Linux güvenlik temeli
Bu makalede, aşağıdaki uygulamalarda geçerli olan Linux konukları için yapılandırma ayarları ayrıntılı olarak açıklanır:
- [Önizleme]: Linux makineleri, Azure işlem güvenlik temeli Azure İlkesi konuk yapılandırma tanımı gereksinimlerini karşılamalıdır
- Bulut için Microsoft Defender'da makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları giderilmelidir
Daha fazla bilgi için bkz. Azure İlkesi konuk yapılandırması ve Azure Güvenlik Karşılaştırması'na (V2) Genel Bakış.
Genel güvenlik denetimleri
| Name (CCEID) |
Ayrıntılar | Düzeltme denetimi |
|---|---|---|
| /home bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.4) |
Açıklama: Saldırgan /home bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /home bölümünün dördüncü alanına (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /tmp bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.5) |
Açıklama: Saldırgan, /tmp bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /tmp bölümünün dördüncü alanına (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde nodev seçeneğinin ayarlandığından emin olun. (1.1.6) |
Açıklama: Saldırgan ,var/tmp bölümüne özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir. | /etc/fstab dosyasını düzenleyin ve /var/tmp bölümü için dördüncü alana (bağlama seçenekleri) nodev ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun. (1.1.7) |
Açıklama: /tmp dosya sistemi yalnızca geçici dosya depolama için tasarlandığından, kullanıcıların /var/tmp içinde setuid dosyaları oluşturabildiğinden emin olmak için bu seçeneği ayarlayın. | /etc/fstab dosyasını düzenleyin ve /tmp bölümü için dördüncü alana (bağlama seçenekleri) nosuid ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde nosuid seçeneğinin ayarlandığından emin olun. (1.1.8) |
Açıklama: /var/tmp dosya sistemi yalnızca geçici dosya depolama için tasarlandığından, kullanıcıların /var/tmp içinde setuid dosyaları oluşturabildiğinden emin olmak için bu seçeneği ayarlayın. | /etc/fstab dosyasını düzenleyin ve /var/tmp bölümü için dördüncü alana (bağlama seçenekleri) nosuid ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /var/tmp bölümünde noexec seçeneğinin ayarlandığından emin olun. (1.1.9) |
Açıklama: Dosya sistemi yalnızca geçici dosya depolama için tasarlandığından /var/tmp , kullanıcıların içinden /var/tmp yürütülebilir ikili dosyaları çalıştırabildiğinden emin olmak için bu seçeneği ayarlayın. |
/etc/fstab dosyasını düzenleyin ve /var/tmp bölümünün dördüncü alanına (bağlama seçenekleri) noexec ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /dev/shm bölümünde noexec seçeneğinin ayarlandığından emin olun. (1.1.16) |
Açıklama: Bir dosya sisteminde bu seçeneğin ayarlanması, kullanıcıların paylaşılan bellekten program yürütmesini engeller. Bu denetim, kullanıcıların sistemde kötü amaçlı olabilecek yazılımları tanıtmalarını engeller. | /etc/fstab dosyasını düzenleyin ve /dev/shm bölümünün dördüncü alanına (bağlama seçenekleri) noexec ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Otomatik bağlamayı devre dışı bırakma (1.1.21) |
Açıklama: Otomatik bağlama etkinleştirildiğinde, fiziksel erişimi olan herkes bir USB sürücü veya disk takabilir ve kendi takma izinleri olmasa bile içeriği sistemde kullanılabilir. | Autofs hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' komutunu çalıştırın |
| USB depolama cihazlarının montajının devre dışı bırakıldığından emin olun (1.1.21.1) |
Açıklama: USB depolama cihazları desteğini kaldırmak sunucunun yerel saldırı yüzeyini azaltır. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve ardından usb-storage modülünü ekleyin install usb-storage /bin/true ve kaldırın ya da '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Çekirdek dökümlerinin kısıtlandığından emin olun. (1.5.1) |
Açıklama: Çekirdek dökümlerinde sabit bir sınır ayarlamak, kullanıcıların geçici değişkeni geçersiz kılmasını önler. Çekirdek dökümler gerekiyorsa, kullanıcı grupları için sınırlar ayarlamayı göz önünde bulundurun (bkz limits.conf(5). ). Ayrıca değişkenin fs.suid_dumpable 0 olarak ayarlanması, setuid programlarının çekirdek dökümünü almasını engeller. |
/etc/security/limits.conf dosyasına veya limits.d dizininde bir dosya ekleyin hard core 0 ve sysctl'de ayarlayın fs.suid_dumpable = 0 veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' komutunu çalıştırın |
| Ön bağlantının devre dışı bırakıldığından emin olun. (1.5.4) |
Açıklama: Ön bağlantı özelliği, ikili dosyaları değiştirdiğinden AIDE işlemini engelleyebilir. Kötü amaçlı bir kullanıcı libc gibi ortak bir kitaplığın güvenliğini tehlikeye atabiliyorsa, önceden bağlantı oluşturma sistemin güvenlik açığını da artırabilir. | paket yöneticinizi kullanarak kaldırın prelink veya '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' komutunu çalıştırın |
| /etc/motd üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.4) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/motd , hatalı veya yanıltıcı bilgiler içeren yetkisiz kullanıcılar tarafından değiştirilebilir. |
/etc/motd öğesinin sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/issue üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.5) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/issue , hatalı veya yanıltıcı bilgiler içeren yetkisiz kullanıcılar tarafından değiştirilebilir. |
/etc/issue sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/issue.net üzerindeki izinlerin yapılandırıldığından emin olun. (1.7.1.6) |
Açıklama: Dosya doğru sahipliğe sahip değilse /etc/issue.net , hatalı veya yanıltıcı bilgiler içeren yetkisiz kullanıcılar tarafından değiştirilebilir. |
/etc/issue.net'in sahibini ve grubunu kök olarak ayarlayın ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| Nodev seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.1) |
Açıklama: Saldırgan çıkarılabilir medya aracılığıyla özel bir cihaz (örneğin, blok veya karakter cihazı) bağlayabilir | nodev seçeneğini /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Noexec seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.2) |
Açıklama: Saldırgan çıkarılabilir medya aracılığıyla yürütülebilir dosya yükleyebilir | /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) noexec seçeneğini ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Nosuid seçeneği tüm çıkarılabilir medyalar için etkinleştirilmelidir. (2.3) |
Açıklama: Saldırgan çıkarılabilir medya aracılığıyla yükseltilmiş bir güvenlik bağlamıyla çalışan dosyaları yükleyebilir | /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) nosuid seçeneğini ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| Talk istemcisinin yüklü olmadığından emin olun. (2.3.3) |
Açıklama: Yazılım, iletişim için şifrelenmemiş protokoller kullandığından bir güvenlik riski sunar. | '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' öğesini kaldırın talk veya çalıştırın |
| /etc/hosts.allow üzerindeki izinlerin yapılandırıldığından emin olun. (3.4.4) |
Açıklama: Dosyanın yetkisiz yazma erişimine karşı korunduğundan /etc/hosts.allow emin olmak kritik önem taşır. Varsayılan olarak korumalı olsa da, dosya izinleri yanlışlıkla veya kötü amaçlı eylemler aracılığıyla değiştirilebilir. |
/etc/hosts.allow öğesinin sahibini ve grubunu kök ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| /etc/hosts.deny üzerindeki izinlerin yapılandırıldığından emin olun. (3.4.5) |
Açıklama: Dosyanın yetkisiz yazma erişimine karşı korunduğundan /etc/hosts.deny emin olmak kritik önem taşır. Varsayılan olarak korumalı olsa da, dosya izinleri yanlışlıkla veya kötü amaçlı eylemler aracılığıyla değiştirilebilir. |
/etc/hosts.deny öğesinin sahibini ve grubunu kök olarak ve izinleri 0644 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' komutunu çalıştırın |
| Varsayılan reddetme güvenlik duvarı ilkesi olduğundan emin olun (3.6.2) |
Açıklama: Varsayılan kabul etme ilkesiyle, güvenlik duvarı açıkça reddedilmeyen tüm paketi kabul eder. Varsayılan DROP ilkesine sahip güvenli bir güvenlik duvarını korumak, varsayılan İzin ver ilkesinden daha kolaydır. | Güvenlik duvarı yazılımınızı kullanarak gelen, giden ve yönlendirilen trafik için varsayılan ilkeyi denyreject uygun şekilde ayarlayın |
| Nodev/nosuid seçeneği tüm NFS bağlamaları için etkinleştirilmelidir. (5) |
Açıklama: Saldırgan, yükseltilmiş bir güvenlik bağlamı veya özel cihazlarla çalışan dosyaları uzak dosya sistemi aracılığıyla yükleyebilir | /etc/fstab içindeki dördüncü alana (bağlama seçenekleri) nosuid ve nodev seçeneklerini ekleyin. Daha fazla bilgi için bkz. fstab(5) el ile sayfaları. |
| /etc/ssh/sshd_config izinlerinin yapılandırıldığından emin olun. (5.2.1) |
Açıklama: Dosyanın /etc/ssh/sshd_config ayrıcalıklı olmayan kullanıcılar tarafından yapılan yetkisiz değişikliklerden korunması gerekir. |
/etc/ssh/sshd_config sahibini ve grubunu kök olarak ayarlayın ve izinleri 0600 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' komutunu çalıştırın |
| Parola oluşturma gereksinimlerinin yapılandırıldığından emin olun. (5.3.1) |
Açıklama: Güçlü parolalar, sistemleri deneme yanılma yöntemleriyle ele geçirilmekten korur. | Dağıtımınız için uygun PAM'de aşağıdaki anahtar/değer çiftlerini ayarlayın: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' komutunu çalıştırın |
| Başarısız parola girişimleri için kilitlemenin yapılandırıldığından emin olun. (5.3.2) |
Açıklama: Başarısız ardışık oturum açma girişimlerinin ardından n kullanıcı kimliklerinin kilitlenmesi, sistemlerinize yönelik deneme yanılma parola saldırılarını azaltır. |
Ubuntu ve Debian için pam_tally ve pam_deny modüllerini uygun şekilde ekleyin. Diğer tüm dağıtımlar için dağıtımınızın belgelerine bakın |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (cramfs) (6.1) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için cramfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine cramfs'yi devre dışı bırakabilen veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakın (freevxfs) (6.2) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için freevxfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine freevxfs'yi devre dışı bırakabilen veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Tüm kullanıcıların giriş dizinlerinin mevcut olduğundan emin olun (6.2.7) |
Açıklama: Kullanıcının giriş dizini yoksa veya atanmamışsa, kullanıcı birim köküne yerleştirilir. Ayrıca, kullanıcı herhangi bir dosya yazamaz veya ortam değişkenlerini ayarlayamaz. | Kullanıcıların giriş dizinleri yoksa, bunları oluşturun ve ilgili kullanıcının dizinin sahibi olduğundan emin olun. Atanmış giriş dizini olmayan kullanıcılar uygun şekilde kaldırılmalı veya bir giriş dizinine atanmalıdır. |
| Kullanıcıların kendi giriş dizinlerine sahip olduğundan emin olun (6.2.9) |
Açıklama: Kullanıcı, kullanıcı giriş dizininde depolanan dosyalardan sorumlu olduğundan, kullanıcının dizinin sahibi olması gerekir. | Tanımlı kullanıcıya ait olmayan giriş dizinlerinin sahipliğini doğru kullanıcı olarak değiştirin. |
| Kullanıcıların nokta dosyalarının gruplandırılabilir veya dünya yazılabilir olmadığından emin olun. (6.2.10) |
Açıklama: Grup veya dünya çapında yazılabilir kullanıcı yapılandırma dosyaları, kötü amaçlı kullanıcıların diğer kullanıcıların verilerini çalmasına veya değiştirmesine ya da başka bir kullanıcının sistem ayrıcalıklarına sahip olmasını sağlayabilir. | Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı nokta dosya izinlerini raporlamak ve site ilkesi düzeltme eylemlerini belirlemek için bir izleme ilkesi oluşturmanızı öneririz. |
| Hiçbir kullanıcının .forward dosyası olmadığından emin olun (6.2.11) |
Açıklama: Dosyanın kullanılması .forward , hassas verilerin yanlışlıkla kuruluş dışına aktarılabilmesi açısından bir güvenlik riski oluşturur. Dosya .forward ayrıca istenmeyen eylemler gerçekleştirebilecek komutları yürütmek için kullanılabildiğinden bir risk oluşturur. |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .forward dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| Hiçbir kullanıcının .netrc dosyası olmadığından emin olun (6.2.12) |
Açıklama: Dosya .netrc parolaları şifrelenmemiş biçimde depoladığından önemli bir güvenlik riski oluşturur. FTP devre dışı bırakılmış olsa bile, kullanıcı hesapları diğer sistemlerden bu sistemler için risk oluşturabilecek dosyaları getirmiş .netrc olabilir |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .netrc dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| Hiçbir kullanıcının .rhosts dosyası olmadığından emin olun (6.2.14) |
Açıklama: Bu eylem yalnızca dosyasında /etc/pam.conf desteğe izin verilirse .rhosts anlamlıdır. 'de destek devre dışı /etc/pam.conf bırakıldığında dosyalar etkisiz olsa .rhosts da, diğer sistemlerden getirilmiş olabilir ve diğer sistemler için saldırgan için yararlı bilgiler içerebilir. |
Kullanıcı topluluğu uyarılmadan kullanıcıların dosyalarında genel değişiklikler yapmak beklenmeyen kesintilere ve mutsuz kullanıcılara neden olabilir. Bu nedenle, kullanıcı .rhosts dosyalarını raporlamak ve site ilkesine uygun olarak gerçekleştirilecek eylemi belirlemek için bir izleme ilkesi oluşturulması önerilir. |
| /etc/passwd içindeki tüm grupların /etc/group içinde mevcut olduğundan emin olun (6.2.15) |
Açıklama: /etc/passwd dosyasında tanımlanan ancak /etc/group dosyasında tanımlanmayan gruplar, grup izinleri düzgün yönetilmediğinden sistem güvenliği için bir tehdit oluşturur. | /etc/passwd içinde tanımlanan her grup için /etc/group içinde karşılık gelen bir grup olduğundan emin olun |
| Yinelenen UID olmadığından emin olun (6.2.16) |
Açıklama: Kullanıcılara sorumluluk ve uygun erişim korumalarını sağlamak için benzersiz UID'ler atanmalıdır. | Benzersiz UID'ler oluşturun ve hangi UID'ye ait olduklarını belirlemek için paylaşılan UID'lerin sahip olduğu tüm dosyaları gözden geçirin. |
| Yinelenen GUID olmadığından emin olun (6.2.17) |
Açıklama: Sorumluluk ve uygun erişim korumalarını sağlamak için gruplara benzersiz GIF'ler atanmalıdır. | Benzersiz GID'ler oluşturun ve hangi GID'ye ait olduklarını belirlemek için paylaşılan GID'lerin sahip olduğu tüm dosyaları gözden geçirin. |
| Yinelenen kullanıcı adları olmadığından emin olun (6.2.18) |
Açıklama: Bir kullanıcıya yinelenen bir kullanıcı adı atanırsa, içinde bu kullanıcı adı /etc/passwd için ilk UID'ye sahip dosyaları oluşturur ve dosyalara erişimi olur. Örneğin, 'test4' kullanıcı arabirimi 1000 ise ve sonraki bir 'test4' girdisi 2000 UID'sine sahipse, 'test4' olarak oturum açmak UID 1000'i kullanır. Etkili bir şekilde UID paylaşılır ve bu bir güvenlik sorunudur. |
Tüm kullanıcılar için benzersiz kullanıcı adları oluşturun. Kullanıcıların benzersiz UID'leri olduğu sürece dosya sahiplikleri değişikliği otomatik olarak yansıtır. |
| Yinelenen grup olmadığından emin olun (6.2.19) |
Açıklama: Bir gruba yinelenen bir grup adı atanırsa, grubu oluşturur ve içindeki /etc/group bu grubun ilk GID'sine sahip dosyalara erişebilir. Etkili bir şekilde GID paylaşılır ve bu bir güvenlik sorunudur. |
Tüm kullanıcı grupları için benzersiz adlar oluşturun. Gruplarda benzersiz GID'ler olduğu sürece dosya grubu sahiplikleri değişikliği otomatik olarak yansıtır. |
| Gölge grubun boş olduğundan emin olun (6.2.20) |
Açıklama: Gölge gruba atanan tüm kullanıcılara /etc/shadow dosyasına okuma erişimi verilir. Saldırganlar dosyaya okuma erişimi elde edebilirse, bunları bozmak için /etc/shadow karma parolalara karşı kolayca bir parola kırma programı çalıştırabilir. Dosyada /etc/shadow depolanan diğer güvenlik bilgileri (süre sonu gibi) diğer kullanıcı hesaplarını alta almak için de yararlı olabilir. |
Gölge grubu oluşturan tüm kullanıcıları kaldırma |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (hfs) (6.3) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için hfs'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine hfs'yi devre dışı bırakabilen veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (hfsplus) (6.4) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için hfsplus'ta bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine hfsplus'ı devre dışı bırakabilen veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştıran bir dosya ekleyin |
| Gerekli olmayan dosya sistemlerinin yüklenmesini ve kullanımını devre dışı bırakma (jffs2) (6.5) |
Açıklama: Saldırgan, ayrıcalıkları yükseltmek için jffs2'de bir güvenlik açığı kullanabilir | /etc/modprob.d dizinine jffs2'yi devre dışı bırakabilen bir dosya ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Çekirdekler yalnızca onaylanan kaynaklardan derlenmelidir. (10) |
Açıklama: Onaylanmamış bir kaynaktan alınan çekirdek, saldırgana erişim izni vermek için güvenlik açıkları veya arka kapı içerebilir. | Dağıtım satıcınız tarafından sağlanan çekirdeği yükleyin. |
| /etc/shadow dosya izinleri 0400 olarak ayarlanmalıdır (11.1) |
Açıklama: Saldırgan, doğru şekilde güvenli hale getirilmemişse /etc/shadow'tan karma parolaları alabilir veya işleyebilir. | /etc/shadow* izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' komutunu çalıştırın |
| /etc/shadow- dosya izinleri 0400 olarak ayarlanmalıdır (11.2) |
Açıklama: Saldırgan, doğru şekilde güvenli hale getirilmemişse /etc/shadow- içinden karma parolaları alabilir veya işleyebilir. | /etc/shadow* izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' komutunu çalıştırın |
| /etc/gshadow dosya izinleri 0400 olarak ayarlanmalıdır (11.3) |
Açıklama: Bu dosyanın güvenliği düzgün bir şekilde sağlanmazsa bir saldırgan güvenlik gruplarına katılabilir | /etc/gshadow- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' komutunu çalıştırın |
| /etc/gshadow- dosya izinleri 0400 olarak ayarlanmalıdır (11.4) |
Açıklama: Bu dosyanın güvenliği düzgün bir şekilde sağlanmazsa bir saldırgan güvenlik gruplarına katılabilir | /etc/gshadow'un izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' komutunu çalıştırın |
| /etc/passwd dosya izinleri 0644 olmalıdır (12.1) |
Açıklama: Saldırgan, kullanıcı kimliklerini ve oturum açma kabuklarını değiştirebilir | /etc/passwd'ın izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' komutunu çalıştırın |
| /etc/group dosya izinleri 0644 olmalıdır (12.2) |
Açıklama: Saldırgan grup üyeliğini değiştirerek ayrıcalıkları yükseltebilir | /etc/group izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms komutunu çalıştırın |
| /etc/passwd- dosya izinleri 0600 olarak ayarlanmalıdır (12.3) |
Açıklama: Bu dosyanın güvenliği düzgün bir şekilde sağlanmazsa bir saldırgan güvenlik gruplarına katılabilir | /etc/passwd- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms komutunu çalıştırın |
| /etc/group- dosya izinleri 0644 olmalıdır (12.4) |
Açıklama: Saldırgan grup üyeliğini değiştirerek ayrıcalıkları yükseltebilir | /etc/group- izinlerini ve sahipliğini ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms komutunu çalıştırın |
| Su aracılığıyla kök hesaba erişim 'kök' grubuyla kısıtlanmalıdır (21) |
Açıklama: Bir saldırgan, su kök grubundaki kullanıcılarla sınırlı değilse parola tahmini yaparak izinleri yükseltebilir. | '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions' komutunu çalıştırın. Bu denetim '/etc/pam.d/su' dosyasına 'auth gerekli pam_wheel.so use_uid' satırını ekler |
| 'root' grubu mevcut olmalı ve köke su verebilen tüm üyeleri içermelidir (22) |
Açıklama: Bir saldırgan, su kök grubundaki kullanıcılarla sınırlı değilse parola tahmini yaparak izinleri yükseltebilir. | 'groupadd -g 0 root' komutuyla kök grubu oluşturun |
| Tüm hesapların parolası olmalıdır (23.2) |
Açıklama: Saldırgan, parolasız hesaplarda oturum açabilir ve rastgele komutlar yürütebilir. | Tüm hesapların parolalarını ayarlamak için passwd komutunu kullanın |
| Kök dışındaki hesapların sıfırdan (0) büyük benzersiz UID'leri olmalıdır (24) |
Açıklama: Kök dışındaki bir hesap uid sıfıra sahipse, saldırgan hesabın güvenliğini ihlal edebilir ve kök ayrıcalıkları kazanabilir. | 'usermod -u' kullanarak kök olmayan tüm hesaplara benzersiz, sıfır olmayan uid'ler atayın |
| Sanal bellek bölgelerinin rastgele yerleşimi etkinleştirilmelidir (25) |
Açıklama: Saldırgan bellekteki bilinen bölgelere yürütülebilir kod yazabilir ve ayrıcalıkların yükseltilmesine neden olabilir | '/proc/sys/kernel/randomize_va_space' dosyasına '1' veya '2' değerini ekleyin |
| XD/NX işlemci özelliği için çekirdek desteği etkinleştirilmelidir (26) |
Açıklama: Saldırgan, sistemin bellekteki veri bölgelerinden yürütülebilir kod yürütmesine neden olabilir ve bu da ayrıcalıkların yükseltilmesine neden olabilir. | '/proc/cpuinfo' dosyasının 'nx' bayrağını içerdiğini onaylayın |
| '.' kökün $PATH (27.1) |
Açıklama: Saldırgan, kökün $PATH kötü amaçlı bir dosya yerleştirerek ayrıcalıkları yükseltebilir | /root/.profile içindeki 'export PATH=' satırını değiştirme |
| Kullanıcı giriş dizinleri modu 750 veya daha kısıtlayıcı olmalıdır (28) |
Açıklama: Saldırgan, diğer kullanıcıların giriş klasörlerinden hassas bilgileri alabilir. | Giriş klasörü izinlerini 750 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions komutunu çalıştırın |
| Tüm kullanıcılar için varsayılan umask, login.defs dosyasında 077 olarak ayarlanmalıdır (29) |
Açıklama: Saldırgan, diğer kullanıcıların sahip olduğu dosyalardan hassas bilgileri alabilir. | '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask' komutunu çalıştırın. Bu işlem '/etc/login.defs' dosyasına 'UMASK 077' satırını ekler |
| Tüm önyükleme yükleyicilerinin parola koruması etkin olmalıdır. (31) |
Açıklama: Fiziksel erişimi olan bir saldırgan önyükleme yükleyicisi seçeneklerini değiştirerek sınırsız sistem erişimi sağlayabilir | '/boot/grub/grub.cfg' dosyasına önyükleme yükleyici parolası ekleme |
| Önyükleme yükleyici yapılandırması izinlerinin yapılandırıldığından emin olun (31.1) |
Açıklama: Kök için okuma ve yazma izinlerinin ayarlanması, yalnızca kök olmayan kullanıcıların önyükleme parametrelerini görmesini veya değiştirmesini engeller. Önyükleme parametrelerini okuyan kök olmayan kullanıcılar, önyükleme sırasında güvenlik zayıflıklarını belirleyebilir ve bunlardan yararlanabilir. | Önyükleme yükleyicinizin sahibini ve grubunu root:root ve izinleri 0400 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions komutunu çalıştırın |
| Tek kullanıcı modu için kimlik doğrulamasının gerekli olduğundan emin olun. (33) |
Açıklama: Tek kullanıcı modunda kimlik doğrulaması gerektirmek, yetkisiz bir kullanıcının kimlik bilgileri olmadan kök ayrıcalıkları kazanmak için sistemi tek kullanıcıya yeniden başlatmasını önler. | kök kullanıcı için bir parola ayarlamak üzere aşağıdaki komutu çalıştırın: passwd root |
| Paket yeniden yönlendirme göndermenin devre dışı bırakıldığından emin olun. (38.3) |
Açıklama: Saldırgan, yönlendirmeyi bozmak amacıyla diğer yönlendirici cihazlarına geçersiz ICMP yeniden yönlendirmeleri göndermek ve kullanıcıların geçerli bir sistemin aksine saldırgan tarafından ayarlanmış bir sisteme erişmesini sağlamak için güvenliği aşılmış bir konak kullanabilir. | /etc/sysctl.conf dosyasında aşağıdaki parametreleri ayarlayın: 'net.ipv4.conf.all.send_redirects = 0' ve 'net.ipv4.conf.default.send_redirects = 0' veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects'i çalıştırın |
| Tüm arabirimler için ICMP yeniden yönlendirmeleri gönderme devre dışı bırakılmalıdır. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Açıklama: Saldırgan bu sistemin yönlendirme tablosunu değiştirerek trafiği alternatif bir hedefe yönlendirebilir | Uyumlu bir değere çalıştırın sysctl -w key=value ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects' komutunu çalıştırın. |
| Tüm arabirimler için ICMP yeniden yönlendirmeleri gönderme devre dışı bırakılmalıdır. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Açıklama: Saldırgan bu sistemin yönlendirme tablosunu değiştirerek trafiği alternatif bir hedefe yönlendirebilir | Uyumlu bir değere çalıştırın sysctl -w key=value ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' komutunu çalıştırın |
| Kaynak yönlendirilmiş paketlerin kabul edilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Açıklama: Saldırgan, trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Kaynak yönlendirilmiş paketlerin kabul edilmesi tüm arabirimler için devre dışı bırakılmalıdır. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Açıklama: Saldırgan, trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Ağ arabirimleri için kaynak yönlendirilmiş paketleri kabul etmek için varsayılan ayar devre dışı bırakılmalıdır. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Açıklama: Saldırgan, trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Ağ arabirimleri için kaynak yönlendirilmiş paketleri kabul etmek için varsayılan ayar devre dışı bırakılmalıdır. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Açıklama: Saldırgan, trafiği kötü amaçlı olarak yeniden yönlendirebilir. | komutunu çalıştırın sysctl -w key=value ve uyumlu bir değere ayarlayın. |
| Yayınlara sahte ICMP yanıtlarının yoksayılması etkinleştirilmelidir. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Açıklama: Bir saldırgan, DoS'a neden olan bir ICMP saldırısı gerçekleştirebilir | Uyumlu bir değer çalıştırın sysctl -w key=value ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' komutunu çalıştırın |
| Yayın /çok noktaya yayın adreslerine gönderilen ICMP yankı isteklerinin (ping) yoksayılması etkinleştirilmelidir. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Açıklama: Bir saldırgan, DoS'a neden olan bir ICMP saldırısı gerçekleştirebilir | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' komutunu çalıştırın |
| Mars paketlerinin günlüğe kaydedilmesi (imkansız adresleri olanlar) tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Açıklama: Saldırgan, algılanmadan sahte adreslerden trafik gönderebilir | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' komutunu çalıştırın |
| Ters yola göre kaynak doğrulama işlemi tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Açıklama: Sistem, yönlendirilemez adreslerden gelen trafiği kabul eder. | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' komutunu çalıştırın |
| Ters yola göre kaynak doğrulama işlemi tüm arabirimler için etkinleştirilmelidir. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Açıklama: Sistem, yönlendirilemez adreslerden gelen trafiği kabul eder. | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' komutunu çalıştırın |
| TCP SYN tanımlama bilgileri etkinleştirilmelidir. (net.ipv4.tcp_syncookies = 1) (47) |
Açıklama: Saldırgan TCP üzerinden DoS gerçekleştirebilir | Uyumlu bir değere sysctl -w key=value çalıştırın ve ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' komutunu çalıştırın |
| Sistem ağ algılayıcısı gibi davranmamalıdır. (48) |
Açıklama: Saldırgan, ağ trafiğini algılamak için rastgele arabirimler kullanabilir | Promiscuous modu , '/etc/network/interfaces' veya '/etc/rc.local' içindeki bir 'promisc' girişi aracılığıyla etkinleştirilir. Her iki dosyayı da denetleyin ve bu girdiyi kaldırın. |
| Tüm kablosuz arabirimler devre dışı bırakılmalıdır. (49) |
Açıklama: Saldırgan, iletimleri kesmek için sahte bir AP oluşturabilir. | '/etc/network/interfaces' içinde tüm kablosuz arabirimlerin devre dışı bırakılmıştır onaylayın |
| IPv6 protokolü etkinleştirilmelidir. (50) |
Açıklama: Bu, modern ağlarda iletişim için gereklidir. | /etc/sysctl.conf dosyasını açın ve 'net.ipv6.conf.all.disable_ipv6' ve 'net.ipv6.conf.default.disable_ipv6' değerinin 0 olarak ayarlandığını onaylayın |
| DCCP'nin devre dışı bırakıldığından emin olun (54) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve dccp modülünü ekleyip install dccp /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| SCTP'nin devre dışı bırakıldığından emin olun (55) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve sctp modülünü ekleyip install sctp /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| RDS desteğini devre dışı bırakın. (56) |
Açıklama: Saldırgan, sistemin güvenliğini tehlikeye atmak için RDS'deki bir güvenlik açığını kullanabilir | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve rds modülünü ekleyip install rds /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| TIPC'nin devre dışı bırakıldığından emin olun (57) |
Açıklama: Protokol gerekli değilse, olası saldırı yüzeyini azaltmak için sürücülerin yüklenmemesi önerilir. | .conf ile biten dizinde /etc/modprobe.d/ bir dosya düzenleyin veya oluşturun ve tipc modülünü ekleyip install tipc /bin/true kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' komutunu çalıştırın |
| Günlüğün yapılandırıldığından emin olun (60) |
Açıklama: Güvenlikle ilgili önemli bilgilerin büyük bir kısmı aracılığıyla rsyslog gönderilir (örneğin başarılı ve başarısız su denemeleri, başarısız oturum açma girişimleri, kök oturum açma girişimleri vb.). |
Syslog, rsyslog veya syslog-ng'yi uygun şekilde yapılandırma |
| syslog, rsyslog veya syslog-ng paketi yüklenmelidir. (61) |
Açıklama: Güvenilirlik ve güvenlik sorunları günlüğe kaydedilmeyecek ve doğru tanılama engellenecek. | rsyslog paketini yükleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' komutunu çalıştırın |
| Systemd-journald hizmeti günlük iletilerini kalıcı hale getirmek için yapılandırılmalıdır (61.1) |
Açıklama: Güvenilirlik ve güvenlik sorunları günlüğe kaydedilmeyecek ve doğru tanılama engellenecek. | /var/log/journal oluşturun ve journald.conf dosyasında depolamanın otomatik veya kalıcı olduğundan emin olun |
| Günlüğe kaydetme hizmetinin etkinleştirildiğinden emin olun (62) |
Açıklama: Bir düğümde olayları günlüğe kaydetme özelliğine sahip olmak şarttır. | rsyslog paketini etkinleştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' komutunu çalıştırın |
| Tüm rsyslog günlük dosyaları için dosya izinleri 640 veya 600 olarak ayarlanmalıdır. (63) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileCreateMode 0640' satırını ekleyin |
| Günlükçü yapılandırma dosyalarının kısıtlandığından emin olun. (63.1) |
Açıklama: Hassas syslog verilerinin arşivlendiğinden ve korunduğundan emin olmak için günlük dosyalarının mevcut olduğundan ve doğru izinlere sahip olduğundan emin olmak önemlidir. | Günlükçünüzün yapılandırma dosyalarını 0640 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' komutunu çalıştırın |
| Tüm rsyslog günlük dosyaları adm grubuna ait olmalıdır. (64) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileGroup adm' satırını ekleyin |
| Tüm rsyslog günlük dosyaları syslog kullanıcısının olmalıdır. (65) |
Açıklama: Saldırgan günlükleri değiştirerek etkinliği gizleyebilir | '/etc/rsyslog.conf' dosyasına '$FileOwner syslog' satırını ekleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner komutunu çalıştırın |
| Rsyslog uzak iletileri kabul etmemelidir. (67) |
Açıklama: Saldırgan syslog'a ileti oluşturduğunuzda DoS veya diğer etkinliklerde dikkatinizi dağıtabilir | '/etc/rsyslog.conf' dosyasından '$ModLoad imudp' ve '$ModLoad imtcp' satırlarını kaldırın |
| Logrotate (syslog rotater) hizmeti etkinleştirilmelidir. (68) |
Açıklama: Günlük dosyaları sınırsız büyüyebilir ve tüm disk alanını tüketebilir | Logrotate paketini yükleyin ve logrotate cron girişinin etkin olduğunu doğrulayın (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| rlogin hizmeti devre dışı bırakılmalıdır. (69) |
Açıklama: Saldırgan, katı kimlik doğrulama gereksinimlerini atlayarak erişim elde edebilir | inetd hizmetini kaldırın. |
| Gerekmedikçe inetd'i devre dışı bırakın. (inetd) (70.1) |
Açıklama: Saldırgan, erişim kazanmak için inetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove inetd) |
| Gerekmedikçe xinetd'i devre dışı bırakın. (xinetd) (70.2) |
Açıklama: Saldırgan erişim kazanmak için xinetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove xinetd) |
| inetd'i yalnızca dağıtımınızın uygun ve gerekli olduğu durumlarda yükleyin. Geçerli sağlamlaştırma standartlarına göre güvenlidir. (gerekirse) (71.1) |
Açıklama: Saldırgan, erişim kazanmak için inetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove inetd) |
| Xinetd'i yalnızca dağıtımınız için uygun ve gerekliyse yükleyin. Geçerli sağlamlaştırma standartlarına göre güvenlidir. (gerekirse) (71.2) |
Açıklama: Saldırgan erişim kazanmak için xinetd hizmetindeki bir güvenlik açığından yararlanabilir | inetd hizmetini kaldırma (apt-get remove xinetd) |
| Telnet hizmeti devre dışı bırakılmalıdır. (72) |
Açıklama: Saldırgan şifrelenmemiş telnet oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasındaki telnet girişini kaldırın veya açıklama satırı yapın |
| Tüm telnetd paketleri kaldırılmalıdır. (73) |
Açıklama: Saldırgan şifrelenmemiş telnet oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | Tüm telnetd paketlerini kaldırma |
| rcp/rsh hizmeti devre dışı bırakılmalıdır. (74) |
Açıklama: Saldırgan şifrelenmemiş oturumları gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasındaki kabuk girdisini kaldırın veya açıklama satırı yapın |
| rsh-server paketi kaldırılmalıdır. (77) |
Açıklama: Saldırgan şifrelenmemiş rsh oturumlarını gizlice dinleyebiliyor veya ele geçirebiliyor | rsh-server paketini kaldırma (apt-get remove rsh-server) |
| ypbind hizmeti devre dışı bırakılmalıdır. (78) |
Açıklama: Saldırgan ypbind hizmetinden hassas bilgileri alabilir | nis paketini kaldırma (apt-get remove nis) |
| nis paketi kaldırılmalıdır. (79) |
Açıklama: Saldırgan NIS hizmetinden hassas bilgileri alabilir | nis paketini kaldırma (apt-get remove nis) |
| tftp hizmeti devre dışı bırakılmalıdır. (80) |
Açıklama: Saldırgan şifrelenmemiş bir oturumu gizlice dinleyebiliyor veya ele geçirebiliyor | '/etc/inetd.conf' dosyasından tftp girdisini kaldırın |
| tftpd paketi kaldırılmalıdır. (81) |
Açıklama: Saldırgan şifrelenmemiş bir oturumu gizlice dinleyebiliyor veya ele geçirebiliyor | tftpd paketini kaldırma (apt-get remove tftpd) |
| Readahead-fedora paketi kaldırılmalıdır. (82) |
Açıklama: Paket önemli bir pozlama oluşturmaz, ancak önemli bir avantaj da eklemez. | readahead-fedora paketini kaldırın (apt-get remove readahead-fedora) |
| Bluetooth/hidd hizmeti devre dışı bırakılmalıdır. (84) |
Açıklama: Saldırgan kablosuz iletişimleri kesebilir veya değiştirebilir. | Bluetooth paketini kaldırma (apt-get bluetooth'u kaldırma) |
| isdn hizmeti devre dışı bırakılmalıdır. (86) |
Açıklama: Saldırgan yetkisiz erişim elde etmek için modem kullanabilir | isdnutils-base paketini kaldırın (apt-get remove isdnutils-base) |
| isdnutils-base paketi kaldırılmalıdır. (87) |
Açıklama: Saldırgan yetkisiz erişim elde etmek için modem kullanabilir | isdnutils-base paketini kaldırın (apt-get remove isdnutils-base) |
| Kdump hizmeti devre dışı bırakılmalıdır. (88) |
Açıklama: Saldırgan, hassas bilgileri almak için önceki sistem kilitlenmesini analiz edebilir | kdump-tools paketini kaldırma (apt-get remove kdump-tools) |
| Sıfırconf ağı devre dışı bırakılmalıdır. (89) |
Açıklama: Saldırgan, ağa bağlı sistemler hakkında bilgi edinmek için bunu kötüye kullanabilir veya güven modelindeki kusurlardan dolayı DNS isteklerini yanıltabilir | RedHat, CentOS ve Oracle için: /etc/sysconfig/network'e ekleyin NOZEROCONF=yes or no . Diğer tüm dağıtımlar için: '/etc/network/interfaces' dosyasındaki tüm 'ipv4ll' girdilerini kaldırın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' komutunu çalıştırın |
| Crond hizmeti etkinleştirilmelidir. (90) |
Açıklama: Cron, normal bakım görevleri için neredeyse tüm sistemler için gereklidir | Cron paketini (apt-get install -y cron) yükleyin ve '/etc/init/cron.conf' dosyasının 'runlevel'de başlat [2345]' satırını içerdiğini onaylayın |
| /etc/anacrontab için dosya izinleri root:root 600 olarak ayarlanmalıdır. (91) |
Açıklama: Saldırgan, zamanlanmış görevleri önlemek veya kötü amaçlı görevleri yürütmek için bu dosyayı işleyebilir | /etc/anacrontab üzerinde sahipliği ve izinleri ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' komutunu çalıştırın |
| /etc/cron.d üzerindeki izinlerin yapılandırıldığından emin olun. (93) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi verilmesi, onlara yetkisiz yükseltilmiş ayrıcalıklar elde etme araçları sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri sağlayabilir. | /etc/chron.d dosyasının sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' komutunu çalıştırın |
| /etc/cron.daily üzerindeki izinlerin yapılandırıldığından emin olun. (94) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi verilmesi, onlara yetkisiz yükseltilmiş ayrıcalıklar elde etme araçları sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri sağlayabilir. | /etc/chron.daily öğesinin sahibini ve grubunu kök olarak ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.hourly üzerindeki izinlerin yapılandırıldığından emin olun. (95) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi verilmesi, onlara yetkisiz yükseltilmiş ayrıcalıklar elde etme araçları sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri sağlayabilir. | /etc/chron.hourly öğesinin sahibini ve grubunu kök olarak ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.monthly üzerindeki izinlerin yapılandırıldığından emin olun. (96) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi verilmesi, onlara yetkisiz yükseltilmiş ayrıcalıklar elde etme araçları sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri sağlayabilir. | /etc/chron.monthly öğesinin sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| /etc/cron.weekly üzerindeki izinlerin yapılandırıldığından emin olun. (97) |
Açıklama: Ayrıcalıklı olmayan kullanıcılar için bu dizine yazma erişimi verilmesi, onlara yetkisiz yükseltilmiş ayrıcalıklar elde etme araçları sağlayabilir. Bu dizine okuma erişimi vermek, yükseltilmiş ayrıcalıklar elde etme veya denetim denetimlerini aşma konusunda ayrıcalıksız bir kullanıcı içgörüleri sağlayabilir. | /etc/chron.weekly öğesinin sahibini ve grubunu kök ve izinleri 0700 olarak ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms komutunu çalıştırın |
| at/cron'un yetkili kullanıcılarla sınırlı olduğundan emin olun (98) |
Açıklama: Birçok sistemde, işleri zamanlamak cron için yalnızca sistem yöneticisi yetkilidir. İşleri kimlerin cron.allow çalıştırabileceğini cron denetlemek için dosyasını kullanmak bu ilkeyi zorunlu kılır. İzin verilenler listesini yönetmek, reddetme listesinden daha kolaydır. Reddetme listesinde, sisteme bir kullanıcı kimliği ekleyebilir ve reddetme dosyalarına eklemeyi unutabilirsiniz. |
/etc/cron.deny ve /etc/at.deny dosyalarını ilgili allow dosyalarıyla değiştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' komutunu çalıştırın |
| En iyi yöntemleri karşılamak için SSH'nin yapılandırılması ve yönetilmesi gerekir. - '/etc/ssh/sshd_config Protokolü = 2' (106.1) |
Açıklama: Saldırgan, erişim kazanmak için SSH protokolünün önceki bir sürümündeki kusurları kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol' komutunu çalıştırın. Bu işlem '/etc/ssh/sshd_config' dosyasında 'Protokol 2'yi ayarlar |
| En iyi yöntemleri karşılamak için SSH'nin yapılandırılması ve yönetilmesi gerekir. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Açıklama: Saldırgan erişim kazanmak için Rhosts protokolündeki kusurları kullanabilir | '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts' komutunu çalıştırın. Bu işlem '/etc/ssh/sshd_config' dosyasına 'IgnoreRhosts yes' satırını ekler |
| SSH LogLevel'in INFO olarak ayarlandığından emin olun (106.5) |
Açıklama: SSH, çeşitli miktarlarda ayrıntı içeren çeşitli günlük düzeyleri sağlar. DEBUG SSH iletişimlerinde hata ayıklamak dışında özellikle önerilmez çünkü önemli güvenlik bilgilerini tanımlamak zor olacak kadar çok veri sağlar. INFO düzeyi, yalnızca SSH kullanıcılarının oturum açma etkinliğini kaydeden temel düzeydir. Olay Yanıtı gibi birçok durumda, belirli bir kullanıcının sistemde ne zaman etkin olduğunu belirlemek önemlidir. Oturumu kapatma kaydı, bağlantısını kesen kullanıcıları ortadan kaldırabilir ve bu da alanı daraltmalarına yardımcı olur. |
parametresini /etc/ssh/sshd_config aşağıdaki gibi ayarlamak için dosyasını düzenleyin: LogLevel INFO |
| SSH MaxAuthTries değerinin 6 veya daha az olarak ayarlandığından emin olun (106.7) |
Açıklama: Parametrenin MaxAuthTries düşük bir sayıya ayarlanması, SSH sunucusuna başarılı deneme yanılma saldırıları riskini en aza indirir. Önerilen ayar 4 olsa da, sayıyı site ilkesine göre ayarlayın. |
SSH MaxAuthTries değerinin 6 veya daha az olduğundan emin olun Parametreyi /etc/ssh/sshd_config aşağıdaki gibi ayarlamak için dosyayı düzenleyin: MaxAuthTries 6 |
| SSH erişiminin sınırlı olduğundan emin olun (106.11) |
Açıklama: SSH aracılığıyla hangi kullanıcıların sisteme uzaktan erişebileceğini kısıtlamak, sisteme yalnızca yetkili kullanıcıların erişmesini sağlamaya yardımcı olur. | SSH erişiminin /etc/ssh/sshd_config sınırlı olduğundan emin olun Aşağıdaki gibi bir veya daha fazla parametreyi ayarlamak için dosyayı düzenleyin: AllowUsers AllowGroups DenyUsers DenyGroups |
| ssh sunucusu aracılığıyla rsh komutunun öykünmesi devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config RhostsRSAAuthentication = hayır' (107) |
Açıklama: Saldırgan erişim kazanmak için RHosts protokolündeki kusurları kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'RhostsRSAAuthentication no' satırını ekler |
| SSH konak tabanlı kimlik doğrulaması devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config HostbasedAuthentication = hayır' (108) |
Açıklama: Saldırgan, güvenliği aşılmış bir konaktan erişim elde etmek için konak tabanlı kimlik doğrulamasını kullanabilir | '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth' komutunu çalıştırın. Bu işlem '/etc/ssh/sshd_config' dosyasına 'HostbasedAuthentication no' satırını ekler |
| SSH aracılığıyla kök oturum açma devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config PermitRootLogin = hayır' (109) |
Açıklama: Saldırgan kök parolayı deneme yanılmadan açabilir veya doğrudan kök olarak oturum açarak komut geçmişini gizleyebilir | '/usr/local/bin/azsecd remediate -r disable-ssh-root-login' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'PermitRootLogin no' satırını ekler |
| Boş parolaları olan hesaplardan uzak bağlantılar devre dışı bırakılmalıdır. - '/etc/ssh/sshd_config PermitEmptyPasswords = hayır' (110) |
Açıklama: Saldırgan parola tahminleri aracılığıyla erişim elde edebilir | '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'PermitEmptyPasswords no' satırını ekler |
| SSH Boşta Kalma Zaman Aşımı Aralığı'nın yapılandırıldığından emin olun. (110.1) |
Açıklama: Bağlantıyla ilişkilendirilmiş zaman aşımı değeri olmaması, kullanıcının başka bir kullanıcının ssh oturumuna yetkisiz erişmesine izin verebilir. Zaman aşımı değerini ayarlamak en azından bunun gerçekleşme riskini azaltır. Önerilen ayar 300 saniye (5 dakika) olsa da bu zaman aşımı değerini site ilkesine göre ayarlayın. için ClientAliveCountMax önerilen ayar 0'dır. Bu durumda, istemci oturumu 5 dakika boşta kalma süresinden sonra sonlandırılır ve hiçbir tutma iletisi gönderilmez. |
Parametreleri ilkeye göre ayarlamak için /etc/ssh/sshd_config dosyasını düzenleyin |
| SSH LoginGraceTime değerinin bir dakika veya daha kısa olarak ayarlandığından emin olun. (110.2) |
Açıklama: Parametrenin LoginGraceTime düşük bir sayıya ayarlanması, SSH sunucusuna başarılı deneme yanılma saldırıları riskini en aza indirir. Ayrıca, eş zamanlı kimliği doğrulanmamış bağlantı sayısını sınırlar Önerilen ayar 60 saniye (1 Dakika) olsa da, site ilkesine göre sayıyı ayarlayın. |
Parametreleri ilkeye göre ayarlamak için /etc/ssh/sshd_config dosyasını düzenleyin veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' komutunu çalıştırın |
| Yalnızca onaylı MAC algoritmalarının kullanıldığından emin olun (110.3) |
Açıklama: MD5 ve 96 bit MAC algoritmaları zayıf kabul edilir ve SSH eski sürüme düşürme saldırılarında sömürüyü artırdığını göstermiştir. Zayıf algoritmalar, genişletilmiş bilgi işlem gücüyle sömürülebilecek zayıf bir nokta olarak dikkat çekmeye devam eder. Algoritmayı bozan bir saldırgan, SSH tünelinin şifresini çözmek ve kimlik bilgilerini ve bilgileri yakalamak için MiTM konumundan yararlanabilir | /etc/sshd_config dosyasını düzenleyin ve onaylanan NIC'lerin virgülle ayrılmış listesini içerecek şekilde MAK satırını ekleyin/değiştirin veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' komutunu çalıştırın |
| Uzaktan oturum açma uyarı başlığının düzgün yapılandırıldığından emin olun. (111) |
Açıklama: Uyarı iletileri, sistemde oturum açma girişiminde bulunan kullanıcıları sistemle ilgili yasal durumlarını bildirir ve sistemin sahibi olan kuruluşun adını ve yürürlükte olan tüm izleme ilkelerini içermesi gerekir. Oturum açma başlıklarında işletim sistemi ve düzeltme eki düzeyi bilgilerinin görüntülenmesi, sistemin belirli açıklarını hedeflemeye çalışan saldırganlara ayrıntılı sistem bilgileri sağlamanın yan etkisine de sahiptir. Yetkili kullanıcılar, oturum açtıktan sonra komutunu çalıştırarak uname -abu bilgileri kolayca alabilir. |
\m \r \s ve \v örneklerini /etc/issue.net dosyasından kaldırın |
| Yerel oturum açma uyarısı başlığının düzgün yapılandırıldığından emin olun. (111.1) |
Açıklama: Uyarı iletileri, sistemde oturum açma girişiminde bulunan kullanıcıları sistemle ilgili yasal durumlarını bildirir ve sistemin sahibi olan kuruluşun adını ve yürürlükte olan tüm izleme ilkelerini içermesi gerekir. Oturum açma başlıklarında işletim sistemi ve düzeltme eki düzeyi bilgilerinin görüntülenmesi, sistemin belirli açıklarını hedeflemeye çalışan saldırganlara ayrıntılı sistem bilgileri sağlamanın yan etkisine de sahiptir. Yetkili kullanıcılar, oturum açtıktan sonra komutunu çalıştırarak uname -abu bilgileri kolayca alabilir. |
\m \r \s ve \v örneklerini /etc/issue dosyasından kaldırın |
| SSH uyarı başlığı etkinleştirilmelidir. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Açıklama: Kullanıcılar sistemdeki eylemlerinin izlendiği konusunda uyarılmaz | '/usr/local/bin/azsecd remediate -r configure-ssh-banner' komutunu çalıştırın. Bu, '/etc/ssh/sshd_config' dosyasına 'Başlık /etc/azsec/banner.txt' satırını ekler |
| Kullanıcıların SSH için ortam seçeneklerini ayarlamasına izin verilmez. (112) |
Açıklama: Saldırgan SSH üzerinden bazı erişim kısıtlamalarını atlayabilir | '/etc/ssh/sshd_config' dosyasından 'PermitUserEnvironment yes' satırını kaldırın |
| SSH için uygun şifrelemeler kullanılmalıdır. (Aes128-ctr,aes192-ctr,aes256-ctr şifreleri) (113) |
Açıklama: Saldırgan zayıf güvenlikli bir SSH bağlantısını tehlikeye atabilir | '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers' komutunu çalıştırın. Bu işlem '/etc/ssh/sshd_config' dosyasına 'Aes128-ctr,aes192-ctr,aes256-ctr' satırını ekler |
| Avahi-daemon hizmeti devre dışı bırakılmalıdır. (114) |
Açıklama: Saldırgan erişim kazanmak için avahi daemon'daki bir güvenlik açığını kullanabilir | Avahi-daemon hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' komutunu çalıştırın |
| Bardak hizmeti devre dışı bırakılmalıdır. (115) |
Açıklama: Saldırgan ayrıcalıkları yükseltmek için bardak hizmetindeki bir kusuru kullanabilir | Bardak hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' komutunu çalıştırın |
| isc-dhcpd hizmeti devre dışı bırakılmalıdır. (116) |
Açıklama: Saldırgan, istemcilere hatalı bilgi sağlamak için dhcpd kullanabilir ve normal işlemi etkileyebilir. | isc-dhcp-server paketini kaldırma (apt-get remove isc-dhcp-server) |
| isc-dhcp-server paketi kaldırılmalıdır. (117) |
Açıklama: Saldırgan, istemcilere hatalı bilgi sağlamak için dhcpd kullanabilir ve normal işlemi etkileyebilir. | isc-dhcp-server paketini kaldırma (apt-get remove isc-dhcp-server) |
| Sendmail paketi kaldırılmalıdır. (120) |
Açıklama: Saldırgan bu sistemi kullanarak diğer kullanıcılara kötü amaçlı içerik içeren e-postalar gönderebilir | Sendmail paketini kaldırma (apt-get remove sendmail) |
| Sonek paketi kaldırılmalıdır. (121) |
Açıklama: Saldırgan bu sistemi kullanarak diğer kullanıcılara kötü amaçlı içerik içeren e-postalar gönderebilir | Sonek paketini kaldırın (apt-get remove postfix) veya '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' komutunu çalıştırın |
| Sonek ağ dinleme uygun şekilde devre dışı bırakılmalıdır. (122) |
Açıklama: Saldırgan bu sistemi kullanarak diğer kullanıcılara kötü amaçlı içerik içeren e-postalar gönderebilir | '/etc/postfix/main.cf' dosyasına 'inet_interfaces localhost' satırını ekleyin |
| Ldap hizmeti devre dışı bırakılmalıdır. (124) |
Açıklama: Saldırgan, hatalı verileri LDAP istemcilerine dağıtmak için bu konakta LDAP hizmetini yönlendirebilir | Tokatlanmış paketi kaldırın (apt-get tokatlanmış kaldır) |
| rpcgssd hizmeti devre dışı bırakılmalıdır. (126) |
Açıklama: Saldırgan erişim kazanmak için rpcgssd/nfs'de bir kusur kullanabilir | rpcgssd hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' komutunu çalıştırın |
| rpcidmapd hizmeti devre dışı bırakılmalıdır. (127) |
Açıklama: Saldırgan erişim kazanmak için idmapd/nfs'de bir kusur kullanabilir | rpcidmapd hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' komutunu çalıştırın |
| Portmap hizmeti devre dışı bırakılmalıdır. (129.1) |
Açıklama: Saldırgan erişim kazanmak için bağlantı noktası haritasındaki bir kusuru kullanabilir | Rpcbind hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' komutunu çalıştırın |
| Ağ Dosya Sistemi (NFS) hizmeti devre dışı bırakılmalıdır. (129.2) |
Açıklama: Saldırgan, paylaşımları bağlamak ve dosyaları yürütmek/kopyalamak için nfs kullanabilir. | nfs hizmetini devre dışı bırakın veya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' komutunu çalıştırın |
| rpcsvcgssd hizmeti devre dışı bırakılmalıdır. (130) |
Açıklama: Saldırgan erişim kazanmak için rpcsvcgssd'deki bir kusuru kullanabilir | '/etc/inetd.conf' dosyasından 'NEED_SVCGSSD = evet' satırını kaldırın |
| Adlandırılmış hizmet devre dışı bırakılmalıdır. (131) |
Açıklama: Saldırgan, istemcilere yanlış veri dağıtmak için DNS hizmetini kullanabilir | bind9 paketini kaldırma (apt-get remove bind9) |
| Bağlama paketi kaldırılmalıdır. (132) |
Açıklama: Saldırgan, istemcilere yanlış veri dağıtmak için DNS hizmetini kullanabilir | bind9 paketini kaldırma (apt-get remove bind9) |
| Dovecot hizmeti devre dışı bırakılmalıdır. (137) |
Açıklama: Sistem bir IMAP/POP3 sunucusu olarak kullanılabilir | dovecot-core paketini kaldırma (apt-get remove dovecot-core) |
| Dovecot paketi kaldırılmalıdır. (138) |
Açıklama: Sistem bir IMAP/POP3 sunucusu olarak kullanılabilir | dovecot-core paketini kaldırma (apt-get remove dovecot-core) |
/etc/passwd içinde eski + girdi olmadığından emin olun(156.1) |
Açıklama: Saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/passwd içinde '+:' ile başlayan tüm girdileri kaldırın |
/etc/shadow içinde eski + girdi olmadığından emin olun(156.2) |
Açıklama: Saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/shadow içinde '+:' ile başlayan tüm girdileri kaldırın |
/etc/group içinde eski + girdi olmadığından emin olun(156.3) |
Açıklama: Saldırgan parola olmadan '+' kullanıcı adını kullanarak erişim elde edebilir | /etc/group içindeki '+:' ile başlayan tüm girdileri kaldırın |
| Parola süre sonunun 365 gün veya daha kısa olduğundan emin olun. (157.1) |
Açıklama: Parolanın maksimum yaşının azaltılması, saldırganın çevrimiçi deneme yanılma saldırısı yoluyla güvenliği aşılmış kimlik bilgilerinden yararlanma veya kimlik bilgilerini başarıyla tehlikeye atma fırsatı penceresini de azaltır. | parametresini PASS_MAX_DAYS en fazla 365 olarak /etc/login.defs ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' komutunu çalıştırın |
| Parola süre sonu uyarı günlerinin 7 veya daha fazla olduğundan emin olun. (157.2) |
Açıklama: Parolanın süresinin dolacağını belirten önceden bir uyarı sağlamak, kullanıcılara güvenli bir parola düşünme süresi verir. Farkında olmayan kullanıcılar basit bir parola seçebilir veya bulunabileceği bir yere yazabilir. | parametresini PASS_WARN_AGE 7 olarak /etc/login.defs ayarlayın veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' komutunu çalıştırın |
| Parola yeniden kullanmanın sınırlı olduğundan emin olun. (157.5) |
Açıklama: Kullanıcıları son beş parolayı yeniden kullanmamaya zorlamak, saldırganın parolayı tahmin etme olasılığını düşürür. | 'Anımsa' seçeneğinin /etc/pam.d/common-password ya da /etc/pam.d/password_auth ve /etc/pam.d/system_auth içinde en az 5 olarak ayarlandığından emin olun veya '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' komutunu çalıştırın |
| Parola karma algoritmasının SHA-512 olduğundan emin olun (157.11) |
Açıklama: SHA-512 algoritması MD5'ten çok daha güçlü karma sağlar, bu nedenle saldırganın parolaları başarıyla belirlemesi için harcanan çaba düzeyini artırarak sisteme ek koruma sağlar. Not: Bu değişiklikler yalnızca yerel sistemde yapılandırılan hesaplar için geçerlidir. | Parola karma algoritmasını sha512 olarak ayarlayın. Birçok dağıtım PAM yapılandırmasını güncelleştirmek için araçlar sağlar, ayrıntılar için belgelerinize bakın. Araç sağlanmazsa uygun /etc/pam.d/ yapılandırma dosyasını düzenleyin ve sha512 seçeneğini içerecek şekilde satırları ekleyin veya değiştirin pam_unix.so : password sufficient pam_unix.so sha512 |
| Parola değişiklikleri arasındaki en düşük günlerin 7 veya daha fazla olduğundan emin olun. (157.12) |
Açıklama: Parola değişikliklerinin sıklığını kısıtlayan bir yönetici, parola yeniden kullanım denetimlerini aşma girişiminde kullanıcıların parolalarını art arda değiştirmesini engelleyebilir. | parametresini PASS_MIN_DAYS içinde 7 olarak /etc/login.defsayarlayın. PASS_MIN_DAYS 7 Parola ayarlanmış tüm kullanıcılar için kullanıcı parametrelerini şu şekilde değiştirin: chage --mindays 7 veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' komutunu çalıştırın |
| Tüm kullanıcıların son parola değiştirme tarihinin geçmişte olduğundan emin olun (157.14) |
Açıklama: Bir kullanıcı parola değiştirme tarihini kaydettiyse, belirlenen parola süre sonunu atlayabilir. | Etkin olmayan parola kilidinin 30 gün veya daha kısa olduğundan emin olun Varsayılan parola etkinlik dışı süresini 30 gün olarak ayarlamak için aşağıdaki komutu çalıştırın: # useradd -D -f 30 Parola ayarlanmış tüm kullanıcıların kullanıcı parametrelerini eşleşecek şekilde değiştirin: # chage --inactive 30 |
| Sistem hesaplarının oturum açmadığından emin olun (157.15) |
Açıklama: Normal kullanıcılar tarafından kullanılmayan hesapların etkileşimli bir kabuk sağlamak için kullanılmasının engellendiğinden emin olmak önemlidir. Varsayılan olarak, Ubuntu bu hesapların parola alanını geçersiz bir dize olarak ayarlar, ancak parola dosyasındaki kabuk alanının olarak ayarlanması /usr/sbin/nologinda önerilir. Bu, hesabın herhangi bir komutu çalıştırmak için potansiyel olarak kullanılmasını önler. |
Denetim betiği tarafından döndürülen tüm hesapların kabuğunu olarak ayarlayın /sbin/nologin |
| Kök hesabın varsayılan grubunun GID 0 olduğundan emin olun (157.16) |
Açıklama: Hesap için GID 0 kullanılması _root_ , sahip olunan dosyaların ayrıcalıklı olmayan kullanıcılar tarafından yanlışlıkla erişilebilir olmasını önlemeye _root_yardımcı olur. |
Kullanıcı varsayılan grubunu GID 0 olarak ayarlamak root için aşağıdaki komutu çalıştırın:# usermod -g 0 root |
| Kökün tek UID 0 hesabı olduğundan emin olun (157.18) |
Açıklama: Bu erişim yalnızca varsayılan root hesapla ve yalnızca sistem konsolundan sınırlı olmalıdır. Yönetim erişimi, onaylanmış bir mekanizma kullanılarak ayrıcalıksız bir hesap üzerinden olmalıdır. |
UID 0 dışındaki root tüm kullanıcıları kaldırın veya uygunsa yeni bir UID atayın. |
| Gereksiz hesapları kaldırma (159) |
Açıklama: Uyumluluk için | Gereksiz hesapları kaldırma |
| Denetlenen hizmetin etkinleştirildiğinden emin olun (162) |
Açıklama: Sistem olaylarının yakalanması, sistem yöneticilerine sistemlerine yetkisiz erişim olup olmadığını belirlemeleri için bilgi sağlar. | Denetim paketini yükleme (systemctl enable auditd) |
| AuditD hizmetini çalıştırma (163) |
Açıklama: Sistem olaylarının yakalanması, sistem yöneticilerine sistemlerine yetkisiz erişim olup olmadığını belirlemeleri için bilgi sağlar. | AuditD hizmetini çalıştırma (systemctl start auditd) |
| SNMP Sunucusunun etkinleştirilmediğinden emin olun (179) |
Açıklama: SNMP sunucusu, verileri net bir şekilde ileten ve komutları yürütmek için kimlik doğrulaması gerektirmeyen SNMP v1 kullanarak iletişim kurabilir. Kesinlikle gerekli olmadığı sürece SNMP hizmetinin kullanılmaması önerilir. SNMP gerekiyorsa, sunucu SNMP v1'e izin vermek üzere yapılandırılmalıdır. | devre dışı bırakmak snmpdiçin aşağıdaki komutlardan birini çalıştırın: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| rsync hizmetinin etkinleştirilmediğinden emin olun (181) |
Açıklama: Hizmet, rsyncd iletişim için şifrelenmemiş protokoller kullandığından bir güvenlik riski sunar. |
Devre dışı bırakmak rsyncd için aşağıdaki komutlardan birini çalıştırın: chkconfig rsyncd off, update-rc.d rsyncd disablesystemctl disable rsyncdveya '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' komutunu çalıştırın |
| NIS sunucusunun etkinleştirilmediğinden emin olun (182) |
Açıklama: NIS hizmeti DOS saldırılarına, arabellek taşmalarına karşı savunmasız olan ve NIS eşlemelerini sorgulamak için kimlik doğrulaması zayıf olan, doğası gereği güvenli olmayan bir sistemdir. NIS genellikle Basit Dizin Erişim Protokolü (LDAP) gibi protokollerle değiştirilir. Hizmetin devre dışı bırakılması ve daha güvenli hizmetlerin kullanılması önerilir | devre dışı bırakmak ypserv için aşağıdaki komutlardan birini çalıştırın: # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| rsh istemcisinin yüklü olmadığından emin olun (183) |
Açıklama: Bu eski istemciler çok sayıda güvenlik açıkları içerir ve daha güvenli SSH paketiyle değiştirilmiştir. Sunucu kaldırılsa bile, kullanıcıların yanlışlıkla bu komutları kullanmaya çalışmalarını ve dolayısıyla kimlik bilgilerini açığa çıkarmalarını önlemek için istemcilerin de kaldırıldığından emin olmak en iyisidir. Paketin kaldırılmasınınrsh , rcp ve rloginistemcilerini rshkaldırdığını unutmayın. |
Uygun paket yöneticisini veya el ile yüklemeyi kullanarak kaldırın rsh : yum remove rshapt-get remove rshzypper remove rsh |
| Samba ile SMB V1'i devre dışı bırakma (185) |
Açıklama: SMB v1 iyi bilinen, ciddi güvenlik açıklarına sahiptir ve aktarımdaki verileri şifrelemez. İş nedeniyle kullanılması gerekiyorsa, bu protokole bağlı riskleri azaltmak için ek adımlar atılması kesinlikle önerilir. | Samba çalışmıyorsa paketi kaldırın, aksi takdirde /etc/samba/smb.conf: min protocol = SMB2 dosyasının [global] bölümünde bir satır olmalıdır veya '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version komutunu çalıştırın |
Not
Belirli Azure İlkesi konuk yapılandırma ayarlarının kullanılabilirliği Azure Kamu ve diğer ulusal bulutlarda farklılık gösterebilir.
Sonraki adımlar
Azure İlkesi ve konuk yapılandırması hakkında ek makaleler:
- Konuk yapılandırmasını Azure İlkesi.
- Mevzuat Uyumluluğuna genel bakış.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.