Linux-beveiligingsbasislijn
Let op
In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.
In dit artikel worden de configuratie-instellingen voor Linux-gasten beschreven, zoals van toepassing in de volgende implementaties:
- [Preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn voor azure Policy-gastconfiguratiedefinitie
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden opgelost in Microsoft Defender voor Cloud
Zie de Gastconfiguratie van Azure Policy en het overzicht van de Azure Security Benchmark (V2) voor meer informatie.
Algemene beveiligingscontroles
| Naam (CCEID) |
DETAILS | Herstelcontrole |
|---|---|---|
| Zorg ervoor dat de nodev-optie is ingesteld op /home-partitie. (1.1.4) |
Beschrijving: Een aanvaller kan een speciaal apparaat (bijvoorbeeld blok- of tekenapparaat) koppelen aan de /home-partitie. | Bewerk het /etc/fstab-bestand en voeg nodev toe aan het vierde veld (koppelingsopties) voor de /home-partitie. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de knooppuntv-optie is ingesteld op /tmp-partitie. (1.1.5) |
Beschrijving: Een aanvaller kan een speciaal apparaat (bijvoorbeeld blok- of tekenapparaat) aan de /tmp-partitie koppelen. | Bewerk het /etc/fstab-bestand en voeg nodev toe aan het vierde veld (koppelingsopties) voor de /tmp-partitie. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de nodev-optie is ingesteld op /var/tmp-partitie. (1.1.6) |
Beschrijving: Een aanvaller kan een speciaal apparaat (bijvoorbeeld blok- of tekenapparaat) koppelen op de partitie /var/tmp. | Bewerk het /etc/fstab-bestand en voeg nodev toe aan het vierde veld (koppelingsopties) voor de partitie /var/tmp. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de nosuid-optie is ingesteld op /tmp-partitie. (1.1.7) |
Beschrijving: Omdat het /tmp-bestandssysteem alleen is bedoeld voor tijdelijke bestandsopslag, stelt u deze optie in om ervoor te zorgen dat gebruikers geen setuid-bestanden kunnen maken in /var/tmp. | Bewerk het /etc/fstab-bestand en voeg nosuid toe aan het vierde veld (koppelingsopties) voor de /tmp-partitie. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de nosuid-optie is ingesteld op /var/tmp-partitie. (1.1.8) |
Beschrijving: Omdat het bestandssysteem /var/tmp alleen is bedoeld voor tijdelijke bestandsopslag, stelt u deze optie in om ervoor te zorgen dat gebruikers geen setuid-bestanden kunnen maken in /var/tmp. | Bewerk het /etc/fstab-bestand en voeg nosuid toe aan het vierde veld (koppelingsopties) voor de /var/tmp-partitie. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de noexec-optie is ingesteld op /var/tmp-partitie. (1.1.9) |
Beschrijving: Omdat het /var/tmp bestandssysteem alleen is bedoeld voor tijdelijke bestandsopslag, stelt u deze optie in om ervoor te zorgen dat gebruikers geen uitvoerbare binaire bestanden kunnen uitvoeren vanuit /var/tmp . |
Bewerk het /etc/fstab-bestand en voeg noexec toe aan het vierde veld (koppelingsopties) voor de /var/tmp-partitie. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de noexec-optie is ingesteld op /dev/shm-partitie. (1.1.16) |
Beschrijving: Als u deze optie instelt op een bestandssysteem, kunnen gebruikers geen programma's uitvoeren vanuit gedeeld geheugen. Dit besturingselement zorgt dat gebruikers mogelijk schadelijke software op het systeem introduceren. | Bewerk het /etc/fstab-bestand en voeg noexec toe aan het vierde veld (koppelingsopties) voor de partitie /dev/shm. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Automatisch ontkoppelen uitschakelen (1.1.21) |
Beschrijving: Als automatisch koppelen is ingeschakeld, kan iedereen met fysieke toegang een USB-station of schijf koppelen en de inhoud ervan beschikbaar hebben in het systeem, zelfs als ze geen machtigingen hebben om het zelf te koppelen. | Schakel de autofs-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' uit |
| Zorg ervoor dat het koppelen van USB-opslagapparaten is uitgeschakeld (1.1.21.1) |
Beschrijving: Het verwijderen van ondersteuning voor USB-opslagapparaten vermindert de lokale kwetsbaarheid voor aanvallen van de server. | Bewerk of maak een bestand in de /etc/modprobe.d/ map die eindigt op .conf en voeg install usb-storage /bin/true vervolgens de usb-opslagmodule uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uit. |
| Zorg ervoor dat kerndumps worden beperkt. (1.5.1) |
Beschrijving: Als u een vaste limiet instelt voor kerndumps, voorkomt u dat gebruikers de zachte variabele overschrijven. Als kerndumps vereist zijn, kunt u overwegen limieten in te stellen voor gebruikersgroepen (zie limits.conf(5)). Bovendien voorkomt het instellen van de fs.suid_dumpable variabele op 0 dat setuid-programma's kernen dumpen. |
Voeg hard core 0 toe aan /etc/security/limits.conf of een bestand in de map limits.d en stel fs.suid_dumpable = 0 in sysctl in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' uit |
| Zorg ervoor dat prelink is uitgeschakeld. (1.5.4) |
Beschrijving: De functie voor vooraf koppelen kan de werking van AIDE verstoren, omdat er binaire bestanden worden gewijzigd. Prelinking kan ook het beveiligingsprobleem van het systeem vergroten als een kwaadwillende gebruiker een gemeenschappelijke bibliotheek zoals libc kan in gevaar brengen. | verwijder prelink met uw package manager of voer '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' uit |
| Zorg ervoor dat machtigingen voor /etc/motd zijn geconfigureerd. (1.7.1.4) |
Beschrijving: Als het /etc/motd bestand niet het juiste eigendom heeft, kan het worden gewijzigd door onbevoegde gebruikers met onjuiste of misleidende informatie. |
Stel de eigenaar en groep /etc/motd in op root en stel machtigingen in op 0644 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' uit |
| Zorg ervoor dat machtigingen voor /etc/issue zijn geconfigureerd. (1.7.1.5) |
Beschrijving: Als het /etc/issue bestand niet het juiste eigendom heeft, kan het worden gewijzigd door onbevoegde gebruikers met onjuiste of misleidende informatie. |
Stel de eigenaar en groep /etc/issue in op root en stel machtigingen in op 0644 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' uit |
| Zorg ervoor dat machtigingen op /etc/issue.net zijn geconfigureerd. (1.7.1.6) |
Beschrijving: Als het /etc/issue.net bestand niet het juiste eigendom heeft, kan het worden gewijzigd door onbevoegde gebruikers met onjuiste of misleidende informatie. |
Stel de eigenaar en groep /etc/issue.net in op root en stel machtigingen in op 0644 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' uit |
| De knooppuntv-optie moet zijn ingeschakeld voor alle verwisselbare media. (2.1) |
Beschrijving: Een aanvaller kan een speciaal apparaat (bijvoorbeeld een blok- of tekenapparaat) koppelen via verwisselbare media | Voeg de knooppuntv-optie toe aan het vierde veld (koppelingsopties) in /etc/fstab. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| De noexec-optie moet zijn ingeschakeld voor alle verwisselbare media. (2.2) |
Beschrijving: Een aanvaller kan een uitvoerbaar bestand laden via verwisselbare media | Voeg de noexec-optie toe aan het vierde veld (koppelingsopties) in /etc/fstab. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| De nosuid-optie moet zijn ingeschakeld voor alle verwisselbare media. (2.3) |
Beschrijving: Een aanvaller kan bestanden laden die worden uitgevoerd met een verhoogde beveiligingscontext via verwisselbare media | Voeg de nosuid-optie toe aan het vierde veld (koppelingsopties) in /etc/fstab. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat de talkclient niet is geïnstalleerd. (2.3.3) |
Beschrijving: De software biedt een beveiligingsrisico omdat deze gebruikmaakt van niet-versleutelde protocollen voor communicatie. | Verwijder talk of voer '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' uit |
| Zorg ervoor dat machtigingen voor /etc/hosts.allow zijn geconfigureerd. (3.4.4) |
Beschrijving: Het is essentieel om ervoor te zorgen dat het /etc/hosts.allow bestand wordt beveiligd tegen onbevoegde schrijftoegang. Hoewel deze standaard is beveiligd, kunnen de bestandsmachtigingen per ongeluk of via schadelijke acties worden gewijzigd. |
Stel de eigenaar en groep /etc/hosts.allow to root and the permissions to 0644 or run '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Zorg ervoor dat machtigingen voor /etc/hosts.deny zijn geconfigureerd. (3.4.5) |
Beschrijving: Het is essentieel om ervoor te zorgen dat het /etc/hosts.deny bestand wordt beveiligd tegen onbevoegde schrijftoegang. Hoewel deze standaard is beveiligd, kunnen de bestandsmachtigingen per ongeluk of via schadelijke acties worden gewijzigd. |
Stel de eigenaar en groep /etc/hosts.deny in op root en de machtigingen voor 0644 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' uit |
| Standaardbeleid voor weigeren van firewall garanderen (3.6.2) |
Beschrijving: Met een standaardbeleid voor accepteren accepteert de firewall alle pakketten die niet expliciet worden geweigerd. Het is eenvoudiger om een beveiligde firewall te onderhouden met een standaard DROP-beleid dan met een standaardbeleid toestaan. | Het standaardbeleid instellen voor binnenkomend, uitgaand en gerouteerd verkeer naar deny of reject naar wens met behulp van uw firewallsoftware |
| De optie nodev/nosuid moet zijn ingeschakeld voor alle NFS-koppelingen. (5) |
Beschrijving: Een aanvaller kan bestanden laden die worden uitgevoerd met een verhoogde beveiligingscontext of speciale apparaten via een extern bestandssysteem | Voeg de nosuid- en nodev-opties toe aan het vierde veld (koppelingsopties) in /etc/fstab. Zie de handmatige pagina's van fstab(5) voor meer informatie. |
| Zorg ervoor dat machtigingen voor /etc/ssh/sshd_config zijn geconfigureerd. (5.2.1) |
Beschrijving: Het /etc/ssh/sshd_config bestand moet worden beveiligd tegen niet-geautoriseerde wijzigingen door niet-bevoegde gebruikers. |
Stel de eigenaar en groep /etc/ssh/sshd_config in op root en stel de machtigingen in op 0600 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' uit |
| Zorg ervoor dat vereisten voor het maken van wachtwoorden zijn geconfigureerd. (5.3.1) |
Beschrijving: Sterke wachtwoorden beschermen systemen tegen hacken via brute force-methoden. | Stel de volgende sleutel/waardeparen in de juiste PAM in voor uw distributie: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' uit |
| Zorg ervoor dat de vergrendeling voor mislukte wachtwoordpogingen is geconfigureerd. (5.3.2) |
Beschrijving: Het vergrendelen van gebruikers-id's na n mislukte opeenvolgende aanmeldingspogingen vermindert beveiligingsaanvallen op wachtwoorden op uw systemen. |
voor Ubuntu en Debian voegt u de modules pam_tally en pam_deny toe, indien van toepassing. Raadpleeg de documentatie van uw distributie voor alle andere distributies |
| De installatie en het gebruik van bestandssystemen uitschakelen die niet vereist zijn (cramfs) (6.1) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in cramfs gebruiken om bevoegdheden te verhogen | Voeg een bestand toe aan de map /etc/modprob.d die cramfs uitschakelt of '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uitvoert |
| De installatie en het gebruik van bestandssystemen uitschakelen die niet vereist zijn (freevxfs) (6.2) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in freevxfs gebruiken om bevoegdheden te verhogen | Voeg een bestand toe aan de map /etc/modprob.d die freevxfs uitschakelt of '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uitvoert |
| Zorg ervoor dat de basismappen van alle gebruikers bestaan (6.2.7) |
Beschrijving: Als de basismap van de gebruiker niet bestaat of niet is toegewezen, wordt de gebruiker in de hoofdmap van het volume geplaatst. Bovendien kan de gebruiker geen bestanden schrijven of omgevingsvariabelen instellen. | Als er geen basismappen van gebruikers bestaan, maakt u deze en controleert u of de desbetreffende gebruiker eigenaar is van de directory. Gebruikers zonder toegewezen basismap moeten indien van toepassing een basismap worden verwijderd of toegewezen. |
| Ervoor zorgen dat gebruikers eigenaar zijn van hun thuismappen (6.2.9) |
Beschrijving: Omdat de gebruiker verantwoordelijk is voor bestanden die zijn opgeslagen in de basismap van de gebruiker, moet de gebruiker de eigenaar van de map zijn. | Wijzig het eigendom van de basismappen die niet eigendom zijn van de gedefinieerde gebruiker in de juiste gebruiker. |
| Zorg ervoor dat de puntbestanden van gebruikers niet zijn gegroepeerd of schrijfbaar zijn. (6.2.10) |
Beschrijving: Groep of wereld-beschrijfbare gebruikersconfiguratiebestanden kunnen kwaadwillende gebruikers stelen of wijzigen van de gegevens van andere gebruikers of om de systeembevoegdheden van een andere gebruiker te verkrijgen. | Als u algemene wijzigingen aanbrengt in de bestanden van gebruikers zonder de gebruikerscommunity te waarschuwen, kan dit leiden tot onverwachte storingen en ongelukkige gebruikers. Daarom raden we u aan een bewakingsbeleid in te stellen voor het rapporteren van machtigingen voor dot-bestanden van gebruikers en het bepalen van herstelacties voor sitebeleid. |
| Zorg ervoor dat er geen gebruikers .forward-bestanden hebben (6.2.11) |
Beschrijving: Het gebruik van het .forward bestand vormt een beveiligingsrisico in dat gevoelige gegevens per ongeluk worden overgedragen buiten de organisatie. Het .forward bestand vormt ook een risico omdat het kan worden gebruikt om opdrachten uit te voeren die onbedoelde acties kunnen uitvoeren. |
Als u algemene wijzigingen aanbrengt in de bestanden van gebruikers zonder de gebruikerscommunity te waarschuwen, kan dit leiden tot onverwachte storingen en ongelukkige gebruikers. Daarom wordt aanbevolen om een bewakingsbeleid tot stand te stellen om gebruikersbestanden .forward te rapporteren en te bepalen welke actie moet worden ondernomen in overeenstemming met het sitebeleid. |
| Zorg ervoor dat er geen .netrc-bestanden zijn (6.2.12) |
Beschrijving: Het .netrc bestand biedt een aanzienlijk beveiligingsrisico omdat het wachtwoorden opslaat in niet-versleutelde vorm. Zelfs als FTP is uitgeschakeld, kunnen gebruikersaccounts bestanden hebben overgebracht .netrc van andere systemen die een risico voor deze systemen kunnen vormen |
Als u algemene wijzigingen aanbrengt in de bestanden van gebruikers zonder de gebruikerscommunity te waarschuwen, kan dit leiden tot onverwachte storingen en ongelukkige gebruikers. Daarom wordt aanbevolen om een bewakingsbeleid tot stand te stellen om gebruikersbestanden .netrc te rapporteren en te bepalen welke actie moet worden ondernomen in overeenstemming met het sitebeleid. |
| Zorg ervoor dat er geen gebruikers .rhosts-bestanden hebben (6.2.14) |
Beschrijving: Deze actie is alleen zinvol als .rhosts ondersteuning is toegestaan in het bestand /etc/pam.conf . Hoewel de .rhosts bestanden ineffectief zijn als de ondersteuning is uitgeschakeld /etc/pam.conf , zijn ze mogelijk overgebracht van andere systemen en kunnen ze informatie bevatten die nuttig is voor een aanvaller voor die andere systemen. |
Als u algemene wijzigingen aanbrengt in de bestanden van gebruikers zonder de gebruikerscommunity te waarschuwen, kan dit leiden tot onverwachte storingen en ongelukkige gebruikers. Daarom wordt aanbevolen om een bewakingsbeleid tot stand te stellen om gebruikersbestanden .rhosts te rapporteren en te bepalen welke actie moet worden ondernomen in overeenstemming met het sitebeleid. |
| Zorg ervoor dat alle groepen in /etc/passwd aanwezig zijn in /etc/group (6.2.15) |
Beschrijving: Groepen die zijn gedefinieerd in het /etc/passwd-bestand, maar niet in het /etc/-groepsbestand vormen een bedreiging voor systeembeveiliging, omdat groepsmachtigingen niet goed worden beheerd. | Voor elke groep die is gedefinieerd in /etc/passwd, moet u ervoor zorgen dat er een bijbehorende groep in /etc/group is |
| Zorg ervoor dat er geen dubbele UID's bestaan (6.2.16) |
Beschrijving: aan gebruikers moeten unieke UID's worden toegewezen voor verantwoordelijkheid en om de juiste toegangsbeveiliging te garanderen. | Stel unieke UID's in en controleer alle bestanden die eigendom zijn van de gedeelde UID's om te bepalen tot welke UID ze behoren. |
| Zorg ervoor dat er geen dubbele GID's bestaan (6.2.17) |
Beschrijving: Aan groepen moeten unieke GID's worden toegewezen voor verantwoordelijkheid en om de juiste toegangsbeveiliging te garanderen. | Stel unieke GID's in en controleer alle bestanden die eigendom zijn van de gedeelde GID's om te bepalen tot welke GID ze behoren. |
| Zorg ervoor dat er geen dubbele gebruikersnamen bestaan (6.2.18) |
Beschrijving: Als aan een gebruiker een dubbele gebruikersnaam is toegewezen, wordt deze gemaakt en heeft deze toegang tot bestanden met de eerste UID voor die gebruikersnaam in /etc/passwd . Als 'test4' bijvoorbeeld een UID van 1000 heeft en een volgende 'test4'-vermelding een UID van 2000 heeft, gebruikt aanmelden als 'test4' UID 1000. In feite wordt de UID gedeeld, wat een beveiligingsprobleem is. |
Unieke gebruikersnamen instellen voor alle gebruikers. Bestandseigendomen weerspiegelen automatisch de wijziging zolang de gebruikers unieke UID's hebben. |
| Zorg ervoor dat er geen dubbele groepen bestaan (6.2.19) |
Beschrijving: Als aan een groep een dubbele groepsnaam is toegewezen, wordt deze gemaakt en heeft deze toegang tot bestanden met de eerste GID voor die groep in /etc/group . In feite wordt de GID gedeeld, wat een beveiligingsprobleem is. |
Unieke namen instellen voor alle gebruikersgroepen. Eigendom van bestandsgroep geeft automatisch de wijziging weer zolang de groepen unieke GID's hebben. |
| Zorg ervoor dat de schaduwgroep leeg is (6.2.20) |
Beschrijving: alle gebruikers die zijn toegewezen aan de schaduwgroep, krijgen leestoegang tot het /etc/shadow-bestand. Als aanvallers leestoegang tot het /etc/shadow bestand kunnen krijgen, kunnen ze eenvoudig een programma voor het kraken van wachtwoorden uitvoeren tegen de gehashte wachtwoorden om ze te verbreken. Andere beveiligingsgegevens die zijn opgeslagen in het /etc/shadow bestand (zoals verlooptijd), kunnen ook handig zijn om andere gebruikersaccounts te onderkeren. |
Alle gebruikers verwijderen uit de schaduwgroep |
| De installatie en het gebruik van bestandssystemen uitschakelen die niet vereist zijn (hfs) (6.3) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in hfs gebruiken om bevoegdheden te verhogen | Voeg een bestand toe aan de map /etc/modprob.d die hfs uitschakelt of '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uitvoert |
| De installatie en het gebruik van bestandssystemen uitschakelen die niet vereist zijn (hfsplus) (6.4) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in hfsplus gebruiken om bevoegdheden te verhogen | Voeg een bestand toe aan de map /etc/modprob.d die hfsplus uitschakelt of '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uitvoert |
| De installatie en het gebruik van bestandssystemen uitschakelen die niet vereist zijn (jffs2) (6.5) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in jffs2 gebruiken om bevoegdheden te verhogen | Voeg een bestand toe aan de map /etc/modprob.d die jffs2 uitschakelt of '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uitvoert |
| Kernels mogen alleen worden gecompileerd vanuit goedgekeurde bronnen. (10) |
Beschrijving: Een kernel van een niet-goedgekeurde bron kan beveiligingsproblemen of backdoors bevatten om toegang te verlenen tot een aanvaller. | Installeer de kernel die wordt geleverd door uw distributieleverancier. |
| /etc/schaduwbestandsmachtigingen moeten worden ingesteld op 0400 (11.1) |
Beschrijving: Een aanvaller kan hash-wachtwoorden ophalen of manipuleren uit /etc/schaduw als deze niet correct is beveiligd. | Stel de machtigingen en het eigendom van /etc/shadow* in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' uit |
| /etc/shadow- bestandsmachtigingen moeten worden ingesteld op 0400 (11.2) |
Beschrijving: Een aanvaller kan hash-wachtwoorden ophalen of manipuleren uit /etc/shadow, als deze niet correct is beveiligd. | Stel de machtigingen en het eigendom van /etc/shadow* in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' uit |
| /etc/gshadow bestandsmachtigingen moeten worden ingesteld op 0400 (11.3) |
Beschrijving: Een aanvaller kan lid worden van beveiligingsgroepen als dit bestand niet goed is beveiligd | Stel de machtigingen en het eigendom van /etc/gshadow- of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' uit |
| /etc/gshadow- bestandsmachtigingen moeten worden ingesteld op 0400 (11.4) |
Beschrijving: Een aanvaller kan lid worden van beveiligingsgroepen als dit bestand niet goed is beveiligd | Stel de machtigingen en het eigendom van /etc/gshadow in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' uit |
| /etc/passwd-bestandsmachtigingen moeten 0644 zijn (12.1) |
Beschrijving: Een aanvaller kan gebruikers-id's en aanmeldingsshells wijzigen | Stel de machtigingen en het eigendom van /etc/passwd in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' uit |
| /etc/groepsbestandsmachtigingen moeten 0644 zijn (12.2) |
Beschrijving: Een aanvaller kan bevoegdheden verhogen door het groepslidmaatschap te wijzigen | Stel de machtigingen en het eigendom van /etc/group in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' uit |
| /etc/passwd- bestandsmachtigingen moeten worden ingesteld op 0600 (12.3) |
Beschrijving: Een aanvaller kan lid worden van beveiligingsgroepen als dit bestand niet goed is beveiligd | Stel de machtigingen en het eigendom van /etc/passwd- of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' uit |
| /etc/group- bestandsmachtigingen moeten 0644 zijn (12.4) |
Beschrijving: Een aanvaller kan bevoegdheden verhogen door het groepslidmaatschap te wijzigen | Stel de machtigingen en het eigendom van /etc/group- of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' uit |
| Toegang tot het hoofdaccount via su moet worden beperkt tot de 'root'-groep (21) |
Beschrijving: Een aanvaller kan machtigingen escaleren door een wachtwoord te raden als su niet is beperkt tot gebruikers in de hoofdgroep. | Voer de opdracht '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions' uit. Met dit besturingselement wordt de regel 'auth required pam_wheel.so use_uid' toegevoegd aan het bestand '/etc/pam.d/su' |
| De 'hoofdgroep' moet bestaan en alle leden bevatten die aan de hoofdmap kunnen worden toegevoegd (22) |
Beschrijving: Een aanvaller kan machtigingen escaleren door een wachtwoord te raden als su niet is beperkt tot gebruikers in de hoofdgroep. | Maak de hoofdgroep via de opdracht 'groupadd -g 0 root' |
| Alle accounts moeten een wachtwoord hebben (23.2) |
Beschrijving: Een aanvaller kan zich aanmelden bij accounts zonder wachtwoord en willekeurige opdrachten uitvoeren. | Gebruik de opdracht Passwd om wachtwoorden in te stellen voor alle accounts |
| Andere accounts dan root moeten unieke UID's hebben die groter zijn dan nul(0) (24) |
Beschrijving: Als een ander account dan root uid zero heeft, kan een aanvaller het account in gevaar komen en rootbevoegdheden verkrijgen. | Unieke, niet-nul uids toewijzen aan alle niet-hoofdaccounts met behulp van 'usermod -u' |
| Gerandomiseerde plaatsing van regio's voor virtueel geheugen moet zijn ingeschakeld (25) |
Beschrijving: Een aanvaller kan uitvoerbare code schrijven naar bekende regio's in het geheugen, wat resulteert in uitbreiding van bevoegdheden | Voeg de waarde '1' of '2' toe aan het bestand '/proc/sys/kernel/randomize_va_space' |
| Kernelondersteuning voor de XD/NX-processorfunctie moet zijn ingeschakeld (26) |
Beschrijving: Een aanvaller kan leiden tot uitvoerbare code van gegevensregio's in het geheugen, wat resulteert in uitbreiding van bevoegdheden. | Controleer of het bestand '/proc/cpuinfo' de vlag nx bevat |
| De '.' mag niet worden weergegeven in de $PATH van de hoofdmap (27.1) |
Beschrijving: Een aanvaller kan bevoegdheden verhogen door een schadelijk bestand in de $PATH van de hoofdmap te plaatsen | Wijzig de regel 'export PATH=' in /root/.profile |
| Gebruikersbasismappen moeten modus 750 of meer beperkend zijn (28) |
Beschrijving: Een aanvaller kan gevoelige informatie ophalen uit de basismappen van andere gebruikers. | Stel machtigingen voor de basismap in op 750 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions' uit |
| De standaard-umask voor alle gebruikers moet worden ingesteld op 077 in login.defs (29) |
Beschrijving: Een aanvaller kan gevoelige informatie ophalen uit bestanden die eigendom zijn van andere gebruikers. | Voer de opdracht '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask' uit. Hiermee wordt de regel UMASK 077 toegevoegd aan het bestand '/etc/login.defs' |
| Voor alle bootloaders moet wachtwoordbeveiliging zijn ingeschakeld. (31) |
Beschrijving: Een aanvaller met fysieke toegang kan opstartlaadopties wijzigen, wat onbeperkte systeemtoegang oplevert | Voeg een wachtwoord voor het opstartlaadprogramma toe aan het bestand '/boot/grub/grub.cfg' |
| Zorg ervoor dat machtigingen voor de configuratie van het opstartlaadprogramma zijn geconfigureerd (31.1) |
Beschrijving: Als u de machtigingen instelt voor lezen en schrijven voor root, kunnen niet-hoofdgebruikers alleen de opstartparameters zien of wijzigen. Niet-hoofdgebruikers die de opstartparameters lezen, kunnen mogelijk zwakke plekken in de beveiliging identificeren bij het opstarten en ze kunnen misbruiken. | Stel de eigenaar en groep van uw bootloader in op root:root en machtigingen op 0400 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Zorg ervoor dat verificatie is vereist voor de modus voor één gebruiker. (33) |
Beschrijving: Door verificatie in de modus voor één gebruiker te vereisen, voorkomt u dat een niet-geautoriseerde gebruiker het systeem opnieuw opstart in één gebruiker om hoofdbevoegdheden zonder referenties te verkrijgen. | voer de volgende opdracht uit om een wachtwoord in te stellen voor de hoofdgebruiker: passwd root |
| Zorg ervoor dat verzenden van pakketomleiding is uitgeschakeld. (38.3) |
Beschrijving: Een aanvaller kan een geïnfecteerde host gebruiken om ongeldige ICMP-omleidingen naar andere routeringsapparaten te verzenden in een poging om routering te beschadigen en gebruikers toegang te geven tot een systeem dat door de aanvaller is ingesteld in plaats van een geldig systeem. | stel de volgende parameters in /etc/sysctl.conf in: 'net.ipv4.conf.all.send_redirects = 0' en 'net.ipv4.conf.default.send_redirects = 0' of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects' uit |
| Het verzenden van ICMP-omleidingen moet worden uitgeschakeld voor alle interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Beschrijving: Een aanvaller kan de routeringstabel van dit systeem wijzigen, verkeer omleiden naar een alternatieve bestemming | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects' uit. |
| Het verzenden van ICMP-omleidingen moet worden uitgeschakeld voor alle interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Beschrijving: Een aanvaller kan de routeringstabel van dit systeem wijzigen, verkeer omleiden naar een alternatieve bestemming | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' uit |
| Het accepteren van door de bron gerouteerde pakketten moet worden uitgeschakeld voor alle interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Beschrijving: Een aanvaller kan verkeer omleiden voor schadelijke doeleinden. | Voer deze uit sysctl -w key=value en stel deze in op een compatibele waarde. |
| Het accepteren van door de bron gerouteerde pakketten moet worden uitgeschakeld voor alle interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Beschrijving: Een aanvaller kan verkeer omleiden voor schadelijke doeleinden. | Voer deze uit sysctl -w key=value en stel deze in op een compatibele waarde. |
| De standaardinstelling voor het accepteren van door bron gerouteerde pakketten moet worden uitgeschakeld voor netwerkinterfaces. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Beschrijving: Een aanvaller kan verkeer omleiden voor schadelijke doeleinden. | Voer deze uit sysctl -w key=value en stel deze in op een compatibele waarde. |
| De standaardinstelling voor het accepteren van door bron gerouteerde pakketten moet worden uitgeschakeld voor netwerkinterfaces. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Beschrijving: Een aanvaller kan verkeer omleiden voor schadelijke doeleinden. | Voer deze uit sysctl -w key=value en stel deze in op een compatibele waarde. |
| Het negeren van valse ICMP-antwoorden op broadcasts moet zijn ingeschakeld. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Beschrijving: Een aanvaller kan een ICMP-aanval uitvoeren die resulteert in DoS | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' uit |
| Icmp-echoaanvragen (pings) die naar broadcast-/multicastadressen worden verzonden, moeten zijn ingeschakeld. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Beschrijving: Een aanvaller kan een ICMP-aanval uitvoeren die resulteert in DoS | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' uit |
| Logboekregistratie van marspakketten (die met onmogelijke adressen) moeten worden ingeschakeld voor alle interfaces. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Beschrijving: Een aanvaller kan verkeer verzenden vanaf vervalste adressen zonder te worden gedetecteerd | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' uit |
| Het uitvoeren van bronvalidatie door omgekeerd pad moet zijn ingeschakeld voor alle interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Beschrijving: Het systeem accepteert verkeer van adressen die niet kunnen worden omgeleid. | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' uit |
| Het uitvoeren van bronvalidatie door omgekeerd pad moet zijn ingeschakeld voor alle interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Beschrijving: Het systeem accepteert verkeer van adressen die niet kunnen worden omgeleid. | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' uit |
| TCP SYN-cookies moeten zijn ingeschakeld. (net.ipv4.tcp_syncookies = 1) (47) |
Beschrijving: Een aanvaller kan een DoS uitvoeren via TCP | Voer sysctl -w key=value deze uit en stel deze in op een compatibele waarde of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' uit |
| Het systeem mag niet fungeren als een netwerk-sniffer. (48) |
Beschrijving: Een aanvaller kan promiscuous interfaces gebruiken om netwerkverkeer te sniffen | De promiscuous-modus wordt ingeschakeld via een 'promisc'-vermelding in '/etc/network/interfaces' of '/etc/rc.local'. Controleer beide bestanden en verwijder deze vermelding. |
| Alle draadloze interfaces moeten worden uitgeschakeld. (49) |
Beschrijving: Een aanvaller kan een nep-AP maken om verzendingen te onderscheppen. | Controleer of alle draadloze interfaces zijn uitgeschakeld in '/etc/network/interfaces' |
| Het IPv6-protocol moet zijn ingeschakeld. (50) |
Beschrijving: Dit is nodig voor communicatie op moderne netwerken. | Open /etc/sysctl.conf en bevestig dat 'net.ipv6.conf.all.disable_ipv6' en 'net.ipv6.conf.default.disable_ipv6' zijn ingesteld op 0 |
| Controleren of DCCP is uitgeschakeld (54) |
Beschrijving: Als het protocol niet vereist is, wordt aanbevolen dat de stuurprogramma's niet worden geïnstalleerd om de potentiële kwetsbaarheid voor aanvallen te verminderen. | Bewerk of maak een bestand in de /etc/modprobe.d/ map die eindigt op .conf en voeg install dccp /bin/true vervolgens de dccp-module uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uit. |
| Zorg ervoor dat SCTP is uitgeschakeld (55) |
Beschrijving: Als het protocol niet vereist is, wordt aanbevolen dat de stuurprogramma's niet worden geïnstalleerd om de potentiële kwetsbaarheid voor aanvallen te verminderen. | Bewerk of maak een bestand in de /etc/modprobe.d/ map die eindigt op .conf en voeg install sctp /bin/true vervolgens de sctp-module uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uit. |
| Schakel ondersteuning voor RDS uit. (56) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in RDS gebruiken om inbreuk te maken op het systeem | Bewerk of maak een bestand in de /etc/modprobe.d/ map die eindigt op .conf en voeg install rds /bin/true vervolgens de rds-module uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uit. |
| Controleren of TIPC is uitgeschakeld (57) |
Beschrijving: Als het protocol niet vereist is, wordt aanbevolen dat de stuurprogramma's niet worden geïnstalleerd om de potentiële kwetsbaarheid voor aanvallen te verminderen. | Bewerk of maak een bestand in de /etc/modprobe.d/ map die eindigt op .conf en voeg install tipc /bin/true vervolgens de tipc-module uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-onnodig-kernel-mods' uit |
| Controleren of logboekregistratie is geconfigureerd (60) |
Beschrijving: Er wordt veel belangrijke beveiligingsgerelateerde informatie verzonden via rsyslog (bijvoorbeeld geslaagde en mislukte su-pogingen, mislukte aanmeldingspogingen, hoofdaanmeldingspogingen, enzovoort). |
Zo nodig syslog, rsyslog of syslog-ng configureren |
| Het syslog-, rsyslog- of syslog-ng-pakket moet worden geïnstalleerd. (61) |
Beschrijving: Betrouwbaarheids- en beveiligingsproblemen worden niet geregistreerd, waardoor de juiste diagnose wordt voorkomen. | Installeer het rsyslog-pakket of voer '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' uit |
| De systemd-journald-service moet worden geconfigureerd om logboekberichten persistent te maken (61.1) |
Beschrijving: Betrouwbaarheids- en beveiligingsproblemen worden niet geregistreerd, waardoor de juiste diagnose wordt voorkomen. | Maak /var/log/journal en zorg ervoor dat Opslag in journald.conf automatisch of permanent is |
| Zorg ervoor dat een logboekregistratieservice is ingeschakeld (62) |
Beschrijving: Het is noodzakelijk dat u gebeurtenissen op een knooppunt kunt registreren. | Schakel het rsyslog-pakket in of voer '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' uit |
| Bestandsmachtigingen voor alle rsyslog-logboekbestanden moeten worden ingesteld op 640 of 600. (63) |
Beschrijving: Een aanvaller kan activiteiten verbergen door logboeken te bewerken | Voeg de regel '$FileCreateMode 0640' toe aan het bestand '/etc/rsyslog.conf' |
| Zorg ervoor dat logboekconfiguratiebestanden beperkt zijn. (63.1) |
Beschrijving: Het is belangrijk om ervoor te zorgen dat logboekbestanden bestaan en over de juiste machtigingen beschikken om ervoor te zorgen dat gevoelige syslog-gegevens worden gearchiveerd en beveiligd. | Stel de configuratiebestanden van uw logger in op 0640 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' uit |
| Alle rsyslog-logboekbestanden moeten eigendom zijn van de adm-groep. (64) |
Beschrijving: Een aanvaller kan activiteiten verbergen door logboeken te bewerken | Voeg de regel '$FileGroup adm' toe aan het bestand '/etc/rsyslog.conf' |
| Alle rsyslog-logboekbestanden moeten eigendom zijn van de syslog-gebruiker. (65) |
Beschrijving: Een aanvaller kan activiteiten verbergen door logboeken te bewerken | Voeg de regel '$FileOwner syslog' toe aan het bestand '/etc/rsyslog.conf' of voer '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner' uit |
| Rsyslog mag geen externe berichten accepteren. (67) |
Beschrijving: Een aanvaller kan berichten in syslog injecteren, waardoor een DoS of een afleiding van andere activiteiten wordt veroorzaakt | Verwijder de regels '$ModLoad imudp' en '$ModLoad imtcp' uit het bestand '/etc/rsyslog.conf' |
| De logrotate-service (syslog rotater) moet zijn ingeschakeld. (68) |
Beschrijving: Logboekbestanden kunnen niet-gebonden worden en alle schijfruimte verbruiken | Installeer het logrotate-pakket en controleer of de vermelding logrotate cron actief is (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| De rlogin-service moet worden uitgeschakeld. (69) |
Beschrijving: Een aanvaller kan toegang krijgen, strikte verificatievereisten omzeilen | Verwijder de inetd-service. |
| Schakel inet uit, tenzij dit vereist is. (inetd) (70.1) |
Beschrijving: Een aanvaller kan misbruik maken van een beveiligingsprobleem in een inet-service om toegang te krijgen | Verwijder de inetd-service (apt-get remove inetd) |
| Schakel xinetd uit, tenzij vereist. (xinetd) (70.2) |
Beschrijving: Een aanvaller kan misbruik maken van een beveiligingsprobleem in een xinetd-service om toegang te krijgen | Verwijder de inetd-service (apt-get remove xinetd) |
| Installeer alleen inetd indien van toepassing en vereist door uw distributie. Veilig volgens de huidige hardingsstandaarden. (indien nodig) (71.1) |
Beschrijving: Een aanvaller kan misbruik maken van een beveiligingsprobleem in een inet-service om toegang te krijgen | Verwijder de inetd-service (apt-get remove inetd) |
| Installeer xinetd alleen indien van toepassing en vereist door uw distributie. Veilig volgens de huidige hardingsstandaarden. (indien nodig) (71.2) |
Beschrijving: Een aanvaller kan misbruik maken van een beveiligingsprobleem in een xinetd-service om toegang te krijgen | Verwijder de inetd-service (apt-get remove xinetd) |
| De telnet-service moet worden uitgeschakeld. (72) |
Beschrijving: Een aanvaller kan niet-versleutelde telnet-sessies afluisteren of hijacken | Verwijder of markeer de telnet-vermelding in het bestand '/etc/inetd.conf' |
| Alle telnetd-pakketten moeten worden verwijderd. (73) |
Beschrijving: Een aanvaller kan niet-versleutelde telnet-sessies afluisteren of hijacken | Telnetd-pakketten verwijderen |
| De rcp/rsh-service moet worden uitgeschakeld. (74) |
Beschrijving: Een aanvaller kan niet-versleutelde sessies afluisteren of hijacken | Verwijder of markeer de shell-vermelding in het bestand '/etc/inetd.conf' |
| Het rsh-serverpakket moet worden verwijderd. (77) |
Beschrijving: Een aanvaller kan niet-versleutelde rsh-sessies afluisteren of hijacken | Verwijder het rsh-serverpakket (apt-get remove rsh-server) |
| De ypbind-service moet worden uitgeschakeld. (78) |
Beschrijving: Een aanvaller kan gevoelige informatie ophalen uit de ypbind-service | Verwijder het nis-pakket (apt-get remove nis) |
| Het nis-pakket moet worden verwijderd. (79) |
Beschrijving: Een aanvaller kan gevoelige informatie ophalen uit de NIS-service | Verwijder het nis-pakket (apt-get remove nis) |
| De tftp-service moet worden uitgeschakeld. (80) |
Beschrijving: Een aanvaller kan afluisteren of een niet-versleutelde sessie kapen | Verwijder de tftp-vermelding uit het bestand '/etc/inetd.conf' |
| Het tftpd-pakket moet worden verwijderd. (81) |
Beschrijving: Een aanvaller kan afluisteren of een niet-versleutelde sessie kapen | Verwijder het tftpd-pakket (apt-get remove tftpd) |
| Het readahead-fedora-pakket moet worden verwijderd. (82) |
Beschrijving: Het pakket creëert geen aanzienlijke blootstelling, maar voegt ook geen aanzienlijk voordeel toe. | Verwijder het readahead-fedora-pakket (apt-get remove readahead-fedora) |
| De bluetooth-/verborgen service moet worden uitgeschakeld. (84) |
Beschrijving: Een aanvaller kan draadloze communicatie onderscheppen of manipuleren. | Verwijder het Bluetooth-pakket (apt-get remove bluetooth) |
| De isdn-service moet worden uitgeschakeld. (86) |
Beschrijving: Een aanvaller kan een modem gebruiken om onbevoegde toegang te krijgen | Verwijder het isdnutils-base-pakket (apt-get remove isdnutils-base) |
| Het isdnutils-base-pakket moet worden verwijderd. (87) |
Beschrijving: Een aanvaller kan een modem gebruiken om onbevoegde toegang te krijgen | Verwijder het isdnutils-base-pakket (apt-get remove isdnutils-base) |
| De kdump-service moet worden uitgeschakeld. (88) |
Beschrijving: Een aanvaller kan een eerdere systeemcrash analyseren om gevoelige informatie op te halen | Verwijder het kdump-tools-pakket (apt-get remove kdump-tools) |
| Zeroconf-netwerken moeten worden uitgeschakeld. (89) |
Beschrijving: Een aanvaller kan dit misbruiken om informatie te verkrijgen over netwerksystemen of vervalste DNS-aanvragen vanwege fouten in het vertrouwensmodel | Voor RedHat, CentOS en Oracle: Toevoegen NOZEROCONF=yes or no aan /etc/sysconfig/network. Voor alle andere distributies: verwijder alle ipv4ll-vermeldingen in het bestand '/etc/network/interfaces' of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' uit |
| De crond-service moet zijn ingeschakeld. (90) |
Beschrijving: Cron is vereist voor bijna alle systemen voor reguliere onderhoudstaken | Installeer het cron-pakket (apt-get install -y cron) en bevestig dat het bestand '/etc/init/cron.conf' de regel 'start on runlevel [2345]' bevat |
| Bestandsmachtigingen voor /etc/anacrontab moeten worden ingesteld op root:root 600. (91) |
Beschrijving: Een aanvaller kan dit bestand manipuleren om geplande taken te voorkomen of schadelijke taken uit te voeren | Stel het eigendom en de machtigingen in op /etc/anacrontab of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' uit |
| Zorg ervoor dat machtigingen voor /etc/cron.d zijn geconfigureerd. (93) |
Beschrijving: Het verlenen van schrijftoegang tot deze directory voor niet-bevoegde gebruikers kan hen de middelen bieden voor het verkrijgen van onbevoegde verhoogde bevoegdheden. Het verlenen van leestoegang tot deze directory kan een onbevoegd gebruikersinzicht geven in het verkrijgen van verhoogde bevoegdheden of het omzeilen van controlecontroles. | Stel de eigenaar en groep /etc/chron.d in op root en machtigingen op 0700 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' uit |
| Zorg ervoor dat machtigingen voor /etc/cron.daily zijn geconfigureerd. (94) |
Beschrijving: Het verlenen van schrijftoegang tot deze directory voor niet-bevoegde gebruikers kan hen de middelen bieden voor het verkrijgen van onbevoegde verhoogde bevoegdheden. Het verlenen van leestoegang tot deze directory kan een onbevoegd gebruikersinzicht geven in het verkrijgen van verhoogde bevoegdheden of het omzeilen van controlecontroles. | Stel de eigenaar en groep /etc/chron.daily in op root en machtigingen op 0700 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' uit |
| Zorg ervoor dat machtigingen op /etc/cron.hourly zijn geconfigureerd. (95) |
Beschrijving: Het verlenen van schrijftoegang tot deze directory voor niet-bevoegde gebruikers kan hen de middelen bieden voor het verkrijgen van onbevoegde verhoogde bevoegdheden. Het verlenen van leestoegang tot deze directory kan een onbevoegd gebruikersinzicht geven in het verkrijgen van verhoogde bevoegdheden of het omzeilen van controlecontroles. | Stel de eigenaar en groep /etc/chron.hourly in op root en machtigingen voor 0700 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' uit |
| Zorg ervoor dat machtigingen voor /etc/cron.monthly zijn geconfigureerd. (96) |
Beschrijving: Het verlenen van schrijftoegang tot deze directory voor niet-bevoegde gebruikers kan hen de middelen bieden voor het verkrijgen van onbevoegde verhoogde bevoegdheden. Het verlenen van leestoegang tot deze directory kan een onbevoegd gebruikersinzicht geven in het verkrijgen van verhoogde bevoegdheden of het omzeilen van controlecontroles. | Stel de eigenaar en groep /etc/chron.monthly in op root en machtigingen op 0700 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' uit |
| Zorg ervoor dat machtigingen voor /etc/cron.wekelijks zijn geconfigureerd. (97) |
Beschrijving: Het verlenen van schrijftoegang tot deze directory voor niet-bevoegde gebruikers kan hen de middelen bieden voor het verkrijgen van onbevoegde verhoogde bevoegdheden. Het verlenen van leestoegang tot deze directory kan een onbevoegd gebruikersinzicht geven in het verkrijgen van verhoogde bevoegdheden of het omzeilen van controlecontroles. | Stel de eigenaar en groep /etc/chron.wekelijks in op root en machtigingen op 0700 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' uit |
| Zorg ervoor dat at/cron is beperkt tot geautoriseerde gebruikers (98) |
Beschrijving: Op veel systemen is alleen de systeembeheerder gemachtigd om taken te plannen cron . Als u het cron.allow bestand gebruikt om te bepalen wie taken kan uitvoeren cron , wordt dit beleid afgedwongen. Het is eenvoudiger om een acceptatielijst te beheren dan een denylist. In een denylist kunt u mogelijk een gebruikers-id toevoegen aan het systeem en vergeten deze toe te voegen aan de weigeringsbestanden. |
Vervang /etc/cron.deny en /etc/at.deny door hun respectieve allow bestanden of voer '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' uit |
| SSH moet worden geconfigureerd en beheerd om te voldoen aan best practices. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Beschrijving: Een aanvaller kan fouten in een eerdere versie van het SSH-protocol gebruiken om toegang te krijgen | Voer de opdracht '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol' uit. Hiermee wordt Protocol 2 ingesteld in het bestand '/etc/ssh/sshd_config' |
| SSH moet worden geconfigureerd en beheerd om te voldoen aan best practices. - '/etc/ssh/sshd_config IgnoreRhosts = ja' (106.3) |
Beschrijving: Een aanvaller kan fouten in het Rhosts-protocol gebruiken om toegang te krijgen | Voer de opdracht '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts' uit. Hiermee wordt de regel IgnoreRhosts yes toegevoegd aan het bestand '/etc/ssh/sshd_config' |
| Zorg ervoor dat SSH LogLevel is ingesteld op INFO (106.5) |
Beschrijving: SSH biedt verschillende logboekregistratieniveaus met verschillende hoeveelheden uitgebreidheid. DEBUG wordt specifiek niet aanbevolen anders dan strikt voor het opsporen van fouten in SSH-communicatie, omdat het zoveel gegevens biedt dat het moeilijk is om belangrijke beveiligingsinformatie te identificeren. INFO niveau is het basisniveau dat alleen aanmeldingsactiviteit van SSH-gebruikers registreert. In veel situaties, zoals incidentrespons, is het belangrijk om te bepalen wanneer een bepaalde gebruiker actief was op een systeem. De afmeldingsrecord kan voorkomen dat gebruikers die de verbinding verbreken, waardoor het veld wordt beperkt. |
Bewerk het /etc/ssh/sshd_config bestand om de parameter als volgt in te stellen: LogLevel INFO |
| Zorg ervoor dat SSH MaxAuthTries is ingesteld op 6 of minder (106.7) |
Beschrijving: Als u de MaxAuthTries parameter instelt op een laag aantal, wordt het risico op geslaagde beveiligingsaanvallen op de SSH-server geminimaliseerd. Hoewel de aanbevolen instelling 4 is, stelt u het nummer in op basis van sitebeleid. |
Zorg ervoor dat SSH MaxAuthTries is ingesteld op 6 of minder Bewerken om /etc/ssh/sshd_config de parameter als volgt in te stellen: MaxAuthTries 6 |
| Zorg ervoor dat SSH-toegang beperkt is (106.11) |
Beschrijving: Als u beperkt welke gebruikers extern toegang tot het systeem kunnen krijgen via SSH, zorgt u ervoor dat alleen geautoriseerde gebruikers toegang hebben tot het systeem. | Zorg ervoor dat SSH-toegang is beperkt. Bewerk het /etc/ssh/sshd_config bestand om een of meer van de parameter als volgt in te stellen: AllowUsers AllowGroups DenyUsers DenyGroups |
| Emulatie van de rsh-opdracht via de ssh-server moet worden uitgeschakeld. - '/etc/ssh/sshd_config RhostsRSAAuthentication = nee' (107) |
Beschrijving: Een aanvaller kan fouten in het RHosts-protocol gebruiken om toegang te krijgen | Voer de opdracht '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth' uit. Hiermee wordt de regel RhostsRSAAuthentication nee toegevoegd aan het bestand '/etc/ssh/sshd_config' |
| Verificatie op basis van SSH-hosts moet worden uitgeschakeld. - '/etc/ssh/sshd_config HostbasedAuthentication = nee' (108) |
Beschrijving: Een aanvaller kan verificatie op basis van een host gebruiken om toegang te krijgen vanaf een geïnfecteerde host | Voer de opdracht '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth' uit. Hiermee wordt de regel HostbasedAuthentication nee toegevoegd aan het bestand '/etc/ssh/sshd_config' |
| Hoofdaanmelding via SSH moet worden uitgeschakeld. - '/etc/ssh/sshd_config PermitRootLogin = nee' (109) |
Beschrijving: Een aanvaller kan het hoofdwachtwoord brute forceren of de opdrachtgeschiedenis verbergen door zich rechtstreeks als root aan te melden | Voer de opdracht '/usr/local/bin/azsecd remediate -r disable-ssh-root-login' uit. Hiermee voegt u de regel PermitRootLogin no toe aan het bestand '/etc/ssh/sshd_config' |
| Externe verbindingen van accounts met lege wachtwoorden moeten worden uitgeschakeld. - '/etc/ssh/sshd_config PermitEmptyPasswords = nee' (110) |
Beschrijving: Een aanvaller kan toegang krijgen via het raden van wachtwoorden | Voer de opdracht '/usr/local/bin/azsecd remediate '/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords' uit. Hiermee wordt de regel PermitEmptyPasswords no toegevoegd aan het bestand '/etc/ssh/sshd_config' |
| Zorg ervoor dat het time-outinterval voor inactiviteit van SSH is geconfigureerd. (110.1) |
Beschrijving: Als er geen time-outwaarde is gekoppeld aan een verbinding, kan een onbevoegde gebruiker toegang tot de ssh-sessie van een andere gebruiker toestaan. Als u een time-outwaarde instelt, vermindert u ten minste het risico dat dit gebeurt. Hoewel de aanbevolen instelling 300 seconden (5 minuten) is, stelt u deze time-outwaarde in op basis van sitebeleid. De aanbevolen instelling voor ClientAliveCountMax is 0. In dit geval wordt de clientsessie na 5 minuten niet-actieve tijd beëindigd en worden er geen keepalive-berichten verzonden. |
Bewerk het bestand /etc/ssh/sshd_config om de parameters in te stellen op basis van het beleid |
| Zorg ervoor dat SSH LoginGraceTime is ingesteld op één minuut of minder. (110.2) |
Beschrijving: Als u de LoginGraceTime parameter instelt op een laag aantal, wordt het risico op geslaagde beveiligingsaanvallen op de SSH-server geminimaliseerd. Er wordt ook het aantal gelijktijdige niet-geverifieerde verbindingen beperkt, terwijl de aanbevolen instelling 60 seconden (1 minuut) is, stelt u het nummer in op basis van sitebeleid. |
Bewerk het bestand /etc/ssh/sshd_config om de parameters in te stellen op basis van het beleid of voer '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' uit |
| Zorg ervoor dat alleen goedgekeurde MAC-algoritmen worden gebruikt (110.3) |
Beschrijving: MD5- en 96-bits MAC-algoritmen worden beschouwd als zwak en hebben aangetoond dat ze de exploiteerbaarheid bij SSH-downgradeaanvallen vergroten. Zwakke algoritmen blijven veel aandacht besteden als een zwakke plek die kan worden benut met uitgebreide rekenkracht. Een aanvaller die het algoritme onderbreekt, kan profiteren van een MiTM-positie om de SSH-tunnel te ontsleutelen en referenties en informatie vast te leggen | Bewerk het bestand /etc/sshd_config en voeg/wijzig de MACs-regel toe of wijzig deze zodat deze een door komma's gescheiden lijst bevat van de goedgekeurde MACs of voer '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' uit |
| Zorg ervoor dat de waarschuwingsbanner voor externe aanmelding correct is geconfigureerd. (111) |
Beschrijving: Waarschuwingsberichten informeren gebruikers die zich proberen aan te melden bij het systeem van hun juridische status met betrekking tot het systeem en moeten de naam van de organisatie bevatten die eigenaar is van het systeem en alle controlebeleidsregels die aanwezig zijn. Het weergeven van informatie op besturingssysteem- en patchniveau in aanmeldingsbanners heeft ook het neveneffect van het verstrekken van gedetailleerde systeeminformatie aan aanvallers die proberen specifieke aanvallen van een systeem te richten. Geautoriseerde gebruikers kunnen deze informatie eenvoudig ophalen door de uname -aopdracht uit te voeren zodra ze zich hebben aangemeld. |
Verwijder alle exemplaren van \m \r \s en \v uit het bestand /etc/issue.net |
| Zorg ervoor dat de waarschuwingsbanner voor lokale aanmelding correct is geconfigureerd. (111.1) |
Beschrijving: Waarschuwingsberichten informeren gebruikers die zich proberen aan te melden bij het systeem van hun juridische status met betrekking tot het systeem en moeten de naam van de organisatie bevatten die eigenaar is van het systeem en alle controlebeleidsregels die aanwezig zijn. Het weergeven van informatie op besturingssysteem- en patchniveau in aanmeldingsbanners heeft ook het neveneffect van het verstrekken van gedetailleerde systeeminformatie aan aanvallers die proberen specifieke aanvallen van een systeem te richten. Geautoriseerde gebruikers kunnen deze informatie eenvoudig ophalen door de uname -aopdracht uit te voeren zodra ze zich hebben aangemeld. |
Verwijder alle exemplaren van \m \r \s en \v uit het bestand /etc/issue |
| SSH-waarschuwingsbanner moet zijn ingeschakeld. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Beschrijving: Gebruikers worden niet gewaarschuwd dat hun acties op het systeem worden bewaakt | Voer de opdracht '/usr/local/bin/azsecd remediate -r configure-ssh-banner' uit. Hiermee wordt de regel Banner /etc/azsec/banner.txt toegevoegd aan het bestand '/etc/ssh/sshd_config' |
| Gebruikers mogen geen omgevingsopties instellen voor SSH. (112) |
Beschrijving: Een aanvaller kan mogelijk bepaalde toegangsbeperkingen over SSH omzeilen | Verwijder de regel PermitUserEnvironment ja uit het bestand '/etc/ssh/sshd_config' |
| De juiste coderingen moeten worden gebruikt voor SSH. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Beschrijving: Een aanvaller kan inbreuk maken op een zwak beveiligde SSH-verbinding | Voer de opdracht '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers' uit. Hiermee voegt u de regel 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' toe aan het bestand '/etc/ssh/sshd_config' |
| De avahi-daemon-service moet worden uitgeschakeld. (114) |
Beschrijving: Een aanvaller kan een beveiligingsprobleem in de avahi-daemon gebruiken om toegang te krijgen | Schakel de avahi-daemon-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' uit |
| De bekerservice moet worden uitgeschakeld. (115) |
Beschrijving: Een aanvaller kan een fout in de cups-service gebruiken om bevoegdheden te verhogen | Schakel de cups-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' uit |
| De isc-dhcpd-service moet worden uitgeschakeld. (116) |
Beschrijving: Een aanvaller kan dhcpd gebruiken om foutieve informatie te verstrekken aan clients, waardoor de normale werking wordt verstoord. | Verwijder het isc-dhcp-serverpakket (apt-get remove isc-dhcp-server) |
| Het isc-dhcp-serverpakket moet worden verwijderd. (117) |
Beschrijving: Een aanvaller kan dhcpd gebruiken om foutieve informatie te verstrekken aan clients, waardoor de normale werking wordt verstoord. | Verwijder het isc-dhcp-serverpakket (apt-get remove isc-dhcp-server) |
| Het sendmail-pakket moet worden verwijderd. (120) |
Beschrijving: Een aanvaller kan dit systeem gebruiken om e-mailberichten met schadelijke inhoud naar andere gebruikers te verzenden | Verwijder het sendmail-pakket (apt-get remove sendmail) |
| Het postfix-pakket moet worden verwijderd. (121) |
Beschrijving: Een aanvaller kan dit systeem gebruiken om e-mailberichten met schadelijke inhoud naar andere gebruikers te verzenden | Verwijder het postfix-pakket (apt-get remove postfix) of voer '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' uit |
| Het luisteren naar postfix-netwerken moet naar behoren worden uitgeschakeld. (122) |
Beschrijving: Een aanvaller kan dit systeem gebruiken om e-mailberichten met schadelijke inhoud naar andere gebruikers te verzenden | Voeg de regel 'inet_interfaces localhost' toe aan het bestand '/etc/postfix/main.cf' |
| De LDAP-service moet worden uitgeschakeld. (124) |
Beschrijving: Een aanvaller kan de LDAP-service op deze host manipuleren om valse gegevens te distribueren naar LDAP-clients | Verwijder het verstreken pakket (apt-get remove slapd) |
| De rpcgssd-service moet worden uitgeschakeld. (126) |
Beschrijving: Een aanvaller kan een fout in rpcgssd/nfs gebruiken om toegang te krijgen | Schakel de rpcgssd-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' uit |
| De rpcidmapd-service moet worden uitgeschakeld. (127) |
Beschrijving: Een aanvaller kan een fout in idmapd/nfs gebruiken om toegang te krijgen | Schakel de rpcidmapd-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' uit |
| De portmap-service moet worden uitgeschakeld. (129.1) |
Beschrijving: Een aanvaller kan een fout in portmap gebruiken om toegang te krijgen | Schakel de rpcbind-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' uit |
| De NFS-service (Network File System) moet worden uitgeschakeld. (129.2) |
Beschrijving: Een aanvaller kan nfs gebruiken om shares te koppelen en bestanden uit te voeren/te kopiëren. | Schakel de nfs-service uit of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' uit |
| De rpcsvcgssd-service moet worden uitgeschakeld. (130) |
Beschrijving: Een aanvaller kan een fout in rpcsvcgssd gebruiken om toegang te krijgen | Verwijder de regel 'NEED_SVCGSSD = ja' uit het bestand '/etc/inetd.conf' |
| De benoemde service moet worden uitgeschakeld. (131) |
Beschrijving: Een aanvaller kan de DNS-service gebruiken om valse gegevens te distribueren naar clients | Verwijder het bind9-pakket (apt-get remove bind9) |
| Het bindpakket moet worden verwijderd. (132) |
Beschrijving: Een aanvaller kan de DNS-service gebruiken om valse gegevens te distribueren naar clients | Verwijder het bind9-pakket (apt-get remove bind9) |
| De dovecot-service moet worden uitgeschakeld. (137) |
Beschrijving: Het systeem kan worden gebruikt als een IMAP/POP3-server | Verwijder het dovecot-core-pakket (apt-get remove dovecot-core) |
| Het dovecot-pakket moet worden verwijderd. (138) |
Beschrijving: Het systeem kan worden gebruikt als een IMAP/POP3-server | Verwijder het dovecot-core-pakket (apt-get remove dovecot-core) |
Zorg ervoor dat er geen verouderde + vermeldingen bestaan in /etc/passwd(156.1) |
Beschrijving: Een aanvaller kan toegang krijgen met behulp van de gebruikersnaam '+' zonder wachtwoord | Verwijder alle vermeldingen in /etc/passwd die beginnen met '+:' |
Zorg ervoor dat er geen verouderde + vermeldingen voorkomen in /etc/schaduw(156.2) |
Beschrijving: Een aanvaller kan toegang krijgen met behulp van de gebruikersnaam '+' zonder wachtwoord | Verwijder alle vermeldingen in /etc/schaduw die beginnen met +: |
Zorg ervoor dat er geen verouderde + vermeldingen bestaan in /etc/group(156.3) |
Beschrijving: Een aanvaller kan toegang krijgen met behulp van de gebruikersnaam '+' zonder wachtwoord | Verwijder alle vermeldingen in /etc/groep die beginnen met +: |
| Zorg ervoor dat het verlopen van wachtwoorden 365 dagen of minder is. (157.1) |
Beschrijving: Het verminderen van de maximale leeftijd van een wachtwoord vermindert ook het venster van een aanvaller om gebruik te maken van gecompromitteerde referenties of met succes inbreuk te maken op referenties via een online brute force-aanval. | Stel de PASS_MAX_DAYS parameter in op maximaal 365 in /etc/login.defs of voer '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' uit |
| Zorg ervoor dat de waarschuwingsdagen voor wachtwoordverlooptijd 7 of meer zijn. (157.2) |
Beschrijving: Een waarschuwing vooraf geven dat een wachtwoord verloopt, geeft gebruikers de tijd om een beveiligd wachtwoord te bedenken. Gebruikers die zich niet bewust zijn, kunnen een eenvoudig wachtwoord kiezen of opschrijven waar het kan worden gedetecteerd. | Stel de PASS_WARN_AGE parameter in op 7 in /etc/login.defs of voer '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' uit |
| Zorg ervoor dat het hergebruik van wachtwoorden beperkt is. (157.5) |
Beschrijving: als gebruikers hun afgelopen vijf wachtwoorden niet opnieuw moeten gebruiken, is het minder waarschijnlijk dat een aanvaller het wachtwoord kan raden. | Zorg ervoor dat de optie Onthouden is ingesteld op ten minste 5 in /etc/pam.d/common-password of zowel /etc/pam.d/password_auth als /etc/pam.d/system_auth of voer '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' uit |
| Controleren of het algoritme voor wachtwoord-hashing SHA-512 is (157.11) |
Beschrijving: Het SHA-512-algoritme biedt veel sterkere hashing dan MD5, waardoor het systeem extra beveiliging biedt door het inspanningsniveau voor een aanvaller te verhogen om wachtwoorden te bepalen. Opmerking: deze wijzigingen zijn alleen van toepassing op accounts die zijn geconfigureerd op het lokale systeem. | Wachtwoordhashalgoritme instellen op sha512. Veel distributies bieden hulpprogramma's voor het bijwerken van de PAM-configuratie. Raadpleeg de documentatie voor meer informatie. Als er geen hulpprogramma's zijn opgegeven, bewerkt u het juiste /etc/pam.d/ configuratiebestand en voegt u de regels toe of wijzigt u deze pam_unix.so om de sha512-optie op te nemen: password sufficient pam_unix.so sha512 |
| Zorg ervoor dat de minimale dagen tussen wachtwoordwijzigingen 7 of meer zijn. (157.12) |
Beschrijving: Door de frequentie van wachtwoordwijzigingen te beperken, kan een beheerder voorkomen dat gebruikers hun wachtwoord herhaaldelijk wijzigen in een poging om besturingselementen voor wachtwoordgebruik te omzeilen. | Stel de PASS_MIN_DAYS parameter in op 7 in /etc/login.defs: PASS_MIN_DAYS 7. Gebruikersparameters wijzigen voor alle gebruikers met een wachtwoord dat is ingesteld op overeenkomst: chage --mindays 7 of voer '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' uit |
| Zorg ervoor dat alle gebruikers de laatste datum van wachtwoordwijziging in het verleden hebben (157.14) |
Beschrijving: Als een gebruiker de datum van wachtwoordwijziging in de toekomst heeft geregistreerd, kan deze elke ingestelde wachtwoordverlooptijd overslaan. | Zorg ervoor dat de inactieve wachtwoordvergrendeling 30 dagen of minder is. Voer de volgende opdracht uit om de standaardperiode voor wachtwoordinactiviteit in te stellen op 30 dagen: # useradd -D -f 30 Wijzig gebruikersparameters voor alle gebruikers met een wachtwoord dat overeenkomt met: # chage --inactive 30 |
| Zorg ervoor dat systeemaccounts niet zijn aangemeld (157.15) |
Beschrijving: Het is belangrijk om ervoor te zorgen dat accounts die niet door gewone gebruikers worden gebruikt, niet kunnen worden gebruikt om een interactieve shell te bieden. Standaard stelt Ubuntu het wachtwoordveld voor deze accounts in op een ongeldige tekenreeks, maar het wordt ook aanbevolen dat het shellveld in het wachtwoordbestand wordt ingesteld op /usr/sbin/nologin. Hiermee voorkomt u dat het account mogelijk wordt gebruikt om opdrachten uit te voeren. |
De shell instellen voor accounts die worden geretourneerd door het auditscript op /sbin/nologin |
| Zorg ervoor dat de standaardgroep voor het hoofdaccount GID 0 is (157.16) |
Beschrijving: Als u GID 0 voor het _root_ account gebruikt, voorkomt u dat _root_bestanden in eigendom per ongeluk toegankelijk worden voor niet-bevoegde gebruikers. |
Voer de volgende opdracht uit om de standaardgroep van de root gebruiker in te stellen op GID 0 : # usermod -g 0 root |
| Controleren of de hoofdmap het enige UID 0-account is (157.18) |
Beschrijving: Deze toegang moet worden beperkt tot alleen het standaardaccount root en alleen vanuit de systeemconsole. Beheer istratieve toegang moet worden uitgevoerd via een niet-gemachtigd account met behulp van een goedgekeurd mechanisme. |
Verwijder alle andere gebruikers dan root met UID 0 of wijs ze indien nodig een nieuwe UID toe. |
| Overbodige accounts verwijderen (159) |
Beschrijving: Voor naleving | Verwijder de overbodige accounts |
| Controleren of de auditservice is ingeschakeld (162) |
Beschrijving: Het vastleggen van systeemgebeurtenissen biedt systeembeheerders informatie waarmee ze kunnen bepalen of onbevoegde toegang tot hun systeem plaatsvindt. | Auditpakket installeren (systemctl enable auditd) |
| AuditD-service uitvoeren (163) |
Beschrijving: Het vastleggen van systeemgebeurtenissen biedt systeembeheerders informatie waarmee ze kunnen bepalen of onbevoegde toegang tot hun systeem plaatsvindt. | AuditD-service uitvoeren (systemctl start auditd) |
| Controleren of SNMP-server niet is ingeschakeld (179) |
Beschrijving: De SNMP-server kan communiceren met behulp van SNMP v1, waarmee gegevens worden verzonden in het duidelijk en is geen verificatie vereist voor het uitvoeren van opdrachten. Tenzij dit absoluut noodzakelijk is, wordt aanbevolen dat de SNMP-service niet wordt gebruikt. Als SNMP is vereist, moet de server worden geconfigureerd om SNMP v1 niet toe te staan. | Voer een van de volgende opdrachten uit om uit te schakelen snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Controleren of rsync-service niet is ingeschakeld (181) |
Beschrijving: De rsyncd service biedt een beveiligingsrisico omdat deze gebruikmaakt van niet-versleutelde protocollen voor communicatie. |
Voer een van de volgende opdrachten uit om uit te schakelen rsyncd : chkconfig rsyncd off, systemctl disable rsyncdupdate-rc.d rsyncd disable of voer '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' uit |
| Controleren of de NIS-server niet is ingeschakeld (182) |
Beschrijving: De NIS-service is een inherent onveilig systeem dat kwetsbaar is voor DOS-aanvallen, bufferoverschrijdingen en heeft slechte verificatie voor het uitvoeren van query's op NIS-kaarten. NIS wordt over het algemeen vervangen door protocollen zoals Lightweight Directory Access Protocol (LDAP). Het wordt aanbevolen om de service uit te schakelen en veiligere services te gebruiken | Voer een van de volgende opdrachten uit om uit te schakelen ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Controleren of rsh-client niet is geïnstalleerd (183) |
Beschrijving: Deze verouderde clients bevatten talloze beveiligingsblootstellingen en zijn vervangen door het veiligere SSH-pakket. Zelfs als de server wordt verwijderd, is het raadzaam om ervoor te zorgen dat de clients ook worden verwijderd om te voorkomen dat gebruikers per ongeluk proberen deze opdrachten te gebruiken en daarom hun referenties bloot te stellen. Houd er rekening mee dat als u het rsh pakket verwijdert, de clients voor rsh, rcp en rlogin. |
Verwijderen rsh met behulp van de juiste package manager of handmatige installatie: yum remove rshapt-get remove rshzypper remove rsh |
| SMB V1 uitschakelen met Samba (185) |
Beschrijving: SMB v1 heeft bekende, ernstige beveiligingsproblemen en versleutelt geen gegevens die onderweg zijn. Als het om zakelijke redenen moet worden gebruikt, wordt het sterk aangeraden extra stappen te nemen om de risico's die inherent zijn aan dit protocol te beperken. | Als Samba niet wordt uitgevoerd, verwijdert u het pakket, anders moet er een regel in de sectie [global] van /etc/samba/smb.conf: min protocol = SMB2 of uitvoeren '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Notitie
De beschikbaarheid van specifieke gastconfiguratie-instellingen van Azure Policy kan variëren in Azure Government en andere nationale clouds.
Volgende stappen
Aanvullende artikelen over Azure Policy en gastconfiguratie:
- Gastconfiguratie van Azure Policy.
- Overzicht voor naleving van regelgeving.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.