1 |
Konfiguracja początkowa |
|
|
1.1 |
Konfiguracja systemu plików |
|
|
1.1.1 |
Wyłączanie nieużywanych systemów plików |
|
|
1.1.1.1 |
Upewnij się, że instalowanie systemu plików cramfs jest wyłączone |
Zdane |
|
1.1.1.2 |
Upewnij się, że instalowanie systemów plików freevxfs jest wyłączone |
Zdane |
|
1.1.1.3 |
Upewnij się, że instalowanie systemów plików jffs2 jest wyłączone |
Zdane |
|
1.1.1.4 |
Upewnij się, że instalowanie systemów plików hfs jest wyłączone |
Zdane |
|
1.1.1.5 |
Upewnij się, że instalowanie systemów plików hfsplus jest wyłączone |
Zdane |
|
1.1.1.6 |
Upewnij się, że instalowanie systemów plików udf jest wyłączone |
Niepowodzenie |
Potencjalny wpływ operacyjny |
1.1.2 |
Upewnij się, że /tmp jest skonfigurowany |
Niepowodzenie |
|
1.1.3 |
Upewnij się, że opcja nodev jest ustawiona na partycji /tmp |
Niepowodzenie |
|
1.1.4 |
Upewnij się, że opcja nosuid ustawiona na partycji /tmp |
Zdane |
|
1.1.5 |
Upewnij się, że opcja noexec jest ustawiona na partycji /tmp |
Zdane |
|
1.1.6 |
Upewnij się, że skonfigurowano /dev/shm |
Zdane |
|
1.1.7 |
Upewnij się, że opcja nodev jest ustawiona na partycji /dev/shm |
Zdane |
|
1.1.8 |
Upewnij się, że opcja nosuid jest ustawiona na partycji /dev/shm |
Zdane |
|
1.1.9 |
Upewnij się, że opcja noexec jest ustawiona na partycji /dev/shm |
Niepowodzenie |
Potencjalny wpływ operacyjny |
1.1.12 |
Upewnij się, że partycja /var/tmp zawiera opcję nodev |
Zdane |
|
1.1.13 |
Upewnij się, że partycja /var/tmp zawiera opcję nosuid |
Zdane |
|
1.1.14 |
Upewnij się, że partycja /var/tmp zawiera opcję noexec |
Zdane |
|
1.1.18 |
Upewnij się, że /home partition zawiera opcję nodev |
Zdane |
|
1.1.19 |
Upewnij się, że opcja nodev jest ustawiona na partycjach nośnika wymiennego |
Nie dotyczy |
|
1.1.20 |
Upewnij się, że opcja nosuid jest ustawiona na partycjach nośnika wymiennego |
Nie dotyczy |
|
1.1.21 |
Upewnij się, że opcja noexec jest ustawiona na partycjach nośnika wymiennego |
Nie dotyczy |
|
1.1.22 |
Upewnij się, że bit sticky jest ustawiony na wszystkie światowe katalogi z możliwością zapisu |
Niepowodzenie |
Potencjalny wpływ operacji |
1.1.23 |
Wyłączanie autoinstalowania |
Zdane |
|
1.1.24 |
Wyłączanie pamięci masowej USB |
Zdane |
|
1.2 |
Konfigurowanie aktualizacji oprogramowania |
|
|
1.2.1 |
Upewnij się, że repozytoria menedżera pakietów są skonfigurowane |
Zdane |
Pokryte gdzie indziej |
1.2.2 |
Upewnij się, że klucze grupy zasad grupy są skonfigurowane |
Nie dotyczy |
|
1.3 |
Sprawdzanie integralności systemu plików |
|
|
1.3.1 |
Upewnij się, że program AIDE jest zainstalowany |
Niepowodzenie |
Pokryte gdzie indziej |
1.3.2 |
Upewnij się, że integralność systemu plików jest regularnie sprawdzana |
Niepowodzenie |
Pokryte gdzie indziej |
1.4 |
Ustawienia bezpiecznego rozruchu |
|
|
1.4.1 |
Upewnij się, że uprawnienia do konfiguracji modułu ładującego rozruchu nie są zastępowane |
Niepowodzenie |
|
1.4.2 |
Upewnij się, że ustawiono hasło modułu ładującego rozruchu |
Niepowodzenie |
Nie dotyczy |
1.4.3 |
Upewnij się, że skonfigurowano uprawnienia do konfiguracji modułu ładującego rozruchu |
Niepowodzenie |
|
1.4.4 |
Upewnij się, że wymagane jest uwierzytelnianie w trybie pojedynczego użytkownika |
Niepowodzenie |
Nie dotyczy |
1.5 |
Dodatkowe wzmacnianie zabezpieczeń procesów |
|
|
1.5.1 |
Upewnij się, że obsługa XD/NX jest włączona |
Nie dotyczy |
|
1.5.2 |
Upewnij się, że włączono losowość układu przestrzeni adresowej (ASLR) |
Zdane |
|
1.5.3 |
Upewnij się, że link wstępny jest wyłączony |
Zdane |
|
1.5.4 |
Upewnij się, że zrzuty rdzeni są ograniczone |
Zdane |
|
1.6 |
Obowiązkowa kontrola dostępu |
|
|
1.6.1 |
Konfigurowanie aplikacji AppArmor |
|
|
1.6.1.1 |
Upewnij się, że zainstalowano aplikację AppArmor |
Zdane |
|
1.6.1.2 |
Upewnij się, że aplikacja AppArmor jest włączona w konfiguracji modułu ładującego rozruchu |
Niepowodzenie |
Potencjalny wpływ operacji |
1.6.1.3 |
Upewnij się, że wszystkie profile AppArmor są w trybie wymuszania lub narzekania |
Zdane |
|
1,7 |
Banery ostrzegawcze wiersza polecenia |
|
|
1.7.1 |
Upewnij się, że komunikat dnia jest prawidłowo skonfigurowany |
Zdane |
|
1.7.2 |
Upewnij się, że skonfigurowano uprawnienia w pliku /etc/issue.net |
Zdane |
|
1.7.3 |
Upewnij się, że skonfigurowano uprawnienia dotyczące /etc/issue |
Zdane |
|
1.7.4 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/motd |
Zdane |
|
1.7.5 |
Upewnij się, że baner ostrzeżenia o zdalnym logowaniu jest prawidłowo skonfigurowany |
Zdane |
|
1.7.6 |
Upewnij się, że lokalny baner ostrzegawczy logowania został prawidłowo skonfigurowany |
Zdane |
|
1.8 |
Menedżer wyświetlania GNOMA |
|
|
1.8.2 |
Upewnij się, że skonfigurowano baner logowania GDM |
Zdane |
|
1.8.3 |
Upewnij się, że opcja disable-user-list jest włączona |
Zdane |
|
1.8.4 |
Upewnij się, że XDCMP nie jest włączona |
Zdane |
|
1,9 |
Upewnij się, że zainstalowano aktualizacje, poprawki i dodatkowe oprogramowanie zabezpieczające |
Zaliczenie |
|
2 |
Usługi |
|
|
2.1 |
Usługi specjalne |
|
|
2.1.1 |
Synchronizacja czasu |
|
|
2.1.1.1 |
Upewnij się, że synchronizacja czasu jest używana |
Zdane |
|
2.1.1.2 |
Upewnij się, że skonfigurowano synchronizację systemd-timesyncd |
Nie dotyczy |
Usługa AKS używa ntpd na potrzeby synchronizacji czasowej |
2.1.1.3 |
Upewnij się, że synchronizacja jest skonfigurowana |
Niepowodzenie |
Pokryte gdzie indziej |
2.1.1.4 |
Upewnij się, że protokół NTP jest skonfigurowany |
Zdane |
|
2.1.2 |
Upewnij się, że system okien X nie jest zainstalowany |
Zdane |
|
2.1.3 |
Upewnij się, że serwer Avahi nie jest zainstalowany |
Zdane |
|
2.1.4 |
Upewnij się, że usługa CUPS nie jest zainstalowana |
Zdane |
|
2.1.5 |
Upewnij się, że serwer DHCP nie jest zainstalowany |
Zdane |
|
2.1.6 |
Upewnij się, że serwer LDAP nie jest zainstalowany |
Zdane |
|
2.1.7 |
Upewnij się, że system plików NFS nie jest zainstalowany |
Zdane |
|
2.1.8 |
Upewnij się, że serwer DNS nie jest zainstalowany |
Zdane |
|
2.1.9 |
Upewnij się, że serwer FTP nie jest zainstalowany |
Zdane |
|
2.1.10 |
Upewnij się, że serwer HTTP nie jest zainstalowany |
Zdane |
|
2.1.11 |
Upewnij się, że serwer IMAP i POP3 nie są zainstalowane |
Zdane |
|
2.1.12 |
Upewnij się, że Samba nie jest zainstalowana |
Zdane |
|
2.1.13 |
Upewnij się, że serwer proxy HTTP nie jest zainstalowany |
Zdane |
|
2.1.14 |
Upewnij się, że serwer SNMP nie jest zainstalowany |
Zdane |
|
2.1.15 |
Upewnij się, że agent transferu poczty jest skonfigurowany dla trybu lokalnego |
Zdane |
|
2.1.16 |
Upewnij się, że usługa rsync nie jest zainstalowana |
Niepowodzenie |
|
2.1.17 |
Upewnij się, że serwer NIS nie jest zainstalowany |
Zdane |
|
2,2 |
Klienci usługi |
|
|
2.2.1 |
Upewnij się, że klient usługi NIS nie jest zainstalowany |
Zdane |
|
2.2.2 |
Upewnij się, że klient rsh nie jest zainstalowany |
Zdane |
|
2.2.3 |
Upewnij się, że klient rozmów nie jest zainstalowany |
Zdane |
|
2.2.4 |
Upewnij się, że klient telnet nie jest zainstalowany |
Niepowodzenie |
|
2.2.5 |
Upewnij się, że klient LDAP nie jest zainstalowany |
Zdane |
|
2.2.6 |
Upewnij się, że RPC nie jest zainstalowany |
Niepowodzenie |
Potencjalny wpływ operacyjny |
2.3 |
Upewnij się, że usługi nonessential zostały usunięte lub zamaskowane |
Zdane |
|
3 |
Konfiguracja sieci |
|
|
3.1 |
Wyłączanie nieużywanych protokołów sieciowych i urządzeń |
|
|
3.1.2 |
Upewnij się, że interfejsy bezprzewodowe są wyłączone |
Zdane |
|
3.2 |
Parametry sieci (tylko host) |
|
|
3.2.1 |
Upewnij się, że wysyłanie przekierowania pakietów jest wyłączone |
Zdane |
|
3.2.2 |
Upewnij się, że przekazywanie adresów IP jest wyłączone |
Niepowodzenie |
Nie dotyczy |
3.3 |
Parametry sieci (host i router) |
|
|
3.3.1 |
Upewnij się, że pakiety kierowane przez źródło nie są akceptowane |
Zdane |
|
3.3.2 |
Upewnij się, że przekierowania protokołu ICMP nie są akceptowane |
Zdane |
|
3.3.3 |
Upewnij się, że bezpieczne przekierowania protokołu ICMP nie są akceptowane |
Zdane |
|
3.3.4 |
Upewnij się, że są rejestrowane podejrzane pakiety |
Zdane |
|
3.3.5 |
Upewnij się, że żądania ICMP emisji są ignorowane |
Zdane |
|
3.3.6 |
Upewnij się, że fałszywe odpowiedzi protokołu ICMP są ignorowane |
Zdane |
|
3.3.7 |
Upewnij się, że włączono filtrowanie ścieżki odwrotnej |
Zdane |
|
3.3.8 |
Upewnij się, że włączono pliki cookie SYN protokołu TCP |
Zdane |
|
3.3.9 |
Upewnij się, że anonse routerów IPv6 nie są akceptowane |
Zdane |
|
3.4 |
Nietypowe protokoły sieciowe |
|
|
3.5 |
Konfiguracja zapory |
|
|
3.5.1 |
Konfigurowanie nieskomplikowanej aplikacjiFirewall |
|
|
3.5.1.1 |
Upewnij się, że zainstalowano aplikację ufw |
Zdane |
|
3.5.1.2 |
Upewnij się, że funkcja iptables-persistent nie jest zainstalowana w systemie ufw |
Zdane |
|
3.5.1.3 |
Upewnij się, że usługa ufw jest włączona |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.1.4 |
Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego ufw |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.1.5 |
Upewnij się, że skonfigurowano połączenia wychodzące ufw |
Nie dotyczy |
Pokryte gdzie indziej |
3.5.1.6 |
Upewnij się, że istnieją reguły zapory ufw dla wszystkich otwartych portów |
Nie dotyczy |
Pokryte gdzie indziej |
3.5.1.7 |
Upewnij się, że domyślne zasady odmowy zapory ufw |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2 |
Konfigurowanie tabel nftable |
|
|
3.5.2.1 |
Upewnij się, że zainstalowano tabele nftables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.2 |
Upewnij się, że ufw został odinstalowany lub wyłączony z tabelami nftable |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.3 |
Upewnij się, że tabele iptable są opróżniane za pomocą tabel nftable |
Nie dotyczy |
Pokryte gdzie indziej |
3.5.2.4 |
Upewnij się, że istnieje tabela nftables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.5 |
Upewnij się, że istnieją łańcuchy bazowe tabel nftables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.6 |
Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego tabel nftables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.7 |
Upewnij się, że skonfigurowano wychodzące tabele nftables i nawiązane połączenia |
Nie dotyczy |
Pokryte gdzie indziej |
3.5.2.8 |
Upewnij się, że domyślne zasady zapory odmowy tabel nftables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.9 |
Upewnij się, że usługa nftables jest włączona |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.2.10 |
Upewnij się, że reguły tabel nftables są trwałe |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3 |
Konfigurowanie tabel iptable |
|
|
3.5.3.1 |
Konfigurowanie oprogramowania iptables |
|
|
3.5.3.1.1 |
Upewnij się, że pakiety iptables są zainstalowane |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3.1.2 |
Upewnij się, że tabele nftables nie są zainstalowane z tabelami iptable |
Zdane |
|
3.5.3.1.3 |
Upewnij się, że ufw został odinstalowany lub wyłączony z tabelami iptable |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3.2 |
Konfigurowanie tabel ipPv4 |
|
|
3.5.3.2.1 |
Upewnij się, że domyślne zasady zapory odmowy iptables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3.2.2 |
Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego iptables |
Niepowodzenie |
Nie dotyczy |
3.5.3.2.3 |
Upewnij się, że skonfigurowano wychodzące i nawiązane połączenia iptables |
Nie dotyczy |
|
3.5.3.2.4 |
Upewnij się, że istnieją reguły zapory iptables dla wszystkich otwartych portów |
Niepowodzenie |
Potencjalny wpływ operacji |
3.5.3.3 |
Konfigurowanie tabel ip6 protokołu IPv6 |
|
|
3.5.3.3.1 |
Upewnij się, że ustawienia ip6tables domyślne zasady odmowy zapory |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3.3.2 |
Upewnij się, że skonfigurowano ruch sprzężenia zwrotnego ip6tables |
Niepowodzenie |
Pokryte gdzie indziej |
3.5.3.3.3 |
Upewnij się, że skonfigurowano wychodzące i nawiązane połączenia ip6tables |
Nie dotyczy |
Pokryte gdzie indziej |
3.5.3.3.4 |
Upewnij się, że istnieją reguły zapory ip6tables dla wszystkich otwartych portów |
Niepowodzenie |
Pokryte gdzie indziej |
100 |
Rejestrowanie i inspekcja |
|
|
4.1 |
Konfigurowanie ewidencjonowania aktywności systemu (inspekcja) |
|
|
4.1.1.2 |
Upewnij się, że inspekcja jest włączona |
|
|
4.1.2 |
Konfigurowanie przechowywania danych |
|
|
4.2 |
Konfigurowanie rejestrowania |
|
|
4.2.1 |
Konfigurowanie serwera rsyslog |
|
|
4.2.1.1 |
Upewnij się, że zainstalowano serwer rsyslog |
Zdane |
|
4.2.1.2 |
Upewnij się, że usługa rsyslog jest włączona |
Zdane |
|
4.2.1.3 |
Upewnij się, że rejestrowanie zostało skonfigurowane |
Zdane |
|
4.2.1.4 |
Upewnij się, że skonfigurowano domyślne uprawnienia pliku rsyslog |
Zdane |
|
4.2.1.5 |
Upewnij się, że serwer rsyslog jest skonfigurowany do wysyłania dzienników do hosta dziennika zdalnego |
Niepowodzenie |
Pokryte gdzie indziej |
4.2.1.6 |
Upewnij się, że zdalne komunikaty rsyslog są akceptowane tylko na wyznaczonych hostach dziennika. |
Nie dotyczy |
|
4.2.2 |
Konfigurowanie dziennika |
|
|
4.2.2.1 |
Upewnij się, że dziennik jest skonfigurowany do wysyłania dzienników do serwera rsyslog |
Zdane |
|
4.2.2.2 |
Upewnij się, że dziennik jest skonfigurowany do kompresowania dużych plików dziennika |
Niepowodzenie |
|
4.2.2.3 |
Upewnij się, że dziennik jest skonfigurowany do zapisywania plików dziennika na dysku trwałym |
Zdane |
|
4.2.3 |
Upewnij się, że skonfigurowano uprawnienia do wszystkich plików dziennika |
Niepowodzenie |
|
4.3 |
Upewnij się, że skonfigurowano logrotate |
Zdane |
|
4.4 |
Upewnij się, że logrotate przypisuje odpowiednie uprawnienia |
Niepowodzenie |
|
5 |
Dostęp, uwierzytelnianie i autoryzacja |
|
|
5,1 |
Konfigurowanie harmonogramów zadań opartych na czasie |
|
|
5.1.1 |
Upewnij się, że demon cron jest włączony i uruchomiony |
Zdane |
|
5.1.2 |
Upewnij się, że skonfigurowano uprawnienia na /etc/crontab |
Zdane |
|
5.1.3 |
Upewnij się, że skonfigurowano uprawnienia /etc/cron.hourly |
Zdane |
|
5.1.4 |
Upewnij się, że skonfigurowano uprawnienia /etc/cron.daily |
Zdane |
|
5.1.5 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/cron.weekly |
Zdane |
|
5.1.6 |
Upewnij się, że skonfigurowano uprawnienia /etc/cron.monthly |
Zdane |
|
5.1.7 |
Upewnij się, że skonfigurowano uprawnienia w pliku /etc/cron.d |
Zdane |
|
5.1.8 |
Upewnij się, że cron jest ograniczony do autoryzowanych użytkowników |
Niepowodzenie |
|
5.1.9 |
Upewnij się, że użytkownik jest ograniczony do autoryzowanych użytkowników |
Niepowodzenie |
|
5.2 |
Konfigurowanie programu sudo |
|
|
5.2.1 |
Upewnij się, że program sudo jest zainstalowany |
Zdane |
|
5.2.2 |
Upewnij się, że polecenia sudo używają pty |
Niepowodzenie |
Potencjalny wpływ operacyjny |
5.2.3 |
Upewnij się, że plik dziennika sudo istnieje |
Niepowodzenie |
|
5.3 |
Konfigurowanie serwera SSH |
|
|
5.3.1 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/ssh/sshd_config |
Zdane |
|
5.3.2 |
Upewnij się, że skonfigurowano uprawnienia do plików klucza prywatnego hosta SSH |
Zdane |
|
5.3.3 |
Upewnij się, że skonfigurowano uprawnienia do plików kluczy publicznego hosta SSH |
Zdane |
|
5.3.4 |
Upewnij się, że dostęp SSH jest ograniczony |
Zdane |
|
5.3.5 |
Upewnij się, że poziom loglevel protokołu SSH jest odpowiedni |
Zdane |
|
5.3.7 |
Upewnij się, że dla protokołu SSH MaxAuthTries ustawiono wartość 4 lub mniejszą |
Zdane |
|
5.3.8 |
Upewnij się, że hosty IgnoreRhost protokołu SSH są włączone |
Zdane |
|
5.3.9 |
Upewnij się, że host SSHbasedAuthentication jest wyłączony |
Zdane |
|
5.3.10 |
Upewnij się, że logowanie główne protokołu SSH jest wyłączone |
Zdane |
|
5.3.11 |
Upewnij się, że ustawienie SSH PermitEmptyPasswords jest wyłączone |
Zdane |
|
5.3.12 |
Upewnij się, że ustawienie SSH PermitUserEnvironment jest wyłączone |
Zdane |
|
5.3.13 |
Upewnij się, że są używane tylko silne szyfry |
Zdane |
|
5.3.14 |
Upewnij się, że są używane tylko silne algorytmy MAC |
Zdane |
|
5.3.15 |
Upewnij się, że są używane tylko silne algorytmy wymiany kluczy |
Zdane |
|
5.3.16 |
Upewnij się, że skonfigurowano interwał limitu czasu bezczynności protokołu SSH |
Niepowodzenie |
|
5.3.17 |
Upewnij się, że parametr SSH LoginGraceTime jest ustawiony na minutę lub mniej |
Zdane |
|
5.3.18 |
Upewnij się, że skonfigurowano transparent ostrzegawczy SSH |
Zdane |
|
5.3.19 |
Upewnij się, że włączono protokół SSH PAM |
Zdane |
|
5.3.21 |
Upewnij się, że skonfigurowano ustawienia MaxStartups protokołu SSH |
Niepowodzenie |
|
5.3.22 |
Upewnij się, że maksymalna liczba sSH jest ograniczona |
Zdane |
|
5,4 |
Konfigurowanie usługi PAM |
|
|
5.4.1 |
Upewnij się, że skonfigurowano wymagania dotyczące tworzenia haseł |
Zdane |
|
5.4.2 |
Upewnij się, że skonfigurowano blokadę dla nieudanych prób haseł |
Niepowodzenie |
|
5.4.3 |
Upewnij się, że ponowne użycie hasła jest ograniczone |
Niepowodzenie |
|
5.4.4 |
Upewnij się, że algorytm wyznaczania skrótów haseł to SHA-512 |
Zdane |
|
5,5 |
Konta użytkowników i środowisko |
|
|
5.5.1 |
Ustawianie parametrów zestawu haseł w tle |
|
|
5.5.1.1 |
Upewnij się, że skonfigurowano minimalną liczbę dni między zmianami haseł |
Zdane |
|
5.5.1.2 |
Upewnij się, że wygaśnięcie hasła wynosi 365 dni lub mniej |
Zdane |
|
5.5.1.3 |
Upewnij się, że liczba dni ostrzeżenia o wygaśnięciu hasła wynosi 7 lub więcej |
Zdane |
|
5.5.1.4 |
Upewnij się, że nieaktywna blokada hasła wynosi 30 dni lub mniej |
Zdane |
|
5.5.1.5 |
Upewnij się, że wszyscy użytkownicy ostatnio zmienili datę zmiany hasła w przeszłości |
Niepowodzenie |
|
5.5.2 |
Upewnij się, że konta systemowe są zabezpieczone |
Zdane |
|
5.5.3 |
Upewnij się, że domyślna grupa dla konta głównego to GID 0 |
Zdane |
|
5.5.4 |
Upewnij się, że domyślna maska użytkownika to 027 lub bardziej restrykcyjne |
Zdane |
|
5.5.5 |
Upewnij się, że domyślny limit czasu powłoki użytkownika wynosi 900 sekund lub mniej |
Niepowodzenie |
|
5,6 |
Upewnij się, że logowanie główne jest ograniczone do konsoli systemowej |
Nie dotyczy |
|
5.7 |
Upewnij się, że dostęp do polecenia su jest ograniczony |
Niepowodzenie |
Potencjalny wpływ operacji |
6 |
Konserwacja systemu |
|
|
6.1 |
Uprawnienia do plików systemowych |
|
|
6.1.2 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/passwd |
Zdane |
|
6.1.3 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/passwd |
Zdane |
|
6.1.4 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/group |
Zdane |
|
6.1.5 |
Upewnij się, że skonfigurowano uprawnienia dla /etc/group |
Zdane |
|
6.1.6 |
Upewnij się, że skonfigurowano uprawnienia do /etc/shadow |
Zdane |
|
6.1.7 |
Upewnij się, że skonfigurowano uprawnienia do /etc/shadow |
Zdane |
|
6.1.8 |
Upewnij się, że skonfigurowano uprawnienia w /etc/gshadow |
Zdane |
|
6.1.9 |
Upewnij się, że skonfigurowano uprawnienia w /etc/gshadow |
Zdane |
|
6.1.10 |
Upewnij się, że nie istnieją żadne pliki zapisywalne w świecie |
Niepowodzenie |
Potencjalny wpływ operacji |
6.1.11 |
Upewnij się, że nie istnieją żadne nieuowne pliki lub katalogi |
Niepowodzenie |
Potencjalny wpływ operacji |
6.1.12 |
Upewnij się, że nie istnieją żadne niezgrupowane pliki ani katalogi |
Niepowodzenie |
Potencjalny wpływ operacji |
6.1.13 |
Inspekcja plików wykonywalnych SUID |
Nie dotyczy |
|
6.1.14 |
Inspekcja plików wykonywalnych SGID |
Nie dotyczy |
|
6,2 |
Ustawienia użytkownika i grupy |
|
|
6.2.1 |
Upewnij się, że konta w /etc/passwd używają haseł w tle |
Zdane |
|
6.2.2 |
Upewnij się, że pola haseł nie są puste |
Zdane |
|
6.2.3 |
Upewnij się, że wszystkie grupy w /etc/passwd istnieją w /etc/group |
Zdane |
|
6.2.4 |
Upewnij się, że wszystkie katalogi główne użytkowników istnieją |
Zdane |
|
6.2.5 |
Upewnij się, że użytkownicy są właścicielami katalogów domowych |
Zdane |
|
6.2.6 |
Upewnij się, że uprawnienia katalogów domowych użytkowników są 750 lub bardziej restrykcyjne |
Zdane |
|
6.2.7 |
Upewnij się, że pliki kropkowe użytkowników nie są grupowalne ani nie są zapisywalne w świecie |
Zdane |
|
6.2.8 |
Upewnij się, że żaden użytkownik nie ma plików .netrc |
Zdane |
|
6.2.9 |
Upewnij się, że żaden użytkownik nie ma plików przekazywania dalej |
Zdane |
|
6.2.10 |
Upewnij się, że żaden użytkownik nie ma plików rhosts |
Zdane |
|
6.2.11 |
Upewnij się, że katalog główny jest jedynym kontem UID 0 |
Zdane |
|
6.2.12 |
Upewnij się, że integralność ścieżki głównej |
Zdane |
|
6.2.13 |
Upewnij się, że nie istnieją zduplikowane identyfikatory UID |
Zdane |
|
6.2.14 |
Upewnij się, że nie istnieją zduplikowane identyfikatory GID |
Zdane |
|
6.2.15 |
Upewnij się, że nie istnieją zduplikowane nazwy użytkowników |
Zdane |
|
6.2.16 |
Upewnij się, że nie istnieją zduplikowane nazwy grup |
Zdane |
|
6.2.17 |
Upewnij się, że grupa w tle jest pusta |
Zdane |
|