Базовые показатели безопасности Linux
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
В этой статье описаны параметры конфигурации для гостевых систем Linux, применимые в следующих реализациях:
- [Предварительная версия] Компьютеры Linux должны соответствовать требованиям к базовой конфигурации безопасности вычислений Azure. Определение гостевой конфигурации Политики Azure.
- Уязвимости в конфигурации безопасности на компьютерах должны быть исправлены в Microsoft Defender для облака
Дополнительные сведения см. в разделах Конфигурация гостя политики Azure и Обзор производительности системы безопасности Azure (версия 2).
Общие средства управления безопасностью
| Имя. (CCEID) |
Сведения | Проверка исправления |
|---|---|---|
| Убедитесь, что для раздела /home установлен параметр nodev. (1.1.4) |
Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /home. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /home. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /tmp установлен параметр nodev. (1.1.5) |
Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /tmp. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр nodev. (1.1.6) |
Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /var/tmp. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /tmp установлен параметр nosuid. (1.1.7) |
Описание. Так как файловая система /tmp предназначена только для временного хранилища файлов, задайте этот параметр, чтобы пользователи не могли создавать файлы setuid в /var/tmp. | Измените файл /etc/fstab, добавив nosuid в четвертое поле (параметры подключения) строки для раздела /tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр nosuid. (1.1.8) |
Описание. Так как файловая система /var/tmp предназначена только для временного хранилища файлов, задайте этот параметр, чтобы пользователи не могли создавать файлы setuid в /var/tmp. | Измените файл /etc/fstab, добавив параметр nosuid в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр noexec. (1.1.9) |
Описание. Так как /var/tmp файловая система предназначена только для временного хранилища файлов, установите этот параметр, чтобы убедиться, что пользователи не могут запускать исполняемые двоичные файлы из /var/tmp . |
Измените файл /etc/fstab, добавив параметр noexec в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /dev/shm установлен параметр noexec. (1.1.16) |
Описание: при установке этого параметра для файловой системы пользователям запрещается запускать программы из общей памяти. Этот элемент управления позволяет пользователям вводить потенциально вредоносное программное обеспечение в системе. | Измените файл /etc/fstab, добавив параметр noexec в четвертое поле (параметры подключения) строки для раздела /dev/shm. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Отключение автоподключения (1.1.21) |
Описание: при использовании автоподключения любой пользователь с физическим доступом к компьютеру может подключить к нему USB-носитель или диск и сделать его содержимое доступным в системе, даже не имея полномочий на подключение устройств. | Отключите службу autofs или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs". |
| Убедитесь, что возможность подключения USB-носителей отключена. (1.1.21.1) |
Описание: удаление поддержки USB-носителей сокращает направления атак на локальный сервер. | Измените или создайте файл с расширением .conf в каталоге /etc/modprobe.d/, добавив в него строку install usb-storage /bin/true, а затем выгрузите модуль usb-storage или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Убедитесь, что дамп ядра ограничен. (1.5.1) |
Описание: установка жесткого ограничения на дампы ядра не позволяет пользователям переопределять мягко заданную переменную. Если вам нужны дампы ядра, попробуйте применить лимиты для групп пользователей (см. limits.conf(5)). Кроме того, можно присвоить переменной fs.suid_dumpable значение 0, чтобы предотвратить создание дампов ядра программами setuid. |
Добавьте строку hard core 0 в файл /etc/security/limits.conf или в файл в каталоге limits.d, а также задайте fs.suid_dumpable = 0 в sysctl или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps". |
| Убедитесь, что предкомпоновка отключена. (1.5.4) |
Описание: функция предкомпоновки может мешать работе AIDE, так как она изменяет двоичные файлы. Кроме того, предкомпоновка может повысить уязвимость системы, если пользователь-злоумышленник сумеет изменить общую библиотеку, например libc. | Удалите prelink с помощью диспетчера пакетов или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink". |
| Убедитесь, что для /etc/motd настроены разрешения. (1.7.1.4) |
Описание. Если /etc/motd файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте для файла /etc/motd владельца root и группу root, а также укажите разрешения 0644 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Убедитесь, что для /etc/issue настроены разрешения. (1.7.1.5) |
Описание. Если /etc/issue файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте для файла /etc/issue владельца root и группу root, а также укажите разрешения 0644 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Убедитесь, что для /etc/issue.net настроены разрешения. (1.7.1.6) |
Описание. Если /etc/issue.net файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте для файла /etc/issue.net владельца root и группу root, а также укажите разрешения 0644 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Параметр nodev нужно включить для всех съемных носителей. (2.1) |
Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) через съемный носитель. | Добавьте параметр nodev в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Параметр noexec нужно включить для всех съемных носителей. (2.2) |
Описание: злоумышленник может загрузить исполняемый файл через съемный носитель. | Добавьте параметр noexec в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Для всех съемных носителей нужно включить параметр nosuid. (2.3) |
Описание: злоумышленник может загружать через съемный носитель файлы, которые выполняются в контексте безопасности с повышенными правами. | Добавьте параметр nosuid в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что не установлен клиент talk. (2.3.3) |
Описание: это программное обеспечение представляет угрозу безопасности, так как использует незашифрованные протоколы для обмена данными. | Удалите программу talk или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk". |
| Убедитесь, что для /etc/hosts.allow настроены разрешения. (3.4.4) |
Описание. Важно убедиться, что /etc/hosts.allow файл защищен от несанкционированного доступа на запись. Хотя он защищен по умолчанию, разрешения файлов могут быть изменены случайно или с помощью вредоносных действий. |
Задайте для файла /etc/hosts.allow владельца root и группу root, а также укажите разрешения 0644 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Убедитесь, что для /etc/hosts.deny настроены разрешения. (3.4.5) |
Описание. Важно убедиться, что /etc/hosts.deny файл защищен от несанкционированного доступа на запись. Хотя он защищен по умолчанию, разрешения файлов могут быть изменены случайно или с помощью вредоносных действий. |
Задайте для файла /etc/hosts.deny владельца root и группу root, а также укажите разрешения 0644 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions". |
| Примените политику брандмауэра с запретом по умолчанию. (3.6.2) |
Описание: при использовании политики принятия по умолчанию брандмауэр будет принимать любой пакет, который не запрещен явно. Проще поддерживать безопасный брандмауэр с политикой DROP по умолчанию, чем с политикой разрешения по умолчанию. | В политике по умолчанию для входящего, исходящего и маршрутизируемого трафика настройте действие deny или reject в зависимости от используемого программного обеспечения брандмауэра. |
| Для всех подключений NFS нужно включить параметр nodev/nosuid. (5) |
Описание: злоумышленник может загружать через удаленную файловую систему файлы, которые выполняются в контексте безопасности с повышенными правами, или специальные устройства. | Добавьте параметры nosuid и nodev в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что в настроены разрешения для /etc/ssh/sshd_config. (5.2.1) |
Описание: файл /etc/ssh/sshd_config должен быть защищен от несанкционированного изменения непривилегированными пользователями. |
Задайте для файла /etc/ssh/sshd_config владельца root и группу root, а также укажите разрешения 0600 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions". |
| Убедитесь, что настроены требования к созданию пароля. (5.3.1) |
Описание: надежные пароли защищают системы от атак методом подбора. | Задайте следующие пары "ключ-значение" в системе Privileged Access Management для своего дистрибутива: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1. Или же выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements". |
| Убедитесь, что настроена блокировка для неудачных попыток ввода пароля. (5.3.2) |
Описание: блокировка идентификаторов пользователей после n неудачных попыток входа в систему снижает риск атак методом подбора пароля. |
Для Ubuntu и Debian добавьте необходимые модули pam_tally и pam_deny. Для остальных дистрибутивов воспользуйтесь соответствующей документацией. |
| Отключите установку и использование файловых систем, которые не требуются (cramfs) (6.1) |
Описание: злоумышленник может использовать уязвимости cramfs, чтобы получить повышенные привилегии. | Добавьте в каталог /etc/modprob.d файл, который отключает cramfs, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Отключите установку и использование файловых систем, которые не требуются (freevxfs) (6.2) |
Описание: злоумышленник может использовать уязвимости freevxfs, чтобы получить повышенные привилегии. | Добавьте в каталог /etc/modprob.d файл, который отключает freevxfs, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Убедитесь, что у всех пользователей есть домашние каталоги. (6.2.7) |
Описание. Если домашний каталог пользователя не существует или не назначен, пользователь будет помещен в корневой каталог тома. Кроме того, пользователь не сможет записывать файлы или задавать переменные среды. | Если домашние каталоги пользователей не существуют, создайте их и убедитесь, что соответствующий пользователь владеет каталогом. Пользователей, для которых не назначен домашний каталог, необходимо удалить. Или же нужно назначить для них домашний каталог. |
| Убедитесь, что все пользователи владеют своими домашними каталогами. (6.2.9) |
Описание: так как пользователь несет ответственность за файлы, сохраненные в его домашнем каталоге, такому пользователю требуются права владельца на этот каталог. | Измените владение любыми домашними каталогами, не принадлежащими определенному пользователю, на правильного пользователя. |
| Убедитесь, что файлы точек пользователей не являются групповыми или мировыми записываемыми. (6.2.10) |
Описание: если для пользовательских файлов конфигурации установлены права на запись для группы или для всех пользователей, злоумышленник сможет украсть или изменить данные других пользователей или получить полномочия другого пользователя в системе. | Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому мы рекомендуем установить политику мониторинга, чтобы сообщить о разрешениях пользователя dot file и определить действия по исправлению политики сайта. |
| Убедитесь, что у пользователей нет файлов FORWARD. (6.2.11) |
Описание: использование файла .forward представляет риск безопасности, так как конфиденциальные данные могут быть случайно переданы за пределы организации. Кроме того, файл .forward создает риск использования для запуска команд, выполняющих нежелательные действия. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .forward и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что у пользователей нет файлов NETRC. (6.2.12) |
Описание: файл .netrc представляет существенный риск безопасности, так как пароли в нем хранятся в незашифрованном виде. Даже если FTP отключен, учетные записи пользователей, возможно, перенесли .netrc файлы из других систем, которые могут представлять угрозу для этих систем. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .netrc и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что у пользователей нет файлов RHOSTS. (6.2.14) |
Описание: это действие имеет смысл, только если в файле /etc/pam.conf разрешена поддержка .rhosts. Хотя файлы .rhosts недействительны при отключенной в /etc/pam.conf поддержке, они могли быть перенесены из других систем и могут содержать полезную для злоумышленников информацию об этих системах. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .rhosts и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что все включенные в файл /etc/passwd группы существуют в файле /etc/group. (6.2.15) |
Описание. Группы, определенные в файле /etc/passwd, но не в файле /etc/group, представляют угрозу системной безопасности, так как разрешения группы не управляются должным образом. | Для каждой группы, определенной в /etc/passwd, должна существовать соответствующая группа в /etc/group. |
| Убедитесь, что отсутствуют повторяющиеся идентификаторы UID. (6.2.16) |
Описание: пользователям необходимо назначать уникальные идентификаторы UID, чтобы гарантировать правильное управление отчетностью и защитой доступа. | Обеспечьте уникальность идентификаторов UID и проверьте все файлы, принадлежащие совместно используемым идентификаторам, чтобы определить, к какому UID они должны относиться. |
| Убедитесь, что отсутствуют повторяющиеся идентификаторы GID. (6.2.17) |
Описание: группам должны быть присвоены уникальные идентификаторы GID, чтобы гарантировать правильное управление отчетностью и защитой доступа. | Обеспечьте уникальность идентификаторов GID и проверьте все файлы, принадлежащие совместно используемым идентификаторам, чтобы определить, к какому GID они должны относиться. |
| Убедитесь, что имена пользователей не дублируются. (6.2.18) |
Описание: если назначить пользователю уже существующее имя пользователя, он будет успешно создан и получит доступ ко всем файлам, принадлежащим пользователю с первым UID и таким именем пользователя в файле /etc/passwd. Например, если уже существует пользователь с именем test4 и идентификатором UID 1000, а затем создается пользователь с именем test4 и идентификатором UID 2000, то при входе с именем test4 будет использоваться идентификатор UID 1000. Фактически этот идентификатор UID будет общим, что является проблемой безопасности. |
Укажите уникальные имена пользователя для всех пользователей. Такие изменения будут автоматически применены к владению файлами, если у пользователей уникальные идентификаторы UID. |
| Убедитесь, что группы не дублируются. (6.2.19) |
Описание: если назначить группе уже существующее имя группы, она будет успешно создана и получит доступ ко всем файлам, принадлежащим группе с первым GID и таким именем в файле /etc/group. Фактически этот идентификатор GID будет общим, что является проблемой безопасности. |
Укажите уникальные имена для всех групп. Такие изменения будут автоматически применены к групповому владению файлами, если у групп уникальные идентификаторы GID. |
| Убедитесь, что группа shadow пуста. (6.2.20) |
Описание: всем пользователям, которым назначена группа shadow, предоставляется доступ на чтение файла/etc/shadow. Получив доступ на чтение к файлу /etc/shadow, злоумышленник легко сможет запустить программу взлома пароля по хэшированным значениям паролей. Другие сведения о безопасности, хранящиеся в /etc/shadow файле (например, истечение срока действия), также могут быть полезны для подрыва других учетных записей пользователей. |
Удалите всех пользователей из группы shadow. |
| Отключите установку и использование файловых систем, которые не требуются (hfs) (6.3) |
Описание: злоумышленник может использовать уязвимости hfs, чтобы получить повышенные привилегии. | Добавьте в каталог /etc/modprob.d файл, который отключает hfs, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Отключите установку и использование файловых систем, которые не требуются (hfsplus) (6.4) |
Описание: злоумышленник может использовать уязвимости hfsplus, чтобы получить повышенные привилегии. | Добавьте в каталог /etc/modprob.d файл, который отключает hfsplus, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Отключите установку и использование файловых систем, которые не требуются (jffs2) (6.5) |
Описание: злоумышленник может использовать уязвимости jffs2, чтобы получить повышенные привилегии. | Добавьте в каталог /etc/modprob.d файл, который отключает jffs2, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Ядра должны компилироваться только из утвержденных источников. (10) |
Описание: ядро из неутвержденного источника может содержать уязвимости или черные ходы, предоставляющие доступ злоумышленникам. | Устанавливайте только те ядра, которые предоставляет поставщик дистрибутива. |
| Для файла /etc/shadow следует задать разрешения 0400. (11.1) |
Описание. Злоумышленник может получить хэшированные пароли из /etc/shadow, если он неправильно защищен. | Задайте правильные разрешения и владение для файла /etc/shadow* или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms". |
| Для файла /etc/shadow- следует задать разрешения 0400. (11.2) |
Описание. Злоумышленник может получить хэшированные пароли из /etc/shadow, если он неправильно защищен. | Задайте правильные разрешения и владение для файла /etc/shadow* или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms". |
| Для файла /etc/gshadow следует задать разрешения 0400. (11.3) |
Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте правильные разрешения и владение для файла /etc/gshadow- или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms". |
| Для файла /etc/gshadow- следует задать разрешения 0400. (11.4) |
Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте правильные разрешения и владение для файла /etc/gshadow или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms". |
| Для файла /etc/passwd следует задать разрешения 0644. (12.1) |
Описание: злоумышленник может изменять идентификаторы пользователей и оболочки для входа | Задайте правильные разрешения и владение для файла /etc/passwd или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms". |
| Для файла /etc/group следует задать разрешения 0644. (12.2) |
Описание: злоумышленник может получать повышенные привилегии, изменяя членство в группах | Задайте правильные разрешения и владение для файла /etc/group или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms". |
| Для файла /etc/passwd- следует задать разрешения 0600. (12.3) |
Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте правильные разрешения и владение для файла /etc/passwd- или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms". |
| Для файла /etc/group- следует задать разрешения 0644. (12.4) |
Описание: злоумышленник может получать повышенные привилегии, изменяя членство в группах | Задайте правильные разрешения и владение для файла /etc/group- или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms". |
| Доступ к учетной записи root должен быть ограничен только группой root. (21) |
Описание: злоумышленник сможет повышать свои разрешения путем подбора пароля, если команду su разрешено выполнять пользователям не из группы root. | Выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions". Этот элемент управления добавляет строку "auth required pam_wheel.so use_uid" в файл "/etc/pam.d/su" |
| Группа root должна существовать и содержать всех пользователей, которым требуется выполнять команду su для операций с правами пользователя root. (22) |
Описание: злоумышленник сможет повышать свои разрешения путем подбора пароля, если команду su разрешено выполнять пользователям не из группы root. | Создайте группу root с помощью команды "groupadd -g 0 root". |
| Для всех учетных записей должны существовать пароли. (23.2) |
Описание: злоумышленник может входить в учетные записи без пароля и выполнять произвольные команды. | Установите пароли для всех учетных записей с помощью команды passwd. |
| Учетные записи, отличные от root, должны иметь уникальные идентификаторы UID со значением больше нуля. (24) |
Описание: если учетная запись, отличная от root, имеет нулевое значение идентификатора UID, в случае компрометации этой учетной записи злоумышленник сможет получить привилегии root. | Назначьте уникальные ненулевые идентификаторы UID всем учетным записям, кроме root, с помощью команды "usermod -u". |
| Необходимо включить случайное размещение областей виртуальной памяти. (25) |
Описание: злоумышленник может записать исполняемый код в известные регионы в памяти, что приведет к несанкционированному повышению привилегий. | Добавьте значение "1" или "2" в файл "/proc/sys/kernel/randomize_va_space". |
| В ядре должна быть включена поддержка функции процессора XD/NX. (26) |
Описание: злоумышленник может организовать выполнение исполняемого кода из областей данных в памяти, что приведет к несанкционированному повышению привилегий. | Убедитесь, что файл "/proc/cpuinfo" содержит флаг "nx". |
| Значение "." не должно отображаться в $PATH корневого каталога (27.1) |
Описание: злоумышленник может повысить привилегии, поместив вредоносный файл в папку, включенную в переменную $PATH пользователя root. | Измените строку "export PATH=" в файле /root/.profile. |
| Домашние каталоги пользователей должны иметь полномочия уровня 750 или более строгие полномочия. (28) |
Описание: злоумышленник может получить конфиденциальную информацию из домашних папок других пользователей. | Задайте для каждой домашней папки разрешения на уровне 750 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions". |
| Значение umask в файле login.defs для всех пользователей должно иметь значение по умолчанию 077. (29) |
Описание: злоумышленник может получить конфиденциальную информацию из файлов, принадлежащих другим пользователям. | Выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask". Эта команда позволяет добавить строку "UMASK 077" в файл "/etc/login.defs". |
| Для всех загрузчиков следует включить защиту паролем. (31) |
Описание: злоумышленник с физическим доступом может изменить параметры загрузчика, получая неограниченный доступ к системе. | Добавьте пароль для загрузчика в файл /boot/grub/grub.cfg. |
| Убедитесь, что в конфигурации загрузчика настроены разрешения. (31.1) |
Описание: если разрешения на чтение и запись будут только у пользователя root, другие пользователи не смогут просмотреть или изменить параметры загрузки. Если другие пользователи, кроме root, будут знать параметры загрузки, такие пользователи смогут выявлять слабые места в системе безопасности при загрузке и пытаться использовать их. | Задайте для загрузчика владельца root, группу root и разрешения 0400 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions". |
| Убедитесь, что для однопользовательского режима требуется проверка подлинности. (33) |
Описание: обязательная проверка подлинности в однопользовательском режиме не позволит неавторизованному пользователю перезагрузить систему в однопользовательский режим для получения привилегий root без ввода учетных данных. | Выполните следующую команду, чтобы задать пароль для пользователя root: passwd root. |
| Убедитесь, что отключено перенаправление пакетов. (38.3) |
Описание: злоумышленник может использовать скомпрометированный узел для отправки недопустимых перенаправлений ICMP другим устройствам маршрутизации, чтобы нарушить систему маршрутизации и вынудить пользователей обращаться к системе, настроенной злоумышленником, вместо настоящей рабочей системы. | Задайте в файле /etc/sysctl.conf следующие параметры: "net.ipv4.conf.all.send_redirects = 0" и "net.ipv4.conf.default.send_redirects = 0" или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects". |
| Отправка перенаправлений ICMP должна быть отключена для всех интерфейсов. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Описание: злоумышленник может изменить таблицу маршрутизации в системе, перенаправляя трафик к другим назначениям. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects". |
| Отправка перенаправлений ICMP должна быть отключена для всех интерфейсов. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Описание: злоумышленник может изменить таблицу маршрутизации в системе, перенаправляя трафик к другим назначениям. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects". |
| Прием перенаправленных пакетов от источника должен быть отключен во всех интерфейсах. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Прием перенаправленных пакетов от источника должен быть отключен во всех интерфейсах. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Значение по умолчанию для приема исходных перенаправленных пакетов должно быть отключено для сетевых интерфейсов. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Значение по умолчанию для приема исходных перенаправленных пакетов должно быть отключено для сетевых интерфейсов. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Игнорирование фиктивных ответов ICMP для широковещательных рассылок должно быть включено. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Описание: злоумышленник может выполнить атаку ICMP для организации атаки типа "отказ в обслуживании". | Выполните команду sysctl -w key=value и задайте соответствующее значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses". |
| Игнорирование эхо-запросов ICMP (проверки связи) для широковещательных или многоадресных адресов должно быть включено. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Описание: злоумышленник может выполнить атаку ICMP для организации атаки типа "отказ в обслуживании". | Выполните команду sysctl -w key=value и задайте соответствующее значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts". |
| Ведение журнала марсианских пакетов (с невозможными адресами) должно быть включено на всех интерфейсах. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Описание: злоумышленник может отправлять трафик с фиктивных адресов, не опасаясь обнаружения. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians". |
| Проверка источника по обратному пути должна быть включена во всех интерфейсах. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Описание: система будет принимать трафик с немаршрутизируемых адресов. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter". |
| Проверка источника по обратному пути должна быть включена во всех интерфейсах. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Описание: система будет принимать трафик с немаршрутизируемых адресов. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter". |
| Файлы cookie TCP SYN должны быть включены. (net.ipv4.tcp_syncookies = 1) (47) |
Описание: злоумышленник может выполнить атаку типа "отказ в обслуживании" через TCP. | Выполните команду sysctl -w key=value и задайте допустимое значение или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies". |
| Система не должна выступать в качестве сетевого sniffer. (48) |
Описание: злоумышленник может использовать неизбирательные интерфейсы для прослушивания сетевого трафика. | Неизбирательный режим включается путем добавления атрибута "promisc" в файл "/etc/network/interfaces" или "/etc/rc.local". Проверьте оба файла и удалите эту запись. |
| Все беспроводные интерфейсы должны быть отключены. (49) |
Описание: злоумышленник может создать фиктивную точку доступа для перехвата передачи данных. | Убедитесь, что все беспроводные интерфейсы отключены в файле "/etc/network/interfaces". |
| Протокол IPv6 должен быть включен. (50) |
Описание: это необходимый протокол для обмена данными в современных сетях. | Откройте файл /etc/sysctl.conf и убедитесь, что для параметров "net.ipv6.conf.all.disable_ipv6" и "net.ipv6.conf.default.disable_ipv6" заданы значения "0". |
| Проверка отключения протокола DCCP (54) |
Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Измените или создайте файл с расширением CONF в каталоге /etc/modprobe.d/, добавив в него строку install dccp /bin/true, а затем выгрузите модуль dccp или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Проверка отключения протокола SCTP (55) |
Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Измените или создайте файл с расширением CONF в каталоге /etc/modprobe.d/, добавив в него строку install sctp /bin/true, а затем выгрузите модуль sctp или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Отключите поддержку RDS. (56) |
Описание: злоумышленник может использовать уязвимость в RDS для компрометации системы. | Измените или создайте файл с расширением CONF в каталоге /etc/modprobe.d/, добавив в него строку install rds /bin/true, а затем выгрузите модуль rds или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Проверка отключения TIPC (57) |
Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Измените или создайте файл с расширением CONF в каталоге /etc/modprobe.d/, добавив в него строку install tipc /bin/true, а затем выгрузите модуль tipc или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods". |
| Проверка настройки ведения журнала (60) |
Описание: значительная часть важных сведений, связанных с безопасностью, отправляется через rsyslog (например, сведения об успешных и неудачных попытках выполнить команду su, неудачных попытках входа, попытках входа с правами root и т. д.). |
Настройте syslog, rsyslog или syslog-ng соответствующим образом. |
| Должен быть установлен пакет syslog, rsyslog или syslog-ng. (61) |
Описание: сведения о проблемах с надежностью и безопасностью не будут сохраняться в журнал, что не позволит правильно провести диагностику. | Установите пакет rsyslog или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog". |
| Служба systemd-journald должна быть настроена для сохранения сообщений журнала. (61.1) |
Описание: сведения о проблемах с надежностью и безопасностью не будут сохраняться в журнал, что не позволит правильно провести диагностику. | Создайте /var/log/journal и убедитесь, что параметр Storage в файле journald.conf имеет значение auto или persistent. |
| Убедитесь, что включена служба ведения журналов. (62) |
Описание. Необходимо иметь возможность регистрировать события на узле. | Включите пакет rsyslog или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog". |
| Для всех файлов журнала rsyslog должны быть установлены разрешения 640 или 600. (63) |
Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. | Добавьте строку "$FileCreateMode 0640" в файл "/etc/rsyslog.conf". |
| Убедитесь, что доступ к файлам конфигурации средства ведения журнала ограничен. (63.1) |
Описание. Важно убедиться, что файлы журналов существуют и имеют правильные разрешения, чтобы обеспечить архивирование и защиту конфиденциальных данных системного журнала. | Задайте для файлов конфигурации средства ведения журнала разрешения 0640 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions". |
| Все файлы журнала rsyslog должны принадлежать группе adm. (64) |
Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. | Добавьте строку "$FileGroup adm" в файл "/etc/rsyslog.conf". |
| Все файлы журнала rsyslog должны принадлежать пользователю syslog. (65) |
Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. | Добавьте строку "$FileOwner syslog" в файл "/etc/rsyslog.conf" или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner". |
| Rsyslog не должен принимать удаленные сообщения. (67) |
Описание: злоумышленник может внедрять сообщения в системный журнал, чтобы организовать атаку типа "отказ в обслуживании" или отвлечь внимание от других действий. | Удалите строки "$ModLoad imudp" и "$ModLoad imtcp" из файла "/etc/rsyslog.conf". |
| Должна быть включена служба смены файлов системного журнала (logrotate). (68) |
Описание: файлы журнала могут неограниченно увеличиваться в размерах, занимая в итоге все дисковое пространство | Установите пакет logrotate и убедитесь, что существует и активна запись logrotate в cron (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate). |
| Служба rlogin должна быть отключена. (69) |
Описание: злоумышленник может получить доступ, обходя строгие требования проверки подлинности. | Удалите службу inetd. |
| Отключите службу inetd, если она не требуется. (inetd) (70.1) |
Описание: злоумышленник может воспользоваться уязвимостью в службе inetd, чтобы получить доступ к системе. | Удалите службу inetd (apt-get remove inetd). |
| Отключите xinetd, если эта служба не требуется. (xinetd) (70.2) |
Описание: злоумышленник может воспользоваться уязвимостью в службе xinetd, чтобы получить доступ к системе. | Удалите службу inetd (apt-get remove xinetd). |
| Устанавливайте inetd, только если это допускается и требуется для вашего дистрибутива. Защитите ее в соответствии с текущими стандартами безопасности. (если требуется) (71.1) |
Описание: злоумышленник может воспользоваться уязвимостью в службе inetd, чтобы получить доступ к системе. | Удалите службу inetd (apt-get remove inetd). |
| Устанавливайте xinetd, только если это допускается и требуется для вашего дистрибутива. Защитите ее в соответствии с текущими стандартами безопасности. (если требуется) (71.2) |
Описание: злоумышленник может воспользоваться уязвимостью в службе xinetd, чтобы получить доступ к системе. | Удалите службу inetd (apt-get remove xinetd). |
| Служба telnet должна быть отключена. (72) |
Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы telnet. | Удалите или закомментируйте запись telnet в файле "/etc/inetd.conf". |
| Все пакеты telnetd должны быть удалены. (73) |
Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы telnet. | Удалите все установленные пакеты telnetd. |
| Служба rcp/rsh должна быть отключена. (74) |
Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы. | Удалите или закомментируйте запись оболочки в файле "/etc/inetd.conf". |
| Пакет rsh-server должен быть удален. (77) |
Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы rsh. | Удалите пакет rsh-server (apt-get remove rsh-server). |
| Служба ypbind должна быть отключена. (78) |
Описание: злоумышленник может получить конфиденциальную информацию из службы ypbind. | Удалите пакет nis (apt-get remove nis). |
| Пакет nis должен быть удален. (79) |
Описание: злоумышленник может получить конфиденциальную информацию из службы NIS. | Удалите пакет nis (apt-get remove nis). |
| Служба tftp должна быть отключена. (80) |
Описание: злоумышленник может перехватить или прослушать незашифрованный сеанс. | Удалите запись tftp из файла "/etc/inetd.conf". |
| Пакет tftpd должен быть удален. (81) |
Описание: злоумышленник может перехватить или прослушать незашифрованный сеанс. | Удалите пакет tftpd (apt-get remove tftpd) |
| Пакет readahead-fedora должен быть удален. (82) |
Описание: этот пакет не создает существенных уязвимостей, но и не приносит заметной пользы. | Удалите пакет readahead-fedora (apt-get remove readahead-fedora). |
| Служба bluetooth/hidd должна быть отключена. (84) |
Описание: злоумышленник может перехватывать или модифицировать данные, передаваемые путем беспроводной связи. | Удалите пакет bluetooth (apt-get remove bluetooth). |
| Служба isdn должна быть отключена. (86) |
Описание: злоумышленник может использовать модем для получения несанкционированного доступа. | Удалите пакет isdnutils-base (apt-get remove isdnutils-base). |
| Пакет isdnutils-base должен быть удален. (87) |
Описание: злоумышленник может использовать модем для получения несанкционированного доступа. | Удалите пакет isdnutils-base (apt-get remove isdnutils-base). |
| Служба kdump должна быть отключена. (88) |
Описание: злоумышленник может анализировать данные о предыдущем сбое системы для получения конфиденциальной информации. | Удалите пакет kdump-tools (apt-get remove kdump-tools). |
| Сеть Zeroconf должна быть отключена. (89) |
Описание: злоумышленник может использовать эту возможность для сбора сведений о сетевых системах или перехвата запросов DNS из-за ошибок в модели доверия. | Для RedHat, CentOS и Oracle: добавьте NOZEROCONF=yes or no в файл "/etc/sysconfig/network". Для всех остальных дистрибутивов: удалите все записи "ipv4ll"из файла "/etc/network/interfaces" или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf". |
| Служба crond должна быть включена. (90) |
Описание: cron требуется для выполнения задач планового обслуживания почти во всех существующих системах. | Установите пакет cron (apt-get install -y cron) и убедитесь, что файл "/etc/init/cron.conf" содержит строку "start on runlevel [2345]". |
| Для файла /etc/anacrontab должны быть установлены владелец root, группа root и разрешения 600. (91) |
Описание: злоумышленник может изменять этот файл, чтобы помешать выполнению запланированных задач или выполнять вредоносные задачи. | Задайте права владения и разрешения для файла /etc/anacrontab или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms". |
| Убедитесь, что для /etc/cron.d настроены разрешения. (93) |
Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте для файла /etc/cron.d владельца root и группу root, а также укажите разрешения 0700 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Убедитесь, что для /etc/cron.daily настроены разрешения. (94) |
Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте для файла /etc/cron.daily владельца root и группу root, а также укажите разрешения 0700 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Убедитесь, что для /etc/cron.hourly настроены разрешения. (95) |
Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте для файла /etc/cron.hourly владельца root и группу root, а также укажите разрешения 0700 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Убедитесь, что для /etc/cron.monthly настроены разрешения. (96) |
Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте для файла /etc/cron.monthly владельца root и группу root, а также укажите разрешения 0700 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Убедитесь, что для /etc/cron.weekly настроены разрешения. (97) |
Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте для файла /etc/cron.weekly владельца root и группу root, а также укажите разрешения 0700 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms". |
| Убедитесь, что доступ к at/cron есть только у полномочных пользователей. (98) |
Описание: во многих системах только системный администратор имеет полномочия планировать задания cron. Эта политика реализуется с применением файла cron.allow для управления тем, кто может выполнять задания cron. Проще управлять списком разрешений, чем списком запретов. Есть риск, что вы забудете добавить в файлы запрета новый идентификатор, когда добавляете его в систему. |
Замените /etc/cron.deny and /etc/at.deny соответствующими файлами allow или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow" |
| Чтобы обеспечить соответствие рекомендациям, необходимо настроить протокол SSH и управлять им. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Описание: злоумышленник может использовать изъяны в более ранней версии протокола SSH для получения доступа. | Выполните команду /opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol. Она задаст параметр Protocol 2 в файле /etc/ssh/sshd_config. |
| Чтобы обеспечить соответствие рекомендациям, необходимо настроить протокол SSH и управлять им. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Описание: злоумышленник может использовать изъяны в протоколе Rhosts для получения доступа. | Выполните команду /usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts. Она добавит строку "IgnoreRhosts yes" в файл /etc/ssh/sshd_config. |
| Убедитесь, что для параметра SSH LogLevel задано значение INFO. (106.5) |
Описание: протокол SSH предоставляет несколько уровней ведения журнала с различной детализацией. DEBUG В частности, не рекомендуется, кроме строгой отладки связи SSH, так как он предоставляет так много данных, что трудно определить важную информацию о безопасности. INFO — это базовый уровень, который регистрирует только действия входа в систему для пользователей SSH. Во многих ситуациях, таких как реагирование на инциденты, важно определить, когда конкретный пользователь был активным в системе. Запись о выходе может исключить тех пользователей, которые были отключены, что поможет сократить область поиска. |
Измените файл /etc/ssh/sshd_config, чтобы задать параметр следующим образом: LogLevel INFO |
| Проверка, что для SSH MaxAuthTries задано значение 6 или меньше (106.7) |
Описание: если задать для параметра MaxAuthTries небольшое значение, то риск успешных атак методом подбора на сервер SSH будет минимальным. Хотя рекомендуемое значение параметра — 4, задайте это число на основе политики сайта. |
Убедитесь, что для SSH MaxAuthTries задано значение 6 или меньше. Измените файл /etc/ssh/sshd_config, чтобы задать параметр следующим образом: MaxAuthTries 6 |
| Обеспечение ограниченного доступа по протоколу SSH (106.11) |
Описание: определение того, какие пользователи могут удаленно обращаться к системе через протокол SSH, обеспечит доступ к системе только полномочным пользователям. | Убедитесь, что доступ по протоколу SSH ограничен. Измените файл /etc/ssh/sshd_config, чтобы задать один или несколько параметров следующим образом: AllowUsers AllowGroups DenyUsers DenyGroups |
| Эмуляция команды rsh через сервер SSH должна быть отключена. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Описание: злоумышленник может использовать изъяны в протоколе Rhosts для получения доступа. | Выполните команду /opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth. Она добавит строку "RhostsRSAAuthentication no" в файл /etc/ssh/sshd_config. |
| Необходимо отключить проверку подлинности на основе узла SSH. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Описание. Злоумышленник может использовать проверку подлинности на основе узла для получения доступа от скомпрометированного узла. | Выполните команду /opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth. Она добавит строку "HostbasedAuthentication no" в файл /etc/ssh/sshd_config. |
| Необходимо отключить вход в корневой каталог по протоколу SSH. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Описание: злоумышленник может взломать пароль root методом подбора или скрыть свой журнал команд, войдя в систему непосредственно в качестве пользователя root. | Выполните команду /usr/local/bin/azsecd remediate -r disable-ssh-root-login. Она добавит строку "PermitRootLogin no" в файл /etc/ssh/sshd_config. |
| Удаленные подключения из учетных записей с пустыми паролями должны быть отключены. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Описание: злоумышленник может получить доступ с помощью подбора пароля. | Выполните команду /usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords. Она добавит строку "PermitEmptyPasswords no" в файл /etc/ssh/sshd_config. |
| Проверка настройки интервала тайм-аута простоя SSH (110.1) |
Описание: отсутствие значения времени ожидания, связанного с подключением, может привести к несанкционированному доступу пользователя к сеансу SSH другого пользователя. Установка значения времени ожидания по крайней мере снижает риск этого. Хотя рекомендуемое значение — 300 секунд (5 минут), установите значение времени ожидания на основе политики сайта. Рекомендованное значение для ClientAliveCountMax — 0. В этом случае сеанс клиента будет завершен через 5 минут бездействия, и сообщения проверки активности не будут отправляться. |
Измените файл /etc/ssh/sshd_config, чтобы задать параметры в соответствии с политикой. |
| Проверка, что для LoginGraceTime SSH задано значение одна минута или меньше (110.2) |
Описание: если задать для параметра LoginGraceTime небольшое значение, то риск успешных атак методом подбора на сервер SSH будет минимальным. Кроме того, будет ограничено количество одновременных подключений без проверки подлинности. Хотя рекомендуемое значение параметра — 60 секунд (1 минута), задайте его значение на основе политики сайта. |
Измените файл /etc/ssh/sshd_config, чтобы задать параметры в соответствии с политикой, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time". |
| Проверка использования только утвержденных алгоритмов MAC (110.3) |
Описание: алгоритмы MD5 и 96-разрядные MAC считаются ненадежными и показали повышенную уязвимость к атакам с переходом на использование более ранней версии SSH. Ненадежные алгоритмы по-прежнему вызывают большое беспокойство, так как создают уязвимости, которые можно использовать с применением больших вычислительных мощностей. Злоумышленник, взламывающий алгоритм, может воспользоваться преимуществом положения MiTM, чтобы расшифровать туннель SSH и перехватить учетные данные и сведения. | Измените файл sshd_config/etc/ и добавьте или измените строку MACs, чтобы она содержала разделенный запятыми список утвержденных MAC, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs". |
| Убедитесь, что предупреждающий баннер удаленного входа в систему настроен правильно. (111) |
Описание: предупреждающие сообщения информируют пользователей, входящих в систему, об их юридическом статусе в этой системе. В них должны быть указаны имя организации, владеющей системой, и любые применяемые политики мониторинга. Отображение сведений о версиях ОС и исправлениях в баннерах при входе имеет побочный эффект: злоумышленники получают подробные сведения о системе и могут использовать эксплойты, ориентированные на конкретные уязвимости. Полномочные пользователи могут легко получить эти сведения, выполнив команду uname -a после входа в систему. |
Удалите все вхождения \m \r \s и \v из файла /etc/issue.net. |
| Убедитесь, что предупреждающий баннер локального входа в систему настроен правильно. (111.1) |
Описание: предупреждающие сообщения информируют пользователей, входящих в систему, об их юридическом статусе в этой системе. В них должны быть указаны имя организации, владеющей системой, и любые применяемые политики мониторинга. Отображение сведений о версиях ОС и исправлениях в баннерах при входе имеет побочный эффект: злоумышленники получают подробные сведения о системе и могут использовать эксплойты, ориентированные на конкретные уязвимости. Полномочные пользователи могут легко получить эти сведения, выполнив команду uname -a после входа в систему. |
Удалите все вхождения \m \r \s и \v из файла /etc/issue. |
| Баннер предупреждения SSH должен быть включен. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Описание: пользователи не будут предупреждены о наблюдении за их действиями в системе. | Выполните команду /usr/local/bin/azsecd remediate -r configure-ssh-banner. Она добавит строку "Banner /etc/azsec/banner.txt" в файл /etc/ssh/sshd_config. |
| Пользователям не разрешено задавать параметры среды для SSH. (112) |
Описание: злоумышленник может обойти некоторые ограничения доступа по протоколу SSH. | Удалите строку "PermitUserEnvironment yes" из файла /etc/ssh/sshd_config. |
| Для SSH следует использовать соответствующие шифры (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Описание: злоумышленник может скомпрометировать ненадежно защищенное SSH-подключение. | Выполните команду /usr/local/bin/azsecd remediate -r configure-ssh-ciphers. Она добавит строку "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" в файл /etc/ssh/sshd_config. |
| Служба avahi-daemon должна быть отключена. (114) |
Описание: злоумышленник может воспользоваться уязвимостью в управляющей программе avahi, чтобы получить доступ к системе. | Отключите службу avahi-daemon или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon". |
| Служба cups должна быть отключена. (115) |
Описание: злоумышленник может использовать ошибку в службе cups для повышения привилегий. | Отключите службу cups или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups". |
| Служба isc-dhcpd должна быть отключена. (116) |
Описание: злоумышленник может использовать dhcpd для предоставления клиентам неверной информации, которая препятствует нормальной работе. | Удалите пакет isc-dhcp-server (apt-get remove isc-dhcp-server). |
| Пакет isc-dhcp-server должен быть удален. (117) |
Описание: злоумышленник может использовать dhcpd для предоставления клиентам неверной информации, которая препятствует нормальной работе. | Удалите пакет isc-dhcp-server (apt-get remove isc-dhcp-server). |
| Пакет sendmail должен быть удален. (120) |
Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Удалите пакет sendmail (apt-get remove sendmail). |
| Пакет postfix должен быть удален. (121) |
Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Удалите пакет postfix (apt-get remove postfix) или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix". |
| Ожидание передачи данных в сети postfix должно быть отключено, насколько это возможно. (122) |
Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Добавьте строку "inet_interfaces localhost" в файл "/etc/postfix/main.cf". |
| Служба ldap должна быть отключена. (124) |
Описание: злоумышленник может управлять службой LDAP в узле, чтобы передавать ложные данные клиентам LDAP. | Удалите пакет slapd (apt-get remove slapd) |
| Служба rpcgssd должна быть отключена. (126) |
Описание: злоумышленник может использовать ошибку в rpcgssd/nfs для получения доступа к системе. | Отключите службу rpcgssd или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd". |
| Служба rpcidmapd должна быть отключена. (127) |
Описание: злоумышленник может использовать ошибку в idmapd/nfs для получения доступа к системе. | Отключите службу rpcidmapd или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd". |
| Служба portmap должна быть отключена. (129.1) |
Описание: злоумышленник может использовать ошибку в portmap для получения доступа к системе. | Отключите службу rpcbind или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind". |
| Служба NFS (сетевой файловой системы) должна быть отключена. (129.2) |
Описание. Злоумышленник может использовать NFS для подключения к общим папкам, выполнения и копирования файлов. | Отключите службу nfs или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs". |
| Служба rpcsvcgssd должна быть отключена. (130) |
Описание: злоумышленник может использовать ошибку в rpcsvcgssd для получения доступа к системе. | Удалите строку "NEED_SVCGSSD = yes" из файла /etc/inetd.conf. |
| Служба named должна быть отключена. (131) |
Описание: злоумышленник может использовать службу DNS для предоставления клиентам фиктивных данных. | Удалите пакет bind9 (apt-get remove bind9). |
| Пакет bind должен быть удален. (132) |
Описание: злоумышленник может использовать службу DNS для предоставления клиентам фиктивных данных. | Удалите пакет bind9 (apt-get remove bind9). |
| Служба dovecot должна быть отключена. (137) |
Описание: система может использоваться как сервер IMAP/POP3. | Удалите пакет dovecot-core (apt-get remove dovecot-core). |
| Пакет dovecot должен быть удален. (138) |
Описание: система может использоваться как сервер IMAP/POP3. | Удалите пакет dovecot-core (apt-get remove dovecot-core). |
Убедитесь, что в файле /etc/passwd нет устаревших записей +.(156.1) |
Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/passwd, которые начинаются с "+:". |
Убедитесь, что в файле /etc/shadow нет устаревших записей +.(156.2) |
Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/shadow, которые начинаются с "+:". |
Убедитесь, что в файле /etc/group нет устаревших записей +.(156.3) |
Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/group, которые начинаются с "+:". |
| Убедитесь, что срок действия пароля не превышает 365 дней. (157.1) |
Описание: снижение максимального срока действия пароля уменьшает период, в течение которого злоумышленник может использовать скомпрометированные учетные данные или взломать учетные данные методом подбора через Интернет. | Задайте для параметра PASS_MAX_DAYS в файле /etc/login.defs значение не больше 365 или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days". |
| Убедитесь, что предупреждения об истечении срока действия пароля выдаются за семь или более дней. (157.2) |
Описание: заблаговременное предупреждение о том, что срок действия пароля скоро истечет, дает пользователю время придумать надежный пароль. Пользователи, которых эта необходимость застает врасплох, могут выбрать простой пароль или записать его там, где он может быть легко обнаружен. | Задайте для параметра PASS_WARN_AGE значение 7 в файле /etc/login.defs или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age". |
| Убедитесь, что повторное использование пароля ограничено. (157.5) |
Описание. Принудительное использование пользователей последних пяти паролей делает его менее вероятным, что злоумышленник сможет угадать пароль. | Для параметра remember задайте значение не менее 5 в файле /etc/pam.d/common-password или в двух файлах /etc/pam.d/password_auth и /etc/pam.d/system_auth. Или же выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history". |
| Убедитесь, что используется алгоритм хэширования паролей SHA-512. (157.11) |
Описание: алгоритм SHA-512 обеспечивает намного более надежное хэширование, чем MD5. Это гарантирует дополнительную защиту системы, так как при таком подходе злоумышленнику сложнее подобрать пароли. Примечание. Эти изменения применяются только к учетным записям, настроенным в локальной системе. | Задайте для алгоритма хэширования паролей значение sha512. Многие дистрибутивы предоставляют средства для обновления конфигурации PAM. Дополнительные сведения см. в документации. Если таких средств нет, измените соответствующий файл конфигурации /etc/pam.d/, добавив или изменив в нем строки pam_unix.so, чтобы включить SHA512: password sufficient pam_unix.so sha512 |
| Убедитесь, что между изменениями пароля проходит не менее семи дней. (157.12) |
Описание: ограничение частоты смены пароля не дает пользователям многократно изменять пароль для обхода запрета на повторное использование паролей. | Задайте для параметра PASS_MIN_DAYS значение 7 в файле /etc/login.defs: PASS_MIN_DAYS 7. Измените параметры для всех пользователей, для которых используется пароль, чтобы они содержали строку chage --mindays 7, или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days". |
| Убедитесь, что для всех пользователей дата последнего изменения находится в прошлом. (157.14) |
Описание: если для пользователя дата изменения пароля находится в будущем, не будут применяться сроки, установленные для истечения срока действия пароля. | Убедитесь, что блокировка пароля при неактивности выполняется через 30 дней или менее. Чтобы задать стандартный период в 30 дней для отключения пароля при отсутствии активности, выполните следующую команду: # useradd -D -f 30. Измените параметры для всех пользователей, для которых используется пароль, чтобы они содержали строку: # chage --inactive 30 . |
| Убедитесь, что системные учетные записи не предоставляют права входа в систему. (157.15) |
Описание. Важно убедиться, что учетные записи, которые не используются обычными пользователями, не используются для предоставления интерактивной оболочки. По умолчанию Ubuntu задает для этих учетных записей поле пароля недопустимой строкой, но также рекомендуется задать /usr/sbin/nologinполе оболочки в файле пароля. Это предотвратит потенциальное использование учетной записи для выполнения любых команд. |
Настройте оболочку /sbin/nologin для всех учетных записей, возвращаемых скриптом аудита. |
| Убедитесь, что для учетной записи root указана группа по умолчанию с идентификатором GID 0. (157.16) |
Описание: использование идентификатора GID 0 для учетной записи _root_ помогает предотвратить случайный доступ непривилегированных пользователей к файлам, принадлежащим _root_. |
Чтобы задать для пользователя root группу по умолчанию с идентификатором GID 0, выполните следующую команду: # usermod -g 0 root |
| Убедитесь, что root является единственной учетной записью с идентификатором UID 0. (157.18) |
Описание: привилегированный доступ должен предоставляться только стандартной учетной записи root и только из системной консоли. Административный доступ должен осуществляться через непривилегированную учетную запись и утвержденный для этого механизм. |
Удалите всех пользователей с UID 0, кроме root, или назначьте им новый UID, если это необходимо. |
| Удалите ненужные учетные записи. (159) |
Описание: для соответствия требованиям. | Удалите ненужные учетные записи. |
| Убедитесь, что включена служба auditd. (162) |
Описание: при сборе системных событий системные администраторы получают сведения, позволяющие выявлять несанкционированный доступ к системе. | Установите пакет аудита (systemctl enable auditd). |
| Запустите службу AuditD. (163) |
Описание: при сборе системных событий системные администраторы получают сведения, позволяющие выявлять несанкционированный доступ к системе. | Запустите службу AuditD (systemctl started auditd). |
| Убедитесь, что сервер SNMP не включен. (179) |
Описание: сервер SNMP может выполнять обмен данными по протоколу SNMP версии 1, который передает данные в незашифрованном виде и не требует проверки подлинности для выполнения команд. Если это не обязательно, рекомендуется использовать службу SNMP. Если протокол SNMP является обязательным для сервера, по меньшей мере запретите протокол SNMP версии 1. | Выполните одну из следующих команд, чтобы отключить snmpd: # chkconfig snmpd off, # systemctl disable snmpd, # update-rc.d snmpd disable. |
| Убедитесь, что служба rsync не включена. (181) |
Описание: служба rsyncd представляет угрозу безопасности, так как использует незашифрованные протоколы для обмена данными. |
Выполните одну из следующих команд, чтобы отключить rsyncd : chkconfig rsyncd offsystemctl disable rsyncdupdate-rc.d rsyncd disable или запустить команду "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync" |
| Убедитесь, что сервер NIS не включен. (182) |
Описание: сервер NIS изначально является ненадежной системой с уязвимостями к атакам типа "отказ в обслуживании" и переполнениям буфера, а также использует плохие методы проверки подлинности для запросов к картам NIS. Сейчас NIS повсеместно заменяется другими протоколами, например протоколом LDAP (Lightweight Directory Access Protocol). Рекомендуется отключить службу и использовать более безопасные службы. | Выполните одну из следующих команд, чтобы отключить ypserv: # chkconfig ypserv off, # systemctl disable ypserv, # update-rc.d ypserv disable. |
| Убедитесь, что не установлен клиент rsh. (183) |
Описание: эти устаревшие клиенты подвергают безопасность множеству угроз и заменены более защищенным пакетом SSH. Даже если сервер удален, рекомендуется убедиться, что клиенты также удаляются, чтобы запретить пользователям непреднамеренно пытаться использовать эти команды и, следовательно, предоставлять свои учетные данные. Обратите внимание, что при удалении пакета rsh удаляются клиенты для rsh, rcp и rlogin. |
Удалите rsh с помощью соответствующего диспетчера пакетов или процесса установки вручную: yum remove rshapt-get remove rshzypper remove rsh. |
| Отключите SMB версии 1 в Samba. (185) |
Описание: SMB версии 1 имеет хорошо известные и критические уязвимости, а также не шифрует данные при передаче. Если оно должно использоваться по бизнес-причинам, настоятельно рекомендуется предпринять дополнительные шаги для устранения рисков, присущих этому протоколу. | Если Samba не работает, удалите этот пакет. В противном случае поместите строку "min protocol = SMB2" в раздел [global] файла "/etc/samba/smb.conf" или выполните команду "/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version". |
Примечание.
Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и в других национальных облаках.
Следующие шаги
Дополнительные статьи о политике Azure и гостевой конфигурации: