Linux セキュリティ ベースライン
注意事項
この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、CentOS の終了ガイダンスを参照してください。
この記事では、次の実装で適用できる Linux ゲストの構成設定について詳しく説明します。
- [プレビュー]: Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある (Azure Policy ゲスト構成定義)
- マシンのセキュリティ構成の脆弱性が修復されている必要がある (Microsoft Defender for Cloud で)
詳しくは Azure Policy ゲスト構成に関するページ、および「Azure Security Benchmark (V2) の概要」をご覧ください。
一般的なセキュリティ コントロール
| 名前 (CCEID) |
詳細 | 修復チェック |
|---|---|---|
| /home パーティションに対して nodev オプションが設定されていることを確認する。 (1.1.4) |
説明: 攻撃者により、特殊なデバイス (ブロック デバイスやキャラクター デバイスなど) が /home パーティションにマウントされる可能性があります。 | /etc/fstab ファイルを編集して、nodev を /home パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /tmp パーティションに対して nodev オプションが設定されていることを確認する。 (1.1.5) |
説明: 攻撃者により、特殊なデバイス (ブロック デバイスやキャラクター デバイスなど) が /tmp パーティションにマウントされる可能性があります。 | /etc/fstab ファイルを編集して、nodev を /tmp パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /var/tmp パーティションに対して nodev オプションが設定されていることを確認する。 (1.1.6) |
説明: 攻撃者により、特殊なデバイス (ブロック デバイスやキャラクター デバイスなど) が /var/tmp パーティションにマウントされる可能性があります。 | /etc/fstab ファイルを編集して、nodev を /var/tmp パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /tmp パーティションに対して nosuid オプションが設定されていることを確認する。 (1.1.7) |
説明: /tmp ファイル システムは一時ファイル ストレージ専用であるため、このオプションを設定して、ユーザーが setuid ファイルを /var/tmp に作成できないようにします。 | /etc/fstab ファイルを編集して、nosuid を /tmp パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /var/tmp パーティションに対して nosuid オプションが設定されていることを確認する。 (1.1.8) |
説明: /var/tmp ファイル システムは一時ファイル ストレージ専用であるため、このオプションを設定して、ユーザーが setuid ファイルを /var/tmp に作成できないようにします。 | /etc/fstab ファイルを編集して、nosuid を /var/tmp パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /var/tmp パーティションに対して noexec オプションが設定されていることを確認する。 (1.1.9) |
説明: /var/tmp ファイル システムは一時ファイル ストレージ専用であるため、このオプションを設定して、ユーザーが /var/tmp の実行可能バイナリを実行できないようにします。 |
/etc/fstab ファイルを編集して、noexec を /var/tmp パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /dev/shm パーティションに対して noexec オプションが設定されていることを確認する。 (1.1.16) |
説明: ファイル システムに対してこのオプションを設定すると、ユーザーが共有メモリからプログラムを実行できなくなります。 このコントロールにより、潜在的に悪意のあるソフトウェアをユーザーがシステムに導入するのを防ぎます。 | /etc/fstab ファイルを編集して、noexec を /dev/shm パーティションの 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| 自動マウントを無効にする (1.1.21) |
説明: 自動マウントが有効になっていると、物理的にアクセスできる人物なら誰でも、メディアをマウントするアクセス許可を持っていなくても、USB ドライブまたはディスクを接続してその内容をシステムで使用可能にすることができます。 | autofs サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' を実行します |
| USB 記憶装置のマウントが無効になっていることを確認する (1.1.21.1) |
説明: USB 記憶装置のサポートを削除すると、サーバーのローカル攻撃面が減少します。 | /etc/modprobe.d/ ディレクトリ内の拡張子 .conf のファイルを編集 (ない場合は作成) し、install usb-storage /bin/true を追加してから、usb-storage モジュールをアンロードするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| コア ダンプが制限されていることを確認する。 (1.5.1) |
説明: コア ダンプに対してハード制限を設定すると、ユーザーがソフト変数をオーバーライドできなくなります。 コア ダンプが必要な場合は、ユーザー グループに対する制限を設定することを検討してください (limits.conf(5) を参照)。 さらに、fs.suid_dumpable 変数を 0 に設定すると、setuid プログラムでコアをダンプできなくなります。 |
/etc/security/limits.conf または limits.d ディレクトリ内のファイルに hard core 0 を追加して、sysctl で fs.suid_dumpable = 0 を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' を実行します。 |
| プレリンクが無効になっていることを確認する。 (1.5.4) |
説明: プレリンク機能は、バイナリを変更するため、AIDE の動作の妨げになる可能性があります。 また、悪意のあるユーザーが libc などの共通ライブラリを侵害できる場合に、プレリンクによってシステムの脆弱性が増大する可能性もあります。 | パッケージ マネージャーを使用して prelink をアンインストールするか、'/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' を実行します。 |
| /etc/motd に対するアクセス許可が構成されていることを確認する。 (1.7.1.4) |
説明: /etc/motd ファイルの所有権が正しくない場合、認可されていないユーザーによって、正しくないか誤解を招く情報でファイルに変更が加えられる可能性があります。 |
/etc/motd の所有者およびグループを root に設定して、アクセス許可を 0644 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' を実行します |
| /etc/issue に対するアクセス許可が構成されていることを確認する。 (1.7.1.5) |
説明: /etc/issue ファイルの所有権が正しくない場合、認可されていないユーザーによって、正しくないか誤解を招く情報でファイルに変更が加えられる可能性があります。 |
/etc/issue の所有者およびグループを root に設定して、アクセス許可を 0644 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' を実行します |
| /etc/issue.net に対するアクセス許可が構成されていることを確認する。 (1.7.1.6) |
説明: /etc/issue.net ファイルの所有権が正しくない場合、認可されていないユーザーによって、正しくないか誤解を招く情報でファイルに変更が加えられる可能性があります。 |
/etc/issue.net の所有者およびグループを root に設定して、アクセス許可を 0644 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' を実行します |
| すべてのリムーバブル メディアに対して nodev オプションを有効にする必要がある。 (2.1) |
説明: 攻撃者により、特殊なデバイス (ブロック デバイスやキャラクター デバイスなど) がリムーバブル メディア経由でマウントされる可能性があります | /etc/fstab で nodev オプションを 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| すべてのリムーバブル メディアに対して noexec オプションを有効にする必要がある。 (2.2) |
説明: 攻撃者がリムーバブル メディアから実行可能ファイルを読み込む可能性があります | /etc/fstab で noexec オプションを 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| すべてのリムーバブル メディアに対して nosuid オプションを有効にする必要がある。 (2.3) |
説明: 昇格したセキュリティ コンテキストで実行されるファイルを攻撃者がリムーバブル メディアから読み込む可能性があります | /etc/fstab で nosuid オプションを 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| talk クライアントがインストールされていないことを確認する。 (2.3.3) |
説明: 非暗号化プロトコルを通信に使用するソフトウェアによってセキュリティのリスクが生じます。 | talk をアンインストールするか、'/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' を実行します |
| /etc/hosts.allow に対するアクセス許可が構成されていることを確認する。 (3.4.4) |
説明: 認可されていない書き込みアクセスから /etc/hosts.allow ファイルを確実に保護することは重要です。 これは既定で保護されますが、ファイルのアクセス許可が誤って、または悪意のある操作によって変更される可能性があります。 |
/etc/hosts.allow の所有者およびグループを root に、アクセス許可を 0644 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' を実行します |
| /etc/hosts.deny に対するアクセス許可が構成されていることを確認する。 (3.4.5) |
説明: 認可されていない書き込みアクセスから /etc/hosts.deny ファイルを確実に保護することは重要です。 これは既定で保護されますが、ファイルのアクセス許可が誤って、または悪意のある操作によって変更される可能性があります。 |
/etc/hosts.deny の所有者およびグループを root に、アクセス許可を 0644 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' を実行します |
| 既定の拒否ファイアウォール ポリシーを確認する (3.6.2) |
説明: 既定の受け入れポリシーでは、ファイアウォールは、明示的に拒否されていないすべてのパケットを受け入れます。 既定の許可ポリシーを使用するよりも、既定の DROP ポリシーを使用した方が、セキュリティで保護されたファイアウォールの管理が容易です。 | ファイアウォール ソフトウェアを使用して、着信、発信、ルーティングの各トラフィックについて既定のポリシーを deny または reject の適切な方に設定します |
| すべての NFS マウントに対して nodev/nosuid オプションを有効にする必要がある。 (5) |
説明: 昇格したセキュリティ コンテキストまたは特殊なデバイスで実行されるファイルを、攻撃者がリモート ファイル システムから読み込む可能性があります | /etc/fstab で nosuid および nodev オプションを 4 番目のフィールド (マウント オプション) に追加します。 詳細については、fstab(5) のマニュアル ページを参照してください。 |
| /etc/ssh/sshd_config に対するアクセス許可が構成されていることを確認します。 (5.2.1) |
説明: /etc/ssh/sshd_config ファイルは、特権のないユーザーが不正な変更をできないようにする必要があります。 |
/etc/ssh/sshd_config の所有者およびグループを root に設定し、アクセス許可を 0600 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' を実行します。 |
| パスワード作成要件が構成されていることを確認する。 (5.3.1) |
説明: 強力なパスワードを使用すると、ブルートフォース方式によってシステムがハッキングされるのを防ぐことができます。 | 使用しているディストリビューションの適切な PAM で、次のキーと値のペアを設定します: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1。または、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' を実行します |
| 失敗したパスワード試行に対するロックアウトが構成されていることを確認する。 (5.3.2) |
説明: n 回連続でログイン試行に失敗したユーザー ID をロックアウトすると、システムに対するブルートフォース パスワード攻撃の抑止につながります。 |
Ubuntu および Debian の場合、必要に応じて pam_tally および pam_deny モジュールを追加します。 その他のすべてのディストリビューションについては、使用しているディストリビューションのドキュメントを参照してください。 |
| 不要なファイル システム (cramfs) のインストールと使用を無効にする (6.1) |
説明: 攻撃者が cramfs の脆弱性を使用して特権を昇格させる可能性があります | cramfs を無効にするファイルを /etc/modprob.d ディレクトリに追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| 不要なファイル システム (freevxfs) のインストールと使用を無効にする (6.2) |
説明: 攻撃者が freevxfs の脆弱性を使用して特権を昇格させる可能性があります | freevxfs を無効にするファイルを /etc/modprob.d ディレクトリに追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| すべてのユーザーのホーム ディレクトリが存在することを確認する (6.2.7) |
説明: ユーザーのホーム ディレクトリが存在しないか、割り当てられていない場合、ユーザーはボリューム ルートに配置されます。 さらに、そのユーザーは、ファイルを書き込むこと、または環境変数を設定することができなくなります。 | ユーザーのホーム ディレクトリが存在しない場合は作成し、それぞれのユーザーがこのディレクトリの所有者であることを確認します。 ホーム ディレクトリが割り当てられていないユーザーは、必要に応じて、削除するかホーム ディレクトリを割り当てる必要があります。 |
| ユーザーが自分のホーム ディレクトリの所有者であることを確認する (6.2.9) |
説明: ユーザーはそのホーム ディレクトリに格納されているファイルについて責任があるため、このユーザーがこのディレクトリの所有者である必要があります。 | 定義されたユーザーが所有者でないホーム ディレクトリがあれば、その所有権を正しいユーザーに変更します。 |
| ユーザーのドット ファイルへの書き込みがグループまたは全員に許可されていないことを確認する。 (6.2.10) |
説明: ユーザー構成ファイルへの書き込みがグループまたは全員に許可されていると、悪意のあるユーザーが他のユーザーのデータを盗取または改変したり、別のユーザーのシステム特権を取得したりできる場合があります。 | ユーザー コミュニティに告知せずにユーザーのファイルにグローバルな変更を加えると、予期しない停止やユーザーの不満を招く可能性があります。 そのため、ユーザーのドット ファイルのアクセス許可を報告し、サイト ポリシーの修復アクションを決定する監視ポリシーを確立することをお勧めします。 |
| どのユーザーにも .forward ファイルが存在しないことを確認する (6.2.11) |
説明: .forward ファイルの使用によって生じるセキュリティ リスクは、機密データが組織の外部に誤って転送されてしまう可能性があるというものです。 .forward ファイルは、意図しないアクションを実行する場合があるコマンドの実行に使用される可能性があるため、この点もリスクになります。 |
ユーザー コミュニティに告知せずにユーザーのファイルにグローバルな変更を加えると、予期しない停止やユーザーの不満を招く可能性があります。 このため、監視ポリシーを確立し、サイト ポリシーに従って、ユーザーの .forward ファイルについてレポートしたり、実行するアクションを決定したりすることをお勧めします。 |
| どのユーザーにも .netrc ファイルが存在しないことを確認する (6.2.12) |
説明: .netrc ファイルには非暗号化形式でパスワードが保存されますが、これは重大なセキュリティ リスクです。 FTP を無効にしていても、ユーザー アカウントが他のシステムから .netrc ファイルを持ち込んでいる場合があり、これが持ち込み元のシステムにとってのリスクになる可能性があります |
ユーザー コミュニティに告知せずにユーザーのファイルにグローバルな変更を加えると、予期しない停止やユーザーの不満を招く可能性があります。 このため、監視ポリシーを確立し、サイト ポリシーに従って、ユーザーの .netrc ファイルについてレポートしたり、実行するアクションを決定したりすることをお勧めします。 |
| どのユーザーにも .rhosts ファイルが存在しないことを確認する (6.2.14) |
説明: このアクションは、.rhosts ファイルで /etc/pam.conf のサポートが許可されている場合にのみ該当します。 .rhosts ファイルは、/etc/pam.conf でサポートが無効になっていれば効果を持ちませんが、他のシステムから持ち込まれている場合があり、その持ち込み元のシステムの攻撃者にとって有用な情報が含まれている可能性があります。 |
ユーザー コミュニティに告知せずにユーザーのファイルにグローバルな変更を加えると、予期しない停止やユーザーの不満を招く可能性があります。 このため、監視ポリシーを確立し、サイト ポリシーに従って、ユーザーの .rhosts ファイルについてレポートしたり、実行するアクションを決定したりすることをお勧めします。 |
| /etc/passwd のすべてのグループが /etc/group に存在していることを確認する (6.2.15) |
説明: /etc/passwd ファイルで定義されているが /etc/group ファイルでは定義されていないグループは、そのアクセス許可が適切に管理されていないため、システムのセキュリティにとって脅威になります。 | /etc/passwd で定義されている個々のグループについて、対応するグループが /etc/group に存在していることを確認します |
| 重複した UID が存在していないことを確認する (6.2.16) |
説明: 説明責任のために、また適切なアクセス保護を保証するために、ユーザーには一意の UID を割り当てる必要があります。 | 一意の UID を確立します。また、共有 UID が所有者になっているすべてのファイルを確認して、ファイルの本来の帰属先であると考えられる UID を特定します。 |
| 重複した GID が存在していないことを確認する (6.2.17) |
説明: 説明責任のために、また適切なアクセス保護を保証するために、グループには一意の GID を割り当てる必要があります。 | 一意の GID を確立します。また、共有 GID が所有者になっているすべてのファイルを確認して、ファイルの本来の帰属先であると考えられる GID を特定します。 |
| 重複したユーザー名が存在していないことを確認する (6.2.18) |
説明: 重複したユーザー名を割り当てられたユーザーは、/etc/passwd におけるそのユーザー名の最初の UID を使用してファイルを作成し、そのファイルへのアクセス権を持つことになります。 たとえば、'test4' の UID が 1000 で、後続の 'test4' エントリの UID が 2000 である場合、'test4' としてのログインには UID 1000 が使用されます。 実質的に UID が共有されますが、これはセキュリティ上問題があります。 |
すべてのユーザーの一意なユーザー名を確立します。 ユーザーの UID が一意である限り、ファイルの所有権によって変更が自動的に反映されます。 |
| 重複したグループが存在していないことを確認する (6.2.19) |
説明: 重複したグループ名を割り当てられたグループは、/etc/group におけるそのグループの最初の GID を使用してファイルを作成し、そのファイルへのアクセス権を持つことになります。 実質的に GID が共有されますが、これはセキュリティ上問題があります。 |
すべてのユーザー グループの一意な名前を確立します。 グループの GID が一意である限り、ファイル グループの所有権によって変更が自動的に反映されます。 |
| シャドウ グループが空であることを確認する (6.2.20) |
説明: シャドウ グループに割り当てられたすべてのユーザーに、/etc/shadow ファイルへの読み取りアクセス権が付与されます。 攻撃者が /etc/shadow ファイルの読み取りアクセス権を取得できる場合、攻撃者は容易に、ハッシュ化パスワードに対してパスワード クラッキング プログラムを実行してパスワードを突破することができます。 /etc/shadow ファイルに保存されている (有効期限などの) その他のセキュリティ情報も、別のユーザー アカウントを侵害するために役立つ可能性があります。 |
すべてのユーザーをシャドウ グループから削除します |
| 不要なファイル システム (hfs) のインストールと使用を無効にする (6.3) |
説明: 攻撃者が hfs の脆弱性を使用して特権を昇格させる可能性があります | hfs を無効にするファイルを /etc/modprob.d ディレクトリに追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| 不要なファイル システム (hfsplus) のインストールと使用を無効にする (6.4) |
説明: 攻撃者が hfsplus の脆弱性を使用して特権を昇格させる可能性があります | hfsplus を無効にするファイルを /etc/modprob.d ディレクトリに追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| 不要なファイル システム (jffs2) のインストールと使用を無効にする (6.5) |
説明: 攻撃者が jffs2 の脆弱性を使用して特権を昇格させる可能性があります | jffs2 を無効にするファイルを /etc/modprob.d ディレクトリに追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| 認可されたソースからのカーネル以外はコンパイルしない (10) |
説明: 認可されていないソースからのカーネルには、攻撃者にアクセス権を付与するための脆弱性やバックドアが含まれている可能性があります。 | 使用しているディストリビューションのベンダーから提供されたカーネルをインストールします。 |
| /etc/shadow ファイルのアクセス許可を 0400 に設定する必要がある (11.1) |
説明: /etc/shadow が適切にセキュリティで保護されていない場合、ここにあるハッシュ化パスワードを攻撃者が取得または操作できます。 | /etc/shadow* のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' を実行します |
| /etc/shadow- ファイルのアクセス許可を 0400 に設定する必要がある (11.2) |
説明: /etc/shadow が適切にセキュリティで保護されていない場合、ここにあるハッシュ化パスワードを攻撃者が取得または操作できます。 | /etc/shadow* のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' を実行します |
| /etc/gshadow ファイルのアクセス許可を 0400 に設定する必要がある (11.3) |
説明: このファイルが適切にセキュリティで保護されていない場合、攻撃者がセキュリティ グループに参加する可能性があります | /etc/gshadow- のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' を実行します |
| /etc/gshadow- ファイルのアクセス許可を 0400 に設定する必要がある (11.4) |
説明: このファイルが適切にセキュリティで保護されていない場合、攻撃者がセキュリティ グループに参加する可能性があります | /etc/gshadow のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' を実行します |
| /etc/passwd ファイルのアクセス許可は 0644 である必要がある (12.1) |
説明: ユーザー ID やログイン シェルが攻撃者によって変更される可能性があります | /etc/passwd のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' を実行します |
| /etc/group ファイルのアクセス許可は 0644 である必要がある (12.2) |
説明: 攻撃者が、グループのメンバーシップに変更を加えることによって特権を昇格させる可能性があります | /etc/group のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' を実行します |
| /etc/passwd- ファイルのアクセス許可は 0600 である必要がある (12.3) |
説明: このファイルが適切にセキュリティで保護されていない場合、攻撃者がセキュリティ グループに参加する可能性があります | /etc/passwd- のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' を実行します |
| /etc/group- ファイルのアクセス許可は 0644 である必要がある (12.4) |
説明: 攻撃者が、グループのメンバーシップに変更を加えることによって特権を昇格させる可能性があります | /etc/group- のアクセス許可および所有権を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' を実行します |
| su による root アカウントへのアクセスを 'root' グループに制限する必要がある (21) |
説明: su が root グループのユーザーに制限されていない場合、攻撃者がパスワード推測によってアクセス許可を昇格させる可能性があります。 | コマンド '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions' を実行します。 このコントロールにより、行 'auth required pam_wheel.so use_uid' がファイル '/etc/pam.d/su' に追加されます |
| 'root' グループが存在し、su で root になれるメンバー全員がこのグループに含まれている必要がある (22) |
説明: su が root グループのユーザーに制限されていない場合、攻撃者がパスワード推測によってアクセス許可を昇格させる可能性があります。 | コマンド 'groupadd -g 0 root' によって root グループを作成します |
| すべてのアカウントにパスワードが必要です (23.2) |
説明: 攻撃者は、パスワードのないアカウントにログインして任意のコマンドを実行できます。 | passwd コマンドを使用して、すべてのアカウントのパスワードを設定します |
| root 以外のアカウントにはゼロ (0) より大きい一意の UID が必要 (24) |
説明: root 以外のアカウントの UID が 0 になっていると、攻撃者がそのアカウントを侵害して root 特権を取得する可能性があります。 | 'usermod -u' を使用して、一意でありゼロでない UID を root 以外のすべてのアカウントに割り当てます。 |
| 仮想メモリ領域のランダム化配置を有効にする必要がある (25) |
説明: 攻撃者が、メモリ内の既知の領域に実行可能コードを書き込んで特権を昇格させる可能性があります | 値 '1' または '2' をファイル '/proc/sys/kernel/randomize_va_space' に追加します |
| XD/NX プロセッサ機能用のカーネル サポートを有効にする必要がある (26) |
説明: 攻撃者が、メモリ内のデータ領域からコードを実行するようシステムを操作して特権を昇格させる可能性があります。 | ファイル '/proc/cpuinfo' にフラグ 'nx' が含まれていることを確認します |
| root の $PATH に '.' を含めてはならない (27.1) |
説明: 攻撃者が、root の $PATH に悪意のあるファイルを配置することによって特権を昇格させる可能性があります。 | /root/.profile の 'export PATH=' 行を修正します |
| ユーザーのホーム ディレクトリの制限をモード 750 以上にする必要がある (28) |
説明: 攻撃者が、他のユーザーのホーム フォルダーから機密情報を取得する可能性があります。 | ホーム フォルダーのアクセス許可を 750 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions' を実行します |
| すべてのユーザーの既定の umask を login.defs で 077 に設定する必要がある (29) |
説明: 攻撃者が、他のユーザーが所有者であるファイルから機密情報を取得する可能性があります。 | コマンド '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask' を実行します。 これにより、行 'UMASK 077' がファイル '/etc/login.defs' に追加されます |
| すべてのブート ローダーでパスワード保護が有効になっている必要がある。 (31) |
説明: 物理的にアクセスできる攻撃者が、ブート ローダーのオプションを変更して無制限のシステム アクセスを生じさせる可能性があります | ブート ローダーのパスワードをファイル '/boot/grub/grub.cfg' に追加します |
| ブート ローダーの構成でアクセス許可が構成されていることを確認する (31.1) |
説明: root のみに読み取りと書き込みのアクセス許可を設定して、root 以外のユーザーはブート パラメーターの参照も変更もできないようにします。 root 以外のユーザーにブート パラメーターが読み取られると、そのユーザーは、起動時のセキュリティの弱点を特定したり、それらの弱点を悪用したりできる場合があります。 | ブート ローダーの所有者とグループを root:root に、アクセス許可を 0400 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions' を実行します |
| シングル ユーザー モードで認証が必須であることを確認する。 (33) |
説明: シングル ユーザー モードで認証を必須にすると、認可されていないユーザーが資格情報を使わずにシングル ユーザーでシステムを再起動して root 特権を取得することができなくなります。 | 次のコマンドを実行して root ユーザーのパスワードを設定します: passwd root |
| パケット リダイレクト送信が無効になっていることを確認する。 (38.3) |
説明: 攻撃者は、侵害されたホストを使用して、無効な ICMP リダイレクトを他のルーター デバイスに送信する可能性があります。その目的は、ルーティングを書き換えて、正当なシステムではなく攻撃者がセットアップしたシステムにユーザーをアクセスさせることです。 | /etc/sysctl.conf で次のパラメーターを設定します: 'net.ipv4.conf.all.send_redirects = 0'、'net.ipv4.conf.default.send_redirects = 0'。または、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects' を実行します。 |
| すべてのインターフェイスで ICMP リダイレクトの送信を無効にする必要がある。 (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
説明: 攻撃者がこのシステムのルーティング テーブルを変更し、トラフィックを別の送信先にリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects' を実行します。 |
| すべてのインターフェイスで ICMP リダイレクトの送信を無効にする必要がある。 (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
説明: 攻撃者がこのシステムのルーティング テーブルを変更し、トラフィックを別の送信先にリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' を実行します |
| すべてのインターフェイスでソース ルーティング パケットの受け入れを無効にする必要がある。 (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
説明: 攻撃者が、悪意のある目的でトラフィックをリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定します。 |
| すべてのインターフェイスでソース ルーティング パケットの受け入れを無効にする必要がある。 (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
説明: 攻撃者が、悪意のある目的でトラフィックをリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定します。 |
| ソース ルーティング パケットを受け入れるための既定の設定を、ネットワーク インターフェイスで無効にする必要があります。 (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
説明: 攻撃者が、悪意のある目的でトラフィックをリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定します。 |
| ソース ルーティング パケットを受け入れるための既定の設定を、ネットワーク インターフェイスで無効にする必要があります。 (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
説明: 攻撃者が、悪意のある目的でトラフィックをリダイレクトする可能性があります。 | sysctl -w key=value を実行して準拠値に設定します。 |
| ブロードキャストに対する偽の ICMP 応答の無視を有効にする必要がある。 (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
説明: 攻撃者が ICMP 攻撃を実行し、結果として DoS が発生する可能性があります | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' を実行します |
| ブロードキャスト/マルチキャスト アドレスに送信される ICMP エコー要求 (ping) の無視が有効になっている必要がある。 (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
説明: 攻撃者が ICMP 攻撃を実行し、結果として DoS が発生する可能性があります | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' を実行します |
| (不可能なアドレスを持つ) martian パケットのログ記録がすべてのインターフェイスで有効になっている必要がある。 (net.ipv4.conf.all.log_martians = 1) (45.1) |
説明: 攻撃者がなりすましアドレスから、検知されることなくトラフィックを送信する可能性があります | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' を実行します |
| パスの反転によるソース検証の実行をすべてのインターフェイスで有効にする必要がある。 (net.ipv4.conf.all.rp_filter = 1) (46.1) |
説明: ルーティング不可能なアドレスからのトラフィックをシステムが受け入れます。 | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' を実行します |
| パスの反転によるソース検証の実行をすべてのインターフェイスで有効にする必要がある。 (net.ipv4.conf.default.rp_filter = 1) (46.2) |
説明: ルーティング不可能なアドレスからのトラフィックをシステムが受け入れます。 | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' を実行します |
| TCP SYN Cookie を有効にする必要がある。 (net.ipv4.tcp_syncookies = 1) (47) |
説明: 攻撃者が TCP 経由で DoS を実行する可能性があります | sysctl -w key=value を実行して準拠値に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' を実行します |
| システムがネットワーク スニファーとして機能してはならない。 (48) |
説明: 攻撃者が、無作為検出インターフェイスを使用してネットワーク トラフィックを盗聴する場合があります | 無作為検出モードは '/etc/network/interfaces' または '/etc/rc.local' の 'promisc' エントリによって有効にされます。 両方のファイルを確認して、このエントリを削除します。 |
| すべてのワイヤレス インターフェイスを無効にする必要がある。 (49) |
説明: 攻撃者が、偽の AP を作成して伝送をインターセプトする可能性があります。 | '/etc/network/interfaces' で、すべてのワイヤレス インターフェイスが無効になっていることを確認します |
| IPv6 プロトコルが有効になっている必要がある。 (50) |
説明: これは、最新のネットワークでの通信に必要です。 | /etc/sysctl.conf を開き、'net.ipv6.conf.all.disable_ipv6' および 'net.ipv6.conf.default.disable_ipv6' が 0 に設定されていることを確認します |
| DCCP が無効になっていることを確認する (54) |
説明: 潜在的な攻撃面を減らすために、プロトコルが不要な場合はドライバーをインストールしないことをお勧めします。 | /etc/modprobe.d/ ディレクトリ内の拡張子 .conf のファイルを編集 (ない場合は作成) し、install dccp /bin/true を追加してから、dccp モジュールをアンロードするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| SCTP が無効になっていることを確認する (55) |
説明: 潜在的な攻撃面を減らすために、プロトコルが不要な場合はドライバーをインストールしないことをお勧めします。 | /etc/modprobe.d/ ディレクトリ内の拡張子 .conf のファイルを編集 (ない場合は作成) し、install sctp /bin/true を追加してから、sctp モジュールをアンロードするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| RDS のサポートを無効にする。 (56) |
説明: 攻撃者が RDS の脆弱性を使用してシステムを侵害する可能性があります | /etc/modprobe.d/ ディレクトリ内の拡張子 .conf のファイルを編集 (ない場合は作成) し、install rds /bin/true を追加してから、rds モジュールをアンロードするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| TIPC が無効になっていることを確認する (57) |
説明: 潜在的な攻撃面を減らすために、プロトコルが不要な場合はドライバーをインストールしないことをお勧めします。 | /etc/modprobe.d/ ディレクトリ内の拡張子 .conf のファイルを編集 (ない場合は作成) し、install tipc /bin/true を追加してから、tipc モジュールをアンロードするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' を実行します |
| ログ記録が構成されていることを確認する (60) |
説明: 重要なセキュリティ関連情報の多くは rsyslog 経由で送信されます (su 試行の成功と失敗、ログイン試行の失敗、root ログイン試行など)。 |
必要に応じて syslog、rsyslog、または syslog-ng を構成します |
| syslog、rsyslog、または syslog-ng パッケージがインストールされている必要がある。 (61) |
説明: 信頼性とセキュリティの問題がログに記録されず、適切な診断ができなくなります。 | rsyslog パッケージをインストールするか、'/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' を実行します |
| systemd-journald サービスは、ログ メッセージを保持するように構成する必要があります (61.1) |
説明: 信頼性とセキュリティの問題がログに記録されず、適切な診断ができなくなります。 | /var/log/journal を作成し、journald.conf の中の Storage が auto または persistent であることを確認します |
| ログ サービスが有効になっていることを確認する (62) |
説明: ノードでのイベントをログに記録できることは不可欠です。 | rsyslog パッケージを有効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' を実行します |
| すべての rsyslog ログ ファイルのアクセス許可を 640 または 600 に設定する必要がある。 (63) |
説明: 攻撃者がログを操作してアクティビティを隠蔽する可能性があります | 行 '$FileCreateMode 0640' をファイル '/etc/rsyslog.conf' に追加します |
| ロガー構成ファイルが制限されていることを確認する。 (63.1) |
説明: 機密性が高い syslog データのアーカイブと保護を確実にするために、ログ ファイルが存在しておりアクセス許可が正しく設定されていることを確認するのは重要です。 | ロガーの構成ファイルを 0640 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' を実行します。 |
| すべての rsyslog ログ ファイルは adm グループが所有者である必要がある。 (64) |
説明: 攻撃者がログを操作してアクティビティを隠蔽する可能性があります | 行 '$FileGroup adm' をファイル '/etc/rsyslog.conf' に追加します |
| すべての rsyslog ログ ファイルは syslog ユーザーが所有者である必要がある。 (65) |
説明: 攻撃者がログを操作してアクティビティを隠蔽する可能性があります | 行 '$FileOwner syslog' をファイル '/etc/rsyslog.conf' に追加するか、'/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner' を実行します |
| rsyslog はリモート メッセージを受け入れてはならない。 (67) |
説明: 攻撃者が syslog にメッセージを注入して、DoS や他のアクティビティの中断を発生させる可能性があります | 行 '$ModLoad imudp' および '$ModLoad imtcp' をファイル '/etc/rsyslog.conf' から削除します。 |
| logrotate (syslog rotater) サービスが有効になっている必要がある。 (68) |
説明: ログ ファイルが際限なく肥大してディスク領域を消費し尽くす可能性があります | logrotate パッケージをインストールし、logrotate cron エントリがアクティブであることを確認します (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| rlogin サービスが無効になっている必要がある。 (69) |
説明: 攻撃者が厳格な認証要件を迂回してアクセス権を取得する可能性があります | inetd サービスを削除します。 |
| 必要な場合を除き inetd を削除する。 (inetd) (70.1) |
説明: 攻撃者が inetd サービスの脆弱性を悪用してアクセス権を取得する可能性があります | inetd サービスを削除します (apt-get remove inetd) |
| 必要な場合を除き xinetd を無効にする。 (xinetd) (70.2) |
説明: 攻撃者が xinetd サービスの脆弱性を悪用してアクセス権を取得する可能性があります | inetd サービスを削除します (apt-get remove xinetd) |
| ディストリビューションで適切かつ必要な場合にのみ inetd をインストールする。 現在の強化標準に従ってセキュリティで保護する。 (必要な場合) (71.1) |
説明: 攻撃者が inetd サービスの脆弱性を悪用してアクセス権を取得する可能性があります | inetd サービスを削除します (apt-get remove inetd) |
| ディストリビューションで適切かつ必要な場合にのみ xinetd をインストールする。 現在の強化標準に従ってセキュリティで保護する。 (必要な場合) (71.2) |
説明: 攻撃者が xinetd サービスの脆弱性を悪用してアクセス権を取得する可能性があります | inetd サービスを削除します (apt-get remove xinetd) |
| telnet サービスが無効になっている必要がある。 (72) |
説明: 攻撃者が、暗号化されていない telnet セッションを盗聴またはハイジャックする可能性があります | ファイル '/etc/inetd.conf' の telnet エントリを削除またはコメント アウトします |
| すべての telnetd パッケージをアンインストールする必要がある。 (73) |
説明: 攻撃者が、暗号化されていない telnet セッションを盗聴またはハイジャックする可能性があります | すべての telnetd パッケージをアンインストールします |
| rcp/rsh サービスを無効にする必要がある。 (74) |
説明: 攻撃者が、暗号化されていないセッションを盗聴またはハイジャックする可能性があります | ファイル '/etc/inetd.conf' の shell エントリを削除またはコメント アウトします |
| rsh-server パッケージをアンインストールする必要がある。 (77) |
説明: 攻撃者が、暗号化されていない rsh セッションを盗聴またはハイジャックする可能性があります | rsh-server パッケージをアンインストールします (apt-get remove rsh-server) |
| ypbind サービスが無効になっている必要がある。 (78) |
説明: 攻撃者が ypbind サービスから機密情報を取得する可能性があります。 | nis パッケージをアンインストールします (apt-get remove nis) |
| nis パッケージをアンインストールする必要がある。 (79) |
説明: 攻撃者が NIS サービスから機密情報を取得する可能性があります。 | nis パッケージをアンインストールします (apt-get remove nis) |
| tftp サービスが無効になっている必要がある。 (80) |
説明: 攻撃者が、暗号化されていないセッションを盗聴またはハイジャックする可能性があります | ファイル '/etc/inetd.conf' から tftp エントリを削除します |
| tftpd パッケージをアンインストールする必要がある。 (81) |
説明: 攻撃者が、暗号化されていないセッションを盗聴またはハイジャックする可能性があります | tftpd パッケージをアンインストールします (apt-get remove tftpd) |
| readahead-fedora パッケージをアンインストールする必要がある。 (82) |
説明: パッケージによって、大きなリスクはもたらされませんが、メリットも特にありません。 | readahead-fedora パッケージをアンインストールします (apt-get remove readahead-fedora) |
| bluetooth/hidd サービスを無効にする必要がある。 (84) |
説明: 攻撃者がワイヤレス通信をインターセプトまたは操作する可能性があります。 | bluetooth パッケージをアンインストールします (apt-get remove bluetooth) |
| isdn サービスが無効になっている必要がある。 (86) |
説明: 攻撃者がモデムを使用して未認可のアクセスを取得する可能性があります | isdnutils-base パッケージをアンインストールします (apt-get remove isdnutils-base) |
| isdnutils-base パッケージをアンインストールする必要がある。 (87) |
説明: 攻撃者がモデムを使用して未認可のアクセスを取得する可能性があります | isdnutils-base パッケージをアンインストールします (apt-get remove isdnutils-base) |
| kdump サービスが無効になっている必要がある。 (88) |
説明: 攻撃者が、以前のシステム クラッシュを分析して、機密情報を取得する可能性があります | kdump-tools パッケージをアンインストールします (apt-get remove kdump-tools) |
| zeroconf ネットワーキングが無効になっている必要がある。 (89) |
説明: 攻撃者がこれを悪用してネットワーク システムに関する情報を取得したり、その信頼モデルの欠陥を突いて DNS 要求を偽装したりする可能性があります | RedHat、CentOS、Oracle の場合: NOZEROCONF=yes or no を /etc/sysconfig/network に追加します。 その他すべてのディストリビューション: ファイル '/etc/network/interfaces' 内の 'ipv4ll' エントリをすべて削除するか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' を実行します |
| crond サービスが有効になっている必要がある (90) |
説明: cron は、ほとんどすべてのシステムで定期的なメンテナンス タスクに必要です | cron パッケージをインストール (apt-get install -y cron) して、ファイル '/etc/init/cron.conf' に行 'start on runlevel [2345]' が含まれていることを確認します |
| /etc/anacrontab ファイルのアクセス許可を root:root 600 に設定する必要がある。 (91) |
説明: 攻撃者がこのファイルを操作して、スケジュールされたタスクの実行をやめさせたり、悪意のあるタスクを実行させたりする可能性があります | /etc/anacrontab の所有権およびアクセス許可を設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' を実行します |
| /etc/cron.d に対するアクセス許可が構成されていることを確認する。 (93) |
説明: 特権のないユーザーのためにこのディレクトリへの書き込みアクセス権を付与すると、認可されていない昇格された特権を取得する手段を提供する可能性があります。 このディレクトリの読み取りアクセス権を付与すると、昇格された特権を取得したり、監査コントロールを回避したりする方法についての情報が、認可されていないユーザーに与えられる可能性があります。 | /etc/chron.d の所有者およびグループを root に設定して、アクセス許可を 0700 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' を実行します |
| /etc/cron.daily に対するアクセス許可が構成されていることを確認する。 (94) |
説明: 特権のないユーザーのためにこのディレクトリへの書き込みアクセス権を付与すると、認可されていない昇格された特権を取得する手段を提供する可能性があります。 このディレクトリの読み取りアクセス権を付与すると、昇格された特権を取得したり、監査コントロールを回避したりする方法についての情報が、認可されていないユーザーに与えられる可能性があります。 | /etc/chron.daily の所有者およびグループを root に設定して、アクセス許可を 0700 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' を実行します |
| /etc/cron.hourly に対するアクセス許可が構成されていることを確認する。 (95) |
説明: 特権のないユーザーのためにこのディレクトリへの書き込みアクセス権を付与すると、認可されていない昇格された特権を取得する手段を提供する可能性があります。 このディレクトリの読み取りアクセス権を付与すると、昇格された特権を取得したり、監査コントロールを回避したりする方法についての情報が、認可されていないユーザーに与えられる可能性があります。 | /etc/cron.hourly の所有者およびグループを root に設定して、アクセス許可を 0700 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' を実行します |
| /etc/cron.monthly に対するアクセス許可が構成されていることを確認する。 (96) |
説明: 特権のないユーザーのためにこのディレクトリへの書き込みアクセス権を付与すると、認可されていない昇格された特権を取得する手段を提供する可能性があります。 このディレクトリの読み取りアクセス権を付与すると、昇格された特権を取得したり、監査コントロールを回避したりする方法についての情報が、認可されていないユーザーに与えられる可能性があります。 | /etc/cron.monthly の所有者およびグループを root に設定して、アクセス許可を 0700 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' を実行します |
| /etc/cron.weekly に対するアクセス許可が構成されていることを確認する。 (97) |
説明: 特権のないユーザーのためにこのディレクトリへの書き込みアクセス権を付与すると、認可されていない昇格された特権を取得する手段を提供する可能性があります。 このディレクトリの読み取りアクセス権を付与すると、昇格された特権を取得したり、監査コントロールを回避したりする方法についての情報が、認可されていないユーザーに与えられる可能性があります。 | /etc/cron.weekly の所有者およびグループを root に設定して、アクセス許可を 0700 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' を実行します |
| at/cron が認可されたユーザーに制限されていることを確認する (98) |
説明: 多くのシステムで、cron ジョブをスケジュールする権限があるのはシステム管理者だけです。 cron.allow ファイルを使用して、cron ジョブを実行できるユーザーを制御すると、このポリシーが適用されます。 拒否リストよりも許可リストを管理する方が簡単です。 拒否リストの場合、システムに追加したユーザー ID を拒否ファイルに追加するのを忘れてしまう可能性があります。 |
/etc/cron.deny と /etc/at.deny をそれぞれ allow のファイルに置き換えるか、'/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' を実行します。 |
| ベスト プラクティスを満たすように SSH を構成して管理する必要があります。 - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
説明: 攻撃者が以前のバージョンの SSH プロトコルの欠陥を利用してアクセスする可能性があります | コマンド '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol' を実行します。 これにより 'Protocol 2' がファイル '/etc/ssh/sshd_config' に設定されます |
| ベスト プラクティスを満たすように SSH を構成して管理する必要があります。 - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
説明: 攻撃者が Rhosts プロトコルの欠陥を利用してアクセスする可能性があります | コマンド '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts' を実行します。 これにより、'IgnoreRhosts yes' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| SSH LogLevel が INFO に設定されていることを確認します (106.5) |
説明: SSH では、さまざまな詳細度が設定された複数のログ レベルが提供されます。 DEBUG は、重要なセキュリティ情報を識別するのが困難なほど多くのデータを提供するので、SSH 通信を厳密にデバッグする場合以外は特に推奨 "されません"。 INFO レベルは、SSH ユーザーのログイン アクティビティのみを記録する基本レベルです。 インシデント対応など多くの状況では、特定のユーザーがいつシステムでアクティブだったのか調べることが重要です。 ログアウト レコードを使用すると、切断されたユーザーを除外できるので、フィールドを絞り込むのに役立ちます。 |
/etc/ssh/sshd_configファイルを編集して、パラメーターを次のように設定します。 LogLevel INFO |
| SSH の MaxAuthTries が 6 以下に設定されていることを確認します (106.7) |
説明: MaxAuthTries パラメーターを低い数値に設定すると、SSH サーバーに対するブルート フォース攻撃が成功するリスクが最小限に抑えられます。 推奨される設定は 4 ですが、この数値はサイト ポリシーに基づいて設定してください。 |
SSH MaxAuthTries が 6 以下に設定されているのを確認します。/etc/ssh/sshd_configファイルを編集してパラメーターを次のように設定します。 MaxAuthTries 6 |
| SSH アクセスが制限されていることを確認します (106.11) |
説明: システムに SSH 経由でリモートにアクセスできるユーザーを制限すると、許可されているユーザーだけがシステムにアクセスできるようになります。 | SSH アクセスが制限されていることを確認します。/etc/ssh/sshd_configファイルを編集して、1 つ以上のパラメーターを次のように設定します。 AllowUsers AllowGroups DenyUsers DenyGroups |
| ssh サーバーを介した rsh コマンドのエミュレーションを無効にする必要があります。 - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
説明: 攻撃者が RHosts プロトコルの欠陥を利用してアクセスする可能性があります | コマンド '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth' を実行します。 これにより、'RhostsRSAAuthentication no' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| SSH ホストベースの認証を無効にする必要があります。 - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
説明: 侵害されたホストからアクセス権を取得するために、攻撃者がホストベースの認証を使用する可能性がある | コマンド '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth' を実行します。 これにより、'HostbasedAuthentication no' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| SSH 経由のルート ログインを無効にする必要があります。 - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
説明: 攻撃者がルート パスワードをブルート フォースしたり、root として直接ログインしてコマンド履歴を隠したりする可能性があります | コマンド '/usr/local/bin/azsecd remediate -r disable-ssh-root-login' を実行します。 これにより、'PermitRootLogin no' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| パスワードが空のアカウントからのリモート接続を無効にする必要があります。 - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
説明: 攻撃者がパスワード推測によってアクセスする可能性があります | コマンド '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords' を実行します。 これにより、'PermitEmptyPasswords no' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| SSH のアイドル タイムアウト間隔が構成されていることを確認します。 (110.1) |
説明: 接続に関連するタイムアウト値がないと、許可されていないユーザーが別のユーザーの ssh セッションにアクセスできる可能性があります。 タイムアウト値を設定すると、少なくともこのようなことが発生するリスクが減ります。 推奨設定値は 300 秒 (5 分) ですが、このタイムアウト値はサイト ポリシーに基づいて設定してください。 ClientAliveCountMax の推奨設定値は 0 です。 この場合、クライアント セッションは 5 分間のアイドル時間後に終了し、キープアライブ メッセージは送信されません。 |
/etc/ssh/sshd_config ファイルを編集して、パラメーターをポリシーに従って設定してください |
| SSH の LoginGraceTime が 1 分以下に設定されていることを確認します。 (110.2) |
説明: LoginGraceTime パラメーターを低い数値に設定すると、SSH サーバーに対するブルート フォース攻撃が成功するリスクが最小限に抑えられます。 また、認証されていない同時接続数も制限されます。推奨される設定は 60 秒 (1 分) ですが、この数値はサイト ポリシーに基づいて設定してください。 |
/etc/ssh/sshd_config ファイルを編集してパラメーターをポリシーに従って設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' を実行します。 |
| 承認された MAC アルゴリズムのみが使用されていることを確認します (110.3) |
説明: MD5 および 96 ビットの MAC アルゴリズムは脆弱と見なされており、SSH ダウングレード攻撃における悪用性が高まることが示されています。 脆弱なアルゴリズムは、計算能力の拡大に伴い、悪用される可能性のある弱点として、引き続き大きな注目を集めています。 アルゴリズムを破った攻撃者は、MiTM の位置を利用して SSH トンネルを解読し、資格情報や情報を取得する可能性があります | /etc/sshd_config ファイルを編集し、MAC 行を追加または変更して、承認された MAC のコンマ区切りリストを含めるか、'/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' を実行します。 |
| リモート ログイン警告バナーが正しく構成されていることを確認する。 (111) |
説明: 警告メッセージでは、システムにログインしようとしているユーザーに、システムに関するユーザーの法的地位を通知します。このメッセージには、システムを所有している組織の名称、また、施行されている監視ポリシーがある場合はそのポリシーを含める必要があります。 OS およびパッチ レベルの情報をログイン バナーに表示することには、詳細なシステム情報が、システムの特定の悪用を標的にしようとしている攻撃者に提供されるという副作用もあります。 認可されたユーザーは、ログインした後に uname -a コマンドを実行すると、この情報を容易に取得できます。 |
\m \r \s および \v のインスタンスを /etc/issue.net ファイルからすべて削除します |
| ローカル ログイン警告バナーが正しく構成されていることを確認する。 (111.1) |
説明: 警告メッセージでは、システムにログインしようとしているユーザーに、システムに関するユーザーの法的地位を通知します。このメッセージには、システムを所有している組織の名称、また、施行されている監視ポリシーがある場合はそのポリシーを含める必要があります。 OS およびパッチ レベルの情報をログイン バナーに表示することには、詳細なシステム情報が、システムの特定の悪用を標的にしようとしている攻撃者に提供されるという副作用もあります。 認可されたユーザーは、ログインした後に uname -a コマンドを実行すると、この情報を容易に取得できます。 |
\m \r \s および \v のインスタンスを /etc/issue ファイルからすべて削除します |
| SSH 警告バナーを有効にする必要があります。 - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
説明: ユーザーは、システム上での自分のアクションが監視されていることは警告されません | コマンド '/usr/local/bin/azsecd remediate -r configure-ssh-banner' を実行します。 これにより、'Banner /etc/azsec/banner.txt' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| ユーザーは SSH の環境オプションを設定することができません。 (112) |
説明: 攻撃者が SSH を介して一部のアクセス制限を回避できる可能性があります | 'PermitUserEnvironment yes' という行をファイル '/etc/ssh/sshd_config' から削除します |
| 適切な暗号を SSH に使用する必要があります。 (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
説明: 攻撃者が、セキュリティが脆弱な SSH 接続を侵害する可能性があります | コマンド '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers' を実行します。 これにより、'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' という行がファイル '/etc/ssh/sshd_config' に追加されます |
| avahi-daemon サービスが無効になっている必要があります。 (114) |
説明: 攻撃者が avahi デーモンの脆弱性を使用してアクセス権を取得する可能性があります | avahi-daemon サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' を実行します |
| cups サービスが無効になっている必要がある。 (115) |
説明: 攻撃者が cups サービスの欠陥を使用して特権を昇格させる可能性があります | cups サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' を実行します |
| isc-dhcpd サービスが無効になっている必要があります。 (116) |
説明: 攻撃者が dhcpd を使用して、誤った情報をクライアントに提供し、通常の運用を妨げる可能性があります。 | isc-dhcp-server パッケージを削除します (apt-get remove isc-dhcp-server) |
| isc-dhcp-server パッケージをアンインストールする必要がある。 (117) |
説明: 攻撃者が dhcpd を使用して、誤った情報をクライアントに提供し、通常の運用を妨げる可能性があります。 | isc-dhcp-server パッケージを削除します (apt-get remove isc-dhcp-server) |
| sendmail パッケージをアンインストールする必要がある。 (120) |
説明: 攻撃者がこのシステムを使用して、悪意のある内容を含んだメールを他のユーザーに送信する可能性があります。 | sendmail パッケージをアンインストールします (apt-get remove sendmail) |
| postfix パッケージをアンインストールする必要がある。 (121) |
説明: 攻撃者がこのシステムを使用して、悪意のある内容を含んだメールを他のユーザーに送信する可能性があります。 | postfix パッケージをアンインストールする (apt-get remove postfix) か、'/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' を実行します |
| 必要に応じて postfix ネットワーク リスニングを無効にする必要がある。 (122) |
説明: 攻撃者がこのシステムを使用して、悪意のある内容を含んだメールを他のユーザーに送信する可能性があります。 | 行 'inet_interfaces localhost' をファイル '/etc/postfix/main.cf' に追加します |
| ldap サービスが無効になっている必要がある。 (124) |
説明: 攻撃者がこのホスト上の LDAP サービスを操作して、偽のデータを LDAP クライアントに配信する可能性があります。 | slapd パッケージをアンインストールします (apt-get remove slapd) |
| rpcgssd サービスが無効になっている必要がある。 (126) |
説明: 攻撃者が rpcgssd/nfs の欠陥を使用してアクセス権を取得する可能性があります | rpcgssd サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' を実行します |
| rpcidmapd サービスが無効になっている必要がある。 (127) |
説明: 攻撃者が idmapd/nfs の欠陥を使用してアクセス権を取得する可能性があります | rpcidmapd サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' を実行します |
| portmap サービスが無効になっている必要がある。 (129.1) |
説明: 攻撃者が portmap の欠陥を使用してアクセス権を取得する可能性があります | rpcbind サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' を実行します |
| ネットワーク ファイル システム (NFS) サービスを無効にする必要があります。 (129.2) |
説明: 攻撃者が nfs を使用して共有をマウントし、ファイルを実行/コピーする可能性があります。 | nfs サービスを無効にするか、'/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' を実行します。 |
| rpcsvcgssd サービスが無効になっている必要がある。 (130) |
説明: 攻撃者が rpcsvcgssd の欠陥を使用してアクセス権を取得する可能性があります | 行 'NEED_SVCGSSD = yes' をファイル '/etc/inetd.conf' から削除します |
| named サービスが無効になっている必要がある。 (131) |
説明: 攻撃者が DNS サービスを使用して偽のデータをクライアントに配信する可能性があります | bind9 パッケージをアンインストールします (apt-get remove bind9) |
| bind パッケージをアンインストールする必要がある。 (132) |
説明: 攻撃者が DNS サービスを使用して偽のデータをクライアントに配信する可能性があります | bind9 パッケージをアンインストールします (apt-get remove bind9) |
| dovecot サービスが無効になっている必要がある。 (137) |
説明: システムが IMAP/POP3 サーバーとして使用される可能性があります | dovecot-core パッケージをアンインストールします (apt-get remove dovecot-core) |
| dovecot パッケージをアンインストールする必要がある。 (138) |
説明: システムが IMAP/POP3 サーバーとして使用される可能性があります | dovecot-core パッケージをアンインストールします (apt-get remove dovecot-core) |
レガシ + エントリが /etc/passwd に存在しないことを確認する(156.1) |
説明: 攻撃者がユーザー名 '+' (パスワードなし) を使用してアクセス権を取得する可能性があります | '+:' で始まるすべてのエントリを /etc/passwd から削除します |
レガシ + エントリが /etc/shadow に存在しないことを確認する(156.2) |
説明: 攻撃者がユーザー名 '+' (パスワードなし) を使用してアクセス権を取得する可能性があります | '+:' で始まるすべてのエントリを /etc/shadow から削除します |
レガシ + エントリが /etc/group に存在しないことを確認する(156.3) |
説明: 攻撃者がユーザー名 '+' (パスワードなし) を使用してアクセス権を取得する可能性があります | '+:' で始まるすべてのエントリを /etc/group から削除します |
| パスワードの有効期間が 365 日以下であることを確認する。 (157.1) |
説明: パスワードの最大有効期間を短くすることによっても、攻撃者が侵害した資格情報を利用したり、オンライン ブルートフォース攻撃によって資格情報の侵害に成功したりする機会を減らすことができます。 | /etc/login.defs で PASS_MAX_DAYS パラメーターを 365 以下に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' を実行します。 |
| パスワード期限切れの警告日が 7 以上であることを確認する。 (157.2) |
説明: パスワードの有効期限が切れることを事前に警告すると、ユーザーは時間をかけて安全なパスワードを考えることができます。 不意を突かれたユーザーは、単純なパスワードを選択したり、見つかりやすい場所にパスワードをメモしたりする可能性があります。 | /etc/login.defs で PASS_WARN_AGE パラメーターを 7 に設定するか、'/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' を実行します。 |
| パスワードの再利用が制限されていることを確認する。 (157.5) |
説明: 過去 5 件のパスワードを再利用しないようユーザーに強制すると、攻撃者がパスワードを推測できる可能性が下がります。 | /etc/pam.d/common-password で、または /etc/pam.d/password_auth と /etc/pam.d/system_auth の両方で 'remember' オプションが 5 以上に設定されていることを確認するか、'/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' を実行します。 |
| パスワード ハッシュ アルゴリズムが SHA-512 であることを確認する (157.11) |
説明: SHA-512 アルゴリズムは、MD5 よりもはるかに強力なハッシュを提供し、攻撃者がパスワードの特定に成功するための労力のレベルを上げることによって、システムの保護を強化します。 注意: これらの変更は、ローカル システム上で構成されているアカウントにのみ適用されます。 | パスワード ハッシュ アルゴリズムを sha512 に設定します。 多くのディストリビューションで、PAM 構成を更新するためのツールが提供されています。詳細については、それぞれのドキュメントを参照してください。 ツールが提供されていない場合、適切な /etc/pam.d/ 構成ファイルを編集し、pam_unix.so 行を追加または変更して sha512 オプションを含めます: password sufficient pam_unix.so sha512 |
| パスワード変更間の最小日数が 7 以上であることを確認する。 (157.12) |
説明: 管理者は、パスワード変更の頻度を制限することによって、ユーザーがパスワード再利用の制御を回避しようとしてパスワードを繰り返し変更するのを防ぐことができます。 | /etc/login.defs で PASS_MIN_DAYS パラメーターを 7 に設定します: PASS_MIN_DAYS 7。 パスワードが設定されたすべてのユーザーについて、それに合わせてユーザー パラメーターを変更する (chage --mindays 7) か、'/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' を実行します。 |
| すべてのユーザーのパスワード最終変更日が過去であることを確認する (157.14) |
説明: 将来の日付がユーザーのパスワード変更日として記録されている場合、パスワードの有効期限が設定されていてもユーザーはそれを回避できます。 | アクティブでないパスワードが 30 日以内にロックされるようにします。既定のパスワード非アクティブ期間を 30 日に設定するには、# useradd -D -f 30 コマンドを実行します。パスワードが設定されたすべてのユーザーのパラメーターをこれに合わせて変更するには、# chage --inactive 30 を実行します。 |
| システム アカウントが non-login であることを確認する (157.15) |
説明: 正規のユーザーが使用していないアカウントが、対話型シェルを提供するために使用されないことの保証は重要です。 既定では、Ubuntu はこれらのアカウントのパスワード フィールドを無効な文字列に設定しますが、パスワード ファイルのシェル フィールドを /usr/sbin/nologin に設定することもお勧めします。 これにより、任意のコマンドを実行するためにアカウントが使用される可能性がなくなります。 |
監査スクリプトによって返されるすべてのアカウントについて、シェルを /sbin/nologin に設定します |
| root アカウントの既定のグループの GID が 0 であることを確認する (157.16) |
説明: _root_ アカウントに GID 0 を使用すると、_root_ が所有するファイルが誤って特権のないユーザーからアクセス可能になるのを防ぐために役立ちます。 |
次のコマンドを実行して、root ユーザーの既定のグループを GID 0 に設定します: # usermod -g 0 root |
| root が唯一の UID 0 アカウントであることを確認する (157.18) |
説明: このアクセスは、既定の root アカウントのみに制限して、システム コンソールからのみ行われる必要があります。 管理アクセスは、特権のないアカウントから、認可されたメカニズムを使用して行われる必要があります。 |
UID が 0 である root 以外のユーザーがいれば削除するか、必要に応じて新しい UID を割り当てます。 |
| 不必要なアカウントを削除する (159) |
説明: コンプライアンスのため | 不必要なアカウントを削除します |
| auditd サービスが有効になっていることを確認する (162) |
説明: システム イベントをキャプチャすると、システムへの不正アクセスが発生していないかどうかを判断するための情報がシステム管理者に提供されます。 | audit パッケージをインストールします (systemctl enable auditd) |
| AuditD サービスを実行する (163) |
説明: システム イベントをキャプチャすると、システムへの不正アクセスが発生していないかどうかを判断するための情報がシステム管理者に提供されます。 | AuditD サービスを実行します (systemctl start auditd) |
| SNMP サーバーが有効になっていないことを確認する (179) |
説明: SNMP サーバーは SNMP v1 を使用して通信できます。この場合、データは平文で送信され、コマンドを実行するために認証は必要ありません。 どうしても必要な場合を除いて、SNMP サービスは使用しないことをお勧めします。 SNMP が必要な場合は、SNMP v1 を許可しないようにサーバーを構成する必要があります。 | 次のいずれかのコマンドを実行して snmpd を無効にします: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| rsync サービスが有効になっていないことを確認する (181) |
説明: 非暗号化プロトコルを通信に使用する rsyncd サービスによってセキュリティのリスクが生じます。 |
chkconfig rsyncd off、systemctl disable rsyncd、update-rc.d rsyncd disable のいずれかのコマンドを実行して rsyncd を無効にするか、"/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync" を実行します |
| NIS サーバーが有効になっていないことを確認する (182) |
説明: NIS サービスは本来、安全でないシステムであり、DoS 攻撃やバッファー オーバーフローに対して脆弱であり、NIS マップをクエリするための認証が不十分です。 NIS は通常、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) のようなプロトコルによって置き換えられています。 このサービスを無効にして、より安全なサービスを使用することをお勧めします | 次のいずれかのコマンドを実行して ypserv を無効にします: # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| rsh クライアントがインストールされていないことを確認する (183) |
説明: これらのレガシ クライアントにはセキュリティ上の弱点が無数にあり、より安全な SSH パッケージに置き換えられています。 サーバーを削除した場合でも、ユーザーが誤ってこれらのコマンドを使おうとして資格情報をリスクにさらすことを防ぐために、クライアントも確実に削除することをお勧めします。 rsh パッケージを削除すると、rsh、rcp 、rlogin のクライアントが削除されることに注意してください。 |
適切なパッケージ マネージャーまたは手動インストールを使用して rsh をアンインストールします: yum remove rshapt-get remove rshzypper remove rsh |
| Samba で SMB V1 を無効にする (185) |
説明: SMB v1 にはよく知られた重大な脆弱性があり、伝送中のデータを暗号化しません。 ビジネス上の理由から使用する必要がある場合は、このプロトコルに固有のリスクを軽減するために追加の手順を実行することを強くお勧めします。 | Samba が実行されていない場合、パッケージを削除します。そうでない場合、/etc/samba/smb.conf の [global] セクションに 'min protocol = SMB2' という行があることを確認するか、'/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version' を実行します |
Note
特定の Azure Policy ゲスト構成設定を利用できるかどうかは、Azure Government とその他の各国のクラウドで異なる場合があります。
次のステップ
Azure Policy とゲスト構成に関するその他の記事:
- Azure Policy ゲスト構成。
- 規制コンプライアンスの概要。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。