Linux güvenlik temeli
Dikkat
Bu makale, Kullanım Süresi Sonu (EOL) durumu olan bir Linux dağıtımı olan CentOS'a başvurur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.
Bu makalede, aşağıdaki uygulamalarda geçerli olan Linux konukları için yapılandırma ayarları ayrıntılı olarak açıklanır:
- [Önizleme]: Linux makineleri, Azure işlem güvenlik temeli Azure İlkesi konuk yapılandırma tanımı gereksinimlerini karşılamalıdır
- Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları Bulut için Microsoft Defender
Daha fazla bilgi için bkz. Azure İlkesi konuk yapılandırması ve Azure Güvenlik Karşılaştırması'na (V2) genel bakış.
Genel güvenlik denetimleri
| Veri Akışı Adı (CCEID) |
Ayrıntılar | Düzeltme denetimi |
|---|---|---|
| /home bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.4) |
Açıklama: Saldırgan /home bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /home bölümünün dördüncü alanına (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /tmp bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.5) |
Açıklama: Saldırgan /tmp bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /tmp bölümünün dördüncü alanına (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.6) |
Açıklama: Saldırgan /var/tmp bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /var/tmp bölümünün dördüncü alanına (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun. (1.1.7) |
Açıklama: /tmp dosya sistemi yalnızca geçici dosya depolama için tasarlandığından, kullanıcıların /var/tmp içinde setuid dosyaları oluşturabildiğinden emin olmak için bu seçeneği ayarlayın. | /etc/fstab dosyasını düzenleyin ve /tmp bölümünün dördüncü alanına (bağlama seçenekleri) nosuid ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun. (1.1.8) |
Açıklama: /var/tmp dosya sistemi yalnızca geçici dosya depolama için tasarlandığından, kullanıcıların /var/tmp içinde setuid dosyaları oluşturabildiğinden emin olmak için bu seçeneği ayarlayın. | /etc/fstab dosyasını düzenleyin ve /var/tmp bölümünün dördüncü alanına (bağlama seçenekleri) nosuid ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde noexec seçeneğinin ayarlandığından emin olun. (1.1.9) |
Açıklama: Dosya sistemi yalnızca geçici dosya depolama için tasarlandığından /var/tmp , kullanıcıların uygulamasından /var/tmp yürütülebilir ikili dosyaları çalıştırabildiğinden emin olmak için bu seçeneği ayarlayın. |
/etc/fstab dosyasını düzenleyin ve /var/tmp bölümünün dördüncü alanına (bağlama seçenekleri) noexec ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /dev/shm bölümünde noexec seçeneğinin ayarlandığından emin olun. (1.1.16) |
Açıklama: Bir dosya sisteminde bu seçeneğin ayarlanması, kullanıcıların paylaşılan bellekten program yürütmesini engeller. Bu denetim, kullanıcıların sisteme kötü amaçlı olabilecek yazılımlar eklemesini engeller. | /etc/fstab dosyasını düzenleyin ve /dev/shm bölümünün dördüncü alanına (bağlama seçenekleri) noexec ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Otomatik bağlamayı devre dışı bırakma (1.1.21) |
Açıklama: Otomatik bağlama etkinleştirildiğinde, fiziksel erişimi olan herkes bir USB sürücü veya disk takabilir ve kendi kendilerine takma izinleri olmasa bile sistemde içeriğini kullanabilir. | Autofs hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' komutunu çalıştırın |
| USB depolama cihazlarının bağlantısının devre dışı bırakıldığından emin olun (1.1.21.1) |
Açıklama: USB depolama cihazları desteğini kaldırmak sunucunun yerel saldırı yüzeyini azaltır. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve ardından usb-storage modülünü ekleyin install usb-storage /bin/true ve kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Çekirdek dökümlerinin kısıtlandığından emin olun. (1.5.1) |
Açıklama: Çekirdek dökümlerinde sabit bir sınır ayarlamak, kullanıcıların geçici değişkeni geçersiz kılmasını önler. Çekirdek dökümler gerekiyorsa, kullanıcı grupları için sınırlar ayarlamayı göz önünde bulundurun (bkz limits.conf(5). ). Ayrıca değişkenin fs.suid_dumpable 0 olarak ayarlanması setuid programlarının çekirdek dökümünü almasını engeller. |
/etc/security/limits.conf dosyasına veya limits.d dizininde bir dosya ekleyin hard core 0 ve sysctl içinde ayarlayın fs.suid_dumpable = 0 veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' komutunu çalıştırın |
| Ön bağlantının devre dışı bırakıldığından emin olun. (1.5.4) |
Açıklama: Ön bağlantı özelliği, ikili dosyaları değiştirdiğinden AIDE'nin çalışmasını etkileyebilir. Kötü amaçlı bir kullanıcı libc gibi ortak bir kitaplığın güvenliğini tehlikeye atabiliyorsa, önceden bağlantı da sistemin güvenlik açığını artırabilir. | paket yöneticinizi kullanarak kaldırın prelink veya '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' komutunu çalıştırın |
| /etc/motd üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.4) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/motd , yetkisiz kullanıcılar tarafından yanlış veya yanıltıcı bilgilerle değiştirilebilir. |
/etc/motd sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/issue üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.5) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/issue , yetkisiz kullanıcılar tarafından yanlış veya yanıltıcı bilgilerle değiştirilebilir. |
/etc/issue sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/issue.net üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.6) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/issue.net , yetkisiz kullanıcılar tarafından yanlış veya yanıltıcı bilgilerle değiştirilebilir. |
/etc/issue.net sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| Nodev seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.1) |
Açıklama: Saldırgan çıkarılabilir medya aracılığıyla özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir | nodev seçeneğini /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Noexec seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.2) |
Açıklama: Saldırgan yürütülebilir dosyayı çıkarılabilir medya aracılığıyla yükleyebilir | /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) noexec seçeneğini ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Nosuid seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.3) |
Açıklama: Saldırgan, çıkarılabilir medya aracılığıyla yükseltilmiş bir güvenlik bağlamıyla çalışan dosyaları yükleyebilir | /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) nosuid seçeneğini ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Talk istemcisinin yüklü olmadığından emin olun. (2.3.3) |
Açıklama: Yazılım, iletişim için şifrelenmemiş protokoller kullandığından bir güvenlik riski sunar. | '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' öğesini kaldırın talk veya çalıştırın |
| /etc/hosts.allow üzerindeki izinlerin yapılandırıldığından emin olun. (3.4.4) |
Açıklama: Dosyanın yetkisiz yazma erişimine karşı korunduğundan /etc/hosts.allow emin olmak kritik önem taşır. Varsayılan olarak korumalı olsa da, dosya izinleri yanlışlıkla veya kötü amaçlı eylemler aracılığıyla değiştirilebilir. |
/etc/hosts sahibini ve grubunu ayarlayın.allow kök ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/hosts.deny üzerindeki izinlerin yapılandırıldığından emin olun. (3.4.5) |
Açıklama: Dosyanın yetkisiz yazma erişimine karşı korunduğundan /etc/hosts.deny emin olmak kritik önem taşır. Varsayılan olarak korumalı olsa da, dosya izinleri yanlışlıkla veya kötü amaçlı eylemler aracılığıyla değiştirilebilir. |
/etc/hosts.deny öğesinin sahibini ve grubunu kök olarak ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| Varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun (3.6.2) |
Açıklama: Varsayılan kabul ilkesiyle, güvenlik duvarı açıkça reddedilmeyen tüm paketi kabul eder. Varsayılan DROP ilkesine sahip güvenli bir güvenlik duvarını korumak, varsayılan İzin ver ilkesinden daha kolaydır. | Güvenlik duvarı yazılımınızı kullanarak gelen, giden ve yönlendirilen trafik için varsayılan ilkeyi deny veya reject uygun şekilde ayarlayın |
| Nodev/nosuid seçeneği tüm NFS bağlamaları için etkinleştirilmelidir. (5) |
Açıklama: Saldırgan, yükseltilmiş bir güvenlik bağlamıyla veya özel cihazlarla çalışan dosyaları uzak dosya sistemi aracılığıyla yükleyebilir | Nosuid ve nodev seçeneklerini /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /etc/ssh/sshd_config izinlerinin yapılandırıldığından emin olun. (5.2.1) |
Açıklama: Dosyanın /etc/ssh/sshd_config ayrıcalıklı olmayan kullanıcılar tarafından yapılan yetkisiz değişikliklere karşı korunması gerekir. |
/etc/ssh/sshd_config sahibini ve grubunu kök olarak ayarlayın ve izinleri 0600 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' komutunu çalıştırın |
| Parola oluşturma gereksinimlerinin yapılandırıldığından emin olun. (5.3.1) |
Açıklama: Güçlü parolalar, deneme yanılma yöntemleriyle sistemlerin ele geçirilmelerini engeller. | Dağıtımınız için uygun PAM'de aşağıdaki anahtar/değer çiftlerini ayarlayın: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' komutunu çalıştırın |
| Başarısız parola girişimleri için kilitlemenin yapılandırıldığından emin olun. (5.3.2) |
Açıklama: Başarısız ardışık oturum açma girişimlerinden sonra n kullanıcı kimliklerini kilitlemek, sistemlerinize yönelik deneme yanılma parola saldırılarını azaltır. |
Ubuntu ve Debian için pam_tally ve pam_deny modüllerini uygun şekilde ekleyin. Diğer tüm dağıtımlar için dağıtımınızın belgelerine bakın |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (cramfs) (6.1) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için cramfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine cramfs'yi devre dışı bırakan bir dosya ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (freevxfs) (6.2) |
Açıklama: Saldırgan, ayrıcalıkları yükseltmek için freevxfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine freevxfs'yi devre dışı bırakan bir dosya ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Tüm kullanıcıların giriş dizinlerinin mevcut olduğundan emin olun (6.2.7) |
Açıklama: Kullanıcının giriş dizini yoksa veya atanmamışsa, kullanıcı birim köküne yerleştirilir. Ayrıca, kullanıcı herhangi bir dosya yazamaz veya ortam değişkenlerini ayarlayamaz. | Herhangi bir kullanıcının giriş dizini yoksa, bunları oluşturun ve ilgili kullanıcının dizinin sahibi olduğundan emin olun. Atanmış giriş dizini olmayan kullanıcılar uygun şekilde kaldırılmalı veya bir giriş dizinine atanmalıdır. |
| Kullanıcıların kendi giriş dizinlerine sahip olduğundan emin olun (6.2.9) |
Açıklama: Kullanıcı, kullanıcı giriş dizininde depolanan dosyalardan sorumlu olduğundan, kullanıcının dizinin sahibi olması gerekir. | Tanımlı kullanıcıya ait olmayan giriş dizinlerinin sahipliğini doğru kullanıcı olarak değiştirin. |
| Kullanıcıların nokta dosyalarının gruplandırılabilir veya dünya yazılabilir olmadığından emin olun. (6.2.10) |
Açıklama: Grup veya dünya çapında yazılabilir kullanıcı yapılandırma dosyaları, kötü amaçlı kullanıcıların diğer kullanıcıların verilerini çalmasına veya değiştirmesine veya başka bir kullanıcının sistem ayrıcalıklarına sahip olmasını sağlayabilir. | Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı nokta dosya izinlerini raporlamak ve site ilkesi düzeltme eylemlerini belirlemek için bir izleme ilkesi oluşturmanızı öneririz. |
| Hiçbir kullanıcının .forward dosyası olmadığından emin olun (6.2.11) |
Açıklama: Dosyanın kullanılması .forward , hassas verilerin yanlışlıkla kuruluş dışına aktarılabilmesi açısından güvenlik riski oluşturur. Dosya .forward , istenmeyen eylemler gerçekleştirebilecek komutları yürütmek için kullanılabildiğinden de bir risk oluşturur. |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .forward dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| Hiçbir kullanıcının .netrc dosyası olmadığından emin olun (6.2.12) |
Açıklama: Dosya .netrc , parolaları şifrelenmemiş biçimde depoladığından önemli bir güvenlik riski sunar. FTP devre dışı bırakılıyor olsa bile, kullanıcı hesapları bu sistemler için risk oluşturabilecek diğer sistemlerden dosya getirmiş .netrc olabilir |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .netrc dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| Kullanıcıların .rhosts dosyası olmadığından emin olun (6.2.14) |
Açıklama: Bu eylem yalnızca dosyasında /etc/pam.conf desteğe izin verilirse .rhosts anlamlıdır. 'de destek devre dışı bırakıldığında /etc/pam.conf dosyalar etkisiz olsa .rhosts da, bunlar başka sistemlerden getirilmiş olabilir ve bu diğer sistemler için bir saldırgan için yararlı bilgiler içerebilir. |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .rhosts dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| /etc/passwd içindeki tüm grupların /etc/group içinde mevcut olduğundan emin olun (6.2.15) |
Açıklama: /etc/passwd dosyasında tanımlanan ancak /etc/group dosyasında bulunmayan gruplar, grup izinleri düzgün yönetilmediğinden sistem güvenliği için bir tehdit oluşturur. | /etc/passwd içinde tanımlanan her grup için /etc/group içinde karşılık gelen bir grup olduğundan emin olun |
| Yinelenen UID olmadığından emin olun (6.2.16) |
Açıklama: Kullanıcılara sorumluluk için ve uygun erişim korumalarını sağlamak için benzersiz UID'ler atanmalıdır. | Benzersiz UID'ler oluşturun ve hangi UID'ye ait olduklarını belirlemek için paylaşılan UID'lerin sahip olduğu tüm dosyaları gözden geçirin. |
| Yinelenen GUID olmadığından emin olun (6.2.17) |
Açıklama: Sorumluluk ve uygun erişim korumalarını sağlamak için gruplara benzersiz GIF'ler atanmalıdır. | Benzersiz GID'ler oluşturun ve paylaşılan GID'lerin sahip olduğu tüm dosyaları gözden geçirerek hangi GID'ye ait olmaları gerektiğini belirleyin. |
| Yinelenen kullanıcı adlarının olmadığından emin olun (6.2.18) |
Açıklama: Bir kullanıcıya yinelenen bir kullanıcı adı atanırsa, içindeki bu kullanıcı adı /etc/passwd için ilk UID'ye sahip dosyaları oluşturur ve dosyalara erişebilir. Örneğin, 'test4' kullanıcı arabirimi 1000 ise ve sonraki bir 'test4' girdisi 2000 UID'sine sahipse, 'test4' olarak oturum açmak UID 1000 kullanır. Etkili bir şekilde UID paylaşılır ve bu bir güvenlik sorunudur. |
Tüm kullanıcılar için benzersiz kullanıcı adları oluşturun. Kullanıcıların benzersiz UID'leri olduğu sürece dosya sahiplikleri değişikliği otomatik olarak yansıtır. |
| Yinelenen grup olmadığından emin olun (6.2.19) |
Açıklama: Bir gruba yinelenen bir grup adı atanırsa, grubu oluşturur ve içindeki bu grubun /etc/group ilk GID'sine sahip dosyalara erişebilir. Etkili bir şekilde GID paylaşılır ve bu bir güvenlik sorunudur. |
Tüm kullanıcı grupları için benzersiz adlar oluşturun. Grupların benzersiz GID'leri olduğu sürece dosya grubu sahiplikleri değişikliği otomatik olarak yansıtır. |
| Gölge grubun boş olduğundan emin olun (6.2.20) |
Açıklama: Gölge gruba atanan tüm kullanıcılara /etc/shadow dosyasına okuma erişimi verilir. Saldırganlar dosyaya okuma erişimi elde edebilirse, bunları kırmak için /etc/shadow karma parolalara karşı kolayca bir parola kırma programı çalıştırabilir. Dosyada /etc/shadow depolanan diğer güvenlik bilgileri (süre sonu gibi) diğer kullanıcı hesaplarını alta almak için de yararlı olabilir. |
Gölge grubu oluşturan tüm kullanıcıları kaldırma |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (hfs) (6.3) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için hfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine hfs'yi devre dışı bırakan veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (hfsplus) (6.4) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için hfsplus'ta bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine hfsplus'ı devre dışı bırakır veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (jffs2) (6.5) |
Açıklama: Saldırgan, ayrıcalıkları yükseltmek için jffs2'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine jffs2'yi devre dışı bırakan bir dosya ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Çekirdekler yalnızca onaylanan kaynaklardan derlenmelidir. (10) |
Açıklama: Onaylanmamış bir kaynaktan alınan çekirdek, saldırgana erişim izni vermek için güvenlik açıkları veya arka kapı içerebilir. | Dağıtım satıcınız tarafından sağlanan çekirdeği yükleyin. |
| /etc/shadow dosya izinleri 0400 olarak ayarlanmalıdır (11.1) |
Açıklama: Saldırgan, doğru şekilde güvenli hale getirilmemişse karma parolaları /etc/shadow'tan alabilir veya işleyebilir. | /etc/shadow* izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' komutunu çalıştırın |
| /etc/shadow- dosya izinleri 0400 olarak ayarlanmalıdır (11.2) |
Açıklama: Saldırgan, doğru şekilde güvenli hale getirilmemişse /etc/shadow- içinden karma parolaları alabilir veya işleyebilir. | /etc/shadow* izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' komutunu çalıştırın |
| /etc/gshadow dosya izinleri 0400 olarak ayarlanmalıdır (11.3) |
Açıklama: Bu dosya düzgün bir şekilde güvenli hale getirilemediyse bir saldırgan güvenlik gruplarına katılabilir | /etc/gshadow- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' komutunu çalıştırın |
| /etc/gshadow- dosya izinleri 0400 olarak ayarlanmalıdır (11.4) |
Açıklama: Bu dosya düzgün bir şekilde güvenli hale getirilemediyse bir saldırgan güvenlik gruplarına katılabilir | /etc/gshadow izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' komutunu çalıştırın |
| /etc/passwd dosya izinleri 0644 olmalıdır (12.1) |
Açıklama: Saldırgan kullanıcı kimliklerini ve oturum açma kabuklarını değiştirebilir | /etc/passwd izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' komutunu çalıştırın |
| /etc/group dosya izinleri 0644 olmalıdır (12.2) |
Açıklama: Saldırgan, grup üyeliğini değiştirerek ayrıcalıkları yükseltebilir | /etc/group izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms komutunu çalıştırın |
| /etc/passwd- dosya izinleri 0600 olarak ayarlanmalıdır (12.3) |
Açıklama: Bu dosya düzgün bir şekilde güvenli hale getirilemediyse bir saldırgan güvenlik gruplarına katılabilir | /etc/passwd- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms komutunu çalıştırın |
| /etc/group- dosya izinleri 0644 olmalıdır (12.4) |
Açıklama: Saldırgan, grup üyeliğini değiştirerek ayrıcalıkları yükseltebilir | /etc/group- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms komutunu çalıştırın |
| Su aracılığıyla kök hesaba erişim 'kök' grubuyla kısıtlanmalıdır (21) |
Açıklama: Bir saldırgan, su kök gruptaki kullanıcılarla sınırlı değilse parola tahmininde bulunan izinleri yükseltebilir. | '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions' komutunu çalıştırın. Bu denetim '/etc/pam.d/su' dosyasına 'auth gerekli pam_wheel.so use_uid' satırını ekler |
| 'root' grubu mevcut olmalı ve köke su verebilen tüm üyeleri içermelidir (22) |
Açıklama: Bir saldırgan, su kök gruptaki kullanıcılarla sınırlı değilse parola tahmininde bulunan izinleri yükseltebilir. | 'groupadd -g 0 root' komutuyla kök grubu oluşturun |
| Tüm hesapların parolası olmalıdır (23.2) |
Açıklama: Saldırgan, parolasız hesaplarda oturum açabilir ve rastgele komutlar yürütebilir. | Tüm hesapların parolalarını ayarlamak için passwd komutunu kullanın |
| Kök dışındaki hesaplarda sıfırdan (0) büyük benzersiz UID'ler olmalıdır (24) |
Açıklama: Kök dışında bir hesap uid sıfıra sahipse, saldırgan hesabın güvenliğini tehlikeye atabilir ve kök ayrıcalıkları kazanabilir. | 'usermod -u' kullanarak kök olmayan tüm hesaplara benzersiz, sıfır olmayan uid'ler atama |
| Sanal bellek bölgelerinin rastgele yerleşimi etkinleştirilmelidir (25) |
Açıklama: Saldırgan bellekte bilinen bölgelere yürütülebilir kod yazabilir ve ayrıcalıkların yükseltilmesine neden olabilir | '/proc/sys/kernel/randomize_va_space' dosyasına '1' veya '2' değerini ekleyin |
| XD/NX işlemci özelliği için çekirdek desteği etkinleştirilmelidir (26) |
Açıklama: Saldırgan, sistemin bellekteki veri bölgelerinden kod yürütmesine neden olarak ayrıcalıkların yükseltilmesine neden olabilir. | '/proc/cpuinfo' dosyasının 'nx' bayrağını içerdiğini onaylayın |
| '.' kök $PATH (27.1) |
Açıklama: Saldırgan, kökün $PATH kötü amaçlı bir dosya yerleştirerek ayrıcalıkları yükseltebilir | /root/.profile içindeki 'export PATH=' satırını değiştirme |
| Kullanıcı giriş dizinleri modu 750 veya daha kısıtlayıcı olmalıdır (28) |
Açıklama: Saldırgan, diğer kullanıcıların giriş klasörlerinden hassas bilgileri alabilir. | Giriş klasörü izinlerini 750 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions komutunu çalıştırın |
| Tüm kullanıcılar için varsayılan umask, login.defs dosyasında 077 olarak ayarlanmalıdır (29) |
Açıklama: Saldırgan, diğer kullanıcıların sahip olduğu dosyalardan hassas bilgileri alabilir. | '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask' komutunu çalıştırın. Bu, '/etc/login.defs' dosyasına 'UMASK 077' satırını ekler |
| Tüm önyükleme yükleyicilerinin parola koruması etkinleştirilmelidir. (31) |
Açıklama: Fiziksel erişimi olan bir saldırgan önyükleme yükleyicisi seçeneklerini değiştirerek sınırsız sistem erişimi sağlayabilir | '/boot/grub/grub/grub.cfg' dosyasına önyükleme yükleyicisi parolası ekleyin |
| Önyükleyici yapılandırması izinlerinin yapılandırıldığından emin olun (31.1) |
Açıklama: Kök için okuma ve yazma izinlerinin ayarlanması, yalnızca kök olmayan kullanıcıların önyükleme parametrelerini görmesini veya değiştirmesini engeller. Önyükleme parametrelerini okuyan kök olmayan kullanıcılar, önyükleme sırasında güvenlik zayıflıklarını belirleyebilir ve bunlardan yararlanabilir. | Önyükleyicinizin sahibini ve grubunu root:root ve izinleri 0400 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions komutunu çalıştırın |
| Tek kullanıcı modu için kimlik doğrulaması gerektiğinden emin olun. (33) |
Açıklama: Kimlik doğrulamasının tek kullanıcı modunda zorunlu olması, yetkisiz bir kullanıcının kimlik bilgileri olmadan kök ayrıcalıkları kazanmak için sistemi tek kullanıcıya yeniden başlatmasını önler. | kök kullanıcı için bir parola ayarlamak için aşağıdaki komutu çalıştırın: passwd root |
| Paket yeniden yönlendirme göndermenin devre dışı bırakıldığından emin olun. (38.3) |
Açıklama: Saldırgan, yönlendirmeyi bozmak amacıyla diğer yönlendirici cihazlarına geçersiz ICMP yeniden yönlendirmeleri göndermek ve kullanıcıların geçerli bir sistemin aksine saldırgan tarafından ayarlanan bir sisteme erişmesini sağlamak için güvenliği aşılmış bir konak kullanabilir. | /etc/sysctl.conf dosyasında aşağıdaki parametreleri ayarlayın: 'net.ipv4.conf.all.send_redirects = 0' ve 'net.ipv4.conf.default.send_redirects = 0' veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| ICMP yeniden yönlendirmelerinin gönderilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Açıklama: Saldırgan bu sistemin yönlendirme tablosunu değiştirerek trafiği alternatif bir hedefe yönlendirebilir | '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects' komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| ICMP yeniden yönlendirmelerinin gönderilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Açıklama: Saldırgan bu sistemin yönlendirme tablosunu değiştirerek trafiği alternatif bir hedefe yönlendirebilir | Uyumlu bir değer çalıştırın sysctl -w key=value ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' komutunu çalıştırın |
| Kaynak yönlendirilmiş paketlerin kabul edilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Açıklama: Saldırgan trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Kaynak yönlendirilmiş paketlerin kabul edilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Açıklama: Saldırgan trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Kaynak yönlendirilmiş paketleri kabul etmek için varsayılan ayar, ağ arabirimleri için devre dışı bırakılmalıdır. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Açıklama: Saldırgan trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Kaynak yönlendirilmiş paketleri kabul etmek için varsayılan ayar, ağ arabirimleri için devre dışı bırakılmalıdır. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Açıklama: Saldırgan trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Yayınlara sahte ICMP yanıtlarının yoksayılması etkinleştirilmelidir. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Açıklama: Saldırgan dos ile sonuçlanır bir ICMP saldırısı gerçekleştirebilir | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' komutunu çalıştırın |
| Yayın/çok noktaya yayın adreslerine gönderilen ICMP yankı isteklerinin (ping) yoksayılması etkinleştirilmelidir. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Açıklama: Saldırgan dos ile sonuçlanır bir ICMP saldırısı gerçekleştirebilir | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' komutunu çalıştırın |
| Mars paketlerinin (imkansız adresleri olanlar) günlüğe kaydedilmesi tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Açıklama: Saldırgan, algılanmadan sahte adreslerden trafik gönderebilir | '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın |
| Ters yola göre kaynak doğrulama işlemi tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Açıklama: Sistem, yönlendirilemeyen adreslerden gelen trafiği kabul eder. | Uyumlu sysctl -w key=value bir değere çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' komutunu çalıştırın |
| Ters yola göre kaynak doğrulama işlemi tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Açıklama: Sistem, yönlendirilemeyen adreslerden gelen trafiği kabul eder. | Uyumlu sysctl -w key=value bir değere çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' komutunu çalıştırın |
| TCP SYN tanımlama bilgileri etkinleştirilmelidir. (net.ipv4.tcp_syncookies = 1) (47) |
Açıklama: Saldırgan TCP üzerinden DoS gerçekleştirebilir | '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın |
| Sistem ağ algılayıcısı gibi davranmamalıdır. (48) |
Açıklama: Saldırgan, ağ trafiğini algılamak için rastgele arabirimler kullanabilir | Promiscuous modu, '/etc/network/interfaces' veya '/etc/rc.local' içindeki bir 'promisc' girişi aracılığıyla etkinleştirilir. Her iki dosyayı da denetleyin ve bu girdiyi kaldırın. |
| Tüm kablosuz arabirimler devre dışı bırakılmalıdır. (49) |
Açıklama: Saldırgan, iletimleri kesmek için sahte bir AP oluşturabilir. | Tüm kablosuz arabirimlerin '/etc/network/interfaces' içinde devre dışı bırakıldığından emin olun |
| IPv6 protokolü etkinleştirilmelidir. (50) |
Açıklama: Bu, modern ağlarda iletişim için gereklidir. | /etc/sysctl.conf dosyasını açın ve 'net.ipv6.conf.all.disable_ipv6' ve 'net.ipv6.conf.default.disable_ipv6' değerinin 0 olarak ayarlandığını onaylayın |
| DCCP'nin devre dışı bırakıldığından emin olun (54) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve dccp modülünü ekleyip install dccp /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| SCTP'nin devre dışı bırakıldığından emin olun (55) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve sctp modülünü ekleyip install sctp /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| RDS desteğini devre dışı bırakın. (56) |
Açıklama: Saldırgan, sistemin güvenliğini tehlikeye atmak için RDS'de bir güvenlik açığı kullanabilir | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve rds modülünü ekleyip install rds /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| TIPC'nin devre dışı bırakıldığından emin olun (57) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve ardından tipc modülünü ekleyin install tipc /bin/true ve kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Günlüğün yapılandırıldığından emin olun (60) |
Açıklama: Güvenlikle ilgili önemli bilgilerin büyük bir kısmı (örneğin, başarılı ve başarısız su girişimleri, başarısız oturum açma girişimleri, kök oturum açma girişimleri vb.) yoluyla rsyslog gönderilir. |
syslog, rsyslog veya syslog-ng'yi uygun şekilde yapılandırın |
| syslog, rsyslog veya syslog-ng paketi yüklenmelidir. (61) |
Açıklama: Güvenilirlik ve güvenlik sorunları günlüğe kaydedilmez ve doğru tanılama engellenir. | rsyslog paketini yükleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' komutunu çalıştırın |
| Systemd-journald hizmeti günlük iletilerini kalıcı hale getirmek için yapılandırılmalıdır (61.1) |
Açıklama: Güvenilirlik ve güvenlik sorunları günlüğe kaydedilmez ve doğru tanılama engellenir. | /var/log/journal oluşturun ve journald.conf dosyasındaki Depolama'nın otomatik veya kalıcı olduğundan emin olun |
| Günlüğe kaydetme hizmetinin etkinleştirildiğinden emin olun (62) |
Açıklama: Bir düğümdeki olayları günlüğe kaydetme özelliğine sahip olmak zorunlu bir işlemdir. | rsyslog paketini etkinleştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' komutunu çalıştırın |
| Tüm rsyslog günlük dosyaları için dosya izinleri 640 veya 600 olarak ayarlanmalıdır. (63) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileCreateMode 0640' satırını ekleyin |
| Günlükçü yapılandırma dosyalarının kısıtlandığından emin olun. (63.1) |
Açıklama: Hassas syslog verilerinin arşivlendiğinden ve korunduğundan emin olmak için günlük dosyalarının mevcut olduğundan ve doğru izinlere sahip olduğundan emin olmak önemlidir. | Günlükçünüzün yapılandırma dosyalarını 0640 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' komutunu çalıştırın |
| Tüm rsyslog günlük dosyaları adm grubuna ait olmalıdır. (64) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileGroup adm' satırını ekleyin |
| Tüm rsyslog günlük dosyaları syslog kullanıcısının sahip olmalıdır. (65) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileOwner syslog' satırını ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner komutunu çalıştırın |
| Rsyslog uzak iletileri kabul etmemelidir. (67) |
Açıklama: Saldırgan syslog'a ileti oluşturduğunuzda DoS veya diğer etkinliklerde dikkatinizi dağıtabilir | '/etc/rsyslog.conf' dosyasından '$ModLoad imudp' ve '$ModLoad imtcp' satırlarını kaldırın |
| Logrotate (syslog rotater) hizmeti etkinleştirilmelidir. (68) |
Açıklama: Günlük dosyaları sınırsız büyüyebilir ve tüm disk alanını tüketebilir | Logrotate paketini yükleyin ve logrotate cron girişinin etkin olduğunu doğrulayın (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| rlogin hizmeti devre dışı bırakılmalıdır. (69) |
Açıklama: Saldırgan, katı kimlik doğrulama gereksinimlerini atlayarak erişim elde edebilir | inetd hizmetini kaldırın. |
| Gerekmedikçe inetd'i devre dışı bırakın. (inetd) (70.1) |
Açıklama: Saldırgan, erişim kazanmak için bir inetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove inetd) |
| Gerekli olmadığı sürece xinetd'i devre dışı bırakın. (xinetd) (70.2) |
Açıklama: Saldırgan erişim kazanmak için xinetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove xinetd) |
| inetd'i yalnızca dağıtımınızın uygun ve gerekli olduğu durumlarda yükleyin. Geçerli sağlamlaştırma standartlarına göre güvenlidir. (gerekirse) (71.1) |
Açıklama: Saldırgan, erişim kazanmak için bir inetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove inetd) |
| Xinetd'i yalnızca dağıtımınız için uygun ve gerekliyse yükleyin. Geçerli sağlamlaştırma standartlarına göre güvenlidir. (gerekirse) (71.2) |
Açıklama: Saldırgan erişim kazanmak için xinetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove xinetd) |
| Telnet hizmeti devre dışı bırakılmalıdır. (72) |
Açıklama: Saldırgan şifrelenmemiş telnet oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasındaki telnet girdisini kaldırın veya açıklama satırı yapın |
| Tüm telnetd paketleri kaldırılmalıdır. (73) |
Açıklama: Saldırgan şifrelenmemiş telnet oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | Tüm telnetd paketlerini kaldırma |
| rcp/rsh hizmeti devre dışı bırakılmalıdır. (74) |
Açıklama: Saldırgan şifrelenmemiş oturumları gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasındaki kabuk girdisini kaldırın veya açıklama satırı yapın |
| rsh-server paketi kaldırılmalıdır. (77) |
Açıklama: Saldırgan şifrelenmemiş rsh oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | rsh-server paketini kaldırma (apt-get remove rsh-server) |
| ypbind hizmeti devre dışı bırakılmalıdır. (78) |
Açıklama: Saldırgan, ypbind hizmetinden hassas bilgileri alabilir | nis paketini kaldırma (apt-get remove nis) |
| nis paketi kaldırılmalıdır. (79) |
Açıklama: Saldırgan NIS hizmetinden hassas bilgileri alabilir | nis paketini kaldırma (apt-get remove nis) |
| tftp hizmeti devre dışı bırakılmalıdır. (80) |
Açıklama: Saldırgan şifrelenmemiş bir oturumu gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasından tftp girdisini kaldırın |
| tftpd paketi kaldırılmalıdır. (81) |
Açıklama: Saldırgan şifrelenmemiş bir oturumu gizlice dinleyebiliyor veya ele geçirebiliyor | tftpd paketini kaldırma (apt-get remove tftpd) |
| readahead-fedora paketi kaldırılmalıdır. (82) |
Açıklama: Paket önemli ölçüde pozlama oluşturmaz, ancak önemli bir fayda sağlamaz. | readahead-fedora paketini kaldırın (apt-get remove readahead-fedora) |
| Bluetooth/hidd hizmeti devre dışı bırakılmalıdır. (84) |
Açıklama: Bir saldırgan kablosuz iletişimleri kesebilir veya değiştirebilir. | Bluetooth paketini kaldırma (apt-get bluetooth'u kaldırma) |
| isdn hizmeti devre dışı bırakılmalıdır. (86) |
Açıklama: Saldırgan yetkisiz erişim kazanmak için modem kullanabilir | isdnutils-base paketini kaldırın (apt-get remove isdnutils-base) |
| isdnutils-base paketi kaldırılmalıdır. (87) |
Açıklama: Saldırgan yetkisiz erişim kazanmak için modem kullanabilir | isdnutils-base paketini kaldırın (apt-get remove isdnutils-base) |
| Kdump hizmeti devre dışı bırakılmalıdır. (88) |
Açıklama: Saldırgan, hassas bilgileri almak için önceki bir sistem kilitlenmesini analiz edebilir | kdump-tools paketini kaldırma (apt-get remove kdump-tools) |
| Zeroconf ağı devre dışı bırakılmalıdır. (89) |
Açıklama: Saldırgan, ağ sistemleri hakkında bilgi edinmek için bunu kötüye kullanabilir veya güven modelindeki kusurlardan dolayı DNS isteklerini sahtekarlık edebilir | RedHat, CentOS ve Oracle için: /etc/sysconfig/network'e ekleyin NOZEROCONF=yes or no . Diğer tüm dağıtımlar için: '/etc/network/interfaces' dosyasındaki tüm 'ipv4ll' girdilerini kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' komutunu çalıştırın |
| Crond hizmeti etkinleştirilmelidir. (90) |
Açıklama: Cron, normal bakım görevleri için neredeyse tüm sistemler için gereklidir | Cron paketini yükleyin (apt-get install -y cron) ve '/etc/init/cron.conf' dosyasının 'runlevel'de başlat [2345]' satırını içerdiğini doğrulayın |
| /etc/anacrontab için dosya izinleri root:root 600 olarak ayarlanmalıdır. (91) |
Açıklama: Saldırgan, zamanlanmış görevleri önlemek veya kötü amaçlı görevleri yürütmek için bu dosyayı işleyebilir | Sahipliği ve izinleri /etc/anacrontab üzerinde ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' komutunu çalıştırın |
| /etc/cron.d üzerindeki izinlerin yapılandırıldığından emin olun. (93) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi vermek, onlara yetkisiz yükseltilmiş ayrıcalıklar kazanmanın araçlarını sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri verebilir. | /etc/chron.d dosyasının sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' komutunu çalıştırın |
| /etc/cron.daily üzerindeki izinlerin yapılandırıldığından emin olun. (94) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi vermek, onlara yetkisiz yükseltilmiş ayrıcalıklar kazanmanın araçlarını sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri verebilir. | /etc/chron.daily dosyasının sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.hourly üzerindeki izinlerin yapılandırıldığından emin olun. (95) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi vermek, onlara yetkisiz yükseltilmiş ayrıcalıklar kazanmanın araçlarını sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri verebilir. | /etc/chron.hourly öğesinin sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.monthly üzerindeki izinlerin yapılandırıldığından emin olun. (96) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi vermek, onlara yetkisiz yükseltilmiş ayrıcalıklar kazanmanın araçlarını sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri verebilir. | /etc/chron.monthly dosyasının sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.weekly üzerindeki izinlerin yapılandırıldığından emin olun. (97) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi vermek, onlara yetkisiz yükseltilmiş ayrıcalıklar kazanmanın araçlarını sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri verebilir. | /etc/chron.weekly öğesinin sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| at/cron'un yetkili kullanıcılarla sınırlı olduğundan emin olun (98) |
Açıklama: Birçok sistemde, işleri zamanlamak cron için yalnızca sistem yöneticisi yetkilidir. İşleri kimlerin cron.allow çalıştırabileceğini cron denetlemek için dosyasını kullanmak bu ilkeyi zorlar. İzin verilenler listesini yönetmek, reddetme listesinden daha kolaydır. Reddetme listesinde, sisteme bir kullanıcı kimliği ekleyebilir ve reddetme dosyalarına eklemeyi unutabilirsiniz. |
/etc/cron.deny ve /etc/at.deny dosyalarını ilgili allow dosyalarıyla değiştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' komutunu çalıştırın |
| SSH, en iyi yöntemleri karşılayacak şekilde yapılandırılmalı ve yönetilmelidir. - '/etc/ssh/sshd_config Protokolü = 2' (106.1) |
Açıklama: Saldırgan, erişim kazanmak için SSH protokolünün önceki bir sürümündeki kusurları kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasında 'Protokol 2'yi ayarlar |
| SSH, en iyi yöntemleri karşılayacak şekilde yapılandırılmalı ve yönetilmelidir. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Açıklama: Saldırgan erişim kazanmak için Rhosts protokolündeki kusurları kullanabilir | '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'IgnoreRhosts yes' satırını ekler |
| SSH LogLevel'in BİlGİ olarak ayarlandığından emin olun (106.5) |
Açıklama: SSH, çeşitli miktarlarda ayrıntı düzeyine sahip çeşitli günlük düzeyleri sağlar. DEBUGSSH iletişimlerinde hata ayıklama dışında özellikle önerilmez çünkü önemli güvenlik bilgilerini tanımlamak zor olacak kadar çok veri sağlar. INFO düzeyi, yalnızca SSH kullanıcılarının oturum açma etkinliğini kaydeden temel düzeydir. Olay Yanıtı gibi birçok durumda, belirli bir kullanıcının sistemde ne zaman etkin olduğunu belirlemek önemlidir. Oturumu kapatma kaydı, bağlantıyı kesen kullanıcıları ortadan kaldırabilir ve bu da alanı daraltmalarına yardımcı olur. |
parametresini /etc/ssh/sshd_config aşağıdaki gibi ayarlamak için dosyasını düzenleyin: LogLevel INFO |
| SSH MaxAuthTries değerinin 6 veya daha az olarak ayarlandığından emin olun (106.7) |
Açıklama: Parametrenin MaxAuthTries düşük bir sayıya ayarlanması, SSH sunucusuna başarılı deneme yanılma saldırıları riskini en aza indirir. Önerilen ayar 4 olsa da, sayıyı site ilkesine göre ayarlayın. |
SSH MaxAuthTries değerinin 6 veya daha az olduğundan emin olun Parametreyi aşağıdaki gibi ayarlamak için dosyayı düzenleyin /etc/ssh/sshd_config : MaxAuthTries 6 |
| SSH erişiminin sınırlı olduğundan emin olun (106.11) |
Açıklama: SSH aracılığıyla sisteme hangi kullanıcıların uzaktan erişebileceğini kısıtlamak, sisteme yalnızca yetkili kullanıcıların erişmesini sağlamaya yardımcı olur. | SSH erişiminin /etc/ssh/sshd_config sınırlı olduğundan emin olun Aşağıdaki gibi bir veya daha fazla parametreyi ayarlamak için dosyayı düzenleyin: AllowUsers AllowGroups DenyUsers DenyGroups |
| ssh sunucusu aracılığıyla rsh komutunun öykünmesi devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config RhostsRSAAuthentication = hayır' (107) |
Açıklama: Saldırgan erişim kazanmak için RHosts protokolündeki kusurları kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'RhostsRSAAuthentication no' satırını ekler |
| SSH konak tabanlı kimlik doğrulaması devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config HostbasedAuthentication = hayır' (108) |
Açıklama: Saldırgan, güvenliği aşılmış bir konaktan erişim kazanmak için konak tabanlı kimlik doğrulamasını kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'HostbasedAuthentication no' satırını ekler |
| SSH aracılığıyla kök oturum açma devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config PermitRootLogin = hayır' (109) |
Açıklama: Saldırgan kök parolayı deneme yanılmadan kullanabilir veya doğrudan kök olarak oturum açarak komut geçmişini gizleyebilir | '/usr/local/bin/azsecd remediate -r disable-ssh-root-login' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'PermitRootLogin no' satırını ekler |
| Boş parolalara sahip hesaplardan uzak bağlantılar devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config PermitEmptyPasswords = hayır' (110) |
Açıklama: Saldırgan parola tahminleri aracılığıyla erişim elde edebilir | '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'PermitEmptyPasswords no' satırını ekler |
| SSH Boşta Kalma Zaman Aşımı Aralığı'nın yapılandırıldığından emin olun. (110.1) |
Açıklama: Bağlantıyla ilişkili zaman aşımı değeri olmaması, kullanıcının başka bir kullanıcının ssh oturumuna yetkisiz erişmesine izin verebilir. Zaman aşımı değeri ayarlamak en azından bunun gerçekleşme riskini azaltır. Önerilen ayar 300 saniye (5 dakika) olsa da, bu zaman aşımı değerini site ilkesine göre ayarlayın. için ClientAliveCountMax önerilen ayar 0'dır. Bu durumda, istemci oturumu 5 dakika boşta kalma süresinden sonra sonlandırılır ve hiçbir tutma iletisi gönderilmez. |
Parametreleri ilkeye göre ayarlamak için /etc/ssh/sshd_config dosyasını düzenleyin |
| SSH LoginGraceTime değerinin bir dakika veya daha kısa olarak ayarlandığından emin olun. (110.2) |
Açıklama: Parametrenin LoginGraceTime düşük bir sayıya ayarlanması, SSH sunucusuna başarılı deneme yanılma saldırıları riskini en aza indirir. Ayrıca eşzamanlı kimliği doğrulanmamış bağlantı sayısını da sınırlar Önerilen ayar 60 saniye (1 Dakika) olsa da, sayıyı site ilkesine göre ayarlayın. |
Parametreleri ilkeye göre ayarlamak için /etc/ssh/sshd_config dosyasını düzenleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' komutunu çalıştırın |
| Yalnızca onaylı MAC algoritmalarının kullanıldığından emin olun (110.3) |
Açıklama: MD5 ve 96 bit MAC algoritmaları zayıf kabul edilir ve SSH düşürme saldırılarında sömürülebilirliği artırdığını göstermiştir. Zayıf algoritmalar, genişletilmiş bilgi işlem gücüyle sömürülebilecek zayıf bir nokta olarak dikkat çekmeye devam etmektedir. Algoritmayı bozan bir saldırgan, SSH tünelinin şifresini çözmek ve kimlik bilgilerini ve bilgileri yakalamak için MiTM konumundan yararlanabilir | /etc/sshd_config dosyasını düzenleyin ve MACs satırını onaylanan MAK'ların virgülle ayrılmış listesini içerecek şekilde ekleyin/değiştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' komutunu çalıştırın |
| Uzaktan oturum açma uyarısı başlığının düzgün yapılandırıldığından emin olun. (111) |
Açıklama: Uyarı iletileri, sistemde oturum açmayı deneyen kullanıcılara sistemle ilgili yasal durumlarını bildirir ve sistemin sahibi olan kuruluşun adını ve geçerli olan izleme ilkelerini içermesi gerekir. Oturum açma başlıklarında işletim sistemi ve düzeltme eki düzeyi bilgilerinin görüntülenmesi, sistemin belirli açıklarını hedeflemeye çalışan saldırganlara ayrıntılı sistem bilgileri sağlamanın da yan etkisine sahiptir. Yetkili kullanıcılar, oturum açtıktan sonra komutunu çalıştırarak uname -abu bilgileri kolayca alabilir. |
\m \r \s ve \v örneklerini /etc/issue.net dosyasından kaldırın |
| Yerel oturum açma uyarısı başlığının düzgün yapılandırıldığından emin olun. (111.1) |
Açıklama: Uyarı iletileri, sistemde oturum açmayı deneyen kullanıcılara sistemle ilgili yasal durumlarını bildirir ve sistemin sahibi olan kuruluşun adını ve geçerli olan izleme ilkelerini içermesi gerekir. Oturum açma başlıklarında işletim sistemi ve düzeltme eki düzeyi bilgilerinin görüntülenmesi, sistemin belirli açıklarını hedeflemeye çalışan saldırganlara ayrıntılı sistem bilgileri sağlamanın da yan etkisine sahiptir. Yetkili kullanıcılar, oturum açtıktan sonra komutunu çalıştırarak uname -abu bilgileri kolayca alabilir. |
\m \r \s ve \v örneklerini /etc/issue dosyasından kaldırın |
| SSH uyarı başlığı etkinleştirilmelidir. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Açıklama: Kullanıcılar sistemdeki eylemlerinin izlendiği konusunda uyarılmaz | '/usr/local/bin/azsecd remediate -r configure-ssh-banner' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'Başlık /etc/azsec/banner.txt' satırını ekler |
| Kullanıcıların SSH için ortam seçeneklerini ayarlamasına izin verilmez. (112) |
Açıklama: Saldırgan SSH üzerinden bazı erişim kısıtlamalarını atlayabilir | '/etc/ssh/sshd_config' dosyasından 'PermitUserEnvironment yes' satırını kaldırın |
| SSH için uygun şifrelemeler kullanılmalıdır. (Şifreler aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Açıklama: Saldırgan zayıf güvenlikli bir SSH bağlantısını tehlikeye atabilir | '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' satırını ekler |
| Avahi-daemon hizmeti devre dışı bırakılmalıdır. (114) |
Açıklama: Saldırgan erişim kazanmak için avahi daemon'da bir güvenlik açığı kullanabilir | Avahi-daemon hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' komutunu çalıştırın |
| Bardak servisi devre dışı bırakılmalıdır. (115) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için cups hizmetinde bir kusur kullanabilir | Cups hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' komutunu çalıştırın |
| isc-dhcpd hizmeti devre dışı bırakılmalıdır. (116) |
Açıklama: Saldırgan, istemcilere hatalı bilgi sağlamak için dhcpd kullanarak normal işlemi etkileyebilir. | isc-dhcp-server paketini kaldırma (apt-get remove isc-dhcp-server) |
| isc-dhcp-server paketi kaldırılmalıdır. (117) |
Açıklama: Saldırgan, istemcilere hatalı bilgi sağlamak için dhcpd kullanarak normal işlemi etkileyebilir. | isc-dhcp-server paketini kaldırma (apt-get remove isc-dhcp-server) |
| Sendmail paketi kaldırılmalıdır. (120) |
Açıklama: Saldırgan, diğer kullanıcılara kötü amaçlı içerik içeren e-postalar göndermek için bu sistemi kullanabilir | Sendmail paketini kaldırma (apt-get remove sendmail) |
| Sonek paketi kaldırılmalıdır. (121) |
Açıklama: Saldırgan, diğer kullanıcılara kötü amaçlı içerik içeren e-postalar göndermek için bu sistemi kullanabilir | Sonek paketini kaldırın (apt-get remove postfix) veya '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' komutunu çalıştırın |
| Sonek ağ dinleme uygun şekilde devre dışı bırakılmalıdır. (122) |
Açıklama: Saldırgan, diğer kullanıcılara kötü amaçlı içerik içeren e-postalar göndermek için bu sistemi kullanabilir | '/etc/postfix/main.cf' dosyasına 'inet_interfaces localhost' satırını ekleyin |
| Ldap hizmeti devre dışı bırakılmalıdır. (124) |
Açıklama: Saldırgan, hatalı verileri LDAP istemcilerine dağıtmak için bu konak üzerindeki LDAP hizmetini değiştirebilir | Tokatlanmış paketi kaldırın (apt-get remove tokatlanmış) |
| rpcgssd hizmeti devre dışı bırakılmalıdır. (126) |
Açıklama: Saldırgan erişim kazanmak için rpcgssd/nfs'de bir kusur kullanabilir | Rpcgssd hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' komutunu çalıştırın |
| rpcidmapd hizmeti devre dışı bırakılmalıdır. (127) |
Açıklama: Saldırgan erişim kazanmak için idmapd/nfs'de bir kusur kullanabilir | rpcidmapd hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' komutunu çalıştırın |
| Bağlantı noktası haritası hizmeti devre dışı bırakılmalıdır. (129.1) |
Açıklama: Saldırgan erişim kazanmak için bağlantı noktası haritasında bir kusur kullanabilir | Rpcbind hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' komutunu çalıştırın |
| Ağ Dosya Sistemi (NFS) hizmeti devre dışı bırakılmalıdır. (129.2) |
Açıklama: Saldırgan paylaşımları bağlamak ve dosyaları yürütmek/kopyalamak için nfs kullanabilir. | nfs hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' komutunu çalıştırın |
| rpcsvcgssd hizmeti devre dışı bırakılmalıdır. (130) |
Açıklama: Saldırgan erişim kazanmak için rpcsvcgssd'de bir kusur kullanabilir | '/etc/inetd.conf' dosyasından 'NEED_SVCGSSD = evet' satırını kaldırın |
| Adlandırılmış hizmet devre dışı bırakılmalıdır. (131) |
Açıklama: Saldırgan, istemcilere yanlış veri dağıtmak için DNS hizmetini kullanabilir | bind9 paketini kaldırma (apt-get remove bind9) |
| Bağlama paketi kaldırılmalıdır. (132) |
Açıklama: Saldırgan, istemcilere yanlış veri dağıtmak için DNS hizmetini kullanabilir | bind9 paketini kaldırma (apt-get remove bind9) |
| Dovecot hizmeti devre dışı bırakılmalıdır. (137) |
Açıklama: Sistem bir IMAP/POP3 sunucusu olarak kullanılabilir | dovecot-core paketini kaldırma (apt-get remove dovecot-core) |
| Dovecot paketi kaldırılmalıdır. (138) |
Açıklama: Sistem bir IMAP/POP3 sunucusu olarak kullanılabilir | dovecot-core paketini kaldırma (apt-get remove dovecot-core) |
/etc/passwd içinde eski + girdi olmadığından emin olun(156.1) |
Açıklama: Bir saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/passwd içinde '+:' ile başlayan tüm girdileri kaldırın |
/etc/shadow içinde eski + girdi olmadığından emin olun(156.2) |
Açıklama: Bir saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/shadow içinde '+:' ile başlayan tüm girdileri kaldırın |
/etc/group içinde eski + girdi olmadığından emin olun(156.3) |
Açıklama: Bir saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/group içindeki '+:' ile başlayan tüm girdileri kaldırın |
| Parola süre sonunun 365 gün veya daha kısa olduğundan emin olun. (157.1) |
Açıklama: Parolanın maksimum yaşının azaltılması, saldırganın çevrimiçi deneme yanılma saldırısı yoluyla güvenliği aşılmış kimlik bilgilerinden yararlanma veya kimlik bilgilerinin güvenliğini başarıyla aşma fırsatı penceresini de azaltır. | parametresini PASS_MAX_DAYS en fazla 365 olarak /etc/login.defs ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' komutunu çalıştırın |
| Parola süre sonu uyarı günlerinin 7 veya daha fazla olduğundan emin olun. (157.2) |
Açıklama: Parolanın süresinin dolacağını belirten önceden bir uyarı sağlamak, kullanıcılara güvenli bir parola düşünme süresi verir. Farkında olmayan kullanıcılar basit bir parola seçebilir veya bulunabileceği bir yere yazabilir. | parametresini PASS_WARN_AGE 7 olarak /etc/login.defs ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' komutunu çalıştırın |
| Parola yeniden kullanmanın sınırlı olduğundan emin olun. (157.5) |
Açıklama: Kullanıcıları son beş parolayı yeniden kullanmamaya zorlamak, saldırganın parolayı tahmin etme olasılığını düşürür. | 'Anımsa' seçeneğinin /etc/pam.d/common-password ya da her ikisinde de /etc/pam.d/password_auth ve /etc/pam.d/system_auth en az 5 olarak ayarlandığından emin olun veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' komutunu çalıştırın |
| Parola karma algoritmasının SHA-512 olduğundan emin olun (157.11) |
Açıklama: SHA-512 algoritması MD5'ten çok daha güçlü karma sağlar, böylece bir saldırganın parolaları başarıyla belirlemesi için harcanan çaba düzeyini artırarak sisteme ek koruma sağlar. Not: Bu değişiklikler yalnızca yerel sistemde yapılandırılan hesaplar için geçerlidir. | Parola karma algoritmasını sha512 olarak ayarlayın. Birçok dağıtım PAM yapılandırmasını güncelleştirmek için araçlar sağlar, ayrıntılar için belgelerinize bakın. Araç sağlanmazsa, uygun /etc/pam.d/ yapılandırma dosyasını düzenleyin ve sha512 seçeneğini içerecek şekilde satırları ekleyin veya değiştirin pam_unix.so : password sufficient pam_unix.so sha512 |
| Parola değişiklikleri arasındaki en düşük günlerin 7 veya daha fazla olduğundan emin olun. (157.12) |
Açıklama: Parola değişikliklerinin sıklığını kısıtlayan bir yönetici, parola yeniden kullanım denetimlerini aşma girişiminde kullanıcıların parolalarını tekrar tekrar değiştirmelerini engelleyebilir. | parametresini PASS_MIN_DAYS içinde 7 olarak /etc/login.defsayarlayın. PASS_MIN_DAYS 7 Parola ayarlanmış tüm kullanıcıların kullanıcı parametrelerini eşleşecek şekilde değiştirin: chage --mindays 7 veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' komutunu çalıştırın |
| Tüm kullanıcıların son parola değiştirme tarihinin geçmişte olduğundan emin olun (157.14) |
Açıklama: Bir kullanıcı parola değiştirme tarihini kaydettiyse, belirlenen parola süre sonunu atlayabilir. | Etkin olmayan parola kilidinin 30 gün veya daha az olduğundan emin olun Varsayılan parola etkinlik dışı süresini 30 gün olarak ayarlamak için aşağıdaki komutu çalıştırın: # useradd -D -f 30 Parola ayarlanmış tüm kullanıcılar için kullanıcı parametrelerini eşleşecek şekilde değiştirin: # chage --inactive 30 |
| Sistem hesaplarının oturum açmadığından emin olun (157.15) |
Açıklama: Normal kullanıcılar tarafından kullanılmayan hesapların etkileşimli kabuk sağlamak için kullanılmasının engellendiğinden emin olmak önemlidir. Varsayılan olarak, Ubuntu bu hesapların parola alanını geçersiz bir dize olarak ayarlar, ancak parola dosyasındaki kabuk alanının olarak /usr/sbin/nologinayarlanması da önerilir. Bu, hesabın herhangi bir komutu çalıştırmak için kullanılmasını engeller. |
Denetim betiği tarafından döndürülen tüm hesapların kabuğunu olarak ayarlayın /sbin/nologin |
| Kök hesabın varsayılan grubunun GID 0 olduğundan emin olun (157.16) |
Açıklama: Hesap için GID 0 kullanılması root , sahip olunan dosyaların ayrıcalıksız kullanıcılar tarafından yanlışlıkla erişilebilir olmasını önlemeye rootyardımcı olur. |
Kullanıcı varsayılan grubunu GID 0 olarak ayarlamak root için aşağıdaki komutu çalıştırın:# usermod -g 0 root |
| Kökün tek UID 0 hesabı olduğundan emin olun (157.18) |
Açıklama: Bu erişim yalnızca varsayılan root hesapla ve yalnızca sistem konsolundan sınırlı olmalıdır. Yönetim erişimi, onaylanmış bir mekanizma kullanılarak ayrıcalıksız bir hesap üzerinden olmalıdır. |
UID 0 dışındaki root tüm kullanıcıları kaldırın veya uygunsa yeni bir UID atayın. |
| Gereksiz hesapları kaldırma (159) |
Açıklama: Uyumluluk için | Gereksiz hesapları kaldırma |
| Denetlenen hizmetin etkinleştirildiğinden emin olun (162) |
Açıklama: Sistem olaylarının yakalanması, sistem yöneticilerine sistemlerine yetkisiz erişim olup olmadığını belirlemeleri için bilgi sağlar. | Denetim paketini yükleme (systemctl enable auditd) |
| AuditD hizmetini çalıştırma (163) |
Açıklama: Sistem olaylarının yakalanması, sistem yöneticilerine sistemlerine yetkisiz erişim olup olmadığını belirlemeleri için bilgi sağlar. | AuditD hizmetini çalıştırma (systemctl start auditd) |
| SNMP Sunucusunun etkinleştirilmediğinden emin olun (179) |
Açıklama: SNMP sunucusu, verileri net bir şekilde ileten ve komutları yürütmek için kimlik doğrulaması gerektirmeyen SNMP v1 kullanarak iletişim kurabilir. Kesinlikle gerekli olmadığı sürece SNMP hizmetinin kullanılmaması önerilir. SNMP gerekiyorsa, sunucu SNMP v1'e izin vermiyecek şekilde yapılandırılmalıdır. | devre dışı bırakmak snmpdiçin aşağıdaki komutlardan birini çalıştırın: # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
| Rsync hizmetinin etkinleştirilmediğinden emin olun (181) |
Açıklama: Hizmet, rsyncd iletişim için şifrelenmemiş protokoller kullandığından bir güvenlik riski sunar. |
Devre dışı bırakmak rsyncd için aşağıdaki komutlardan birini çalıştırın: chkconfig rsyncd off, update-rc.d rsyncd disable systemctl disable rsyncdveya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' komutunu çalıştırın |
| NIS sunucusunun etkinleştirilmediğinden emin olun (182) |
Açıklama: NIS hizmeti DOS saldırılarına, arabellek taşmalarına karşı savunmasız ve NIS haritalarını sorgulamak için zayıf kimlik doğrulamasına sahip olan, doğası gereği güvenli olmayan bir sistemdir. NIS genellikle Basit Dizin Erişim Protokolü (LDAP) gibi protokollerle değiştirilir. Hizmetin devre dışı bırakılması ve daha güvenli hizmetlerin kullanılması önerilir | devre dışı bırakmak ypserv için aşağıdaki komutlardan birini çalıştırın: # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
| rsh istemcisinin yüklü olmadığından emin olun (183) |
Açıklama: Bu eski istemciler çok sayıda güvenlik açıkları içerir ve daha güvenli SSH paketiyle değiştirilmiştir. Sunucu kaldırılsa bile, kullanıcıların yanlışlıkla bu komutları kullanmaya çalışmalarını ve dolayısıyla kimlik bilgilerini ortaya çıkarmalarını önlemek için istemcilerin de kaldırıldığından emin olmak en iyisidir. Paketin kaldırılmasının rsh ve rcp rloginistemcilerini rshkaldırdığını unutmayın. |
Uygun paket yöneticisini veya el ile yüklemeyi kullanarak kaldırın rsh : yum remove rsh apt-get remove rsh zypper remove rsh |
| Samba ile SMB V1'i devre dışı bırakma (185) |
Açıklama: SMB v1 iyi bilinen, ciddi güvenlik açıklarına sahiptir ve aktarımdaki verileri şifrelemez. İş nedeniyle kullanılması gerekiyorsa, bu protokole bağlı riskleri azaltmak için ek adımlar atılması kesinlikle önerilir. | Samba çalışmıyorsa paketi kaldırın, aksi takdirde /etc/samba/smb.conf: min protocol = SMB2'nin [global] bölümünde bir satır olmalıdır veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version komutunu çalıştırın |
Not
Belirli Azure İlkesi konuk yapılandırma ayarlarının kullanılabilirliği Azure Kamu ve diğer ulusal bulutlarda farklılık gösterebilir.
Sonraki adımlar
Azure İlkesi ve konuk yapılandırması hakkında ek makaleler:
- Konuk yapılandırmasını Azure İlkesi.
- Mevzuat Uyumluluğuna genel bakış.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin