Linha de base de segurança do Linux
Cuidado
Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, consulte as diretrizes de fim de vida útil do CentOS.
Este artigo detalha as definições de configuração para convidados do Linux conforme aplicável nas seguintes implementações:
- [Versão prévia]: os computadores Linux devem atender aos requisitos da definição de configuração de convidados do Azure Policy na linha de base de segurança de computação do Azure
- As vulnerabilidades na configuração de segurança nos computadores devem ser corrigidas no Microsoft Defender para Nuvem
Para obter mais informações, consulte Configuração de convidado do Azure Policy e Visão geral do parâmetro de comparação de segurança do Azure (V2).
Controles gerais de segurança
| Nome (CCEID) |
Detalhes | Verificação das correções |
|---|---|---|
| Verifique se a opção nodev foi definida na partição /home. (1.1.4) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /home. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /home. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nodev foi definida na partição /tmp. (1.1.5) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nodev foi definida na partição /var/tmp. (1.1.6) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /var/tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nosuid foi definida na partição /tmp. (1.1.7) |
Descrição: como o filesystem /tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nosuid foi definida na partição /var/tmp. (1.1.8) |
Descrição: como o filesystem /var/tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção noexec foi definida na partição /var/tmp. (1.1.9) |
Descrição: como o filesystem /var/tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam executar binários executáveis em /var/tmp. |
Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção noexec foi definida na partição /dev/shm. (1.1.16) |
Descrição: definir esta opção em um sistema de arquivos impede que os usuários executem programas na memória compartilhada. Esse controle impede que os usuários introduzam software possivelmente mal-intencionado no sistema. | Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /dev/shm. Para obter mais informações, confira as página de manual fstab(5). |
| Desabilitar a montagem automática (1.1.21) |
Descrição: com a montagem automática habilitada, qualquer pessoa com acesso físico pode anexar uma unidade USB ou um disco e ter o conteúdo disponível no sistema, mesmo que não tenha permissões para montá-lo. | Desabilite o serviço autofs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
| Verifique se a montagem dos dispositivos de armazenamento USB foi desabilitada (1.1.21.1) |
Descrição: a remoção do suporte para dispositivos de armazenamento USB reduz a superfície de ataque local do servidor. | Edite ou crie um arquivo no diretório /etc/modprobe.d/ que termina em .conf e adicione install usb-storage /bin/true, em seguida, descarregue o módulo de armazenamento USB ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se os despejos de núcleo são restritos. (1.5.1) |
Descrição: definir um limite permanente nos despejos de núcleo impede que os usuários substituam a variável temporária. Se despejos de núcleo forem necessários, define limites para os grupos de usuários (confira limits.conf(5)). Além disso, definir variável fs.suid_dumpable como 0 evitará os despejos de núcleo dos programas setuid. |
Adicione hard core 0 a /etc/security/limits.conf ou um arquivo no diretório limits.d e defina fs.suid_dumpable = 0 em sysctl ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| Verifique se o Prelink está desabilitado. (1.5.4) |
Descrição: o recurso de Prelink pode interferir na operação do AIDE, pois altera os binários. O Prelink também pode aumentar a vulnerabilidade do sistema, se um usuário mal-intencionado comprometer uma biblioteca comum, como libc. | Desinstale prelink usando o gerenciador de pacotes ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
| Verifique se as permissões em /etc/motd foram configuradas. (1.7.1.4) |
Descrição: se o arquivo /etc/motd não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Defina o proprietário e o grupo de /etc/motd como raiz e defina as permissões como 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/issue foram configuradas. (1.7.1.5) |
Descrição: se o arquivo /etc/issue não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Defina o proprietário e o grupo de /etc/issue como raiz e defina as permissões como 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/issue.net foram configuradas. (1.7.1.6) |
Descrição: se o arquivo /etc/issue.net não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Defina o proprietário e o grupo de /etc/issue.net como raiz e defina as permissões como 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| A opção nodev deve estar habilitada para todas as mídias removíveis. (2.1) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) por meio da mídia removível | Adicione a opção nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| A opção noexec deve estar habilitada para todas as mídias removíveis. (2.2) |
Descrição: um invasor pode carregar o arquivo executável por meio da mídia removível | Adicione a opção noexec ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| A opção nosuid deve estar habilitada para todas as mídias removíveis. (2.3) |
Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado por meio da mídia removível | Adicione a opção nosuid ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se o cliente do Talk não foi instalado. (2.3.3) |
Descrição: o software apresenta um risco de segurança, pois usa protocolos não criptografados para comunicação. | Desinstale talk ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| Verifique se as permissões em /etc/hosts.allow foram configuradas. (3.4.4) |
Descrição: é crítico garantir que o arquivo /etc/hosts.allow seja protegido contra o acesso de gravação não autorizado. Embora protegidas por padrão, as permissões de arquivo podem ser alteradas inadvertidamente ou por meio de ações mal-intencionadas. |
Defina o proprietário e o grupo de /etc/hosts.allow como raiz e as permissões como 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/hosts.deny foram configuradas. (3.4.5) |
Descrição: é crítico garantir que o arquivo /etc/hosts.deny seja protegido contra o acesso de gravação não autorizado. Embora protegidas por padrão, as permissões de arquivo podem ser alteradas inadvertidamente ou por meio de ações mal-intencionadas. |
Defina o proprietário e o grupo de /etc/hosts.deny como raiz e as permissões como 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique a política de firewall de negação padrão (3.6.2) |
Descrição: com uma política de aceitação padrão, o firewall aceitará qualquer pacote que não seja negado explicitamente. É mais fácil manter um firewall seguro com uma política DROP padrão do que com uma política Allow padrão. | Definir a política padrão para o tráfego de entrada, de saída e roteado como deny ou reject, conforme apropriado, usando o software de firewall |
| A opção nodev/nosuid deve estar habilitada para todas as montagens NFS. (5) |
Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado ou dispositivos especiais por meio do sistema de arquivos remoto | Adicione as opções nosuid e nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se as permissões em /etc/ssh/sshd_config foram definidas. (5.2.1) |
Descrição: o arquivo /etc/ssh/sshd_config precisa ser protegido contra alterações não autorizadas por usuários sem privilégios. |
Defina o proprietário e o grupo de /etc/ssh/sshd_config como raiz e as permissões como 0600 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
| Verifique se os requisitos de criação de senha foram configurados. (5.3.1) |
Descrição: senhas fortes protegem os sistemas contra a invasão por meio de métodos de força bruta. | Defina os seguintes pares de chave/valor no PAM adequado para a distribuição: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| Verifique se o bloqueio de tentativas de senha com falha foi configurado. (5.3.2) |
Descrição: bloquear as IDs de usuário após n tentativas de logon consecutivas malsucedidas atenua os ataques de senha de força bruta nos sistemas. |
para Ubuntu e Debian, adicione os módulos pam_tally e pam_deny, conforme apropriado. Para todas as outras distribuições, veja a documentação da distribuição |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (cramfs) (6.1) |
Descrição: um invasor pode usar uma vulnerabilidade no cramfs para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desabilita o cramfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (freevxfs) (6.2) |
Descrição: um invasor pode usar uma vulnerabilidade no freevxfs para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desabilita o freevxfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se existem todos os diretórios base (6.2.7) |
Descrição: se o diretório inicial do usuário não existir ou não for atribuído, o usuário será colocado na raiz do volume. Além disso, o usuário não poderá gravar nenhum arquivo ou definir variáveis de ambiente. | Se não existirem diretórios base de usuários, crie-os e verifique se o respectivo usuário possui o diretório. Os usuários que não possuem diretório base atribuído devem ser removidos ou atribuídos a um diretório base conforme apropriado. |
| Verifique se os usuários possuem os diretórios base (6.2.9) |
Descrição: como o usuário é responsável pelos arquivos armazenados no diretório base do usuário, ele deve ser o proprietário do diretório. | Altere a propriedade dos diretórios base que não pertencem ao usuário definido para o usuário correto. |
| Verifique se os arquivos dot dos usuários não são um grupo ou um mundo gravável. (6.2.10) |
Descrição: arquivos de configuração do usuário de grupo ou mundo gravável podem permitir que usuários mal-intencionados roubem ou modifiquem os dados de outros usuários ou obtenham os privilégios de sistema de outro usuário. | Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, recomendamos que você estabeleça uma política de monitoramento para relatar permissões de arquivo dot do usuário e determinar ações de correção de política de site. |
| Verifique se os usuário não possuem arquivos .forward (6.2.11) |
Descrição: o uso do arquivo .forward representa um risco de segurança, pois os dados confidenciais podem ser transferidos inadvertidamente para fora da organização. O arquivo .forward também representa um risco porque pode ser usado para executar comandos que podem realizar ações não intencionais. |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .forward do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se os usuários não possuem arquivos .netrc (6.2.12) |
Descrição: o arquivo .netrc apresenta um risco de segurança significativo, pois armazena senhas em formato não criptografado. Mesmo se o FTP estiver desabilitado, as contas de usuário poderão ter trazido arquivos .netrc de outros sistemas que podem representar um risco para esses sistemas |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .netrc do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se os usuários não possem arquivos .rhosts (6.2.14) |
Descrição: essa ação só será significativa se o suporte .rhosts for permitido no arquivo /etc/pam.conf. Embora os arquivos .rhosts sejam ineficazes se o suporte estiver desabilitado em /etc/pam.conf, eles podem ter sido trazidos de outros sistemas e podem conter informações úteis para um invasor nesses outros sistemas. |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .rhosts do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se todos os grupos em /etc/passwd existem em /etc/Group (6.2.15) |
Descrição: os grupos definidos no arquivo /etc/passwd, mas não no arquivo /etc/group representam uma ameaça à segurança do sistema, pois as permissões do grupo não são gerenciadas corretamente. | Para cada grupo definido em /etc/passwd, verifique se há um grupo correspondente em /etc/group |
| Verifique se não existem UIDs duplicados (6.2.16) |
Descrição: os usuários devem receber UIDs exclusivos para prestação de contas e para garantir as proteções de acesso apropriadas. | Estabeleça UIDs exclusivos e examine todos os arquivos de propriedade dos UIDs compartilhados para determinar a qual UID eles devem pertencer. |
| Verifique se não existem GIDs duplicados (6.2.17) |
Descrição: os grupos devem receber GIDs exclusivos para prestação de contas e para garantir as proteções de acesso apropriadas. | Estabeleça GIDs exclusivos e examine todos os arquivos de propriedade dos GIDs compartilhados para determinar a qual GID eles devem pertencer. |
| Verifique se não existem nomes de usuário duplicados (6.2.18) |
Descrição: se um usuário receber um nome de usuário duplicado, ele criará e terá acesso aos arquivos com o primeiro UID para esse nome de usuário em /etc/passwd. Por exemplo, se 'test4' tiver um UID de 1.000 e uma entrada 'test4' subsequente tiver um UID de 2.000, fazer logon como 'test4 ' usará o UID 1.000. De fato, o UID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes de usuário exclusivos para todos os usuários. As propriedade de arquivo refletirão automaticamente a alteração, contanto que os usuários tenham UIDs exclusivos. |
| Verifique se não existem grupos duplicados (6.2.19) |
Descrição: se um grupo receber um nome de grupo duplicado, ele criará e terá acesso aos arquivos com o primeiro GID para esse grupo em /etc/group. De fato, o GID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes exclusivos para todos os grupos de usuários. As propriedade de grupo de arquivo refletirão automaticamente a alteração, contanto que os grupos tenham GIDs exclusivos. |
| Verifique se o grupo de sombra está vazio (6.2.20) |
Descrição: todos os usuários atribuídos ao grupo de sombra recebem acesso de leitura para o arquivo /etc/shadow. Se invasores obtiverem acesso de leitura ao arquivo /etc/shadow, poderão facilmente executar um programa de quebra de senha nas senhas com hash. Outras informações de segurança armazenadas no arquivo /etc/shadow (como expiração) também podem ser úteis para subverter outras contas de usuário. |
Remova todos os usuários do grupo de sombra |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (hfs) (6.3) |
Descrição: um invasor pode usar uma vulnerabilidade no hfs para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desabilita o hfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (hfsplus) (6.4) |
Descrição: um invasor pode usar uma vulnerabilidade no hfsplus para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desabilita o hfsplus ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (jffs2) (6.5) |
Descrição: um invasor pode usar uma vulnerabilidade no jffs2 para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desabilita o jffs2 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Os kernels só devem ser compilados em fontes aprovadas. (10) |
Descrição: um kernel de uma fonte não aprovada pode conter vulnerabilidades ou backdoors para conceder acesso a um invasor. | Instale o kernel fornecido pelo fornecedor de distribuição. |
| As permissões de arquivo /etc/shadow devem ser definidas como 0400 (11.1) |
Descrição: um invasor poderá recuperar ou manipular as senhas com hash do /etc/shadow se ele não estiver protegido corretamente. | Defina as permissões e a propriedade de /etc/shadow* ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| As permissões de arquivo /etc/shadow- devem ser definidas como 0400 (11.2) |
Descrição: um invasor poderá recuperar ou manipular as senhas com hash do /etc/shadow se ele não estiver protegido corretamente. | Defina as permissões e a propriedade de /etc/shadow* ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| As permissões de arquivo /etc/gshadow devem ser definidas como 0400 (11.3) |
Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade de /etc/gshadow- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| As permissões de arquivo /etc/gshadow- devem ser definidas como 0400 (11.4) |
Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade de /etc/gshadow ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| As permissões de arquivo /etc/passwd devem ser 0644 (12.1) |
Descrição: um invasor pode modificar os userIDs e shells de logon | Defina as permissões e a propriedade de /etc/passwd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| As permissões de arquivo /etc/group devem ser 0644 (12.2) |
Descrição: um invasor pode elevar os privilégios modificando a associação de grupo | Defina as permissões e a propriedade de /etc/group ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' |
| As permissões de arquivo /etc/passwd- devem ser definidas como 0600 (12.3) |
Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade de /etc/passwd- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| As permissões de arquivo /etc/group- devem ser 0644 (12.4) |
Descrição: um invasor pode elevar os privilégios modificando a associação de grupo | Defina as permissões e a propriedade de /etc/group- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms' |
| O acesso à conta raiz por meio de su deve ser restrito ao grupo 'root' (21) |
Descrição: um invasor pode escalonar as permissões por adivinhação de senha, se o su não estiver restrito aos usuários no grupo raiz. | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'. Esse controle adicionará a linha 'auth required pam_wheel.so use_uid' ao arquivo '/etc/pam.d/su' |
| O grupo 'raiz' deve existir e conter todos os membros que podem executar su na raiz (22) |
Descrição: um invasor pode escalonar as permissões por adivinhação de senha, se o su não estiver restrito aos usuários no grupo raiz. | Crie o grupo raiz por meio do comando 'groupadd -g 0 root' |
| Todas as contas devem ter uma senha (23.2) |
Descrição: um invasor pode fazer logon nas contas sem senha e executar comandos arbitrários. | Use o comando passwd para definir senhas para todas as contas |
| As contas que não são raiz devem ter UIDs exclusivos maiores que zero (0) (24) |
Descrição: se uma conta que não é raiz tiver um UID zero, um invasor poderá comprometer a conta e obter os privilégios de raiz. | Atribua UIDs exclusivos diferentes de zero para todas as contas não raiz, usando 'usermod-u' |
| O posicionamento aleatório de regiões de memória virtual deve estar habilitado (25) |
Descrição: um invasor pode gravar o código executável em regiões conhecidas na memória, resultando na elevação de privilégio | Adicione o valor '1' ou '2' ao arquivo '/proc/sys/kernel/randomize_va_space' |
| O suporte a kernel para o recurso do processador XD/NX deve estar habilitado (26) |
Descrição: um invasor pode fazer com que um sistema execute um código executável nas regiões de dados da memória, resultando na elevação de privilégio. | Confirme se o arquivo '/proc/cpuinfo' contém o sinalizador 'nx' |
| O '.' não deve ser exibido no $PATH da raiz (27.1) |
Descrição: um invasor pode elevar os privilégios colocando um arquivo mal-intencionado no $PATH da raiz | Modifique a linha 'export PATH=' em /root/.profile |
| Os diretórios base do usuário devem estar no modo 750 ou mais restritivo (28) |
Descrição: um invasor pode recuperar informações confidenciais das pastas base de outros usuários. | Defina as permissões da pasta base como 750 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| O umask padrão para todos os usuários deve ser definido como 077 em login.defs (29) |
Descrição: um invasor pode recuperar informações confidenciais dos arquivos pertencentes a outros usuários. | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'. Isso adicionará a linha 'UMASK 077' ao arquivo '/etc/login.defs' |
| Todos os carregadores de inicialização devem ter a proteção por senha habilitada. (31) |
Descrição: um invasor com acesso físico pode modificar as opções do carregador de inicialização, resultando no acesso irrestrito ao sistema | Adicione uma senha do carregador de inicialização ao arquivo '/boot/grub/grub.cfg' |
| Verifique se as permissões na configuração do carregador de inicialização foram definidas (31.1) |
Descrição: definir as permissões de leitura e gravação para a raiz impede que usuários não raiz vejam ou alterem os parâmetros de inicialização. Os usuários não raiz que leem os parâmetros de inicialização podem identificar os pontos fracos de segurança na inicialização e ser capazes de explorá-los. | Defina o proprietário e o grupo do carregador de inicialização como root:root e as permissões como 0400 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Verifique a autenticação necessária para o modo de usuário único. (33) |
Descrição: exigir autenticação no modo de usuário único impede que um usuário não autorizado inicialize o sistema no único usuário para obter privilégios raiz sem credenciais. | Execute o seguinte comando para definir uma senha para o usuário raiz: passwd root |
| Verifique se o envio de redirecionamento de pacotes foi desabilitado. (38.3) |
Descrição: um invasor pode usar um host comprometido para enviar redirecionamentos de ICMP inválidos para outros dispositivos de roteador, em uma tentativa de corromper o roteamento e fazer com que os usuários acessem um sistema configurado pelo invasor, em vez de um sistema válido. | Defina os seguintes parâmetros em /etc/sysctl.conf: 'net.ipv4.conf.all.send_redirects = 0' e 'net.ipv4.conf.default.send_redirects = 0' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| Enviar redirecionamentos de ICMP deve estar desabilitado para todas as interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Descrição: um invasor pode alterar essa tabela de roteamento do sistema, redirecionando o tráfego para um destino alternativo | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects'. |
| Enviar redirecionamentos de ICMP deve estar desabilitado para todas as interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Descrição: um invasor pode alterar essa tabela de roteamento do sistema, redirecionando o tráfego para um destino alternativo | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' |
| Aceitar pacotes roteados na origem deve estar desabilitado para todas as interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| Aceitar pacotes roteados na origem deve estar desabilitado para todas as interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para adaptadores de rede. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para adaptadores de rede. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| Ignorar as respostas de ICMP falsas para difusões deve estar habilitado. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Descrição: um invasor pode executar um ataque de ICMP resultante no DoS | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
| Ignorar as solicitações de eco de ICMP (pings) enviadas para endereços de difusão/multicast deve estar habilitado. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Descrição: um invasor pode executar um ataque de ICMP resultante no DoS | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| O registro em log de pacotes marcianos (aqueles com endereços impossíveis) deve estar habilitado para todas as interfaces. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Descrição: um invasor pode enviar tráfego de endereços falsificados sem ser detectado | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
| Realizar a validação de origem pelo caminho inverso deve ser habilitado para todas as interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Descrição: o sistema aceitará o tráfego dos endereços que não podem ser encaminhados. | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| Realizar a validação de origem pelo caminho inverso deve ser habilitado para todas as interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Descrição: o sistema aceitará o tráfego dos endereços que não podem ser encaminhados. | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| Os cookies TCP SYN devem ser habilitados. (net.ipv4.tcp_syncookies = 1) (47) |
Descrição: um invasor pode realizar um DoS sobre TCP | Execute sysctl -w key=value e defina como um valor em conformidade ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
| O sistema não deve atuar como sniffer (farejador) de rede. (48) |
Descrição: um invasor pode usar interfaces promíscuas para detectar o tráfego de rede | O modo promíscuo é habilitado por meio de uma entrada 'promisc' em '/etc/network/interfaces' ou '/etc/rc.local.' Verifique ambos os arquivos e remova essa entrada. |
| Todas as interfaces sem fio devem estar desabilitadas. (49) |
Descrição: um invasor pode criar um AP falso para interceptar as transmissões. | Confirme se todas as interfaces sem fio estão desabilitadas em '/etc/network/interfaces' |
| O protocolo IPv6 deve estar habilitado. (50) |
Descrição: isso é necessário para a comunicação em redes modernas. | Abra /etc/sysctl.conf e confirme se 'net.ipv6.conf.all.disable_ipv6' e 'net.ipv6.conf.default.disable_ipv6' foram definidos como 0 |
| Verifique se o DCCP está desabilitado (54) |
Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Edite ou crie um arquivo no diretório /etc/modprobe.d/ que termina em .conf e adicione install dccp /bin/true, em seguida, descarregue o módulo DCCP ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o SCTP está desabilitado (55) |
Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Edite ou crie um arquivo no diretório /etc/modprobe.d/ que termina em .conf e adicione install sctp /bin/true, em seguida, descarregue o módulo SCTP ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desabilite o suporte para RDS. (56) |
Descrição: um invasor pode usar uma vulnerabilidade no RDS para comprometer o sistema | Edite ou crie um arquivo no diretório /etc/modprobe.d/ que termina em .conf e adicione install rds /bin/true, em seguida, descarregue o módulo RDS ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o TIPC está desabilitado (57) |
Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Edite ou crie um arquivo no diretório /etc/modprobe.d/ que termina em .conf e adicione install tipc /bin/true, em seguida, descarregue o módulo TIPC ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o registro em log foi configurado (60) |
Descrição: uma grande quantidade de informações importantes relacionadas à segurança é enviada por meio do rsyslog (por exemplo, tentativas de su com êxito e com falha, tentativas de logon com falha, tentativas de logon raiz, etc.). |
Configure syslog, rsyslog ou syslog-ng conforme apropriado |
| O pacote syslog, rsyslog ou syslog-ng deve ser instalado. (61) |
Descrição: os problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Instale o pacote rsyslog ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
| O serviço systemd-journald deve ser configurado como persistir mensagens de log (61.1) |
Descrição: os problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Crie /var/log/journal e verificar se o Armazenamento em journald.conf é automático ou persistente |
| Verifique se um serviço de registro em log está habilitado (62) |
Descrição: é imperativo ter a capacidade de registrar eventos em um nó. | Habilite o pacote rsyslog ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
| As permissões de arquivo para todos os arquivos de log do rsyslog devem ser definidas como 640 ou 600. (63) |
Descrição: um invasor pode ocultar a atividade manipulando os logs | Adicione a linha '$FileCreateMode 0640' ao arquivo '/etc/rsyslog.conf' |
| Verifique se os arquivos de configuração do agente estão restritos. (63.1) |
Descrição: é importante garantir que os arquivos de log existam e tenham as permissões corretas para garantir que os dados confidenciais do syslog sejam arquivados e protegidos. | Defina os arquivos de configuração do agente como 0640 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' |
| Todos os arquivos de log do rsyslog devem pertencer ao grupo ADM. (64) |
Descrição: um invasor pode ocultar a atividade manipulando os logs | Adicione a linha '$FileGroup adm' ao arquivo '/etc/rsyslog.conf' |
| Todos os arquivos de log do rsyslog devem pertencer ao usuário do syslog. (65) |
Descrição: um invasor pode ocultar a atividade manipulando os logs | Adicione a linha '$FileOwner syslog' ao arquivo '/etc/rsyslog.conf' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| O rsyslog não deve aceitar mensagens remotas. (67) |
Descrição: um invasor pode injetar mensagens no syslog, causando um DoS ou uma distração de outra atividade | Remova as linhas '$ModLoad imudp' e '$ModLoad imtcp' do arquivo '/etc/rsyslog.conf' |
| O serviço logrotate (syslog rotater) deve estar habilitado. (68) |
Descrição: os logfiles podem aumentar sem limites e consumir todo o espaço em disco | Instale o pacote logrotate e confirme se a entrada logrotate cron está ativa (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| O serviço rlogin deve estar desabilitado. (69) |
Descrição: um invasor pode obter acesso, ignorando os rigorosos requisitos de autenticação | Remova o serviço inetd. |
| Desabilite o inetd, a menos que necessário. (inetd) (70.1) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd (apt-get remove inetd) |
| Desabilite o xinetd, a menos que necessário. (xinetd) (70.2) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço inetd (apt-get remove xinetd) |
| Instale o inetd somente se apropriado e exigido pela distribuição. Proteja de acordo com os padrões atuais de proteção. (se necessário) (71.1) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd (apt-get remove inetd) |
| Instale o xinetd somente se apropriado e exigido pela distribuição. Proteja de acordo com os padrões atuais de proteção. (se necessário) (71.2) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço inetd (apt-get remove xinetd) |
| O serviço telnet deve estar desabilitado. (72) |
Descrição: um invasor pode espionar ou sequestrar sessões Telnet não criptografadas | Remova ou comente a entrada Telnet no arquivo '/etc/inetd.conf' |
| Todos os pacotes Telnet devem ser desinstalados. (73) |
Descrição: um invasor pode espionar ou sequestrar sessões Telnet não criptografadas | Desinstale todos os pacotes Telnet |
| O serviço rcp/rsh deve estar desabilitado. (74) |
Descrição: um invasor pode espionar ou sequestrar sessões não criptografadas | Remova ou comente a entrada de shell no arquivo '/etc/inetd.conf' |
| O pacote rsh-server deve ser desinstalado. (77) |
Descrição: um invasor pode espionar ou sequestrar sessões rsh não criptografadas | Desinstale o pacote rsh-server (apt-get remove rsh-server) |
| O serviço ypbind deve estar desabilitado. (78) |
Descrição: um invasor pode recuperar informações confidenciais do serviço ypbind | Desinstale o pacote NIS (apt-get remover nis) |
| O pacote NIS deve ser desinstalado. (79) |
Descrição: um invasor pode recuperar informações confidenciais do serviço NIS | Desinstale o pacote NIS (apt-get remover nis) |
| O serviço tftp deve estar desabilitado. (80) |
Descrição: um invasor pode espionar ou sequestrar uma sessão não criptografada | Remover a entrada de TFTP do arquivo '/etc/inetd.conf' |
| O pacote tftpd deve ser desinstalado. (81) |
Descrição: um invasor pode espionar ou sequestrar uma sessão não criptografada | Desinstale o pacote tftpd (apt-get remove tftpd) |
| O pacote readahead-fedora deve ser desinstalado. (82) |
Descrição: o pacote não cria nenhuma exposição substancial, mas também não adiciona nenhum benefício substancial. | Desinstale o pacote readahead-fedora (apt-get remove readahead-fedora) |
| O serviço bluetooth/hidd deve estar desabilitado. (84) |
Descrição: um invasor pode interceptar ou manipular as comunicações sem fio. | Desinstale o pacote Bluetooth (apt-get remover bluetooth) |
| O serviço isdn deve estar desabilitado. (86) |
Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base (apt-get remove isdnutils-base) |
| O pacote isdnutils-base deve ser desinstalado. (87) |
Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base (apt-get remove isdnutils-base) |
| O serviço kdump deve estar desabilitado. (88) |
Descrição: um invasor pode analisar uma falha de sistema anterior para recuperar informações confidenciais | Desinstale o pacote kdump-tools (apt-get remove kdump-tools) |
| A rede zeroconf deve estar desabilitada. (89) |
Descrição: um invasor pode abusar disso para obter informações sobre sistemas em rede ou falsificar solicitações DNS devido a falhas no modelo de confiança | Para RedHat, CentOS e Oracle: adicione NOZEROCONF=yes or no ao /etc/sysconfig/network. Para todas as outras distribuições: remova as entradas 'ipv4ll' no arquivo '/etc/network/interfaces' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
| O serviço crond deve estar habilitado. (90) |
Descrição: quase todos os sistemas exigem o Cron para tarefas de manutenção regulares | Instale o pacote Cron (apt-get install-y cron) e confirme se o arquivo '/etc/init/cron.conf' contém a linha 'start on runlevel [2345]' |
| As permissões de arquivo para /etc/anacrontab devem ser definidas como root:root 600. (91) |
Descrição: um invasor pode manipular esse arquivo para impedir tarefas agendadas ou executar tarefas mal-intencionadas | Defina a propriedade e as permissões em /etc/anacrontab ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
| Verifique se as permissões em /etc/cron.d foram configuradas. (93) |
Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.d como raiz e as permissões como 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se as permissões em /etc/cron.daily foram configuradas. (94) |
Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.daily como raiz e as permissões como 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se as permissões em /etc/cron.hourly foram configuradas. (95) |
Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.hourly como raiz e as permissões como 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se as permissões em /etc/cron.monthly foram configuradas. (96) |
Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.monthly como raiz e as permissões como 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se as permissões em /etc/cron.weekly foram configuradas. (97) |
Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.weekly como raiz e as permissões como 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se at/cron está restrito aos usuários autorizados (98) |
Descrição: em muitos sistemas, somente o administrador do sistema está autorizado a agendar cron trabalhos. Usar o arquivo cron.allow para controlar quem pode executar cron trabalhos aplica essa política. É mais fácil gerenciar uma lista de permitidos do que uma lista de negações. Em uma lista de negações, é possível adicionar uma ID de usuário ao sistema e esquecer de adicioná-la aos arquivos de negação. |
Substitua/etc/cron.Deny e/etc/at.Deny por seus respectivos allow arquivos ou execute '/opt/Microsoft/omsagent/plugin/omsremediate-r Fix-Cron-Jobs-Allow ' |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'. Isso definirá 'Protocolo 2' no arquivo '/etc/ssh/sshd_config' |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso | Execute o comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'. Isso adicionará a linha 'IgnoreRhosts yes' ao arquivo '/etc/ssh/sshd_config' |
| Verifique se o LogLevel do SSH está definido como INFO (106.5) |
Descrição: o SSH fornece vários níveis de log com diferentes quantidades de detalhamento. DEBUG é especificamente não recomendável, além de estritamente para a depuração de comunicações SSH, pois fornece tantos dados que é difícil identificar informações de segurança importantes. O nível INFO é o nível básico que registra apenas a atividade de logon dos usuários do SSH. Em muitas situações, como na resposta a incidentes, é importante determinar quando um determinado usuário esteve ativo em um sistema. O registro de logout pode eliminar os usuários que se desconectaram, o que ajuda a restringir o campo. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros da seguinte maneira: LogLevel INFO |
| Certifique-se de que o MaxAuthTries do SSH esteja definido como 6 ou menos (106.7) |
Descrição: definir o parâmetro MaxAuthTries como um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Embora a configuração recomendada seja 4, defina o número com base na política do site. |
Verifique se o MaxAuthTries do SSH está definido como 6 ou menos Edite o arquivo /etc/ssh/sshd_config para definir o parâmetro da seguinte maneira: MaxAuthTries 6 |
| Garantir que o acesso SSH seja limitado (106.11) |
Descrição: restringir quais usuários podem acessar remotamente o sistema via SSH ajudará a garantir que somente usuários autorizados acessem o sistema. | Verifique se o acesso SSH está limitado Edite o arquivo /etc/ssh/sshd_config para definir um ou mais dos parâmetros da seguinte maneira: AllowUsers AllowGroups DenyUsers DenyGroups |
| A emulação do comando rsh por meio do servidor SSH deve ser desabilitada. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Descrição: um invasor pode usar falhas no protocolo RHosts para obter acesso | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'. Isso adicionará a linha 'RhostsRSAAuthentication no' to the file '/etc/ssh/sshd_config' |
| A autenticação baseada em host SSH deve ser desabilitada. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Descrição: um invasor pode usar a autenticação baseada em host para obter acesso de um host comprometido | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'. Isso adicionará a linha 'HostbasedAuthentication no' to the file '/etc/ssh/sshd_config' |
| O logon raiz via SSH deve ser desabilitado. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Descrição: um invasor pode forçar brutamente a senha raiz ou ocultar seu histórico de comandos fazendo logom diretamente como raiz | Execute o comando '/usr/local/bin/azsecd remediate -r disable-ssh-root-login'. Isso adicionará a linha 'PermitRootLogin no' to the file '/etc/ssh/sshd_config' |
| As conexões remotas de contas com senhas vazias devem ser desabilitadas. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Descrição: um invasor pode obter acesso por meio de adivinhação de senha | Execute o comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'. Isso adicionará a linha 'PermitEmptyPasswords no' to the file '/etc/ssh/sshd_config' |
| Verifique se o intervalo de tempo limite ocioso do SSH está configurado. (110.1) |
Descrição: não ter nenhum valor temporal associado a uma conexão pode permitir que um usuário não autorizado acesse a sessão SSH de outro usuário. Definir um valor temporal pelo menos reduz o risco de isso acontecer. Embora a configuração recomendada seja de 300 segundos (5 minutos), defina esse valor temporal com base na política do site. A configuração recomendada para ClientAliveCountMax é 0. Nesse caso, a sessão do cliente será encerrada após 5 minutos de tempo ocioso e nenhuma mensagem keepalive será enviada. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política |
| Verifique se o LoginGraceTime do SSH está definido para um minuto ou menos. (110.2) |
Descrição: definir o parâmetro LoginGraceTime como um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Ele também limitará o número de conexões não autenticadas simultâneas. Enquanto a configuração recomendada é de 60 segundos (1 minuto), delimite o número com base na política do site. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' |
| Verifique se apenas algoritmos MAX aprovados estão sendo usados (110.3) |
Descrição: algoritmos MAC de 96 bits e MD5 são considerados fracos e foram mostrados para aumentar a exploração em ataques de downgrade do SSH. Algoritmos fracos continuam a receber muita atenção como um ponto fraco que pode ser explorado com capacidade de computação expandida. Um invasor que interrompe o algoritmo pode aproveitar uma posição MiTM para descriptografar o túnel SSH e capturar credenciais e informações | Edite o arquivo /etc/sshd_config e adicione/modifique a linha MACs para conter uma lista separada por vírgulas dos MACs aprovados ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' |
| Verifique se a faixa de aviso de logon remoto foi configurada corretamente. (111) |
Descrição: as mensagens de aviso informam os usuários que estão tentando fazer logon no sistema sobre o status legal em relação ao sistema e devem incluir o nome da organização que possui o sistema e as políticas de monitoramento em vigor. Exibir as informações de nível de patch e do sistema operacional em faixas de logon também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atacar explorações específicas de um sistema. Os usuários autorizados podem obter essas informações facilmente executando o comando uname -a, depois de fazer logon. |
Remova todas as instâncias de \m \r \s e \v do arquivo /etc/issue.net |
| Verifique se a faixa de aviso de logon local foi configurada corretamente. (111.1) |
Descrição: as mensagens de aviso informam os usuários que estão tentando fazer logon no sistema sobre o status legal em relação ao sistema e devem incluir o nome da organização que possui o sistema e as políticas de monitoramento em vigor. Exibir as informações de nível de patch e do sistema operacional em faixas de logon também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atacar explorações específicas de um sistema. Os usuários autorizados podem obter essas informações facilmente executando o comando uname -a, depois de fazer logon. |
Remova todas as instâncias de \m \r \s e \v do arquivo /etc/issue |
| A faixa de aviso do SSH deve ser habilitada. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Descrição: os usuários não serão avisados de que suas ações no sistema são monitoradas | Execute o comando '/usr/local/bin/azsecd remediate -r configure-ssh-banner'. Isso adicionará a linha 'Banner /etc/azsec/banner.txt' to the file '/etc/ssh/sshd_config' |
| Os usuários não têm permissão para definir opções de ambiente para SSH. (112) |
Descrição: um invasor pode ser capaz de ignorar algumas restrições de acesso por SSH | Remova a linha 'PermitUserEnvironment yes' from the file '/etc/ssh/sshd_config' |
| As criptografias apropriadas devem ser usadas para SSH. (Criptografa aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Descrição: um invasor pode comprometer uma conexão SSH fracamente protegida | Execute o comando '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers'. Isso adicionará a linha 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' to the file '/etc/ssh/sshd_config' |
| O serviço avahi-daemon deve estar desabilitado. (114) |
Descrição: um invasor pode usar uma vulnerabilidade no avahi daemon para obter acesso | Desabilite o serviço avahi-daemon ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
| O serviço cups deve estar desabilitado. (115) |
Descrição: um invasor pode usar uma falha no serviço cups para elevar os privilégios | Desabilite o serviço cups ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
| O serviço isc-dhcpd deve estar desabilitado. (116) |
Descrição: um invasor pode usar o dhcpd para fornecer informações com falha aos clientes, interferindo na operação normal. | Remova o pacote isc-dhcp-server (apt-get remove isc-dhcp-server) |
| O pacote isc-dhcp-server deve ser desinstalado. (117) |
Descrição: um invasor pode usar o dhcpd para fornecer informações com falha aos clientes, interferindo na operação normal. | Remova o pacote isc-dhcp-server (apt-get remove isc-dhcp-server) |
| O pacote sendmail deve ser desinstalado. (120) |
Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Desinstalar o pacote sendmail (apt-get remove sendmail) |
| O pacote postfix deve ser desinstalado. (121) |
Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Desinstale o pacote postfix (apt-get remove postfix) ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
| A escuta de rede postfix deve estar desabilitada conforme apropriado. (122) |
Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Adicione a linha 'inet_interfaces localhost' ao arquivo '/etc/postfix/main.cf' |
| O serviço ldap deve estar desabilitado. (124) |
Descrição: um invasor pode manipular o serviço LDAP neste host para distribuir dados falsos para os clientes LDAP | Desinstalar o pacote slapd (apt-get remove slapd) |
| O serviço rpcgssd deve estar desabilitado. (126) |
Descrição: um invasor pode usar uma falha no rpcgssd/nfs para obter acesso | Desabilite o serviço rpcgssd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
| O serviço rpcgssd deve estar desabilitado. (127) |
Descrição: um invasor pode usar uma falha no idmapd/nfs para obter acesso | Desabilite o serviço rpcidmapd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
| O serviço portmap deve estar desabilitado. (129.1) |
Descrição: um invasor pode usar uma falha no portmap para obter acesso | Desabilite o serviço rpcbind ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
| O serviço NFS (Sistema de Arquivos de Rede) deve ser desabilitado. (129.2) |
Descrição: um invasor pode usar o NFS para montar compartilhamentos e executar/copiar arquivos. | Desabilite o serviço nfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' |
| O serviço portmap deve estar desabilitado. (130) |
Descrição: um invasor pode usar uma falha no rpcsvcgssd para obter acesso | Remova a linha 'NEED_SVCGSSD = yes' do arquivo '/etc/inetd.conf' |
| O serviço nomeado deve estar desabilitado. (131) |
Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos para os clientes | Desinstale o pacote bind9 (apt-get remove bind9) |
| O pacote bind deve ser desinstalado. (132) |
Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos para os clientes | Desinstale o pacote bind9 (apt-get remove bind9) |
| O serviço dovecot deve estar desabilitado. (137) |
Descrição: o sistema pode ser usado como servidor IMAP/POP3 | Desinstale o pacote dovecot-core (apt-get remove dovecot-core) |
| O pacote dovecot deve ser desinstalado. (138) |
Descrição: o sistema pode ser usado como servidor IMAP/POP3 | Desinstale o pacote dovecot-core (apt-get remove dovecot-core) |
Verifique se não existem entradas + herdadas em /etc/passwd(156.1) |
Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/passwd que começam com '+:' |
Verifique se não existem entradas + herdadas em /etc/shadow(156.2) |
Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/shadow que começam com '+:' |
Verifique se não existem entradas + herdadas em /etc/group(156.3) |
Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/group que começam com '+:' |
| Verifique se a expiração da senha é de 365 dias ou menos. (157.1) |
Descrição: reduzir a idade máxima de uma senha também reduz a janela de oportunidade de um invasor aproveitar as credenciais comprometidas ou comprometer com êxito as credenciais por meio de um ataque de força bruta online. | Defina o parâmetro PASS_MAX_DAYS como no máximo 365 em /etc/login.defs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' |
| Verifique se o tempo de aviso de expiração da senha é de 7 dias ou mais. (157.2) |
Descrição: fornecer um aviso antecipado de que uma senha expirará dá tempo aos usuários para pensar uma senha segura. Usuários pegos de surpresa podem escolher uma senha simples ou anotá-la onde possa ser descoberta. | Defina o parâmetro PASS_WARN_AGE como 7 em /etc/login.defs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' |
| Verifique se a reutilização de senha é limitada. (157.5) |
Descrição: forçar os usuários a não reutilizar as últimas cinco senhas torna menos provável que um invasor possa adivinhar a senha. | Verifique se a opção 'remember' foi definida como pelo menos 5 em /etc/pam.d/common-password ou em /etc/pam.d/password_auth e /etc/pam.d/system_auth ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' |
| Verifique se o algoritmo de hash da senha é SHA-512 (157.11) |
Descrição: o algoritmo SHA-512 fornece um hash muito mais forte que o MD5, portanto, fornece proteção adicional ao sistema, aumentando o nível de esforço de um invasor para determinar as senhas com êxito. Observação: essas alterações se aplicam somente às contas configuradas no sistema local. | Defina o algoritmo de hash da senha como SHA512. Muitas distribuições fornecem ferramentas para atualizar a configuração do PAM, veja a documentação para obter detalhes. Se uma ferramenta não foi fornecida, edite o arquivo de configuração /etc/pam.d/ apropriado e adicione ou modifique as linhas pam_unix.so para incluir a opção sha512: password sufficient pam_unix.so sha512 |
| Verifique se o mínimo de dias entre as alterações de senha é 7 ou mais. (157.12) |
Descrição: ao restringir a frequência de alterações de senha, um administrador pode impedir que os usuários alterem a senha repetidamente, em uma tentativa de contornar os controles de reutilização de senha. | Defina o parâmetro PASS_MIN_DAYS como 7 em /etc/login.defs: PASS_MIN_DAYS 7. Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder a: chage --mindays 7 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' |
| Verifique se a última data de alteração de senha de todos os usuários está no passado (157.14) |
Descrição: se uma data de alteração de senha registrada pelos usuários estiver no futuro, eles poderão ignorar qualquer expiração de senha definida. | Verifique se o bloqueio de senha inativo é de 30 dias ou menos. Execute o seguinte comando para definir o período de inatividade de senha padrão como 30 dias: # useradd -D -f 30. Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder a: # chage --inactive 30 |
| Verifique se as contas do sistema são de não logon (157.15) |
Descrição: é importante verificar se as contas que não estão sendo usadas por usuários regulares são impedidas de ser usadas para fornecer um shell interativo. Por padrão, o Ubuntu define o campo de senha para essas contas como uma cadeia de caracteres inválida, mas também é recomendável que o campo shell no arquivo de senha seja definido como /usr/sbin/nologin. Isso impede que a conta seja usada possivelmente para executar qualquer comando. |
Defina o shell para as contas retornadas pelo script de auditoria como /sbin/nologin |
| Verifique se o grupo padrão da conta raiz é GID 0 (157.16) |
Descrição: usar o GID 0 para a conta _root_ ajuda a impedir que arquivos pertencentes a _root_ se tornem acidentalmente acessíveis a usuários sem privilégios. |
Execute o comando a seguir para definir o grupo padrão do usuário root como GID 0: # usermod -g 0 root |
| Verifique se a raiz é a única conta UID 0 (157.18) |
Descrição: esse acesso deve ser limitado apenas à conta padrão root e somente no console do sistema. O acesso administrativo deve ser por meio de uma conta sem privilégios, usando um mecanismo aprovado. |
Remova qualquer usuário que não seja root com o UID 0 ou atribua a eles um novo UID, se apropriado. |
| Remova as contas desnecessárias (159) |
Descrição: para conformidade | Remova as contas desnecessárias |
| Verifique se o serviço auditd está habilitado (162) |
Descrição: a captura de eventos do sistema fornece aos administradores do sistema informações para que determinem se o sistema está sendo acesso por usuários não autorizados. | Instale o pacote de auditoria (systemctl enable auditd) |
| Execute o serviço AuditD (163) |
Descrição: a captura de eventos do sistema fornece aos administradores do sistema informações para que determinem se o sistema está sendo acesso por usuários não autorizados. | Execute o serviço AuditD (systemctl start auditd) |
| Verifique se o servidor SNMP não está habilitado (179) |
Descrição: o servidor SNMP pode se comunicar usando o SNMP v1, que transmite dados claramente e não requer autenticação para executar comandos. A menos que seja absolutamente necessário, é recomendável que o serviço SNMP não seja usado. Se o SNMP for necessário, o servidor deverá ser configurado para proibir o SNMP v1. | Execute um dos seguintes comandos para desabilitar snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Verifique se o serviço rsync não está habilitado (181) |
Descrição: o serviço rsyncd apresenta um risco de segurança, pois usa protocolos não criptografados para comunicação. |
Execute um dos seguintes comandos para desabilitar rsyncd: chkconfig rsyncd off, systemctl disable rsyncd, update-rc.d rsyncd disable ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| Verifique se o servidor NIS não está habilitado (182) |
Descrição: o serviço NIS é inerentemente um sistema inseguro, que era vulnerável a ataques de DOS e estouros de buffer, além de ter autenticação inadequada para consultar mapas NIS. Em geral, o NIS é substituído por protocolos como LDAP (Lightweight Directory Access Protocol). É recomendável que o serviço seja desabilitado e serviços mais seguros sejam usados | Execute um dos seguintes comandos para desabilitar ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Verifique se o cliente rsh não foi instalado (183) |
Descrição: esses clientes herdados contêm várias exposições de segurança e foram substituídos pelo pacote SSH mais seguro. Mesmo que o servidor seja removido, é melhor garantir que os clientes também sejam removidos para impedir que os usuários tentem usar esses comandos inadvertidamente e, portanto, expondo as credenciais. Observe que a remoção do pacote rsh remove os clientes para rsh, rcp e rlogin. |
Desinstale rsh usando o gerenciador de pacotes apropriado ou a instalação manual: yum remove rshapt-get remove rshzypper remove rsh |
| Desabilite o SMB v1 com Samba (185) |
Descrição: o SMB v1 tem vulnerabilidades graves bem conhecidas e não criptografa dados em trânsito. Se tiver que ser usado por motivos comerciais, é altamente recomendável que etapas adicionais sejam seguidas para atenuar os riscos inerentes a esse protocolo. | Se o Samba não estiver em execução, remova o pacote. Caso contrário, deve haver uma linha na seção [global] de /etc/samba/smb.conf: min protocol = SMB2 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Observação
A disponibilidade de definições específicas de configuração do convidado do Azure Policy pode variar no Azure Government e em outras nuvens nacionais.
Próximas etapas
Artigos adicionais sobre Azure Policy e configuração de convidado:
- Configuração de convidado do Azure Policy.
- Visão geral da Conformidade Regulatória.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.