolítása (159) |
Leírás: A megfelelőséghez | A szükségtelen fiókok eltávolítása |
| Győződjön meg arról, hogy a naplózott szolgáltatás engedélyezve van (162) |
Leírás: A rendszeresemények rögzítése olyan információkat biztosít a rendszergazdák számára, amelyek segítségével megállapíthatják, hogy a rendszerükhöz való jogosulatlan hozzáférés történik-e. | Auditcsomag telepítése (systemctl enable auditd) |
| AuditD szolgáltatás futtatása (163) |
Leírás: A rendszeresemények rögzítése olyan információkat biztosít a rendszergazdák számára, amelyek segítségével megállapíthatják, hogy a rendszerükhöz való jogosulatlan hozzáférés történik-e. | AuditD szolgáltatás futtatása (systemctl start auditd) |
| Győződjön meg arról, hogy az SNMP-kiszolgáló nincs engedélyezve (179) |
Leírás: Az SNMP-kiszolgáló az SNMP v1 használatával tud kommunikálni, amely tiszta állapotban továbbítja az adatokat, és nem igényel hitelesítést a parancsok végrehajtásához. Hacsak nem feltétlenül szükséges, javasoljuk, hogy az SNMP szolgáltatást ne használja. Ha SNMP szükséges, a kiszolgálót úgy kell konfigurálni, hogy tiltsa le az SNMP v1-et. | A letiltáshoz snmpdfuttassa az alábbi parancsok egyikét: # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
| Győződjön meg arról, hogy az rsync szolgáltatás nincs engedélyezve (181) |
Leírás: A rsyncd szolgáltatás biztonsági kockázatot jelent, mivel titkosítatlan protokollokat használ a kommunikációhoz. |
Futtassa az alábbi parancsok egyikét a letiltáshoz rsyncd : , systemctl disable rsyncdupdate-rc.d rsyncd disable vagy futtassa a következőt: chkconfig rsyncd off"/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync" |
| Győződjön meg arról, hogy a NIS-kiszolgáló nincs engedélyezve (182) |
Leírás: A NIS szolgáltatás eredendően nem biztonságos rendszer, amely sebezhető volt a DOS-támadások, a puffer túlcsordulása és a NIS-térképek lekérdezéséhez szükséges gyenge hitelesítéssel. A NIS-t általában olyan protokollok váltják fel, mint az Lightweight Directory Access Protocol (LDAP). Ajánlott letiltani a szolgáltatást, és biztonságosabb szolgáltatásokat használni | A letiltáshoz ypserv futtassa az alábbi parancsok egyikét: # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
| Győződjön meg arról, hogy az rsh-ügyfél nincs telepítve (183) |
Leírás: Ezek az örökölt ügyfelek számos biztonsági kitettséget tartalmaznak, és lecserélték a biztonságosabb SSH-csomagra. Még ha a kiszolgálót is eltávolítják, a legjobb, ha az ügyfeleket is eltávolítják, hogy megakadályozzák, hogy a felhasználók véletlenül megpróbálják használni ezeket a parancsokat, és így felfedjék a hitelesítő adataikat. Vegye figyelembe, hogy a rsh csomag eltávolítása eltávolítja az ügyfeleket rshaz és rcp rlogina . |
Távolítsa el rsh a megfelelő csomagkezelővel vagy manuális telepítéssel: yum remove rsh apt-get remove rsh zypper remove rsh |
| SMB V1 letiltása a Sambával (185) |
Leírás: Az SMB v1 jól ismert, súlyos biztonsági résekkel rendelkezik, és nem titkosítja az átvitt adatokat. Ha üzleti okokból kell használni, javasoljuk, hogy további lépéseket tegyen a protokollhoz kapcsolódó kockázatok csökkentése érdekében. | Ha a Samba nem fut, távolítsa el a csomagot, különben sornak kell lennie a /etc/samba/smb.conf [global] szakaszában: min protocol = SMB2 vagy futtassa a következőt: "/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Feljegyzés
Az Azure Policy adott vendégkonfigurációs beállításainak elérhetősége az Azure Governmentben és más nemzeti felhőkben eltérő lehet.
Következő lépések
További cikkek az Azure Policyról és a vendégkonfigurációról:
- Azure Policy-vendégkonfiguráció.
- A jogszabályi megfelelőség áttekintése.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.