Garis besar keamanan Linux
Perhatian
Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.
Artikel ini merinci pengaturan konfigurasi untuk tamu Windows sebagaimana berlaku dalam implementasi berikut:
- [Pratinjau]: Komputer Linux harus memenuhi persyaratan untuk garis besar keamanan komputasi Azure Definisi konfigurasi tamu Azure Policy
- Kerentanan dalam konfigurasi keamanan pada komputer Anda harus diperbaiki dalam Microsoft Defender untuk Cloud
Untuk informasi selengkapnya, lihat Konfigurasi tamu Azure Policy dan Gambaran Umum Tolok Ukur Keamanan Azure (V2).
Kontrol keamanan umum
| Nama (CCEID) |
Detail | Pemeriksaan remediasi |
|---|---|---|
| Memastikan opsi nodev diatur pada partisi /home. (1.1.4) |
Deskripsi: Penyerang dapat memasang perangkat khusus (misalnya, perangkat karakter atau blokir) pada partisi /home. | Edit file /etc/fstab dan tambahkan nodev ke bidang keempat (opsi pemasangan) untuk partisi /home. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi nodev diatur pada partisi /tmp. (1.1.5) |
Deskripsi: Penyerang dapat memasang perangkat khusus (misalnya, perangkat karakter atau blokir) pada partisi /tmp. | Edit file /etc/fstab dan tambahkan nodev ke bidang keempat (opsi pemasangan) untuk partisi /tmp. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi nodev diatur pada partisi /var/tmp. (1.1.6) |
Deskripsi: Penyerang dapat memasang perangkat khusus (misalnya, perangkat karakter atau blokir) pada partisi /var/tmp. | Edit file /etc/fstab dan tambahkan nodev ke bidang keempat (opsi pemasangan) untuk partisi /var/tmp. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi nodev diatur pada partisi /tmp. (1.1.7) |
Deskripsi: Karena sistem file /tmp hanya ditujukan untuk penyimpanan file sementara, atur opsi ini untuk memastikan bahwa pengguna tidak dapat membuat file setuid di /var/tmp. | Edit file /etc/fstab dan tambahkan nodev ke bidang keempat (opsi pemasangan) untuk partisi /tmp. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi nosuid diatur pada partisi /var/tmp. (1.1.8) |
Deskripsi: Karena sistem file /var/tmp hanya ditujukan untuk penyimpanan file sementara, atur opsi ini untuk memastikan bahwa pengguna tidak dapat membuat file setuid di /var/tmp. | Edit file /etc/fstab dan tambahkan nosuid ke bidang keempat (opsi pemasangan) untuk partisi /var/tmp. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi noexec diatur pada partisi /var/tmp. (1.1.9) |
Deskripsi: Karena /var/tmp sistem file hanya ditujukan untuk penyimpanan file sementara, atur opsi ini untuk memastikan bahwa pengguna tidak dapat menjalankan biner yang dapat dieksekusi dari /var/tmp . |
Edit file /etc/fstab dan tambahkan noexec ke bidang keempat (opsi pemasangan) untuk partisi /var/tmp. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan opsi noexec diatur pada partisi /dev/shm. (1.1.16) |
Deskripsi: Mengatur opsi ini pada sistem file mencegah pengguna menjalankan program dari memori bersama. Kontrol ini mencegah pengguna memperkenalkan perangkat lunak yang berpotensi berbahaya pada sistem. | Edit file /etc/fstab dan tambahkan noexec ke bidang keempat (opsi pemasangan) untuk partisi /dev/shm. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Nonaktifkan pemasangan otomatis (1.1.21) |
Deskripsi: Dengan pemasangan otomatis diaktifkan, siapa pun dengan akses fisik dapat memasang drive atau disk USB dan membuat kontennya tersedia dalam sistem bahkan jika mereka tidak memiliki izin untuk memasangnya sendiri. | Nonaktifkan layanan autofs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
| Memastikan pemasangan perangkat penyimpanan USB dinonaktifkan (1.1.21.1) |
Deskripsi: Menghapus dukungan untuk perangkat penyimpanan USB mengurangi permukaan serangan lokal server. | Edit atau buat file di direktori /etc/modprobe.d/ yang berakhiran .conf dan tambahkan install usb-storage /bin/true kemudian batalkan muatan modul penyimpanan usb atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Memastikan penimbunan inti dibatasi. (1.5.1) |
Deskripsi: Menetapkan batas keras pada penimbunan inti mencegah pengguna mengambil alih variabel lunak. Jika penimbunan inti diperlukan, pertimbangkan untuk menetapkan batas untuk grup pengguna (lihat limits.conf(5)). Selain itu, mengatur variabel fs.suid_dumpable ke 0 akan mencegah program setuid menimbun inti. |
Tambahkan hard core 0 ke /etc/security/limits.conf atau file di direktori limits.d dan atur fs.suid_dumpable = 0 dalam sysctl atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| Memastikan pengoptimalan dinonaktifkan. (1.5.4) |
Deskripsi: Fitur pengoptimalan dapat mengganggu pengoperasian AIDE, karena mengubah biner. Pengoptimalan juga dapat meningkatkan kerentanan sistem jika pengguna berbahaya mampu menyusupi pustaka umum seperti libc. | copot pemasangan prelink menggunakan manajer paket Anda atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
| Memastikan izin pada /etc/motd dikonfigurasi. (1.7.1.4) |
Deskripsi: Jika /etc/motd file tidak memiliki kepemilikan yang benar, file tersebut dapat dimodifikasi oleh pengguna yang tidak sah dengan informasi yang salah atau menyesatkan. |
Atur pemilik dan grup /etc/motd ke root dan atur izin ke 0644 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Memastikan izin pada /etc/issue dikonfigurasi. (1.7.1.5) |
Deskripsi: Jika /etc/issue file tidak memiliki kepemilikan yang benar, file tersebut dapat dimodifikasi oleh pengguna yang tidak sah dengan informasi yang salah atau menyesatkan. |
Atur pemilik dan grup /etc/issue ke root dan atur izin ke 0644 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Memastikan izin pada /etc/issue.net dikonfigurasi. (1.7.1.6) |
Deskripsi: Jika /etc/issue.net file tidak memiliki kepemilikan yang benar, file tersebut dapat dimodifikasi oleh pengguna yang tidak sah dengan informasi yang salah atau menyesatkan. |
Atur pemilik dan grup /etc/issue.net ke root dan atur izin ke 0644 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Opsi nodev harus diaktifkan untuk semua media yang dapat dilepas. (2.1) |
Deskripsi: Penyerang dapat memasang perangkat khusus (misalnya, perangkat karakter atau blokir) melalui media yang dapat dilepas | Tambahkan opsi nodev ke bidang keempat (opsi pemasangan) di /etc/fstab. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Opsi noexec harus diaktifkan untuk semua media yang dapat dilepas. (2.2) |
Deskripsi: Penyerang dapat memuat file yang dapat dieksekusi melalui media yang dapat dilepas | Tambahkan opsi noexec ke bidang keempat (opsi pemasangan) di /etc/fstab. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Opsi nosuid harus diaktifkan untuk semua media yang dapat dilepas. (2.3) |
Deskripsi: Penyerang dapat memuat file yang berjalan dengan konteks keamanan yang ditingkatkan melalui media yang dapat dilepas | Tambahkan opsi nosuid ke bidang keempat (opsi pemasangan) di /etc/fstab. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Memastikan klien talk tidak diinstal. (2.3.3) |
Deskripsi: Perangkat lunak ini menghadirkan risiko keamanan karena menggunakan protokol yang tidak terenkripsi untuk komunikasi. | Hapus instalan talk atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| Memastikan izin pada /etc/hosts.allow dikonfigurasi. (3.4.4) |
Deskripsi: Sangat penting untuk memastikan bahwa /etc/hosts.allow file dilindungi dari akses tulis yang tidak sah. Meskipun dilindungi secara default, izin file dapat diubah secara tidak sengaja atau melalui tindakan berbahaya. |
Atur pemilik dan grup /etc/hosts.allow ke root dan atur izin ke 0644 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Memastikan izin pada /etc/hosts.deny dikonfigurasi. (3.4.5) |
Deskripsi: Sangat penting untuk memastikan bahwa /etc/hosts.deny file dilindungi dari akses tulis yang tidak sah. Meskipun dilindungi secara default, izin file dapat diubah secara tidak sengaja atau melalui tindakan berbahaya. |
Atur pemilik dan grup /etc/hosts.deny ke root dan atur izin ke 0644 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Memastikan opsi default menolak kebijakan firewall (3.6.2) |
Deskripsi: Dengan kebijakan menerima default, firewall akan menerima paket apa pun yang ditolak secara eksplisit. Lebih mudah untuk mempertahankan firewall aman dengan kebijakan DROP default daripada dengan kebijakan Izinkan default. | Atur kebijakan default untuk lalu lintas masuk, keluar, dan dirutekan ke deny atau reject sebagaimana mestinya menggunakan perangkat lunak firewall Anda |
| Opsi nodev/nosuid harus diaktifkan untuk semua pemasangan NFS. (5) |
Deskripsi: Penyerang dapat memuat file yang berjalan dengan konteks keamanan ditinggikan atau perangkat khusus melalui sistem file jarak jauh | Tambahkan opsi nodev dan nosuid ke bidang keempat (opsi pemasangan) di /etc/fstab. Untuk informasi selengkapnya, lihat halaman panduan fstab(5). |
| Pastikan izin pada /etc/ssh/sshd_config dikonfigurasi. (5.2.1) |
Deskripsi: File /etc/ssh/sshd_config perlu dilindungi dari perubahan yang tidak sah oleh pengguna yang tidak memiliki hak istimewa. |
Set pemilik dan grup /etc/ssh/sshd_config ke root dan atur izin ke 0600 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
| Memastikan persyaratan pembuatan kata sandi dikonfigurasi. (5.3.1) |
Deskripsi: Kata sandi yang kuat melindungi sistem dari peretasan melalui metode brute force. | Atur pasangan kunci/nilai berikut dalam PAM yang sesuai untuk distro Anda: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| Memastikan penguncian untuk upaya kata sandi yang gagal dikonfigurasi. (5.3.2) |
Deskripsi: Penguncian ID pengguna setelah n upaya masuk berturut-turut yang gagal mengurangi serangan kata sandi brute force terhadap sistem Anda. |
untuk Ubuntu dan Debian, tambahkan modul pam_tally dan pam_deny yang sesuai. Untuk semua distro lainnya, lihat dokumentasi distro Anda |
| Nonaktifkan penginstalan dan penggunaan sistem file yang tidak diperlukan (cramfs) (6.1) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam kramf untuk meningkatkan hak istimewa | Tambahkan file ke direktori /etc/modprob.d yang menonaktifkan cramfs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Nonaktifkan penginstalan dan penggunaan sistem file yang tidak diperlukan (freevxfs) (6.2) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam freevxfs untuk meningkatkan hak istimewa | Tambahkan file ke direktori /etc/modprob.d yang menonaktifkan freevxfs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Memastikan semua direktori asal pengguna ada (6.2.7) |
Deskripsi: Jika direktori beranda pengguna tidak ada atau tidak ditetapkan, pengguna akan ditempatkan di akar volume. Selain itu, pengguna tidak akan dapat menulis file apa pun atau mengatur variabel lingkungan. | Jika direktori beranda pengguna tidak ada, buat dan pastikan pengguna masing-masing memiliki direktori. Pengguna tanpa direktori asal yang ditetapkan harus dihapus atau diberi direktori asal sebagaimana mestinya. |
| Memastikan pengguna memiliki direktori asal mereka (6.2.9) |
Deskripsi: Karena pengguna bertanggung jawab atas file yang disimpan di direktori asal pengguna, pengguna harus menjadi pemilik direktori. | Ubah kepemilikan direktori rumah apa pun yang tidak dimiliki oleh pengguna yang ditentukan ke pengguna yang benar. |
| Pastikan file titik pengguna tidak dapat ditulis grup atau dunia. (6.2.10) |
Deskripsi: File konfigurasi pengguna grup atau dapat ditulis siapa pun dapat memungkinkan pengguna jahat untuk mencuri atau memodifikasi data pengguna lain atau untuk mendapatkan hak istimewa sistem pengguna lain. | Melakukan modifikasi secara menyeluruh pada file pengguna tanpa memperingatkan komunitas pengguna dapat mengakibatkan pemadaman tak terduga dan pengguna yang tidak bahagia. Oleh karena itu, kami sarankan Anda membuat kebijakan pemantauan untuk melaporkan izin file titik pengguna dan menentukan tindakan remediasi kebijakan situs. |
| Memastikan tidak ada pengguna yang memiliki file .forward (6.2.11) |
Deskripsi: Penggunaan file .forward menimbulkan risiko keamanan dalam data sensitif tersebut dan mungkin secara tidak sengaja ditransfer ke luar organisasi. File .forward juga menimbulkan risiko karena dapat digunakan untuk menjalankan perintah yang dapat melakukan tindakan yang tidak diinginkan. |
Melakukan modifikasi secara menyeluruh pada file pengguna tanpa memperingatkan komunitas pengguna dapat mengakibatkan pemadaman tak terduga dan pengguna yang tidak bahagia. Oleh karena itu, disarankan agar kebijakan pemantauan dibuat untuk melaporkan file pengguna .forward dan menentukan tindakan yang akan diambil sesuai dengan kebijakan situs. |
| Memastikan tidak ada pengguna yang memiliki file .netrc (6.2.12) |
Deskripsi: File .netrc menyajikan risiko keamanan yang signifikan karena menyimpan kata sandi dalam bentuk tidak terenkripsi. Bahkan jika FTP dinonaktifkan, akun pengguna mungkin telah membawa lebih .netrc dari file dari sistem lain yang dapat menimbulkan risiko bagi sistem tersebut |
Melakukan modifikasi secara menyeluruh pada file pengguna tanpa memperingatkan komunitas pengguna dapat mengakibatkan pemadaman tak terduga dan pengguna yang tidak bahagia. Oleh karena itu, disarankan agar kebijakan pemantauan dibuat untuk melaporkan file pengguna .netrc dan menentukan tindakan yang akan diambil sesuai dengan kebijakan situs. |
| Memastikan tidak ada pengguna yang memiliki file .rhosts (6.2.14) |
Deskripsi: Tindakan ini hanya bermakna jika dukungan .rhosts diizinkan dalam file /etc/pam.conf. Meskipun file .rhosts tidak efektif jika dukungan dinonaktifkan di /etc/pam.conf, file tersebut mungkin telah dibawa dari sistem lain dan dapat berisi informasi yang berguna bagi penyerang untuk sistem lain. |
Melakukan modifikasi secara menyeluruh pada file pengguna tanpa memperingatkan komunitas pengguna dapat mengakibatkan pemadaman tak terduga dan pengguna yang tidak bahagia. Oleh karena itu, disarankan agar kebijakan pemantauan dibuat untuk melaporkan file pengguna .rhosts dan menentukan tindakan yang akan diambil sesuai dengan kebijakan situs. |
| Memastikan semua grup dalam /etc/passwd ada di /etc/group (6.2.15) |
Deskripsi: Grup yang didefinisikan dalam file /etc/passwd tetapi tidak dalam file /etc/group menimbulkan ancaman terhadap keamanan sistem karena izin grup tidak dikelola dengan benar. | Untuk setiap grup yang ditentukan dalam /etc/passwd, pastikan ada grup yang sesuai dalam /etc/group |
| Memastikan tidak ada UID duplikat (6.2.16) |
Deskripsi: Pengguna harus ditetapkan UID unik untuk akuntabilitas dan memastikan perlindungan akses yang sesuai. | Buat UID unik dan tinjau semua file yang dimiliki oleh UID bersama untuk menentukan UID mana yang seharusnya menjadi milik mereka. |
| Memastikan tidak ada GID duplikat (6.2.17) |
Deskripsi: Grup harus diberi GID unik untuk akuntabilitas dan memastikan perlindungan akses yang sesuai. | Buat GID unik dan tinjau semua file yang dimiliki oleh GID bersama untuk menentukan GID mana yang seharusnya menjadi milik mereka. |
| Memastikan tidak ada nama pengguna duplikat (6.2.18) |
Deskripsi: Jika pengguna ditetapkan dengan nama pengguna duplikat, pengguna akan membuat dan memiliki akses ke file dengan UID pertama untuk nama pengguna tersebut di /etc/passwd. Misalnya, jika 'test4' memiliki UID 1000 dan entri 'test4' berikutnya memiliki UID 2000, masuk sebagai 'test4' akan menggunakan UID 1000. Secara efektif, UID yang dipakai bersama merupakan masalah keamanan. |
Buat nama pengguna unik untuk semua pengguna. Kepemilikan file akan secara otomatis memperlihatkan perubahan selama pengguna memiliki UID yang unik. |
| Memastikan tidak ada grup duplikat (6.2.19) |
Deskripsi: Jika grup ditetapkan dengan nama grup duplikat, grup akan membuat dan memiliki akses ke file dengan GID pertama untuk nama grup tersebut di /etc/group. Secara efektif GID yang dipakai bersama merupakan masalah keamanan. |
Buat nama unik untuk semua grup pengguna. Kepemilikan grup file akan secara otomatis memperlihatkan perubahan selama grup memiliki GID yang unik. |
| Memastikan grup bayangan kosong (6.2.20) |
Deskripsi: Semua pengguna yang ditetapkan ke grup bayangan akan diberikan akses baca ke file /etc/shadow. Jika penyerang dapat memperoleh akses baca ke file /etc/shadow, mereka dapat dengan mudah menjalankan program retas kata sandi terhadap kata sandi yang dikodekan untuk memecahkannya. Informasi keamanan lain yang disimpan dalam file (seperti kedaluwarsa /etc/shadow ) juga dapat berguna untuk menumbangkan akun pengguna lain. |
Hapus semua pengguna yang membentuk grup bayangan |
| Nonaktifkan penginstalan dan penggunaan sistem file yang tidak diperlukan (hfs) (6.3) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam hfs untuk meningkatkan hak istimewa | Tambahkan file ke direktori /etc/modprob.d yang menonaktifkan hfs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Nonaktifkan penginstalan dan penggunaan sistem file yang tidak diperlukan (hfsplus) (6.4) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam hfsplus untuk meningkatkan hak istimewa | Tambahkan file ke direktori /etc/modprob.d yang menonaktifkan hfsplus atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Nonaktifkan penginstalan dan penggunaan sistem file yang tidak diperlukan (jffs2) (6.5) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam jffs2 untuk meningkatkan hak istimewa | Tambahkan file ke direktori /etc/modprob.d yang menonaktifkan jffs2 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Kernel hanya boleh dikompilasi dari sumber yang disetujui. (10) |
Deskripsi: Kernel dari sumber yang tidak disetujui dapat berisi kerentanan atau backdoor untuk memberikan akses ke penyerang. | Instal kernel yang disediakan oleh vendor distro Anda. |
| Izin file /etc/shadow harus diatur ke 0400 (11.1) |
Deskripsi: Penyerang dapat mengambil atau memanipulasi kata sandi yang di-hash dari /etc/shadow jika tidak diamankan dengan benar. | Atur izin dan kepemilikan /etc/shadow* atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| Izin file /etc/shadow- harus diatur ke 0400 (11.2) |
Deskripsi: Penyerang dapat mengambil atau memanipulasi kata sandi yang di-hash dari /etc/shadow- jika tidak diamankan dengan benar. | Atur izin dan kepemilikan /etc/shadow* atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| Izin file /etc/gshadow harus diatur ke 0400 (11.3) |
Deskripsi: Penyerang dapat bergabung dengan grup keamanan jika file ini tidak diamankan dengan benar | Atur izin dan kepemilikan /etc/gshadow- atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| Izin file /etc/gshadow- harus diatur ke 0400 (11.4) |
Deskripsi: Penyerang dapat bergabung dengan grup keamanan jika file ini tidak diamankan dengan benar | Atur izin dan kepemilikan /etc/gshadow atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| Izin file /etc/passwd harus 0644 (12.1) |
Deskripsi: Penyerang dapat memodifikasi IDpengguna dan shell masuk | Atur izin dan kepemilikan /etc/passwd atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| Izin file /etc/group harus 0644 (12.2) |
Deskripsi: Penyerang dapat meningkatkan hak istimewa dengan memodifikasi keanggotaan grup | Atur izin dan kepemilikan /etc/group atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| Izin file /etc/passwd- harus 0600 (12.3) |
Deskripsi: Penyerang dapat bergabung dengan grup keamanan jika file ini tidak diamankan dengan benar | Atur izin dan kepemilikan /etc/passwd- atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| Izin file /etc/group- harus 0644 (12.4) |
Deskripsi: Penyerang dapat meningkatkan hak istimewa dengan memodifikasi keanggotaan grup | Atur izin dan kepemilikan /etc/group- atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| Akses ke akun root melalui su harus dibatasi untuk grup 'root' (21) |
Deskripsi: Penyerang dapat meningkatkan izin dengan menebak kata sandi jika su tidak dibatasi untuk pengguna di grup root. | Jalankan perintah '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'. Kontrol ini menambahkan baris 'auth required pam_wheel.so use_uid' ke file '/etc/pam.d/su' |
| Grup 'root' harus ada, dan berisi semua anggota yang dapat su ke root (22) |
Deskripsi: Penyerang dapat meningkatkan izin dengan menebak kata sandi jika su tidak dibatasi untuk pengguna di grup root. | Buat grup root melalui perintah 'groupadd -g 0 root' |
| Semua akun harus memiliki kata sandi (23.2) |
Deskripsi: Penyerang dapat masuk ke akun dengan tanpa kata sandi dan menjalankan perintah sewenang-wenang. | Gunakan perintah passwd untuk mengatur kata sandi untuk semua akun |
| Akun selain root harus memiliki UID unik yang lebih besar dari nol(0) (24) |
Deskripsi: Jika akun selain root memiliki UID nol, penyerang dapat membahayakan akun dan mendapatkan hak root. | Tetapkan UID yang unik dan bukan nol untuk semua akun non-root menggunakan 'usermod -u' |
| Penempatan acak wilayah memori virtual harus diaktifkan (25) |
Deskripsi: Penyerang dapat menulis kode yang dapat dieksekusi ke wilayah yang dikenal dalam memori yang menghasilkan peningkatan hak istimewa | Tambahkan nilai '1' atau '2' ke file '/proc/sys/kernel/randomize_va_space' |
| Dukungan kernel untuk fitur prosesor XD/NX harus diaktifkan (26) |
Deskripsi: Penyerang dapat menyebabkan sistem ke kode yang dapat dieksekusi dari wilayah data dalam memori sehingga mengakibatkan peningkatan hak istimewa. | Konfirmasi file '/proc/cpuinfo' berisi flag 'nx' |
| '.' tidak boleh muncul di $PATH root (27.1) |
Deskripsi: Penyerang dapat meningkatkan hak istimewa dengan menempatkan file berbahaya di root $PATH | Ubah baris 'ekspor PATH=' di /root/.profile |
| Direktori asal pengguna harus mode 750 atau lebih ketat (28) |
Deskripsi: Penyerang dapat mengambil informasi sensitif dari folder utama pengguna lain. | Atur izin folder utama ke 750 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| umask default untuk semua pengguna harus diatur ke 077 di login.defs (29) |
Deskripsi: Penyerang dapat mengambil informasi sensitif dari file yang dimiliki oleh pengguna lain. | Jalankan perintah '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'. Ini akan menambahkan baris 'UMASK 077' ke file '/etc/login.defs' |
| Semua bootloader harus mengaktifkan perlindungan kata sandi. (31) |
Deskripsi: Penyerang dengan akses fisik dapat memodifikasi opsi bootloader, menghasilkan akses sistem tidak terbatas | Tambahkan kata sandi boot loader ke file '/boot/grub/grub.cfg' |
| Memastikan izin pada konfigurasi bootloader dikonfigurasi (31.1) |
Deskripsi: Mengatur izin untuk membaca dan menulis untuk root hanya mencegah pengguna non-root melihat parameter boot atau mengubahnya. Pengguna non-root yang membaca parameter boot mungkin dapat mengidentifikasi kelemahan dalam keamanan saat boot dan dapat mengeksploitasinya. | Atur pemilik dan grup bootloader Anda ke root:root dan izin ke 0400 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Memastikan autentikasi diperlukan untuk mode pengguna tunggal. (33) |
Deskripsi: Mengharuskan autentikasi dalam mode pengguna tunggal mencegah pengguna yang tidak sah melakukan boot ulang sistem menjadi satu pengguna untuk mendapatkan hak root tanpa kredensial. | jalankan perintah berikut untuk mengatur kata sandi untuk pengguna root: passwd root |
| Memastikan pengiriman pengalihan paket dinonaktifkan. (38.3) |
Deskripsi: Penyerang dapat menggunakan host yang disusupi untuk mengirim pengalihan ICMP yang tidak valid ke perangkat router lain dalam upaya untuk merusak perutean dan membuat pengguna mengakses sistem yang diatur oleh penyerang dan bukan sistem yang valid. | atur parameter berikut di /etc/sysctl.conf: 'net.ipv4.conf.all.send_redirects = 0' dan 'net.ipv4.conf.default.send_redirects = 0' atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| Mengirim pengalihan ICMP harus dinonaktifkan untuk semua antarmuka. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Deskripsi: Penyerang dapat mengubah tabel perutean sistem ini, mengalihkan lalu lintas ke tujuan alternatif | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects'. |
| Mengirim pengalihan ICMP harus dinonaktifkan untuk semua antarmuka. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Deskripsi: Penyerang dapat mengubah tabel perutean sistem ini, mengalihkan lalu lintas ke tujuan alternatif | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects'. |
| Menerima paket yang dirutekan sumber harus dinonaktifkan untuk semua antarmuka. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Deskripsi: Penyerang dapat mengalihkan lalu lintas untuk tujuan berbahaya. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai. |
| Menerima paket yang dirutekan sumber harus dinonaktifkan untuk semua antarmuka. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Deskripsi: Penyerang dapat mengalihkan lalu lintas untuk tujuan berbahaya. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai. |
| Pengaturan default untuk menerima paket yang dirutekan sumber harus dinonaktifkan untuk antarmuka jaringan. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Deskripsi: Penyerang dapat mengalihkan lalu lintas untuk tujuan berbahaya. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai. |
| Pengaturan default untuk menerima paket yang dirutekan sumber harus dinonaktifkan untuk antarmuka jaringan. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Deskripsi: Penyerang dapat mengalihkan lalu lintas untuk tujuan berbahaya. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai. |
| Mengabaikan respons ICMP palsu terhadap siaran harus diaktifkan. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Deskripsi: Penyerang dapat melakukan serangan ICMP yang mengakibatkan DoS | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
| Mengabaikan permintaan echo ICMP (ping) yang dikirim ke alamat siaran/multicast harus diaktifkan. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Deskripsi: Penyerang dapat melakukan serangan ICMP yang mengakibatkan DoS | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| Pencatatan paket martian (yang memiliki alamat yang tidak mungkin) harus diaktifkan untuk semua antarmuka. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Deskripsi: Penyerang dapat mengirim lalu lintas dari alamat palsu tanpa terdeteksi | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
| Melakukan validasi sumber dengan jalur terbalik harus diaktifkan untuk semua antarmuka. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Deskripsi: Sistem akan menerima lalu lintas dari alamat yang tidak dapat diubah. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| Melakukan validasi sumber dengan jalur terbalik harus diaktifkan untuk semua antarmuka. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Deskripsi: Sistem akan menerima lalu lintas dari alamat yang tidak dapat diubah. | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| Cookie SYN TCP harus diaktifkan. (net.ipv4.tcp_syncookies = 1) (47) |
Deskripsi: Penyerang dapat melakukan DoS melalui TCP | Jalankan sysctl -w key=value dan atur ke nilai yang sesuai atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
| Sistem tidak boleh bertindak sebagai sniffer jaringan. (48) |
Deskripsi: Penyerang dapat menggunakan antarmuka yang campur aduk untuk mengendus lalu lintas jaringan | Mode campur aduk diaktifkan melalui entri 'promisc' di '/etc/network/interfaces' atau '/etc/rc.local.' Periksa kedua file tersebut dan hapus entri ini. |
| Semua antarmuka nirkabel harus dinonaktifkan. (49) |
Deskripsi: Penyerang dapat membuat AP palsu untuk mencegat transmisi. | Pastikan semua antarmuka nirkabel dinonaktifkan di '/etc/network/interfaces' |
| Protokol IPv6 harus diakfitkan. (50) |
Deskripsi: Ini diperlukan untuk komunikasi pada jaringan modern. | Buka /etc/sysctl.conf dan konfirmasikan bahwa 'net.ipv6.conf.all.disable_ipv6' dan 'net.ipv6.conf.default.disable_ipv6' diatur ke 0 |
| Memastikan DCCP dinonaktifkan (54) |
Deskripsi: Jika protokol tidak diperlukan, disarankan agar driver tidak diinstal untuk mengurangi potensi permukaan serangan. | Edit atau buat file di direktori /etc/modprobe.d/ yang berakhiran .conf dan tambahkan install dccp /bin/true lalu batalkan muatan modul dccp atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Memastikan SCTP dinonaktifkan (55) |
Deskripsi: Jika protokol tidak diperlukan, disarankan agar driver tidak diinstal untuk mengurangi potensi permukaan serangan. | Edit atau buat file di direktori /etc/modprobe.d/ yang berakhiran .conf dan tambahkan install sctp /bin/true lalu batalkan muatan modul sctp atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Nonaktifkan dukungan untuk RDS. (56) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam RDS untuk membahayakan sistem | Edit atau buat file di direktori /etc/modprobe.d/ yang berakhiran .conf dan tambahkan install rds /bin/true lalu batalkan muatan modul rds atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Memastikan TIPC dinonaktifkan (57) |
Deskripsi: Jika protokol tidak diperlukan, disarankan agar driver tidak diinstal untuk mengurangi potensi permukaan serangan. | Edit atau buat file di direktori /etc/modprobe.d/ yang berakhiran .conf dan tambahkan install tipc /bin/true lalu batalkan muatan modul tipc atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Memastikan pengelogan dikonfigurasi (60) |
Deskripsi: Banyak informasi penting terkait keamanan dikirim melalui rsyslog (misalnya, upaya su yang berhasil dan gagal, upaya masuk yang gagal, upaya masuk root, dll.). |
Mengonfigurasi syslog, rsyslog, atau syslog-ng sebagaimana mestinya |
| Paket syslog, rsyslog, atau syslog-ng harus diinstal. (61) |
Deskripsi: Masalah keandalan dan keamanan tidak akan dicatat, mencegah diagnosis yang tepat. | Instal paket rsyslog, atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
| Layanan systemd-journald harus dikonfigurasi untuk mempertahankan pesan log (61.1) |
Deskripsi: Masalah keandalan dan keamanan tidak akan dicatat, mencegah diagnosis yang tepat. | Buat /var/log/journal dan pastikan bahwa Storage di journald.conf adalah otomatis atau persisten |
| Memastikan layanan pencatatan diaktifkan (62) |
Deskripsi: Sangat penting untuk memiliki kemampuan untuk mencatat peristiwa pada simpul. | Aktifkan paket rsyslog atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
| Izin file untuk semua file log rsyslog harus diatur ke 640 atau 600. (63) |
Deskripsi: Penyerang dapat menyembunyikan aktivitas dengan memanipulasi log | Tambahkan baris '$FileCreateMode 0640' ke file '/etc/rsyslog.conf' |
| Memastikan file konfigurasi pencatat dibatasi. (63.1) |
Deskripsi: Penting untuk memastikan bahwa file log ada dan memiliki izin yang benar untuk memastikan bahwa data syslog sensitif diarsipkan dan dilindungi. | Set file konfigurasi pencatat Anda ke 0640 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' |
| Semua file log rsyslog harus dimiliki oleh grup adm. (64) |
Deskripsi: Penyerang dapat menyembunyikan aktivitas dengan memanipulasi log | Tambahkan baris '$FileGroup adm' ke file '/etc/rsyslog.conf' |
| Semua file log rsyslog harus dimiliki oleh pengguna syslog. (65) |
Deskripsi: Penyerang dapat menyembunyikan aktivitas dengan memanipulasi log | Tambahkan baris '$FileOwner syslog' ke file '/etc/rsyslog.conf' atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| Rsyslog tidak boleh menerima pesan jarak jauh. (67) |
Deskripsi: Penyerang dapat menyuntikkan pesan ke dalam syslog, menyebabkan DoS atau gangguan dari aktivitas lain | Hapus baris '$ModLoad imudp' dan '$ModLoad imtcp' dari file '/etc/rsyslog.conf' |
| Layanan logrotate (pemutar syslog) harus diaktifkan. (68) |
Deskripsi: Logfiles bisa tumbuh tanpa ikatan dan menghabiskan semua ruang disk | Instal paket logrotate dan konfirmasi entri cron logrotate aktif (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| Layanan rlogin harus dinonaktifkan. (69) |
Deskripsi: Penyerang bisa mendapatkan akses, dengan melewati persyaratan autentikasi yang ketat | Hapus layanan inetd. |
| Nonaktifkan inetd kecuali diperlukan. (inetd) (70.1) |
Deskripsi: Penyerang dapat mengeksploitasi kerentanan dalam layanan inetd untuk mendapatkan akses | Hapus instalan layanan inetd (apt-get remove inetd) |
| Nonaktifkan xinetd kecuali diperlukan. (xinetd) (70.2) |
Deskripsi: Penyerang dapat mengeksploitasi kerentanan dalam layanan xinetd untuk mendapatkan akses | Hapus instalan layanan xinetd (apt-get remove inetd) |
| Instal inetd jika sesuai dan diperlukan oleh distro Anda. Amankan sesuai dengan standar pengerasan saat ini. (jika diperlukan) (71.1) |
Deskripsi: Penyerang dapat mengeksploitasi kerentanan dalam layanan inetd untuk mendapatkan akses | Hapus instalan layanan inetd (apt-get remove inetd) |
| Instal xinetd jika sesuai dan diperlukan oleh distro Anda. Amankan sesuai dengan standar pengerasan saat ini. (jika diperlukan) (71.2) |
Deskripsi: Penyerang dapat mengeksploitasi kerentanan dalam layanan xinetd untuk mendapatkan akses | Hapus instalan layanan xinetd (apt-get remove inetd) |
| Layanan telnet harus dinonaktifkan. (72) |
Deskripsi: Penyerang dapat menguping atau membajak sesi telnet yang tidak terenkripsi | Hapus atau komentari entri telnet dalam file '/etc/inetd.conf' |
| Semua paket telnetd harus dihapus. (73) |
Deskripsi: Penyerang dapat menguping atau membajak sesi telnet yang tidak terenkripsi | Hapus instalan semua paket telnetd |
| Layanan rcp/rsh harus dinonaktifkan. (74) |
Deskripsi: Penyerang dapat menguping atau membajak sesi yang tidak terenkripsi | Hapus atau komentari entri shell dalam file '/etc/inetd.conf' |
| Paket rsh-server harus dihapus. (77) |
Deskripsi: Penyerang dapat menguping atau membajak sesi rsh yang tidak terenkripsi | Menghapus instalan paket rsh-server (apt-get remove rsh-server) |
| Layanan ypbind harus dinonaktifkan. (78) |
Deskripsi: Penyerang dapat mengambil informasi sensitif dari layanan ypbind | Hapus instalan paket nis (apt-get remove nis) |
| Paket nis harus dihapus. (79) |
Deskripsi: Penyerang dapat mengambil informasi sensitif dari layanan NIS | Hapus instalan paket nis (apt-get remove nis) |
| Layanan tftp harus dinonaktifkan. (80) |
Deskripsi: Penyerang dapat menguping atau membajak sesi yang tidak terenkripsi | Hapus entri tftp dari file '/etc/inetd.conf' |
| Paket tftpd harus dihapus. (81) |
Deskripsi: Penyerang dapat menguping atau membajak sesi yang tidak terenkripsi | Hapus instalan paket tftpd (apt-get remove tftpd) |
| Paket readahead-fedora harus dihapus. (82) |
Deskripsi: Paket tidak menciptakan paparan yang sangat besar, tetapi juga tidak menambah manfaat besar. | Hapus instalan paket readahead-fedora (apt-get remove readahead-fedora) |
| Layanan bluetooth/hidd harus dinonaktifkan. (84) |
Deskripsi: Penyerang dapat mencegat atau memanipulasi komunikasi nirkabel. | Hapus instalan paket bluetooth (apt-get remove bluetooth) |
| Layanan isdn harus dinonaktifkan. (86) |
Deskripsi: Penyerang dapat menggunakan modem untuk mendapatkan akses yang tidak sah | Hapus instalan paket isdnutils-base (apt-get remove isdnutils-base) |
| Paket isdnutils-base harus dihapus. (87) |
Deskripsi: Penyerang dapat menggunakan modem untuk mendapatkan akses yang tidak sah | Hapus instalan paket isdnutils-base (apt-get remove isdnutils-base) |
| Layanan kdump harus dinonaktifkan. (88) |
Deskripsi: Penyerang dapat menganalisis gangguan sistem sebelumnya untuk mengambil informasi sensitif | Hapus instalan paket kdump-tools (apt-get remove kdump-tools) |
| Jaringan zeroconf harus dinonaktifkan. (89) |
Deskripsi: Penyerang dapat menyalahgunakan jaringan ini untuk mendapatkan informasi tentang sistem jaringan, atau spoof permintaan DNS karena kelemahan dalam model kepercayaannya | Untuk RedHat, CentOS, dan Oracle: Tambahkan NOZEROCONF=yes or no ke /etc/sysconfig/network. Untuk semua distro lainnya: Hapus semua entri 'ipv4ll' di file '/etc/network/interfaces' atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
| Layanan crond harus diaktifkan. (90) |
Deskripsi: Cron diperlukan oleh hampir semua sistem untuk tugas pemeliharaan rutin | Instal paket cron (apt-get install -y cron) dan konfirmasi file '/etc/init/cron.conf' berisi baris 'start on runlevel [2345]' |
| Izin file untuk /etc/anacrontab harus diatur ke root:root 600. (91) |
Deskripsi: Penyerang dapat memanipulasi file ini untuk mencegah tugas terjadwal atau menjalankan tugas berbahaya | Atur kepemilikan dan izin pada /etc/anacrontab atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
| Memastikan izin pada /etc/cron.d dikonfigurasi. (93) |
Deskripsi: Memberikan akses tulis ke direktori ini untuk pengguna yang tidak punya hak istimewa dapat memberi mereka sarana untuk mendapatkan hak istimewa yang tidak sah. Memberikan akses baca ke direktori ini dapat memberikan wawasan pengguna yang tidak istimewa tentang cara mendapatkan hak istimewa yang ditingkatkan atau menghindari kontrol audit. | Atur pemilik dan grup /etc/chron.d ke root dan atur izin ke 0700 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Memastikan izin pada /etc/cron.daily dikonfigurasi. (94) |
Deskripsi: Memberikan akses tulis ke direktori ini untuk pengguna yang tidak punya hak istimewa dapat memberi mereka sarana untuk mendapatkan hak istimewa yang tidak sah. Memberikan akses baca ke direktori ini dapat memberikan wawasan pengguna yang tidak istimewa tentang cara mendapatkan hak istimewa yang ditingkatkan atau menghindari kontrol audit. | Atur pemilik dan grup /etc/cron.daily ke root dan atur izin ke 0700 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Memastikan izin pada /etc/cron.hourly dikonfigurasi. (95) |
Deskripsi: Memberikan akses tulis ke direktori ini untuk pengguna yang tidak punya hak istimewa dapat memberi mereka sarana untuk mendapatkan hak istimewa yang tidak sah. Memberikan akses baca ke direktori ini dapat memberikan wawasan pengguna yang tidak istimewa tentang cara mendapatkan hak istimewa yang ditingkatkan atau menghindari kontrol audit. | Atur pemilik dan grup /etc/cron.hourly ke root dan atur izin ke 0700 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Memastikan izin pada /etc/cron.monthly dikonfigurasi. (96) |
Deskripsi: Memberikan akses tulis ke direktori ini untuk pengguna yang tidak punya hak istimewa dapat memberi mereka sarana untuk mendapatkan hak istimewa yang tidak sah. Memberikan akses baca ke direktori ini dapat memberikan wawasan pengguna yang tidak istimewa tentang cara mendapatkan hak istimewa yang ditingkatkan atau menghindari kontrol audit. | Atur pemilik dan grup /etc/cron.monthly ke root dan atur izin ke 0700 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Memastikan izin pada /etc/cron.weekly dikonfigurasi. (97) |
Deskripsi: Memberikan akses tulis ke direktori ini untuk pengguna yang tidak punya hak istimewa dapat memberi mereka sarana untuk mendapatkan hak istimewa yang tidak sah. Memberikan akses baca ke direktori ini dapat memberikan wawasan pengguna yang tidak istimewa tentang cara mendapatkan hak istimewa yang ditingkatkan atau menghindari kontrol audit. | Atur pemilik dan grup /etc/cron.weekly ke root dan atur izin ke 0700 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Memastikan at/cron dibatasi untuk pengguna yang berwenang (98) |
Deskripsi: Pada banyak sistem, hanya administrator sistem yang berwenang untuk menjadwalkan cron pekerjaan. Menggunakan file cron.allow untuk mengontrol siapa yang dapat menjalankan cron pekerjaan akan menerapkan kebijakan ini. Lebih mudah untuk mengelola daftar yang diizinkan daripada daftar tolak. Dalam daftar tolak, Anda berpotensi menambahkan ID pengguna ke sistem dan lupa menambahkannya ke file yang ditolak. |
Ganti /etc/cron.deny dan /etc/at.deny dengan file masing-masing allow atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
| SSH harus dikonfigurasi dan dikelola untuk memenuhi praktik terbaik. - '/etc/ssh/sshd_config Protokol = 2' (106.1) |
Deskripsi: Seorang penyerang dapat menggunakan kekurangan dalam versi sebelumnya pda protokol SSH untuk mendapatkan akses | Jalankan perintah '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'. Perintah ini akan mengatur 'Protokol 2' dalam file '/etc/ssh/sshd_config' |
| SSH harus dikonfigurasi dan dikelola untuk memenuhi praktik terbaik. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Deskripsi: Seorang penyerang dapat menggunakan kekurangan dalam protokol Rhosts untuk mendapatkan akses | Jalankan perintah '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'. Perintah ini akan menambahkan baris 'IgnoreRhosts yes' ke file '/etc/ssh/sshd_config' |
| Pastikan SSH LogLevel diatur ke INFO (106.5) |
Deskripsi: SSH menyediakan beberapa tingkat pengelogan dengan berbagai jumlah verbositas. DEBUG secara khusus tidak direkomendasikan selain secara ketat untuk men-debug komunikasi SSH karena menyediakan begitu banyak data sehingga sulit untuk mengidentifikasi informasi keamanan penting. INFO level adalah level dasar yang hanya mencatat aktivitas login pengguna SSH. Dalam banyak situasi, seperti Respons Insiden, penting untuk menentukan kapan pengguna tertentu aktif pada sistem. Catatan keluar dapat menghilangkan pengguna yang terputus, yang membantu mempersempit bidang. |
Edit /etc/ssh/sshd_config file untuk mengatur parameter sebagai berikut: LogLevel INFO |
| Memastikan SSH MaxAuthTries diatur ke 6 atau kurang (106.7) |
Deskripsi: Mengatur parameter MaxAuthTries ke angka rendah akan mengecilkan risiko serangan brute force yang berhasil ke server SSH. Sementara pengaturan yang disarankan adalah 4, atur nomor berdasarkan kebijakan situs. |
Pastikan SSH MaxAuthTries diatur ke 6 atau kurang Edit /etc/ssh/sshd_config file untuk mengatur parameter sebagai berikut: MaxAuthTries 6 |
| Pastikan akses SSH terbatas (106.11) |
Membatasi pengguna mana yang dapat mengakses sistem dari jarak jauh melalui SSH akan membantu memastikan bahwa hanya pengguna yang berwenang yang mengakses sistem. | Pastikan akses SSH terbatas Edit /etc/ssh/sshd_config file untuk mengeset satu atau beberapa parameter sebagai berikut: AllowUsers AllowGroups DenyUsers DenyGroups |
| Emulasi perintah rsh melalui server ssh harus dinonaktifkan. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Deskripsi: Seorang penyerang dapat menggunakan kekurangan dalam protokol RHosts untuk mendapatkan akses | Jalankan perintah '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'. Perintah ini akan menambahkan baris 'RhostsRSAAuthentication no' ke file '/etc/ssh/sshd_config' |
| Autentikasi berbasis host SSH harus dinonaktifkan. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Deskripsi: Penyerang dapat menggunakan autentikasi berbasis host untuk mendapatkan akses dari host yang disusupi | Jalankan perintah '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'. Perintah ini akan menambahkan baris 'HostbasedAuthentication no' ke file '/etc/ssh/sshd_config' |
| Login root melalui SSH harus dinonaktifkan. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Deskripsi: Penyerang dapat melakukan brute force kata sandi root, atau menyembunyikan riwayat perintah mereka dengan masuk langsung sebagai root | Jalankan perintah '/usr/local/bin/azsecd remediate -r disable-ssh-root-login'. Perintah ini akan menambahkan baris 'PermitRootLogin no' ke file '/etc/ssh/sshd_config' |
| Koneksi jarak jauh dari akun dengan kata sandi kosong harus dinonaktifkan. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Deskripsi: Penyerang bisa mendapatkan akses melalui menebak kata sandi | Jalankan perintah '/usr/local/bin/azsecd memperbaiki (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'. Perintah ini akan menambahkan baris 'PermitEmptyPasswords no' ke file '/etc/ssh/sshd_config' |
| Memastikan SSH Idle Timeout Interval dikonfigurasi. (110.1) |
Deskripsi: Tidak memiliki nilai batas waktu yang terkait dengan koneksi dapat memungkinkan akses pengguna yang tidak sah ke sesi ssh pengguna lain. Mengatur nilai timeout setidaknya mengurangi risiko hal ini terjadi. Meskipun pengaturan yang disarankan adalah 300 detik (5 menit), atur nilai batas waktu ini berdasarkan kebijakan situs. Pengaturan yang disarankan untuk ClientAliveCountMax adalah 0. Dalam hal ini, sesi klien akan dihentikan setelah 5 menit waktu diam dan tidak ada pesan keepalive yang akan dikirim. |
Edit file /etc/ssh/sshd_config untuk mengatur parameter sesuai dengan kebijakan |
| Memastikan SSH LoginGraceTime diatur ke satu menit atau kurang. (110.2) |
Deskripsi: Mengatur parameter LoginGraceTime ke angka rendah akan mengecilkan risiko serangan brute force yang berhasil ke server SSH. Tindakan ini juga akan membatasi jumlah koneksi bersamaan yang tidak diautentikasi, Pengaturan yang disarankan adalah 60 detik (1 Menit), atur nomor berdasarkan kebijakan situs. |
Edit file /etc/ssh/sshd_config untuk mengatur parameter sesuai dengan kebijakan atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' |
| Memastikan hanya algoritma MAC yang disetujui untuk digunakan (110.3) |
Algoritma MAC MD5 dan 96-bit dianggap lemah dan telah terbukti meningkatkan eksploitasi dalam serangan SSH turun tingkat. Algoritma yang lemah terus memiliki banyak perhatian sebagai titik lemah yang dapat dimanfaatkan dengan daya komputasi yang diperluas. Penyerang yang melanggar algoritma dapat mengambil keuntungan dari posisi MiTM untuk mendekripsi terowongan SSH dan menangkap info masuk dan informasi | Edit file /etc/sshd_config dan tambahkan/modifikasi baris MAC untuk berisi daftar koma terpisah dari MAC yang disetujui atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' |
| Memastikan banner peringatan masuk dari jarak jauh dikonfigurasi dengan benar. (111) |
Deskripsi: Pesan peringatan memberi tahu pengguna yang mencoba masuk ke sistem status hukum mereka mengenai sistem dan harus menyertakan nama organisasi yang memiliki sistem dan kebijakan pemantauan apa pun yang ada. Menampilkan informasi tingkat OS dan patch dalam spanduk masuk juga memiliki efek samping seperti memberikan informasi sistem terperinci kepada penyerang yang mencoba menargetkan eksploitasi spesifik sistem. Pengguna yang berwenang dapat dengan mudah mendapatkan informasi ini dengan menjalankan perintah uname -a setelah mereka masuk. |
Hapus semua instans \m \r \s dan \v dari file /etc/issue.net |
| Memastikan banner peringatan masuk lokal dikonfigurasi dengan benar. (111.1) |
Deskripsi: Pesan peringatan memberi tahu pengguna yang mencoba masuk ke sistem status hukum mereka mengenai sistem dan harus menyertakan nama organisasi yang memiliki sistem dan kebijakan pemantauan apa pun yang ada. Menampilkan informasi tingkat OS dan patch dalam spanduk masuk juga memiliki efek samping seperti memberikan informasi sistem terperinci kepada penyerang yang mencoba menargetkan eksploitasi spesifik sistem. Pengguna yang berwenang dapat dengan mudah mendapatkan informasi ini dengan menjalankan perintah uname -a setelah mereka masuk. |
Hapus semua instans \m \r \s dan \v dari file /etc/issue.net |
| Spanduk peringatan SSH harus diaktifkan. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Deskripsi: Pengguna tidak akan diperingatkan bahwa tindakan mereka pada sistem yang dipantau | Jalankan perintah '/usr/local/bin/azsecd remediate -r configure-ssh-banner'. Perintah ini akan menambahkan baris 'Banner /etc/azsec/banner.txt' ke file '/etc/ssh/sshd_config' |
| Pengguna tidak diizinkan untuk mengatur opsi lingkungan untuk SSH. (112) |
Deskripsi: Penyerang mungkin dapat melewati beberapa pembatasan akses atas SSH | Hapus baris 'PermitUserEnvironment yes' dari file '/etc/ssh/sshd_config' |
| Cipher yang tepat harus digunakan untuk SSH. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Deskripsi: Penyerang dapat membahayakan koneksi SSH yang diamankan dengan lemah | Jalankan perintah '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers'. Perintah ini akan menambahkan baris 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' ke file '/etc/ssh/sshd_config' |
| Layanan avahi-daemon harus dinonaktifkan. (114) |
Deskripsi: Penyerang dapat menggunakan kerentanan dalam daemon avahi untuk mendapatkan akses | Nonaktifkan layanan avahi-daemon atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
| Layanan cups harus dinonaktifkan. (115) |
Deskripsi: Penyerang dapat menggunakan cela dalam layanan cups untuk meningkatkan hak istimewa | Nonaktifkan layanan cups atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
| Layanan isc-dhcpd harus dinonaktifkan. (116) |
Deskripsi: Penyerang dapat menggunakan dhcpd untuk memberikan informasi yang salah kepada klien, mengganggu operasi normal. | Hapus paket isc-dhcp-server (apt-get remove isc-dhcp-server) |
| Paket isc-dhcp-server harus dihapus. (117) |
Deskripsi: Penyerang dapat menggunakan dhcpd untuk memberikan informasi yang salah kepada klien, mengganggu operasi normal. | Hapus paket isc-dhcp-server (apt-get remove isc-dhcp-server) |
| Paket sendmail harus dihapus. (120) |
Deskripsi: Penyerang dapat menggunakan sistem ini untuk mengirim email dengan konten berbahaya ke pengguna lain | Hapus instalan paket sendmail (apt-get remove sendmail) |
| Paket postfix harus dihapus. (121) |
Deskripsi: Penyerang dapat menggunakan sistem ini untuk mengirim email dengan konten berbahaya ke pengguna lain | Hapus instalan paket postfix (apt-get remove postfix) atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
| Jaringan postfix yang mendengarkan harus dinonaktifkan sebagaimana mestinya. (122) |
Deskripsi: Penyerang dapat menggunakan sistem ini untuk mengirim email dengan konten berbahaya ke pengguna lain | Tambahkan baris 'inet_interfaces localhost' ke file '/etc/postfix/main.cf' |
| Layanan ldap harus dinonaktifkan. (124) |
Deskripsi: Penyerang dapat memanipulasi layanan LDAP pada host ini untuk mendistribusikan data palsu ke klien LDAP | Hapus instalasi paket slapd (apt-get remove slapd) |
| Layanan rpcgssd harus dinonaktifkan. (126) |
Deskripsi: Penyerang dapat menggunakan cela dalam rpcgssd/nfs untuk mendapatkan akses | Nonaktifkan layanan rpcgssd atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
| Layanan rpcidmapd harus dinonaktifkan. (127) |
Deskripsi: Penyerang dapat menggunakan cela dalam idmapd/nfs untuk mendapatkan akses | Nonaktifkan layanan rpcidmapd atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
| Layanan portmap harus dinonaktifkan. (129.1) |
Deskripsi: Penyerang dapat menggunakan cela dalam portmap untuk mendapatkan akses | Nonaktifkan layanan rpcbind atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
| Layanan Network File System (NFS) harus dinonaktifkan. (129.2) |
Deskripsi: Penyerang dapat menggunakan nfs untuk memasang berbagi dan mengeksekusi/menyalin file. | Nonaktifkan layanan cups atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
| Layanan rpcsvcgssd harus dinonaktifkan. (130) |
Deskripsi: Penyerang dapat menggunakan cela dalam rpcsvcgssd untuk mendapatkan akses | Hapus baris 'NEED_SVCGSSD = yes' dari file '/etc/inetd.conf' |
| Layanan yang diberi nama harus dinonaktifkan. (131) |
Deskripsi: Penyerang dapat menggunakan layanan DNS untuk mendistribusikan data palsu kepada klien | Hapus instalan paket bind9 (apt-get remove bind9) |
| Paket bind harus dihapus. (132) |
Deskripsi: Penyerang dapat menggunakan layanan DNS untuk mendistribusikan data palsu kepada klien | Hapus instalan paket bind9 (apt-get remove bind9) |
| Layanan dovecot harus dinonaktifkan. (137) |
Deskripsi: Sistem dapat digunakan sebagai server IMAP/POP3 | Hapus instalan paket dovecot-core (apt-get remove dovecot-core) |
| Paket dovecot harus dihapus. (138) |
Deskripsi: Sistem dapat digunakan sebagai server IMAP/POP3 | Hapus instalan paket dovecot-core (apt-get remove dovecot-core) |
Pastikan tidak ada entri + warisan dalam /etc/passwd(156.1) |
Deskripsi: Penyerang bisa mendapatkan akses dengan menggunakan nama pengguna '+' tanpa kata sandi | Hapus entri apa pun dalam /etc/passwd yang dimulai dengan '+:' |
Pastikan tidak ada entri + warisan dalam /etc/shadow(156.2) |
Deskripsi: Penyerang bisa mendapatkan akses dengan menggunakan nama pengguna '+' tanpa kata sandi | Hapus entri apa pun dalam /etc/shadow yang dimulai dengan '+:' |
Pastikan tidak ada entri + warisan dalam /etc/group(156.3) |
Deskripsi: Penyerang bisa mendapatkan akses dengan menggunakan nama pengguna '+' tanpa kata sandi | Hapus entri apa pun dalam /etc/group yang dimulai dengan '+:' |
| Memastikan waktu kedaluwarsa kata sandi adalah 365 hari atau kurang. (157.1) |
Deskripsi: Mengurangi usia maksimum kata sandi juga mengurangi jendela peluang penyerang untuk memanfaatkan kredensial yang disusupi atau berhasil membahayakan kredensial melalui serangan brute force online. | Atur parameter PASS_MAX_DAYS menjadi tidak lebih dari 365 di /etc/login.defs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' |
| Pastikan hari peringatan kedaluwarsa kata sandi adalah 7 atau lebih. (157.2) |
Deskripsi: Memberikan peringatan terlebih dahulu bahwa kata sandi akan kedaluwarsa memberi pengguna waktu untuk memikirkan kata sandi yang aman. Pengguna yang tidak menyadari dapat memilih kata sandi sederhana atau menuliskannya di tempat kata sandi dapat ditemukan. | Set PASS_WARN_AGE parameter menjadi 7 di /etc/login.defs atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' |
| Pastikan penggunaan kembali kata sandi terbatas. (157.5) |
Deskripsi: Memaksa pengguna untuk tidak menggunakan kembali lima kata sandi terakhir mereka membuatnya lebih kecil kemungkinan penyerang akan dapat menebak kata sandi. | Pastikan opsi 'ingat' diatur ke setidaknya 5 di /etc/pam.d/common-password atau /etc/pam.d/password_auth dan /etc/pam.d/system_auth atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' |
| Pastikan algoritma hash kata sandi adalah SHA-512 (157.11) |
Deskripsi: Algoritma SHA-512 memberikan hashing yang jauh lebih kuat daripada MD5, sehingga memberikan perlindungan tambahan pada sistem dengan meningkatkan tingkat upaya penyerang agar berhasil menentukan kata sandi. Catatan: Perubahan ini hanya berlaku untuk akun yang dikonfigurasi pada sistem lokal. | Atur algoritma hash kata sandi ke sha512. Banyak distribusi menyediakan alat untuk memperbarui konfigurasi PAM, lihat kembali dokumentasi Anda untuk detailnya. Jika tidak ada alat yang disediakan untuk mengedit /etc/pam.d/file konfigurasi yang sesuai dan menambahkan atau memodifikasi baris pam_unix.so untuk menyertakan opsi sha512: password sufficient pam_unix.so sha512 |
| Memastikan hari minimum antara perubahan kata sandi adalah 7 atau lebih. (157.12) |
Deskripsi: Dengan membatasi frekuensi perubahan kata sandi, administrator dapat mencegah pengguna berulang kali mengubah kata sandi mereka dalam upaya untuk menghindari kontrol penggunaan kembali kata sandi. | Atur parameter PASS_MIN_DAYS menjadi 7 di /etc/login.defs:PASS_MIN_DAYS 7. Ubah parameter pengguna untuk semua pengguna dengan kata sandi yang diatur untuk mencocokkan: chage --mindays 7 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' |
| Pastikan semua pengguna terakhir kali mengubah tanggal kata sandi di masa lalu (157.14) |
Deskripsi: Jika pengguna dengan tanggal perubahan kata sandi dicatat di masa mendatang, maka mereka dapat melewati kedaluwarsa kata sandi yang ditetapkan. | Pastikan kunci kata sandi tidak aktif adalah 30 hari atau kurang Jalankan perintah berikut untuk mengatur periode tidak aktif kata sandi default menjadi 30 hari: # useradd -D -f 30 Memodifikasi parameter pengguna untuk semua pengguna dengan kata sandi yang diatur agar sesuai: # chage --inactive 30 |
| Memastikan akun sistem non-login (157.15) |
Deskripsi: Penting untuk memastikan bahwa akun yang tidak digunakan oleh pengguna reguler dicegah untuk digunakan untuk menyediakan shell interaktif. Secara default, Ubuntu mengatur bidang kata sandi untuk akun ini ke string yang tidak valid, tetapi disarankan juga agar bidang shell dalam file kata sandi diatur ke /usr/sbin/nologin. Ini mencegah akun berpotensi digunakan untuk menjalankan perintah apa pun. |
Atur shell untuk setiap akun yang dikembalikan oleh skrip audit ke /sbin/nologin |
| Pastikan grup default untuk akun root adalah GID 0 (157.16) |
Deskripsi: Menggunakan GID 0 untuk _root_ akun membantu mencegah _root_file yang dimiliki secara tidak sengaja dapat diakses oleh pengguna yang tidak istimewa. |
Jalankan perintah berikut untuk mengatur root grup default pengguna ke GID 0 : # usermod -g 0 root |
| Memastikan root satu-satunya akun dengan UID 0 (157.18) |
Deskripsi: Akses ini harus dibatasi hanya untuk akun root default dan hanya dari konsol sistem. Akses administratif harus melalui akun yang tidak diistimewakan menggunakan mekanisme yang disetujui. |
Hapus pengguna selain dengan root UID 0 atau tetapkan UID baru jika sesuai. |
| Hapus akun yang tidak perlu (159) |
Deskripsi: Untuk kepatuhan | Hapus akun yang tidak perlu |
| Memastikan layanan auditd diaktifkan (162) |
Deskripsi: Penangkapan acara sistem memberi administrator sistem informasi untuk memungkinkan mereka menentukan apakah akses tidak sah ke sistem mereka terjadi. | Instal paket audit (systemctl enable auditd) |
| Jalankan layanan AuditD (163) |
Deskripsi: Penangkapan acara sistem memberi administrator sistem informasi untuk memungkinkan mereka menentukan apakah akses tidak sah ke sistem mereka terjadi. | Jalankan layanan AuditD (systemctl start auditd) |
| Memastikan Server SNMP tidak diaktifkan (179) |
Deskripsi: Server SNMP dapat berkomunikasi menggunakan SNMP v1, yang mengirimkan data secara jelas dan tidak memerlukan autentikasi untuk menjalankan perintah. Kecuali benar-benar diperlukan, disarankan agar layanan SNMP tidak digunakan. Jika SNMP diperlukan server harus dikonfigurasi untuk tidak mengizinkan SNMP v1. | Jalankan salah satu perintah berikut untuk menonaktifkan snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Memastikan layanan rsync tidak diaktifkan (181) |
Deskripsi: Layanan rsyncd ini menghadirkan risiko keamanan karena menggunakan protokol yang tidak terenkripsi untuk komunikasi. |
Jalankan salah satu perintah berikut untuk menonaktifkan rsyncd : chkconfig rsyncd off, , systemctl disable rsyncdupdate-rc.d rsyncd disable atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| Memastikan server NIS tidak diaktifkan (182) |
Deskripsi: Layanan NIS adalah sistem yang tidak aman secara inheren yang rentan terhadap serangan DOS, luapan buffer, dan memiliki autentikasi yang buruk untuk meng-kueri peta NIS. NIS umumnya digantikan oleh protokol seperti Lightweight Directory Access Protocol (LDAP). Disarankan agar layanan dinonaktifkan dan layanan yang lebih aman digunakan | Jalankan salah satu perintah berikut untuk menonaktifkan ypserv: # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Memastikan klien rsh tidak diinstal (183) |
Deskripsi: Klien warisan ini berisi banyak paparan keamanan dan telah diganti dengan paket SSH yang lebih aman. Bahkan jika server dihapus, yang terbaik adalah memastikan klien juga dihapus untuk mencegah pengguna secara tidak sengaja mencoba menggunakan perintah ini dan karenanya mengekspos kredensial mereka. Perhatikan bahwa menghapus rsh paket akan menghapus klien untuk rsh, rcp , dan rlogin. |
Copot pemasanganrsh menggunakan manajer paket atau penginstalan manual yang sesuai: yum remove rshapt-get remove rshzypper remove rsh |
| Nonaktifkan SMB V1 dengan Samba (185) |
Deskripsi: SMB v1 terkenal dengan kerentanan serius dan tidak mengenkripsi data saat transit. Jika harus digunakan untuk alasan bisnis, sangat disarankan agar langkah tambahan diambil untuk mengurangi risiko yang melekat pada protokol ini. | Jika Samba tidak berjalan, hapus paket, jika tidak akan ada garis di bagian [global] dari /etc/samba/smb.conf: min protocol = SMB2 atau jalankan '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Catatan
Ketersediaan pengaturan konfigurasi tamu Azure Policy tertentu dapat bervariasi di Azure Government dan cloud nasional lainnya.
Langkah berikutnya
Artikel tambahan tentang Azure Policy dan konfigurasi tamu:
- Konfigurasi tamu Azure Policy.
- Ikhtisar Kepatuhan terhadap Peraturan.
- Tinjau contoh lain di Contoh Azure Policy.
- Tinjau Memahami efek kebijakan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.