Linux-säkerhetsbaslinje
Varning
Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.
Den här artikeln beskriver konfigurationsinställningarna för Linux-gäster enligt vad som är tillämpligt i följande implementeringar:
- [Förhandsversion]: Linux-datorer bör uppfylla kraven för azure-beräkningssäkerhetsbaslinjens gästkonfigurationsdefinition för Azure Policy
- Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas i Microsoft Defender för molnet
Mer information finns i Gästkonfiguration för Azure Policy och Översikt över Azure Security Benchmark (V2)..
Allmänna säkerhetskontroller
| Name (CCEID) |
Details | Reparationskontroll |
|---|---|---|
| Se till att alternativet nodev har angetts för /home-partitionen. (1.1.4) |
Beskrivning: En angripare kan montera en särskild enhet (till exempel blockera eller teckenenhet) på /home-partitionen. | Redigera filen /etc/fstab och lägg till nodev i det fjärde fältet (monteringsalternativ) för partitionen /home. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att alternativet nodev är inställt på /tmp-partitionen. (1.1.5) |
Beskrivning: En angripare kan montera en särskild enhet (till exempel block- eller teckenenhet) på /tmp-partitionen. | Redigera filen /etc/fstab och lägg till nodev i det fjärde fältet (monteringsalternativ) för /tmp-partitionen. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att nodev-alternativet är inställt på partitionen /var/tmp. (1.1.6) |
Beskrivning: En angripare kan montera en särskild enhet (till exempel block- eller teckenenhet) på partitionen /var/tmp. | Redigera filen /etc/fstab och lägg till nodev i det fjärde fältet (monteringsalternativ) för partitionen /var/tmp. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att alternativet nosuid är inställt på /tmp-partitionen. (1.1.7) |
Beskrivning: Eftersom filsystemet /tmp endast är avsett för tillfällig fillagring anger du det här alternativet för att säkerställa att användarna inte kan skapa setuid-filer i /var/tmp. | Redigera /etc/fstab-filen och lägg till nosuid i det fjärde fältet (monteringsalternativ) för /tmp-partitionen. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att alternativet nosuid är inställt på partitionen /var/tmp. (1.1.8) |
Beskrivning: Eftersom filsystemet /var/tmp endast är avsett för tillfällig fillagring anger du det här alternativet för att säkerställa att användarna inte kan skapa setuid-filer i /var/tmp. | Redigera /etc/fstab-filen och lägg till nosuid i det fjärde fältet (monteringsalternativ) för partitionen /var/tmp. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att noexec-alternativet är inställt på partitionen /var/tmp. (1.1.9) |
Beskrivning: Eftersom /var/tmp filsystemet endast är avsett för tillfällig fillagring anger du det här alternativet för att säkerställa att användarna inte kan köra körbara binärfiler från /var/tmp . |
Redigera /etc/fstab-filen och lägg till noexec i det fjärde fältet (monteringsalternativ) för partitionen /var/tmp. Mer information finns på de manuella sidorna fstab(5). |
| Se till att noexec-alternativet har angetts för /dev/shm-partitionen. (1.1.16) |
Beskrivning: Om du anger det här alternativet i ett filsystem hindras användare från att köra program från delat minne. Den här kontrollen avskräcker användare från att introducera potentiellt skadlig programvara i systemet. | Redigera /etc/fstab-filen och lägg till noexec i det fjärde fältet (monteringsalternativ) för partitionen /dev/shm. Mer information finns på de manuella sidorna fstab(5). |
| Inaktivera automontering (1.1.21) |
Beskrivning: Med automontering aktiverat kan alla med fysisk åtkomst ansluta en USB-enhet eller skiva och ha dess innehåll tillgängligt i systemet även om de saknar behörighet att montera det själva. | Inaktivera autofs-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs" |
| Se till att monteringen av USB-lagringsenheter är inaktiverad (1.1.21.1) |
Beskrivning: Om du tar bort stöd för USB-lagringsenheter minskar serverns lokala attackyta. | Redigera eller skapa en fil i /etc/modprobe.d/ katalogen som slutar med .conf och lägg till och ta install usb-storage /bin/true sedan bort usb-storage-modulen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Se till att kärndumpar är begränsade. (1.5.1) |
Beskrivning: Om du ställer in en hård gräns för kärndumpar hindras användarna från att åsidosätta den mjuka variabeln. Om kärndumpar krävs kan du överväga att ange gränser för användargrupper (se limits.conf(5)). Om du ställer in variabeln fs.suid_dumpable på 0 förhindrar du dessutom att setuid-program dumpar kärnor. |
Lägg till hard core 0 i /etc/security/limits.conf eller en fil i katalogen limits.d och ange fs.suid_dumpable = 0 i sysctl eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| Kontrollera att förlänken är inaktiverad. (1.5.4) |
Beskrivning: Förlänkningsfunktionen kan störa användningen av AIDE eftersom den ändrar binärfiler. Förlänkning kan också öka systemets sårbarhet om en obehörig användare kan kompromettera ett gemensamt bibliotek, till exempel libc. | avinstallera prelink med din pakethanterare eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink" |
| Kontrollera att behörigheter för /etc/motd har konfigurerats. (1.7.1.4) |
Beskrivning: Om /etc/motd filen inte har rätt ägarskap kan den ändras av obehöriga användare med felaktig eller vilseledande information. |
Ange ägare och grupp för /etc/motd till rot och ange behörigheter till 0644 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| Se till att behörigheter för /etc/issue har konfigurerats. (1.7.1.5) |
Beskrivning: Om /etc/issue filen inte har rätt ägarskap kan den ändras av obehöriga användare med felaktig eller vilseledande information. |
Ange ägare och grupp av /etc/issue till rot och ange behörigheter till 0644 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| Se till att behörigheter för /etc/issue.net är konfigurerade. (1.7.1.6) |
Beskrivning: Om /etc/issue.net filen inte har rätt ägarskap kan den ändras av obehöriga användare med felaktig eller vilseledande information. |
Ange ägare och grupp för /etc/issue.net till rot och ange behörigheter till 0644 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| Alternativet nodev ska vara aktiverat för alla flyttbara medier. (2.1) |
Beskrivning: En angripare kan montera en särskild enhet (till exempel blockera eller teckenenhet) via flyttbara medier | Lägg till alternativet nodev i det fjärde fältet (monteringsalternativ) i /etc/fstab. Mer information finns på de manuella sidorna fstab(5). |
| Alternativet noexec ska vara aktiverat för alla flyttbara medier. (2.2) |
Beskrivning: En angripare kan läsa in körbar fil via flyttbara medier | Lägg till noexec-alternativet i det fjärde fältet (monteringsalternativ) i /etc/fstab. Mer information finns på de manuella sidorna fstab(5). |
| Alternativet nosuid ska vara aktiverat för alla flyttbara medier. (2.3) |
Beskrivning: En angripare kan läsa in filer som körs med en förhöjd säkerhetskontext via flyttbara medier | Lägg till alternativet nosuid i det fjärde fältet (monteringsalternativ) i /etc/fstab. Mer information finns på de manuella sidorna fstab(5). |
| Kontrollera att samtalsklienten inte är installerad. (2.3.3) |
Beskrivning: Programvaran utgör en säkerhetsrisk eftersom den använder okrypterade protokoll för kommunikation. | Avinstallera talk eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk" |
| Se till att behörigheter för /etc/hosts.allow har konfigurerats. (3.4.4) |
Beskrivning: Det är viktigt att se till att /etc/hosts.allow filen skyddas från obehörig skrivåtkomst. Även om den skyddas som standard kan filbehörigheterna ändras oavsiktligt eller via skadliga åtgärder. |
Ange ägare och grupp för /etc/hosts.allow till rot och behörigheterna till 0644 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| Se till att behörigheter för /etc/hosts.deny har konfigurerats. (3.4.5) |
Beskrivning: Det är viktigt att se till att /etc/hosts.deny filen skyddas från obehörig skrivåtkomst. Även om den skyddas som standard kan filbehörigheterna ändras oavsiktligt eller via skadliga åtgärder. |
Ange ägare och grupp för /etc/hosts.deny till rot och behörigheterna till 0644 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| Se till att brandväggsprincipen nekas som standard (3.6.2) |
Beskrivning: Med en standardprincip för accept accepterar brandväggen alla paket som inte uttryckligen nekas. Det är enklare att underhålla en säker brandvägg med en STANDARD-DROP-princip än med en standardprincip för Tillåt. | Ange standardprincipen för inkommande, utgående och dirigerad trafik till deny eller reject efter behov med hjälp av brandväggsprogramvaran |
| Alternativet nodev/nosuid ska vara aktiverat för alla NFS-monteringar. (5) |
Beskrivning: En angripare kan läsa in filer som körs med en förhöjd säkerhetskontext eller särskilda enheter via fjärrfilsystemet | Lägg till nosuid- och nodev-alternativen i det fjärde fältet (monteringsalternativ) i /etc/fstab. Mer information finns på de manuella sidorna fstab(5). |
| Se till att behörigheter för /etc/ssh/sshd_config har konfigurerats. (5.2.1) |
Beskrivning: Filen /etc/ssh/sshd_config måste skyddas från obehöriga ändringar av icke-privilegierade användare. |
Ange ägare och grupp för /etc/ssh/sshd_config till rot och ange behörigheterna till 0600 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions" |
| Se till att kraven för att skapa lösenord är konfigurerade. (5.3.1) |
Beskrivning: Starka lösenord skyddar system från att hackas genom råstyrkemetoder. | Ange följande nyckel/värde-par i lämplig PAM för din distribution: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| Se till att utelåsning för misslyckade lösenordsförsök har konfigurerats. (5.3.2) |
Beskrivning: Om du låser ut användar-ID:t efter n misslyckade inloggningsförsök i följd minimeras brute force-lösenordsattacker mot dina system. |
för Ubuntu och Debian lägger du till modulerna pam_tally och pam_deny efter behov. För alla andra distributioner, se din distributionsdokumentation |
| Inaktivera installation och användning av filsystem som inte krävs (cramfs) (6.1) |
Beskrivning: En angripare kan använda en säkerhetsrisk i cramfs för att höja privilegier | Lägg till en fil i katalogen /etc/modprob.d som inaktiverar cramfs eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Inaktivera installation och användning av filsystem som inte krävs (freevxfs) (6.2) |
Beskrivning: En angripare kan använda en säkerhetsrisk i freevxfs för att höja behörigheter | Lägg till en fil i katalogen /etc/modprob.d som inaktiverar freevxfs eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Se till att alla användares hemkataloger finns (6.2.7) |
Beskrivning: Om användarens hemkatalog inte finns eller inte har tilldelats placeras användaren i volymroten. Dessutom kan användaren inte skriva några filer eller ange miljövariabler. | Om det inte finns några användares hemkataloger skapar du dem och kontrollerar att respektive användare äger katalogen. Användare utan en tilldelad hemkatalog bör tas bort eller tilldelas en hemkatalog efter behov. |
| Se till att användarna äger sina hemkataloger (6.2.9) |
Beskrivning: Eftersom användaren är ansvarig för filer som lagras i användarens hemkatalog måste användaren vara ägare till katalogen. | Ändra ägarskapet för alla hemkataloger som inte ägs av den definierade användaren till rätt användare. |
| Se till att användarnas punktfiler inte är skrivbara i grupp eller i världen. (6.2.10) |
Beskrivning: Grupp- eller världsskrivningsbara användarkonfigurationsfiler kan göra det möjligt för skadliga användare att stjäla eller ändra andra användares data eller att få en annan användares systembehörigheter. | Att göra globala ändringar i användarnas filer utan att varna användarcommunityn kan leda till oväntade avbrott och missnöjda användare. Därför rekommenderar vi att du upprättar en övervakningsprincip för att rapportera behörigheter för användar dot-filer och fastställa åtgärder för platsprincipsreparation. |
| Se till att inga användare har vidarebefordrade filer (6.2.11) |
Beskrivning: Användning av .forward filen utgör en säkerhetsrisk i att känsliga data oavsiktligt kan överföras utanför organisationen. Filen .forward utgör också en risk eftersom den kan användas för att köra kommandon som kan utföra oavsiktliga åtgärder. |
Att göra globala ändringar i användarnas filer utan att varna användarcommunityn kan leda till oväntade avbrott och missnöjda användare. Därför rekommenderar vi att en övervakningsprincip upprättas för att rapportera användarfiler .forward och fastställa vilken åtgärd som ska vidtas i enlighet med webbplatsprincipen. |
| Se till att inga användare har .netrc-filer (6.2.12) |
Beskrivning: Filen .netrc utgör en betydande säkerhetsrisk eftersom den lagrar lösenord i okrypterad form. Även om FTP är inaktiverat kan användarkonton ha tagit över .netrc filer från andra system som kan utgöra en risk för dessa system |
Att göra globala ändringar i användarnas filer utan att varna användarcommunityn kan leda till oväntade avbrott och missnöjda användare. Därför rekommenderar vi att en övervakningsprincip upprättas för att rapportera användarfiler .netrc och fastställa vilken åtgärd som ska vidtas i enlighet med webbplatsprincipen. |
| Kontrollera att inga användare har .rhosts-filer (6.2.14) |
Beskrivning: Den här åtgärden är bara meningsfull om .rhosts stöd tillåts i filen /etc/pam.conf . Även om .rhosts filerna är ineffektiva om stödet är inaktiverat i /etc/pam.conf kan de ha tagits över från andra system och kan innehålla information som är användbar för en angripare för dessa andra system. |
Att göra globala ändringar i användarnas filer utan att varna användarcommunityn kan leda till oväntade avbrott och missnöjda användare. Därför rekommenderar vi att en övervakningsprincip upprättas för att rapportera användarfiler .rhosts och fastställa vilken åtgärd som ska vidtas i enlighet med webbplatsprincipen. |
| Se till att alla grupper i /etc/passwd finns i /etc/group (6.2.15) |
Beskrivning: Grupper som definieras i filen /etc/passwd men inte i /etc/group-filen utgör ett hot mot systemsäkerheten eftersom gruppbehörigheter inte hanteras korrekt. | För varje grupp som definierats i /etc/passwd kontrollerar du att det finns en motsvarande grupp i /etc/group |
| Kontrollera att inga duplicerade användargränssnitt finns (6.2.16) |
Beskrivning: Användare måste tilldelas unika användargränssnitt för ansvarsskyldighet och för att säkerställa lämpligt åtkomstskydd. | Upprätta unika användargränssnitt och granska alla filer som ägs av de delade användargränssnitten för att avgöra vilket UID de ska tillhöra. |
| Kontrollera att inga duplicerade GID:er finns (6.2.17) |
Beskrivning: Grupper måste tilldelas unika GID:er för ansvarsskyldighet och för att säkerställa lämpligt åtkomstskydd. | Upprätta unika GID:er och granska alla filer som ägs av de delade GID:erna för att avgöra vilken GID de ska tillhöra. |
| Kontrollera att inga duplicerade användarnamn finns (6.2.18) |
Beskrivning: Om en användare tilldelas ett duplicerat användarnamn skapas och har åtkomst till filer med det första UID:t för användarnamnet i /etc/passwd . Om "test4" till exempel har ett UID på 1 000 och en efterföljande "test4"-post har ett UID på 2000 använder inloggning som "test4" UID 1000. I själva verket delas UID, vilket är ett säkerhetsproblem. |
Upprätta unika användarnamn för alla användare. Filägarskap återspeglar automatiskt ändringen så länge användarna har unika användargränssnitt. |
| Kontrollera att det inte finns några duplicerade grupper (6.2.19) |
Beskrivning: Om en grupp tilldelas ett duplicerat gruppnamn skapas och får den åtkomst till filer med den första GID:en för den gruppen i /etc/group . I själva verket delas GID, vilket är ett säkerhetsproblem. |
Upprätta unika namn för alla användargrupper. Filgruppsägarskap återspeglar automatiskt ändringen så länge grupperna har unika GID:er. |
| Kontrollera att skugggruppen är tom (6.2.20) |
Beskrivning: Alla användare som är tilldelade till skugggruppen skulle beviljas läsbehörighet till /etc/shadow-filen. Om angripare kan få läsåtkomst till /etc/shadow filen kan de enkelt köra ett program för lösenordssprickor mot de hashade lösenorden för att bryta dem. Annan säkerhetsinformation som lagras i /etc/shadow filen (till exempel förfallodatum) kan också vara användbar för att omstörta andra användarkonton. |
Ta bort alla användare från skugggruppen |
| Inaktivera installation och användning av filsystem som inte krävs (hfs) (6.3) |
Beskrivning: En angripare kan använda en säkerhetsrisk i hfs för att höja behörigheter | Lägg till en fil i katalogen /etc/modprob.d som inaktiverar hfs eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Inaktivera installation och användning av filsystem som inte krävs (hfsplus) (6.4) |
Beskrivning: En angripare kan använda en säkerhetsrisk i hfsplus för att höja behörigheter | Lägg till en fil i katalogen /etc/modprob.d som inaktiverar hfsplus eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Inaktivera installation och användning av filsystem som inte krävs (jffs2) (6.5) |
Beskrivning: En angripare kan använda en säkerhetsrisk i jffs2 för att höja behörigheter | Lägg till en fil i katalogen /etc/modprob.d som inaktiverar jffs2 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Kernels bör endast kompileras från godkända källor. (10) |
Beskrivning: En kernel från en icke-godkänd källa kan innehålla säkerhetsrisker eller bakdörrar för att bevilja åtkomst till en angripare. | Installera den kernel som tillhandahålls av distributionsleverantören. |
| Behörigheter för /etc/skuggfil ska anges till 0400 (11.1) |
Beskrivning: En angripare kan hämta eller manipulera hashade lösenord från /etc/shadow om det inte är korrekt skyddat. | Ange behörigheter och ägarskap för /etc/shadow* eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms" |
| /etc/shadow- filbehörigheter ska anges till 0400 (11.2) |
Beskrivning: En angripare kan hämta eller manipulera hashade lösenord från /etc/shadow – om det inte är korrekt skyddat. | Ange behörigheter och ägarskap för /etc/shadow* eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms" |
| /etc/gshadow-filbehörigheter ska anges till 0400 (11.3) |
Beskrivning: En angripare kan ansluta till säkerhetsgrupper om den här filen inte är korrekt skyddad | Ange behörigheter och ägarskap för /etc/gshadow – eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms" |
| /etc/gshadow – filbehörigheter ska anges till 0400 (11.4) |
Beskrivning: En angripare kan ansluta till säkerhetsgrupper om den här filen inte är korrekt skyddad | Ange behörigheter och ägarskap för /etc/gshadow eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms" |
| /etc/passwd-filbehörigheter ska vara 0644 (12.1) |
Beskrivning: En angripare kan ändra användar-ID:ar och inloggningsgränssnitt | Ange behörigheter och ägarskap för /etc/passwd eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms" |
| /etc/gruppfilbehörigheter ska vara 0644 (12.2) |
Beskrivning: En angripare kan höja behörigheten genom att ändra gruppmedlemskap | Ange behörigheter och ägarskap för /etc/group eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd – filbehörigheter ska anges till 0600 (12.3) |
Beskrivning: En angripare kan ansluta till säkerhetsgrupper om den här filen inte är korrekt skyddad | Ange behörigheter och ägarskap för /etc/passwd– eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- filbehörigheter ska vara 0644 (12.4) |
Beskrivning: En angripare kan höja behörigheten genom att ändra gruppmedlemskap | Ange behörigheter och ägarskap för /etc/group- eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| Åtkomst till rotkontot via su bör begränsas till rotgruppen (21) |
Beskrivning: En angripare kan eskalera behörigheter genom att gissa lösenord om su inte är begränsat till användare i rotgruppen. | Kör kommandot "/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions". Den här kontrollen lägger till raden "auth required pam_wheel.so use_uid" i filen "/etc/pam.d/su" |
| Rotgruppen bör finnas och innehålla alla medlemmar som kan su till rot (22) |
Beskrivning: En angripare kan eskalera behörigheter genom att gissa lösenord om su inte är begränsat till användare i rotgruppen. | Skapa rotgruppen via kommandot "groupadd -g 0 root" |
| Alla konton ska ha ett lösenord (23.2) |
Beskrivning: En angripare kan logga in på konton utan lösenord och köra godtyckliga kommandon. | Använd kommandot passwd för att ange lösenord för alla konton |
| Andra konton än rot måste ha unika användargränssnitt som är större än noll(0) (24) |
Beskrivning: Om ett annat konto än roten har uid noll kan en angripare kompromettera kontot och få rotprivilegier. | Tilldela unika uid:ar som inte är noll till alla icke-rotkonton med hjälp av "usermod -u" |
| Randomiserad placering av virtuella minnesregioner ska vara aktiverad (25) |
Beskrivning: En angripare kan skriva körbar kod till kända områden i minnet, vilket resulterar i utökade privilegier | Lägg till värdet "1" eller "2" i filen "/proc/sys/kernel/randomize_va_space" |
| Kernelstöd för XD/NX-processorfunktionen ska vara aktiverat (26) |
Beskrivning: En angripare kan orsaka att ett system körbar kod från dataområden i minnet leder till utökade privilegier. | Bekräfta att filen '/proc/cpuinfo' innehåller flaggan 'nx' |
| "." bör inte visas i rotens $PATH (27.1) |
Beskrivning: En angripare kan höja behörigheten genom att placera en skadlig fil i rotens $PATH | Ändra raden "exportera PATH=" i /root/.profile |
| Användarhemkataloger ska vara läge 750 eller mer restriktiva (28) |
Beskrivning: En angripare kan hämta känslig information från andra användares startmappar. | Ange behörigheter för hemmappen till 750 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| Standard-umasken för alla användare ska vara inställd på 077 i login.defs (29) |
Beskrivning: En angripare kan hämta känslig information från filer som ägs av andra användare. | Kör kommandot "/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask". Då läggs raden UMASK 077 till i filen "/etc/login.defs" |
| Alla startladdare bör ha lösenordsskydd aktiverat. (31) |
Beskrivning: En angripare med fysisk åtkomst kan ändra alternativ för startladdare, vilket ger obegränsad systemåtkomst | Lägg till ett lösenord för startinläsaren i filen "/boot/grub/grub.cfg" |
| Se till att behörigheter för bootloader-konfiguration har konfigurerats (31.1) |
Beskrivning: Om du ställer in behörigheter för att läsa och skriva för rot förhindrar du att icke-rotanvändare ser startparametrarna eller ändrar dem. Användare som inte är rotanvändare som läser startparametrarna kan identifiera svagheter i säkerheten vid start och kunna utnyttja dem. | Ange ägare och grupp för startladdaren till root:root och behörigheter till 0400 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Se till att autentisering krävs för enanvändarläge. (33) |
Beskrivning: Om du kräver autentisering i enanvändarläge förhindras en obehörig användare från att starta om systemet till en enskild användare för att få rotprivilegier utan autentiseringsuppgifter. | kör följande kommando för att ange ett lösenord för rotanvändaren: passwd root |
| Kontrollera att sändning av omdirigering av paket är inaktiverat. (38.3) |
Beskrivning: En angripare kan använda en komprometterad värd för att skicka ogiltiga ICMP-omdirigeringar till andra routerenheter i ett försök att skada routningen och få användare att komma åt ett system som har konfigurerats av angriparen i stället för ett giltigt system. | ange följande parametrar i /etc/sysctl.conf: "net.ipv4.conf.all.send_redirects = 0" och "net.ipv4.conf.default.send_redirects = 0" eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| Skicka ICMP-omdirigeringar bör inaktiveras för alla gränssnitt. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Beskrivning: En angripare kan ändra systemets routningstabell och omdirigera trafik till ett alternativt mål | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects". |
| Skicka ICMP-omdirigeringar bör inaktiveras för alla gränssnitt. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Beskrivning: En angripare kan ändra systemets routningstabell och omdirigera trafik till ett alternativt mål | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects" |
| Acceptera källroutade paket bör inaktiveras för alla gränssnitt. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Beskrivning: En angripare kan omdirigera trafik i skadliga syften. | Kör sysctl -w key=value och ange ett kompatibelt värde. |
| Acceptera källroutade paket bör inaktiveras för alla gränssnitt. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Beskrivning: En angripare kan omdirigera trafik i skadliga syften. | Kör sysctl -w key=value och ange ett kompatibelt värde. |
| Standardinställningen för att acceptera källroutade paket bör inaktiveras för nätverksgränssnitt. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Beskrivning: En angripare kan omdirigera trafik i skadliga syften. | Kör sysctl -w key=value och ange ett kompatibelt värde. |
| Standardinställningen för att acceptera källroutade paket bör inaktiveras för nätverksgränssnitt. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Beskrivning: En angripare kan omdirigera trafik i skadliga syften. | Kör sysctl -w key=value och ange ett kompatibelt värde. |
| Ignorera falska ICMP-svar på sändningar bör aktiveras. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Beskrivning: En angripare kan utföra en ICMP-attack som resulterar i DoS | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses" |
| Ignorera ICMP-ekobegäranden (ping) som skickas till broadcast-/multicast-adresser ska vara aktiverat. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Beskrivning: En angripare kan utföra en ICMP-attack som resulterar i DoS | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| Loggning av marsianska paket (de med omöjliga adresser) bör aktiveras för alla gränssnitt. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Beskrivning: En angripare kan skicka trafik från falska adresser utan att identifieras | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians" |
| Att utföra källverifiering med omvänd sökväg bör vara aktiverat för alla gränssnitt. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Beskrivning: Systemet accepterar trafik från adresser som inte går att distribuera. | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter" |
| Att utföra källverifiering med omvänd sökväg bör vara aktiverat för alla gränssnitt. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Beskrivning: Systemet accepterar trafik från adresser som inte går att distribuera. | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter" |
| TCP SYN-cookies ska vara aktiverade. (net.ipv4.tcp_syncookies = 1) (47) |
Beskrivning: En angripare kan utföra en DoS över TCP | Kör sysctl -w key=value och ange ett kompatibelt värde eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies" |
| Systemet bör inte fungera som en nätverkssniffare. (48) |
Beskrivning: En angripare kan använda promiskuösa gränssnitt för att sniffa nätverkstrafik | Promiskuöst läge aktiveras via en "promisk" post i "/etc/network/interfaces" eller "/etc/rc.local.". Kontrollera båda filerna och ta bort den här posten. |
| Alla trådlösa gränssnitt ska vara inaktiverade. (49) |
Beskrivning: En angripare kan skapa en falsk AP för att avlyssna överföringar. | Bekräfta att alla trådlösa gränssnitt är inaktiverade i "/etc/network/interfaces" |
| IPv6-protokollet ska vara aktiverat. (50) |
Beskrivning: Detta är nödvändigt för kommunikation i moderna nätverk. | Öppna /etc/sysctl.conf och bekräfta att "net.ipv6.conf.all.disable_ipv6" och "net.ipv6.conf.default.disable_ipv6" är inställda på 0 |
| Kontrollera att DCCP är inaktiverat (54) |
Beskrivning: Om protokollet inte krävs rekommenderar vi att drivrutinerna inte installeras för att minska den potentiella attackytan. | Redigera eller skapa en fil i /etc/modprobe.d/ katalogen som slutar med .conf och lägg sedan till install dccp /bin/true ta bort dccp-modulen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Kontrollera att SCTP är inaktiverat (55) |
Beskrivning: Om protokollet inte krävs rekommenderar vi att drivrutinerna inte installeras för att minska den potentiella attackytan. | Redigera eller skapa en fil i /etc/modprobe.d/ katalogen som slutar med .conf och lägg till och ta install sctp /bin/true sedan bort sctp-modulen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Inaktivera stöd för RDS. (56) |
Beskrivning: En angripare kan använda en säkerhetsrisk i RDS för att kompromettera systemet | Redigera eller skapa en fil i /etc/modprobe.d/ katalogen som slutar med .conf och lägg sedan till install rds /bin/true och ta sedan bort rds-modulen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Kontrollera att TIPC är inaktiverat (57) |
Beskrivning: Om protokollet inte krävs rekommenderar vi att drivrutinerna inte installeras för att minska den potentiella attackytan. | Redigera eller skapa en fil i /etc/modprobe.d/ katalogen som slutar med .conf och lägg till och ta install tipc /bin/true sedan bort tipc-modulen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods" |
| Kontrollera att loggningen är konfigurerad (60) |
Beskrivning: En hel del viktig säkerhetsrelaterad information skickas via rsyslog (till exempel lyckade och misslyckade su-försök, misslyckade inloggningsförsök, rotinloggningsförsök osv.). |
Konfigurera syslog, rsyslog eller syslog-ng efter behov |
| Syslog-, rsyslog- eller syslog-ng-paketet bör installeras. (61) |
Beskrivning: Tillförlitlighets- och säkerhetsproblem loggas inte, vilket förhindrar korrekt diagnos. | Installera rsyslog-paketet eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog" |
| Systemd-journald-tjänsten ska konfigureras för att bevara loggmeddelanden (61.1) |
Beskrivning: Tillförlitlighets- och säkerhetsproblem loggas inte, vilket förhindrar korrekt diagnos. | Skapa /var/log/journal och se till att Storage i journald.conf är automatiskt eller beständigt |
| Kontrollera att en loggningstjänst är aktiverad (62) |
Beskrivning: Det är absolut nödvändigt att kunna logga händelser på en nod. | Aktivera rsyslog-paketet eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog" |
| Filbehörigheter för alla rsyslog-loggfiler ska vara inställda på 640 eller 600. (63) |
Beskrivning: En angripare kan dölja aktivitet genom att manipulera loggar | Lägg till raden "$FileCreateMode 0640" i filen "/etc/rsyslog.conf" |
| Kontrollera att loggningskonfigurationsfilerna är begränsade. (63.1) |
Beskrivning: Det är viktigt att se till att loggfiler finns och har rätt behörighet för att säkerställa att känsliga syslog-data arkiveras och skyddas. | Ställ in loggarens konfigurationsfiler på 0640 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions" |
| Alla rsyslog-loggfiler ska ägas av adm-gruppen. (64) |
Beskrivning: En angripare kan dölja aktivitet genom att manipulera loggar | Lägg till raden "$FileGroup adm" i filen '/etc/rsyslog.conf' |
| Alla rsyslog-loggfiler ska ägas av syslog-användaren. (65) |
Beskrivning: En angripare kan dölja aktivitet genom att manipulera loggar | Lägg till raden "$FileOwner syslog" i filen '/etc/rsyslog.conf' eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| Rsyslog bör inte acceptera fjärrmeddelanden. (67) |
Beskrivning: En angripare kan mata in meddelanden i syslog, vilket orsakar en DoS eller en distraktion från annan aktivitet | Ta bort raderna "$ModLoad imudp" och "$ModLoad imtcp" från filen "/etc/rsyslog.conf" |
| Logrotate-tjänsten (syslog rotater) ska vara aktiverad. (68) |
Beskrivning: Loggfiler kan växa obundna och förbruka allt diskutrymme | Installera logrotate-paketet och bekräfta att posten logrotate cron är aktiv (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| Rlogin-tjänsten ska inaktiveras. (69) |
Beskrivning: En angripare kan få åtkomst och kringgå strikta autentiseringskrav | Ta bort inetd-tjänsten. |
| Inaktivera inetd om det inte krävs. (inetd) (70.1) |
Beskrivning: En angripare kan utnyttja en säkerhetsrisk i en inetd-tjänst för att få åtkomst | Avinstallera inetd-tjänsten (apt-get remove inetd) |
| Inaktivera xinetd om det inte krävs. (xinetd) (70.2) |
Beskrivning: En angripare kan utnyttja en säkerhetsrisk i en xinetd-tjänst för att få åtkomst | Avinstallera inetd-tjänsten (apt-get remove xinetd) |
| Installera endast inetd om det är lämpligt och krävs av distributionen. Skydda enligt gällande härdningsstandarder. (om det behövs) (71.1) |
Beskrivning: En angripare kan utnyttja en säkerhetsrisk i en inetd-tjänst för att få åtkomst | Avinstallera inetd-tjänsten (apt-get remove inetd) |
| Installera xinetd endast om det är lämpligt och krävs av distributionen. Skydda enligt gällande härdningsstandarder. (om det behövs) (71.2) |
Beskrivning: En angripare kan utnyttja en säkerhetsrisk i en xinetd-tjänst för att få åtkomst | Avinstallera inetd-tjänsten (apt-get remove xinetd) |
| Telnet-tjänsten ska vara inaktiverad. (72) |
Beskrivning: En angripare kan tjuvlyssna eller kapa okrypterade telnet-sessioner | Ta bort eller kommentera ut telnet-posten i filen '/etc/inetd.conf' |
| Alla telnetd-paket ska avinstalleras. (73) |
Beskrivning: En angripare kan tjuvlyssna eller kapa okrypterade telnet-sessioner | Avinstallera alla telnetd-paket |
| Rcp/rsh-tjänsten bör inaktiveras. (74) |
Beskrivning: En angripare kan tjuvlyssna eller kapa okrypterade sessioner | Ta bort eller kommentera ut shell-posten i filen '/etc/inetd.conf' |
| Rsh-server-paketet bör avinstalleras. (77) |
Beskrivning: En angripare kan tjuvlyssna eller kapa okrypterade rsh-sessioner | Avinstallera rsh-server-paketet (apt-get remove rsh-server) |
| Tjänsten ypbind bör inaktiveras. (78) |
Beskrivning: En angripare kan hämta känslig information från ypbind-tjänsten | Avinstallera nis-paketet (apt-get remove nis) |
| Nis-paketet bör avinstalleras. (79) |
Beskrivning: En angripare kan hämta känslig information från NIS-tjänsten | Avinstallera nis-paketet (apt-get remove nis) |
| Tftp-tjänsten ska inaktiveras. (80) |
Beskrivning: En angripare kan tjuvlyssna eller kapa en okrypterad session | Ta bort tftp-posten från filen '/etc/inetd.conf' |
| Tftpd-paketet bör avinstalleras. (81) |
Beskrivning: En angripare kan tjuvlyssna eller kapa en okrypterad session | Avinstallera tftpd-paketet (apt-get remove tftpd) |
| Readahead-fedora-paketet bör avinstalleras. (82) |
Beskrivning: Paketet skapar ingen betydande exponering, men lägger inte heller till någon betydande fördel. | Avinstallera paketet readahead-fedora (apt-get remove readahead-fedora) |
| Tjänsten bluetooth/hidd bör inaktiveras. (84) |
Beskrivning: En angripare kan avlyssna eller manipulera trådlös kommunikation. | Avinstallera Bluetooth-paketet (apt-get remove bluetooth) |
| Isdn-tjänsten ska inaktiveras. (86) |
Beskrivning: En angripare kan använda ett modem för att få obehörig åtkomst | Avinstallera isdnutils-base-paketet (apt-get remove isdnutils-base) |
| Paketet isdnutils-base bör avinstalleras. (87) |
Beskrivning: En angripare kan använda ett modem för att få obehörig åtkomst | Avinstallera isdnutils-base-paketet (apt-get remove isdnutils-base) |
| Kdump-tjänsten bör inaktiveras. (88) |
Beskrivning: En angripare kan analysera en tidigare systemkrasch för att hämta känslig information | Avinstallera kdump-tools-paketet (apt-get remove kdump-tools) |
| Zeroconf-nätverk ska inaktiveras. (89) |
Beskrivning: En angripare kan missbruka detta för att få information om nätverkssystem eller falska DNS-begäranden på grund av brister i dess förtroendemodell | För RedHat, CentOS och Oracle: Lägg till NOZEROCONF=yes or no i /etc/sysconfig/network. För alla andra distributioner: Ta bort alla ipv4ll-poster i filen '/etc/network/interfaces' eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
| Crond-tjänsten ska vara aktiverad. (90) |
Beskrivning: Cron krävs av nästan alla system för regelbundna underhållsuppgifter | Installera cron-paketet (apt-get install -y cron) och bekräfta att filen '/etc/init/cron.conf' innehåller raden "start on runlevel [2345]" |
| Filbehörigheter för /etc/anacrontab ska anges till root:root 600. (91) |
Beskrivning: En angripare kan manipulera den här filen för att förhindra schemalagda uppgifter eller köra skadliga uppgifter | Ange ägarskap och behörigheter på /etc/anacrontab eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms" |
| Se till att behörigheter för /etc/cron.d har konfigurerats. (93) |
Beskrivning: Om du beviljar skrivåtkomst till den här katalogen för icke-privilegierade användare kan det ge dem möjlighet att få obehöriga utökade privilegier. Om du beviljar läsbehörighet till den här katalogen kan du få en användarinsikt som inte är privilegierad eller kringgå granskningskontroller. | Ange ägare och grupp för /etc/chron.d till rot och behörigheter till 0700 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms" |
| Se till att behörigheter för /etc/cron.daily är konfigurerade. (94) |
Beskrivning: Om du beviljar skrivåtkomst till den här katalogen för icke-privilegierade användare kan det ge dem möjlighet att få obehöriga utökade privilegier. Om du beviljar läsbehörighet till den här katalogen kan du få en användarinsikt som inte är privilegierad eller kringgå granskningskontroller. | Ange ägare och grupp för /etc/chron.daily till rot och behörigheter till 0700 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Se till att behörigheter på /etc/cron.hourly är konfigurerade. (95) |
Beskrivning: Om du beviljar skrivåtkomst till den här katalogen för icke-privilegierade användare kan det ge dem möjlighet att få obehöriga utökade privilegier. Om du beviljar läsbehörighet till den här katalogen kan du få en användarinsikt som inte är privilegierad eller kringgå granskningskontroller. | Ange ägare och grupp för /etc/chron.hourly till rot och behörigheter till 0700 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Se till att behörigheter på /etc/cron.monthly har konfigurerats. (96) |
Beskrivning: Om du beviljar skrivåtkomst till den här katalogen för icke-privilegierade användare kan det ge dem möjlighet att få obehöriga utökade privilegier. Om du beviljar läsbehörighet till den här katalogen kan du få en användarinsikt som inte är privilegierad eller kringgå granskningskontroller. | Ange ägare och grupp för /etc/chron.monthly till rot och behörigheter till 0700 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Se till att behörigheter för /etc/cron.weekly har konfigurerats. (97) |
Beskrivning: Om du beviljar skrivåtkomst till den här katalogen för icke-privilegierade användare kan det ge dem möjlighet att få obehöriga utökade privilegier. Om du beviljar läsbehörighet till den här katalogen kan du få en användarinsikt som inte är privilegierad eller kringgå granskningskontroller. | Ange ägare och grupp för /etc/chron.weekly till rot och behörigheter till 0700 eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Se till att at/cron är begränsad till behöriga användare (98) |
Beskrivning: På många system är det bara systemadministratören som har behörighet att schemalägga cron jobb. cron.allow Genom att använda filen för att styra vem som kan köra cron jobb framtvingas den här principen. Det är enklare att hantera en tillåten lista än en nekande lista. I en neka-lista kan du eventuellt lägga till ett användar-ID i systemet och glömma att lägga till det i neka-filerna. |
Ersätt /etc/cron.deny och /etc/at.deny med respektive allow filer eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
| SSH måste konfigureras och hanteras för att uppfylla bästa praxis. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Beskrivning: En angripare kan använda fel i en tidigare version av SSH-protokollet för att få åtkomst | Kör kommandot "/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol". Då anges "Protokoll 2" i filen "/etc/ssh/sshd_config" |
| SSH måste konfigureras och hanteras för att uppfylla bästa praxis. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Beskrivning: En angripare kan använda fel i Rhosts-protokollet för att få åtkomst | Kör kommandot "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts". Då läggs raden "IgnoreRhosts yes" till filen '/etc/ssh/sshd_config' |
| Kontrollera att SSH LogLevel är inställt på INFO (106.5) |
Beskrivning: SSH tillhandahåller flera loggningsnivåer med varierande mängder utförlighet. DEBUG rekommenderas specifikt inte annat än strikt för felsökning av SSH-kommunikation eftersom det ger så mycket data att det är svårt att identifiera viktig säkerhetsinformation. INFO nivå är den grundläggande nivån som endast registrerar inloggningsaktivitet för SSH-användare. I många situationer, till exempel Incidenthantering, är det viktigt att avgöra när en viss användare var aktiv i ett system. Utloggningsposten kan eliminera de användare som har kopplat från, vilket hjälper till att begränsa fältet. |
/etc/ssh/sshd_config Redigera filen för att ange parametern på följande sätt: LogLevel INFO |
| Kontrollera att SSH MaxAuthTries är inställt på 6 eller mindre (106.7) |
Beskrivning: Om du ställer in parametern MaxAuthTries på ett lågt tal minimeras risken för lyckade råstyrkeattacker mot SSH-servern. Medan den rekommenderade inställningen är 4 anger du talet baserat på webbplatsprincip. |
Kontrollera att SSH MaxAuthTries är inställt på 6 eller mindre Redigera /etc/ssh/sshd_config filen för att ange parametern på följande sätt: MaxAuthTries 6 |
| Se till att SSH-åtkomsten är begränsad (106.11) |
Beskrivning: Om du begränsar vilka användare som kan fjärransluta till systemet via SSH kan du se till att endast behöriga användare får åtkomst till systemet. | Se till att SSH-åtkomsten /etc/ssh/sshd_config är begränsad Redigera filen för att ange en eller flera av parametern på följande sätt: AllowUsers AllowGroups DenyUsers DenyGroups |
| Emulering av rsh-kommandot via ssh-servern bör inaktiveras. - '/etc/ssh/sshd_config RhostsRSAAuthentication = nej' (107) |
Beskrivning: En angripare kan använda fel i RHosts-protokollet för att få åtkomst | Kör kommandot "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth". Då läggs raden "RhostsRSAAuthentication no" till filen "/etc/ssh/sshd_config" |
| SSH-värdbaserad autentisering bör inaktiveras. - '/etc/ssh/sshd_config HostbasedAuthentication = nej' (108) |
Beskrivning: En angripare kan använda värdbaserad autentisering för att få åtkomst från en komprometterad värd | Kör kommandot "/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth". Då läggs raden "HostbasedAuthentication no" till filen "/etc/ssh/sshd_config" |
| Rotinloggning via SSH bör inaktiveras. - '/etc/ssh/sshd_config PermitRootLogin = nej' (109) |
Beskrivning: En angripare kan råstyra rotlösenordet eller dölja sin kommandohistorik genom att logga in direkt som rot | Kör kommandot "/usr/local/bin/azsecd remediate -r disable-ssh-root-login". Då läggs raden "PermitRootLogin no" till filen "/etc/ssh/sshd_config" |
| Fjärranslutningar från konton med tomma lösenord bör inaktiveras. - '/etc/ssh/sshd_config PermitEmptyPasswords = nej' (110) |
Beskrivning: En angripare kan få åtkomst via lösenords gissande | Kör kommandot "/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords". Då läggs raden "PermitEmptyPasswords no" till filen "/etc/ssh/sshd_config" |
| Kontrollera att tidsgränsintervallet för inaktivitet i SSH har konfigurerats. (110.1) |
Beskrivning: Om inget timeout-värde är associerat med en anslutning kan en obehörig användare få åtkomst till en annan användares ssh-session. Om du anger ett timeout-värde minskar risken för detta. Den rekommenderade inställningen är 300 sekunder (5 minuter), men ange det här timeout-värdet baserat på platsprincipen. Den rekommenderade inställningen för ClientAliveCountMax är 0. I det här fallet avslutas klientsessionen efter 5 minuters inaktivitetstid och inga keepalive-meddelanden skickas. |
Redigera filen /etc/ssh/sshd_config för att ange parametrarna enligt principen |
| Kontrollera att SSH LoginGraceTime är inställt på en minut eller mindre. (110.2) |
Beskrivning: Om du ställer in parametern LoginGraceTime på ett lågt tal minimeras risken för lyckade råstyrkeattacker mot SSH-servern. Det begränsar också antalet samtidiga oautentiserade anslutningar Medan den rekommenderade inställningen är 60 sekunder (1 minut) anger du talet baserat på platsprincipen. |
Redigera filen /etc/ssh/sshd_config för att ange parametrarna enligt principen eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time" |
| Se till att endast godkända MAC-algoritmer används (110.3) |
Beskrivning: MD5- och 96-bitars MAC-algoritmer anses vara svaga och har visat sig öka sårbarheten i SSH-nedgraderingsattacker. Svaga algoritmer fortsätter att ha stor uppmärksamhet som en svag punkt som kan utnyttjas med utökad databehandlingskraft. En angripare som bryter algoritmen kan dra nytta av en MiTM-position för att dekryptera SSH-tunneln och samla in autentiseringsuppgifter och information | Redigera filen /etc/sshd_config och lägg till/ändra MACs-raden så att den innehåller en kommaavgränsad lista över godkända MAC:er eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs" |
| Kontrollera att varningsbanderollen för fjärrinloggning är korrekt konfigurerad. (111) |
Beskrivning: Varningsmeddelanden informerar användare som försöker logga in på systemet om deras juridiska status gällande systemet och måste innehålla namnet på den organisation som äger systemet och eventuella övervakningsprinciper som finns på plats. Att visa information på operativsystem- och korrigeringsnivå i inloggningsbanderoller har också sidoeffekten att tillhandahålla detaljerad systeminformation till angripare som försöker rikta in sig på specifika kryphål i ett system. Behöriga användare kan enkelt hämta den här informationen genom att uname -aköra kommandot när de har loggat in. |
Ta bort alla instanser av \m \r \s och \v från filen /etc/issue.net |
| Kontrollera att den lokala inloggningsvarningsbanderollen är korrekt konfigurerad. (111.1) |
Beskrivning: Varningsmeddelanden informerar användare som försöker logga in på systemet om deras juridiska status gällande systemet och måste innehålla namnet på den organisation som äger systemet och eventuella övervakningsprinciper som finns på plats. Att visa information på operativsystem- och korrigeringsnivå i inloggningsbanderoller har också sidoeffekten att tillhandahålla detaljerad systeminformation till angripare som försöker rikta in sig på specifika kryphål i ett system. Behöriga användare kan enkelt hämta den här informationen genom att uname -aköra kommandot när de har loggat in. |
Ta bort alla instanser av \m \r \s och \v från filen /etc/issue |
| SSH-varningsbanderollen ska vara aktiverad. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Beskrivning: Användarna kommer inte att varnas för att deras åtgärder i systemet övervakas | Kör kommandot "/usr/local/bin/azsecd remediate -r configure-ssh-banner". Då läggs raden "Banner /etc/azsec/banner.txt" till filen '/etc/ssh/sshd_config' |
| Användare får inte ange miljöalternativ för SSH. (112) |
Beskrivning: En angripare kan kringgå vissa åtkomstbegränsningar över SSH | Ta bort raden "PermitUserEnvironment yes" från filen '/etc/ssh/sshd_config' |
| Lämpliga chiffer ska användas för SSH. (Chiffer aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Beskrivning: En angripare kan kompromettera en svagt skyddad SSH-anslutning | Kör kommandot "/usr/local/bin/azsecd remediate -r configure-ssh-ciphers". Då läggs raden "Chiffer aes128-ctr, aes192-ctr,aes256-ctr" till filen "/etc/ssh/sshd_config" |
| Avahi-daemon-tjänsten ska inaktiveras. (114) |
Beskrivning: En angripare kan använda en säkerhetsrisk i avahi-daemon för att få åtkomst | Inaktivera avahi-daemon-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon" |
| Cups-tjänsten ska inaktiveras. (115) |
Beskrivning: En angripare kan använda ett fel i cups-tjänsten för att höja behörigheter | Inaktivera cups-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups" |
| Tjänsten isc-dhcpd bör inaktiveras. (116) |
Beskrivning: En angripare kan använda dhcpd för att tillhandahålla felaktig information till klienter, vilket stör normal drift. | Ta bort isc-dhcp-server-paketet (apt-get remove isc-dhcp-server) |
| Isc-dhcp-server-paketet bör avinstalleras. (117) |
Beskrivning: En angripare kan använda dhcpd för att tillhandahålla felaktig information till klienter, vilket stör normal drift. | Ta bort isc-dhcp-server-paketet (apt-get remove isc-dhcp-server) |
| Sendmail-paketet ska avinstalleras. (120) |
Beskrivning: En angripare kan använda det här systemet för att skicka e-postmeddelanden med skadligt innehåll till andra användare | Avinstallera sendmail-paketet (apt-get remove sendmail) |
| Postfix-paketet bör avinstalleras. (121) |
Beskrivning: En angripare kan använda det här systemet för att skicka e-postmeddelanden med skadligt innehåll till andra användare | Avinstallera postfixpaketet (apt-get remove postfix) eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix" |
| Postfix-nätverkslyssning bör inaktiveras efter behov. (122) |
Beskrivning: En angripare kan använda det här systemet för att skicka e-postmeddelanden med skadligt innehåll till andra användare | Lägg till raden "inet_interfaces localhost" i filen "/etc/postfix/main.cf" |
| ldap-tjänsten bör inaktiveras. (124) |
Beskrivning: En angripare kan manipulera LDAP-tjänsten på den här värden för att distribuera falska data till LDAP-klienter | Avinstallera slapd-paketet (apt-get remove slapd) |
| Rpcgssd-tjänsten bör inaktiveras. (126) |
Beskrivning: En angripare kan använda ett fel i rpcgssd/nfs för att få åtkomst | Inaktivera rpcgssd-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd" |
| rpcidmapd-tjänsten bör inaktiveras. (127) |
Beskrivning: En angripare kan använda ett fel i idmapd/nfs för att få åtkomst | Inaktivera rpcidmapd-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd" |
| Portmap-tjänsten ska vara inaktiverad. (129.1) |
Beskrivning: En angripare kan använda ett fel i portkartan för att få åtkomst | Inaktivera rpcbind-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind" |
| NFS-tjänsten (Network File System) bör inaktiveras. (129.2) |
Beskrivning: En angripare kan använda nfs för att montera resurser och köra/kopiera filer. | Inaktivera nfs-tjänsten eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs" |
| Rpcsvcgssd-tjänsten ska inaktiveras. (130) |
Beskrivning: En angripare kan använda ett fel i rpcsvcgssd för att få åtkomst | Ta bort raden "NEED_SVCGSSD = ja" från filen '/etc/inetd.conf' |
| Den namngivna tjänsten ska inaktiveras. (131) |
Beskrivning: En angripare kan använda DNS-tjänsten för att distribuera falska data till klienter | Avinstallera bind9-paketet (apt-get remove bind9) |
| Bindningspaketet bör avinstalleras. (132) |
Beskrivning: En angripare kan använda DNS-tjänsten för att distribuera falska data till klienter | Avinstallera bind9-paketet (apt-get remove bind9) |
| Du bör inaktivera dovecot-tjänsten. (137) |
Beskrivning: Systemet kan användas som en IMAP/POP3-server | Avinstallera dovecot-core-paketet (apt-get remove dovecot-core) |
| Du bör avinstallera dovecot-paketet. (138) |
Beskrivning: Systemet kan användas som en IMAP/POP3-server | Avinstallera dovecot-core-paketet (apt-get remove dovecot-core) |
Kontrollera att inga äldre + poster finns i /etc/passwd(156.1) |
Beskrivning: En angripare kan få åtkomst med användarnamnet "+" utan lösenord | Ta bort poster i /etc/passwd som börjar med '+:' |
Se till att inga äldre + poster finns i /etc/shadow(156.2) |
Beskrivning: En angripare kan få åtkomst med användarnamnet "+" utan lösenord | Ta bort poster i /etc/shadow som börjar med '+:' |
Kontrollera att inga äldre + poster finns i /etc/group(156.3) |
Beskrivning: En angripare kan få åtkomst med användarnamnet "+" utan lösenord | Ta bort poster i /etc/group som börjar med '+:' |
| Kontrollera att lösenordets giltighetstid är 365 dagar eller mindre. (157.1) |
Beskrivning: Om du minskar den maximala åldern för ett lösenord minskar även angriparens möjlighet att utnyttja komprometterade autentiseringsuppgifter eller kompromettera autentiseringsuppgifter via en råstyrkeattack online. | Ange parametern PASS_MAX_DAYS till högst 365 i /etc/login.defs eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days" |
| Se till att varningsdagarna för lösenordets giltighetstid är 7 eller fler. (157.2) |
Beskrivning: Om du anger en förvarning om att ett lösenord upphör att gälla får användarna tid att tänka på ett säkert lösenord. Användare som inte är medvetna kan välja ett enkelt lösenord eller skriva ned det där det kan identifieras. | Ange parametern PASS_WARN_AGE till 7 i /etc/login.defs eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age" |
| Se till att återanvändning av lösenord är begränsad. (157.5) |
Beskrivning: Om användarna tvingas att inte återanvända sina fem senaste lösenord är det mindre troligt att en angripare kan gissa lösenordet. | Kontrollera att alternativet "kom ihåg" är inställt på minst 5 i antingen /etc/pam.d/common-password eller både /etc/pam.d/password_auth och /etc/pam.d/system_auth eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' |
| Kontrollera att algoritmen för lösenordshashing är SHA-512 (157.11) |
Beskrivning: SHA-512-algoritmen ger mycket starkare hashning än MD5, vilket ger ytterligare skydd för systemet genom att öka arbetet för att en angripare ska kunna fastställa lösenord. Obs! Dessa ändringar gäller endast för konton som har konfigurerats i det lokala systemet. | Ange algoritmen för lösenordshashing till sha512. Många distributioner innehåller verktyg för att uppdatera PAM-konfigurationen. Mer information finns i dokumentationen. Om det inte finns några verktyg redigerar du lämplig /etc/pam.d/ konfigurationsfil och lägger till eller ändrar raderna pam_unix.so så att det inkluderar sha512-alternativet: password sufficient pam_unix.so sha512 |
| Se till att minsta antal dagar mellan lösenordsändringar är 7 eller fler. (157.12) |
Beskrivning: Genom att begränsa frekvensen för lösenordsändringar kan en administratör hindra användare från att upprepade gånger ändra sina lösenord i ett försök att kringgå kontroller för återanvändning av lösenord. | Ange parametern PASS_MIN_DAYS till 7 i /etc/login.defs: PASS_MIN_DAYS 7. Ändra användarparametrar för alla användare med ett lösenord inställt på matchning: chage --mindays 7 eller kör "/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days" |
| Kontrollera att alla användares senaste datum för lösenordsändring är tidigare (157.14) |
Beskrivning: Om en användare har registrerat lösenordsändringsdatum i framtiden kan de kringgå alla angivna lösenordsförfallodatum. | Kontrollera att det inaktiva lösenordslåset är 30 dagar eller mindre Kör följande kommando för att ange standardperioden för lösenordsaktivitet till 30 dagar: # useradd -D -f 30 Ändra användarparametrar för alla användare med ett lösenord inställt på matchning: # chage --inactive 30 |
| Kontrollera att systemkonton inte är inloggningar (157.15) |
Beskrivning: Det är viktigt att se till att konton som inte används av vanliga användare hindras från att användas för att tillhandahålla ett interaktivt gränssnitt. Som standard anger Ubuntu lösenordsfältet för dessa konton till en ogiltig sträng, men vi rekommenderar också att shell-fältet i lösenordsfilen anges till /usr/sbin/nologin. Detta förhindrar att kontot kan användas för att köra kommandon. |
Ange gränssnittet för alla konton som returneras av granskningsskriptet till /sbin/nologin |
| Kontrollera att standardgruppen för rotkontot är GID 0 (157.16) |
Beskrivning: Genom att använda GID 0 för _root_ kontot kan du förhindra _root_att -ägda filer oavsiktligt blir tillgängliga för icke-privilegierade användare. |
Kör följande kommando för att ange användarens root standardgrupp till GID 0 : # usermod -g 0 root |
| Kontrollera att roten är det enda UID 0-kontot (157.18) |
Beskrivning: Den här åtkomsten får endast begränsas till standardkontot root och endast från systemkonsolen. Administrativ åtkomst måste ske via ett konto som inte är privilegierat med hjälp av en godkänd mekanism. |
Ta bort andra användare än root med UID 0 eller tilldela dem ett nytt UID om det är lämpligt. |
| Ta bort onödiga konton (159) |
Beskrivning: För efterlevnad | Ta bort onödiga konton |
| Kontrollera att den granskade tjänsten är aktiverad (162) |
Beskrivning: Insamlingen av systemhändelser ger systemadministratörer information som gör att de kan avgöra om obehörig åtkomst till systemet inträffar. | Installera granskningspaketet (systemctl enable auditd) |
| Kör AuditD-tjänsten (163) |
Beskrivning: Insamlingen av systemhändelser ger systemadministratörer information som gör att de kan avgöra om obehörig åtkomst till systemet inträffar. | Kör AuditD-tjänsten (systemctl start auditd) |
| Kontrollera att SNMP-servern inte är aktiverad (179) |
Beskrivning: SNMP-servern kan kommunicera med SNMP v1, som överför data i klartext och inte kräver autentisering för att köra kommandon. Om det inte är absolut nödvändigt rekommenderar vi att SNMP-tjänsten inte används. Om SNMP krävs ska servern konfigureras för att inte tillåta SNMP v1. | Kör något av följande kommandon för att inaktivera snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Kontrollera att rsync-tjänsten inte är aktiverad (181) |
Beskrivning: Tjänsten rsyncd utgör en säkerhetsrisk eftersom den använder okrypterade protokoll för kommunikation. |
Kör något av följande kommandon för att inaktivera rsyncd : chkconfig rsyncd off, systemctl disable rsyncdupdate-rc.d rsyncd disable eller kör '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| Kontrollera att NIS-servern inte är aktiverad (182) |
Beskrivning: NIS-tjänsten är ett i sig osäkert system som har varit sårbart för DOS-attacker, buffertspill och har dålig autentisering för att fråga NIS-kartor. NIS ersätts vanligtvis av protokoll som Lightweight Directory Access Protocol (LDAP). Vi rekommenderar att tjänsten inaktiveras och att säkrare tjänster används | Kör något av följande kommandon för att inaktivera ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Kontrollera att rsh-klienten inte är installerad (183) |
Beskrivning: Dessa äldre klienter innehåller många säkerhetsexponeringar och har ersatts med det säkrare SSH-paketet. Även om servern tas bort är det bäst att se till att klienterna också tas bort för att förhindra att användare oavsiktligt försöker använda dessa kommandon och därför exponerar sina autentiseringsuppgifter. Observera att om du tar bort rsh paketet tas klienterna bort för rsh, rcp och rlogin. |
Avinstallera rsh med lämplig pakethanterare eller manuell installation: yum remove rshapt-get remove rshzypper remove rsh |
| Inaktivera SMB V1 med Samba (185) |
Beskrivning: SMB v1 har välkända, allvarliga säkerhetsrisker och krypterar inte data under överföring. Om det måste användas av affärsskäl rekommenderar vi starkt att du vidtar ytterligare åtgärder för att minska riskerna med det här protokollet. | Om Samba inte körs tar du bort paketet, annars bör det finnas en rad i avsnittet [global] i /etc/samba/smb.conf: min protocol = SMB2 eller köra '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Kommentar
Tillgängligheten för specifika inställningar för azure policy-gästkonfiguration kan variera i Azure Government och andra nationella moln.
Nästa steg
Ytterligare artiklar om Azure Policy och gästkonfiguration:
- Azure Policy-gästkonfiguration.
- Översikt över regelefterlevnad .
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.