Linux 安全性基準
警告
本文參考 CentOS,這是處於終止服務 (EOL) 狀態的 Linux 發行版。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
本文詳述適用於下列實作的Linux客體組態設定:
- [預覽]:Linux 機器應符合 Azure 計算安全性基準 Azure 原則 客體設定定義的需求
- 應該在 適用於雲端的 Microsoft Defender 中補救機器上安全性設定的弱點
如需詳細資訊,請參閱 Azure 原則 來賓設定和 Azure 安全性效能評定概觀 (V2) 。
一般安全性控制
| 名稱 (CCEID) |
詳細資料 | 補救檢查 |
|---|---|---|
| 確定在 /home 分割區上設定 nodev 選項。 (1.1.4) |
描述:攻擊者可以在 /home 分割區上掛接特殊裝置(例如封鎖或字元裝置)。 | 編輯 /etc/fstab 檔案,並將 nodev 新增至 /home 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定在 /tmp 磁碟分區上設定 nodev 選項。 (1.1.5) |
描述:攻擊者可以在 /tmp 磁碟分區上掛接特殊裝置(例如封鎖或字元裝置)。 | 編輯 /etc/fstab 檔案,並將 nodev 新增至 /tmp 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定在 /var/tmp 磁碟分區上設定 nodev 選項。 (1.1.6) |
描述:攻擊者可以在 /var/tmp 磁碟分區上掛接特殊裝置(例如區塊或字元裝置)。 | 編輯 /etc/fstab 檔案,並將 nodev 新增至 /var/tmp 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定 /tmp 磁碟分區上已設定 nosuid 選項。 (1.1.7) |
描述:由於 /tmp 文件系統僅適用於暫存盤記憶體,因此請設定此選項,以確保用戶無法在 /var/tmp 中建立 setuid 檔案。 | 編輯 /etc/fstab 檔案,並將 nosuid 新增至 /tmp 數據分割的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定在 /var/tmp 分割區上設定 nosuid 選項。 (1.1.8) |
描述:由於 /var/tmp 文件系統僅適用於暫存盤記憶體,因此請設定此選項,以確保使用者無法在 /var/tmp 中建立 setuid 檔案。 | 編輯 /etc/fstab 檔案,並將 nosuid 新增至 /var/tmp 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定在 /var/tmp 分割區上設定 noexec 選項。 (1.1.9) |
描述:由於 /var/tmp 文件系統僅供暫存盤記憶體使用,因此請設定此選項,以確保使用者無法從 /var/tmp 執行可執行的二進位檔。 |
編輯 /etc/fstab 檔案,並將 noexec 新增至 /var/tmp 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定 /dev/shm 分割區上已設定 noexec 選項。 (1.1.16) |
描述:在文件系統上設定此選項可防止使用者從共用記憶體執行程式。 此控制件會阻止使用者在系統上引進潛在的惡意軟體。 | 編輯 /etc/fstab 檔案,並將 noexec 新增至 /dev/shm 分割區的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 停用自動掛接 (1.1.21) |
描述:啟用自動掛接后,任何具有實體存取權的人都可以連接USB磁碟驅動器或光碟,並在系統中提供其內容,即使它們缺少自行掛接的許可權也一樣。 | 停用 autofs 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
| 確定已停用 USB 儲存裝置的掛接 (1.1.21.1) |
描述:移除對 USB 儲存設備的支援可減少伺服器的本機受攻擊面。 | 編輯或建立以 .conf 結尾的 /etc/modprobe.d/ 目錄中的檔案,然後新增 install usb-storage /bin/true 然後卸除 usb-storage 模組,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 確定核心傾印受到限制。 (1.5.1) |
描述:設定核心傾印的硬性限制可防止使用者覆寫軟變數。 如果需要核心傾印,請考慮設定使用者群組的限制(請參閱 limits.conf(5))。 此外,將 fs.suid_dumpable 變數設定為0會防止 setuid 程式傾印核心。 |
將 新增 hard core 0 至 /etc/security/limits.conf 或 limits.d 目錄中的檔案,並在 sysctl 中設定 fs.suid_dumpable = 0 ,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| 請確定已停用預先連結。 (1.5.4) |
描述:預先連結功能可能會干擾 AIDE 的作業,因為它會變更二進位檔。 如果惡意用戶能夠入侵通用連結庫,例如 libc,預先連結也可以增加系統的弱點。 | 使用套件管理員卸載 prelink ,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
| 確定已設定 /etc/motd 的許可權。 (1.7.1.4) |
描述:如果 /etc/motd 檔案沒有正確的擁有權,未經授權的使用者可能會修改其不正確或誤導性資訊。 |
將 /etc/motd 的擁有者和群組設定為 root,並將許可權設定為 0644 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| 確定已設定 /etc/issue 的許可權。 (1.7.1.5) |
描述:如果 /etc/issue 檔案沒有正確的擁有權,未經授權的使用者可能會修改其不正確或誤導性資訊。 |
將 /etc/issue 的擁有者和群組設定為 root,並將許可權設定為 0644 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| 確定已設定 /etc/issue.net 的許可權。 (1.7.1.6) |
描述:如果 /etc/issue.net 檔案沒有正確的擁有權,未經授權的使用者可能會修改其不正確或誤導性資訊。 |
將 /etc/issue.net 的擁有者和群組設定為 root,並將許可權設定為 0644 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| 應該為所有抽取式媒體啟用 nodev 選項。 (2.1) |
描述:攻擊者可以透過卸除式媒體掛接特殊裝置(例如封鎖或字元裝置) | 將 nodev 選項新增至 /etc/fstab 中的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 應該為所有卸除式媒體啟用 noexec 選項。 (2.2) |
描述:攻擊者可以透過卸除式媒體載入可執行檔 | 將 noexec 選項新增至 /etc/fstab 中的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 應該為所有卸除式媒體啟用 nosuid 選項。 (2.3) |
描述:攻擊者可以透過卸除式媒體載入以提升許可權的安全性內容執行的檔案 | 將 nosuid 選項新增至 /etc/fstab 中的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 請確定未安裝 Talk 用戶端。 (2.3.3) |
描述:軟體會在使用未加密的通訊協議進行通訊時,呈現安全性風險。 | 卸載 talk 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| 確定已設定 /etc/hosts.allow 的許可權。 (3.4.4) |
描述:請務必確保 /etc/hosts.allow 檔案受到保護,以防止未經授權的寫入存取。 雖然預設會受到保護,但檔案許可權可能會不小心或透過惡意動作進行變更。 |
將 /etc/hosts 的擁有者和群組設定為 root,並將許可權設定為 0644 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| 確定已設定 /etc/hosts.deny 的許可權。 (3.4.5) |
描述:請務必確保 /etc/hosts.deny 檔案受到保護,以防止未經授權的寫入存取。 雖然預設會受到保護,但檔案許可權可能會不小心或透過惡意動作進行變更。 |
將 /etc/hosts.deny 的擁有者和群組設定為 root,並將許可權設定為 0644 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| 確定預設拒絕防火牆原則 (3.6.2) |
描述:使用預設接受原則時,防火牆將接受未明確拒絕的任何封包。 使用預設DROP原則維護安全防火牆比預設允許原則更容易。 | 使用防火牆軟體,設定傳入、傳出和路由傳送流量denyreject的默認原則 |
| 所有 NFS 掛接都應該啟用 nodev/nosuid 選項。 (5) |
描述:攻擊者可以透過遠端檔案系統載入使用提升許可權的安全性內容或特殊裝置執行的檔案 | 將 nosuid 和 nodev 選項新增至 /etc/fstab 中的第四個字段(掛接選項)。 如需詳細資訊,請參閱 fstab(5) 手動頁面。 |
| 確定已設定 /etc/ssh/sshd_config 的許可權。 (5.2.1) |
描述:檔案 /etc/ssh/sshd_config 必須受到保護,不受非特殊許可權使用者未經授權的變更。 |
將 /etc/ssh/sshd_config的擁有者和群組設定為 root,並將許可權設定為 0600,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
| 確定已設定密碼建立需求。 (5.3.1) |
描述:強密碼可保護系統免於透過暴力密碼破解方法遭到駭客攻擊。 | 為散發版本在適當的 PAM 中設定下列機碼/值組: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| 確定已設定失敗密碼嘗試的鎖定。 (5.3.2) |
描述:在連續登入嘗試失敗后 n 鎖定使用者標識碼,可減輕對系統的暴力密碼破解攻擊。 |
針對Ubuntu和Debian,請視需要新增pam_tally和pam_deny模組。 如需所有其他散發版本,請參閱您的散發版本檔 |
| 停用安裝及使用不需要的檔案系統(cramfs) (6.1) |
描述:攻擊者可以使用cramfs中的弱點來提升許可權 | 將檔案新增至 /etc/modprob.d 目錄,以停用 cramfs 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 停用非必要檔案系統的安裝和使用 (freevxfs) (6.2) |
描述:攻擊者可以使用freevxfs中的弱點來提升許可權 | 將檔案新增至 /etc/modprob.d 目錄,以停用 freevxfs 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 確保所有使用者的主目錄皆存在 (6.2.7) |
描述:如果使用者的主目錄不存在或未指派,使用者將會放在磁碟區根目錄中。 此外,使用者將無法寫入任何檔案或設定環境變數。 | 如果有任何使用者的主目錄不存在,請加以建立,並確定個別用戶擁有該目錄。 沒有指派主目錄的使用者應視需要移除或指派主目錄。 |
| 確保使用者擁有其主目錄 (6.2.9) |
描述:由於使用者負責儲存在使用者主目錄中的檔案,因此用戶必須是目錄的擁有者。 | 將定義使用者未擁有之任何主目錄的擁有權變更為正確的使用者。 |
| 請確定使用者的點檔案無法群組或世界可寫入。 (6.2.10) |
描述:群組或世界可寫入的使用者組態檔可能會讓惡意使用者竊取或修改其他用戶的數據,或取得其他使用者的系統許可權。 | 對使用者的檔案進行全域修改,而不會對使用者社群發出警示,可能會導致非預期的中斷和不滿意的使用者。 因此,建議您建立監視原則來報告用戶點檔案許可權,並判斷站台原則補救動作。 |
| 確保沒有任何使用者有 .forward 檔案 (6.2.11) |
描述:使用 .forward 檔案會造成安全性風險,即敏感數據可能會在組織外部不小心傳輸。 檔案 .forward 也會造成風險,因為它可以用來執行可能執行非預期動作的命令。 |
對使用者的檔案進行全域修改,而不會對使用者社群發出警示,可能會導致非預期的中斷和不滿意的使用者。 因此,建議您建立監視原則來報告用戶 .forward 檔案,並判斷要根據網站原則採取的動作。 |
| 確保沒有任何使用者有 .netrc 檔案 (6.2.12) |
描述:檔案 .netrc 會提供重大的安全性風險,因為它會將密碼儲存在未加密的窗體中。 即使 FTP 已停用,用戶帳戶可能已從其他可能會對這些系統造成風險的檔案上移過來.netrc |
對使用者的檔案進行全域修改,而不會對使用者社群發出警示,可能會導致非預期的中斷和不滿意的使用者。 因此,建議您建立監視原則來報告用戶 .netrc 檔案,並判斷要根據網站原則採取的動作。 |
| 確保沒有任何使用者有 .rhosts 檔案 (6.2.14) |
描述:只有在檔案 /etc/pam.conf 中允許支援時.rhosts,此動作才有意義。 即使 .rhosts 檔案在 中 /etc/pam.conf 停用支援無效,但是這些檔案可能已從其他系統帶過來,而且可能包含其他系統攻擊者有用的資訊。 |
對使用者的檔案進行全域修改,而不會對使用者社群發出警示,可能會導致非預期的中斷和不滿意的使用者。 因此,建議您建立監視原則來報告用戶 .rhosts 檔案,並判斷要根據網站原則採取的動作。 |
| 確保 /etc/passwd 中的所有群組都存在於 /etc/group 中 (6.2.15) |
描述:在 /etc/passwd 檔案中定義的群組,但不是 /etc/group 檔案中的群組會對系統安全性造成威脅,因為群組許可權未正確管理。 | 針對 /etc/passwd 中定義的每個群組,請確定 /etc/group 中有對應的群組 |
| 確保沒有任何重複的 UID 存在 (6.2.16) |
描述:用戶必須獲指派唯一 UID 以負責,並確保適當的存取保護。 | 建立唯一的 UID,並檢閱共用 UID 所擁有的所有檔案,以判斷其所屬的 UID。 |
| 確保沒有任何重複的 GID 存在 (6.2.17) |
描述:群組必須指派唯一的 GID 以負責,並確保適當的存取保護。 | 建立唯一的 GID,並檢閱共用 GID 所擁有的所有檔案,以判斷它們應該屬於哪一個 GID。 |
| 確保沒有重複的使用者名稱 (6.2.18) |
描述:如果使用者獲派重複的用戶名稱,則會建立檔案,並具有 中 /etc/passwd 該用戶名稱第一個UID的存取權。 例如,如果 'test4' 的 UID 為 1000,而後續的 'test4' 專案有 2000 的 UID,則以 'test4' 身分登入將會使用 UID 1000。 實際上,會共用UID,這是安全性問題。 |
為所有使用者建立唯一的用戶名稱。 只要使用者有唯一的 UID,檔案擁有權就會自動反映變更。 |
| 確定沒有重複的群組存在 (6.2.19) |
描述:如果群組被指派重複的組名,它會建立並具有中該群組 /etc/group 第一個 GID 的檔案存取權。 實際上,GID 是共用的,這是一個安全性問題。 |
建立所有使用者群組的唯一名稱。 只要群組具有唯一的 GID,檔案群組擁有權就會自動反映變更。 |
| 確保陰影群組是空的 (6.2.20) |
描述:指派給陰影群組的任何用戶都會獲得 /etc/shadow 檔案的讀取許可權。 如果攻擊者可以取得檔案的 /etc/shadow 讀取許可權,他們可以輕鬆地對哈希密碼執行密碼破解程式,以破解檔案。 儲存在 /etc/shadow 檔案中的其他安全性資訊(例如到期日)也可能有助於顛覆其他用戶帳戶。 |
拿掉所有使用者以形成陰影群組 |
| 停用非必要檔案系統的安裝和使用 (hfs) (6.3) |
描述:攻擊者可以使用 hfs 中的弱點來提升許可權 | 將檔案新增至 /etc/modprob.d 目錄,以停用 hfs 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 停用非必要檔案系統的安裝和使用 (hfsplus) (6.4) |
描述:攻擊者可以使用 hfsplus 中的弱點來提升許可權 | 將檔案新增至 /etc/modprob.d 目錄,以停用 hfsplus 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 停用安裝及使用不需要的檔案系統 (jffs2) (6.5) |
描述:攻擊者可以使用 jffs2 中的弱點來提升許可權 | 將檔案新增至停用 jffs2 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' 的 /etc/modb.d 目錄 |
| 核心只能從核准的來源編譯。 (10) |
描述:來自未核准來源的核心可能包含弱點或後門,以授與攻擊者存取權。 | 安裝散發版本廠商所提供的核心。 |
| /etc/shadow 檔案許可權應設定為 0400 (11.1) |
描述:如果攻擊者未正確保護,攻擊者可以從 /etc/shadow 擷取或操作哈希密碼。 | 設定 /etc/shadow* 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| /etc/shadow- 檔案許可權應設定為 0400 (11.2) |
描述:攻擊者可以在未正確保護時,從 /etc/shadow 擷取或操作哈希密碼。 | 設定 /etc/shadow* 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| /etc/gshadow 檔案許可權應設定為 0400 (11.3) |
描述:如果此檔案未正確保護,攻擊者可能會加入安全組 | 設定 /etc/gshadow- 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| /etc/gshadow- 檔案許可權應設定為 0400 (11.4) |
描述:如果此檔案未正確保護,攻擊者可能會加入安全組 | 設定 /etc/gshadow 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| /etc/passwd 檔案許可權應該是 0644 (12.1) |
描述:攻擊者可以修改 userID 和登入殼層 | 設定 /etc/passwd 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| /etc/group 檔案許可權應該是 0644 (12.2) |
描述:攻擊者可以藉由修改群組成員資格來提升許可權 | 設定 /etc/group 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd- 檔案許可權應設定為 0600 (12.3) |
描述:如果此檔案未正確保護,攻擊者可能會加入安全組 | 設定 /etc/passwd- 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- 檔案許可權應為 0644 (12.4) |
描述:攻擊者可以藉由修改群組成員資格來提升許可權 | 設定 /etc/group- 的許可權和擁有權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| 透過 su 存取根帳戶應限制為「根」群組 (21) |
描述:攻擊者可能會藉由密碼猜測 su 不限於根群組中的用戶來呈報許可權。 | 執行命令 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'。 此控件會將 'auth required pam_wheel.so use_uid' 行新增至檔案 '/etc/pam.d/su' |
| 'root' 群組應該存在,並包含所有可以起訴至根的成員 (22) |
描述:攻擊者可能會藉由密碼猜測 su 不限於根群組中的用戶來呈報許可權。 | 透過 『groupadd -g 0 root』 命令建立根群組 |
| 所有帳戶都應該有密碼 (23.2) |
描述:攻擊者可以登入沒有密碼的帳戶,並執行任意命令。 | 使用passwd命令來設定所有帳戶的密碼 |
| 根以外的帳戶必須具有大於零的唯一 UID(0) (24) |
描述:如果 root 以外的帳戶具有零,攻擊者可能會入侵帳戶並取得根許可權。 | 使用 『usermod -u』 將唯一的非零 uid 指派給所有非根帳戶 |
| 應啟用虛擬記憶體區域的隨機放置 (25) |
描述:攻擊者可以將可執行的程式代碼寫入記憶體中的已知區域,進而提高許可權 | 將值 '1' 或 '2' 新增至檔案 '/proc/sys/kernel/randomize_va_space' |
| 應啟用 XD/NX 處理器功能的核心支援 (26) |
描述:攻擊者可能會導致系統從記憶體中的數據區域執行程式代碼,進而提升許可權。 | 確認檔案 '/proc/cpuinfo' 包含旗標 'nx' |
| '.' 不應該出現在根目錄的$PATH (27.1) |
描述:攻擊者可以將惡意檔案放在根目錄的$PATH來提升許可權 | 修改 /root/.profile 中的 'export PATH=' 行 |
| 用戶主目錄應為模式750以上限制 (28) |
描述:攻擊者可以從其他使用者的主資料夾擷取敏感性資訊。 | 將 home 資料夾權限設定為 750 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| 所有用戶的預設 umask 應該在 login.defs 中設定為 077 (29) |
描述:攻擊者可以從其他使用者所擁有的檔案擷取敏感性資訊。 | 執行命令 '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'。 這會將 'UMASK 077' 行新增至檔案 '/etc/login.defs' |
| 所有開機載入器都應該啟用密碼保護。 (31) |
描述:具有實體存取權的攻擊者可以修改開機載入器選項,產生不受限制的系統存取 | 將開機載入器密碼新增至檔案 '/boot/grub/grub.cfg' |
| 確保已設定開機載入器組態的權限 (31.1) |
描述:設定根目錄讀取和寫入的許可權只會防止非根使用者看到開機參數或變更它們。 讀取開機參數的非根使用者,可以在開機時識別安全性弱點,並能夠利用它們。 | 將啟動載入器擁有者和群組設定為 root:root,並將許可權設定為 0400 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| 確定單一使用者模式所需的驗證。 (33) |
描述:在單一使用者模式中要求驗證可防止未經授權的使用者將系統重新啟動至單一使用者,以取得沒有認證的根許可權。 | 執行下列命令來設定根使用者的密碼: passwd root |
| 確定封包重新導向傳送已停用。 (38.3) |
描述:攻擊者可以使用遭入侵的主機,將無效的ICMP重新導向傳送至其他路由器裝置,以嘗試損毀路由,並讓使用者存取攻擊者所設定的系統,而不是有效的系統。 | 在 /etc/sysctl.conf 中設定下列參數: 'net.ipv4.conf.all.send_redirects = 0' 和 'net.ipv4.conf.default.send_redirects = 0' 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| 所有介面都應該停用傳送ICMP重新導向。 (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
描述:攻擊者可能會改變此系統的路由表,將流量重新導向至替代目的地 | 執行 sysctl -w key=value 並設定為相容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects'。 |
| 所有介面都應該停用傳送ICMP重新導向。 (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
描述:攻擊者可能會改變此系統的路由表,將流量重新導向至替代目的地 | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' |
| 所有介面都應該停用接受來源路由封包。 (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
描述:攻擊者可能會針對惡意目的將流量重新導向。 | 執行 sysctl -w key=value 並設定為符合規範的值。 |
| 所有介面都應該停用接受來源路由封包。 (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
描述:攻擊者可能會針對惡意目的將流量重新導向。 | 執行 sysctl -w key=value 並設定為符合規範的值。 |
| 網路介面應停用接受來源路由封包的預設設定。 (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
描述:攻擊者可能會針對惡意目的將流量重新導向。 | 執行 sysctl -w key=value 並設定為符合規範的值。 |
| 網路介面應停用接受來源路由封包的預設設定。 (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
描述:攻擊者可能會針對惡意目的將流量重新導向。 | 執行 sysctl -w key=value 並設定為符合規範的值。 |
| 應啟用對廣播的虛假ICMP回應。 (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
描述:攻擊者可能會執行ICMP攻擊,導致DoS | 執行 sysctl -w key=value 並設定為符合規範的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
| 應啟用傳送至廣播/多播位址的ICMP回應要求(pings)。 (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
描述:攻擊者可能會執行ICMP攻擊,導致DoS | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| 應為所有介面啟用火星封包記錄(具有不可能位址的封包)。 (net.ipv4.conf.all.log_martians = 1) (45.1) |
描述:攻擊者可以從詐騙位址傳送流量,而不會偵測到 | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
| 應為所有介面啟用反向路徑執行來源驗證。 (net.ipv4.conf.all.rp_filter = 1) (46.1) |
描述:系統將接受來自無法路由之位址的流量。 | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| 應為所有介面啟用反向路徑執行來源驗證。 (net.ipv4.conf.default.rp_filter = 1) (46.2) |
描述:系統將接受來自無法路由之位址的流量。 | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| 應啟用 TCP SYN Cookie。 (net.ipv4.tcp_syncookies = 1) (47) |
描述:攻擊者可以透過 TCP 執行 DoS | 執行 sysctl -w key=value 並設定為兼容的值,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
| 系統不應該作為網路嗅探器。 (48) |
描述:攻擊者可能會使用雜交接口來探查網路流量 | 在 '/etc/network/interfaces' 或 '/etc/rc.local' 中,透過 '/etc/network/interfaces' 中的 'promisc' 專案啟用非交集模式。 檢查檔案並移除此專案。 |
| 應停用所有無線介面。 (49) |
描述:攻擊者可能會建立假 AP 來攔截傳輸。 | 確認 『/etc/network/interfaces' 中已停用所有無線介面 |
| 應該啟用 IPv6 通訊協定。 (50) |
描述:這是在新式網路上通訊的必要條件。 | 開啟 /etc/sysctl.conf 並確認 'net.ipv6.conf.all.disable_ipv6' 和 'net.ipv6.conf.default.disable_ipv6' 設定為 0 |
| 確定 DCCP 已停用 (54) |
描述:如果不需要通訊協議,建議您不要安裝驅動程式,以減少潛在的受攻擊面。 | 編輯或建立以 .conf 結尾的 /etc/modprobe.d/ 目錄中的檔案,然後新增 install dccp /bin/true ,然後卸除 dccp 模組,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 確定 SCTP 已停用 (55) |
描述:如果不需要通訊協議,建議您不要安裝驅動程式,以減少潛在的受攻擊面。 | 編輯或建立以 .conf 結尾的 /etc/modprobe.d/ 目錄中的檔案,然後新增 install sctp /bin/true ,然後卸除 sctp 模組,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 停用 RDS 的支援。 (56) |
描述:攻擊者可以使用 RDS 中的弱點來入侵系統 | 編輯或建立以 .conf 結尾的 /etc/modprobe.d/ 目錄中的檔案,然後新增 install rds /bin/true ,然後卸除 rds 模組,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 確定 TIPC 已停用 (57) |
描述:如果不需要通訊協議,建議您不要安裝驅動程式,以減少潛在的受攻擊面。 | 編輯或建立以 .conf 結尾的 /etc/modprobe.d/ 目錄中的檔案,然後新增 install tipc /bin/true ,然後卸除 tipc 模組,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| 確定已設定記錄 (60) |
描述:會透過 rsyslog 傳送大量重要的安全性相關信息(例如,成功和失敗的su嘗試、失敗的登入嘗試、根登入嘗試等)。 |
視需要設定 syslog、rsyslog 或 syslog-ng |
| 應該安裝 syslog、rsyslog 或 syslog-ng 套件。 (61) |
描述:不會記錄可靠性和安全性問題,以避免進行適當的診斷。 | 安裝 rsyslog 套件,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
| systemd-journald 服務應設定為保存記錄訊息 (61.1) |
描述:不會記錄可靠性和安全性問題,以避免進行適當的診斷。 | 建立 /var/log/journal,並確定 journald.conf 中的記憶體為 auto 或 persistent |
| 確定已啟用記錄服務 (62) |
描述:必須能夠記錄節點上的事件。 | 啟用 rsyslog 套件或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
| 所有 rsyslog 記錄檔的檔案許可權應設定為 640 或 600。 (63) |
描述:攻擊者可以藉由操作記錄來隱藏活動 | 將行 '$FileCreateMode 0640' 新增至檔案 '/etc/rsyslog.conf' |
| 確定記錄器組態檔受到限制。 (63.1) |
描述:請務必確保記錄檔存在,並具有正確的許可權,以確保機密的 syslog 數據已封存並受到保護。 | 將記錄器組態檔設定為 0640 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' |
| 所有 rsyslog 記錄檔都應該由 adm 群組擁有。 (64) |
描述:攻擊者可以藉由操作記錄來隱藏活動 | 將 '$FileGroup adm' 行新增至檔案 '/etc/rsyslog.conf' |
| 所有 rsyslog 記錄檔都應該由 syslog 用戶擁有。 (65) |
描述:攻擊者可以藉由操作記錄來隱藏活動 | 將 '$FileOwner syslog' 行新增至檔案 '/etc/rsyslog.conf' 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| Rsyslog 不應該接受遠端訊息。 (67) |
描述:攻擊者可以將訊息插入 syslog,造成 DoS 或干擾其他活動 | 從檔案 '/etc/rsyslog.conf' 移除 '$ModLoad imudp' 和 '$ModLoad imtcp' 行 |
| 應該啟用logrotate (syslog rotater) 服務。 (68) |
描述:Logfiles 可能會成長為未系結,並耗用所有磁碟空間 | 安裝 logrotate 套件並確認 logrotate cron 專案為使用中 (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| 應該停用 rlogin 服務。 (69) |
描述:攻擊者可能會取得存取權,略過嚴格的驗證需求 | 拿掉 inetd 服務。 |
| 除非必要,否則停用 inetd。 (inetd) (70.1) |
描述:攻擊者可能會利用 Inetd 服務中的弱點來取得存取權 | 卸載 inetd 服務 (apt-get remove inetd) |
| 除非必要,否則停用 xinetd。 (西內德) (70.2) |
描述:攻擊者可能會利用 xinetd 服務中的弱點來取得存取權 | 卸載 inetd 服務 (apt-get remove xinetd) |
| 只有在散發版本適當且需要時才安裝 inetd。 根據目前的強化標準保護安全。 (如有需要) (71.1) |
描述:攻擊者可能會利用 Inetd 服務中的弱點來取得存取權 | 卸載 inetd 服務 (apt-get remove inetd) |
| 只有在散發版本適當且需要時才安裝 xinetd。 根據目前的強化標準保護安全。 (如有需要) (71.2) |
描述:攻擊者可能會利用 xinetd 服務中的弱點來取得存取權 | 卸載 inetd 服務 (apt-get remove xinetd) |
| 應停用 telnet 服務。 (72) |
描述:攻擊者可能會竊聽或劫持未加密的 telnet 會話 | 拿掉或批注檔案 '/etc/inetd.conf' 中的 telnet 專案 |
| 所有 telnetd 套件都應該卸載。 (73) |
描述:攻擊者可能會竊聽或劫持未加密的 telnet 會話 | 卸載任何 telnetd 套件 |
| rcp/rsh 服務應停用。 (74) |
描述:攻擊者可能會竊聽或劫持未加密的會話 | 拿掉或批注化檔案 '/etc/inetd.conf' 中的殼層專案 |
| 應該卸載 rsh-server 套件。 (77) |
描述:攻擊者可能會竊聽或劫持未加密的 rsh 會話 | 卸載 rsh-server 套件 (apt-get remove rsh-server) |
| 應停用 ypbind 服務。 (78) |
描述:攻擊者可以從 ypbind 服務擷取敏感性資訊 | 卸載 nis 套件 (apt-get remove nis) |
| 應該卸載 nis 套件。 (79) |
描述:攻擊者可以從 NIS 服務擷取敏感性資訊 | 卸載 nis 套件 (apt-get remove nis) |
| 應該停用 tftp 服務。 (80) |
描述:攻擊者可能會竊聽或劫持未加密的會話 | 從檔案 '/etc/inetd.conf' 中移除 tftp 專案 |
| 應該卸載 tftpd 套件。 (81) |
描述:攻擊者可能會竊聽或劫持未加密的會話 | 卸載 tftpd 套件 (apt-get remove tftpd) |
| 應卸載 readahead-fedora 套件。 (82) |
描述:套件不會造成大量曝光,但也不會帶來實質性的好處。 | 卸載 readahead-fedora 套件 (apt-get remove readahead-fedora) |
| 應停用藍牙/隱藏服務。 (84) |
描述:攻擊者可以攔截或操作無線通訊。 | 卸載藍牙套件 (apt-get remove bluetooth) |
| isdn 服務應該停用。 (86) |
描述:攻擊者可以使用數據機來取得未經授權的存取 | 卸載 isdnutils-base 套件 (apt-get remove isdnutils-base) |
| 應卸載 isdnutils-base 套件。 (87) |
描述:攻擊者可以使用數據機來取得未經授權的存取 | 卸載 isdnutils-base 套件 (apt-get remove isdnutils-base) |
| 應該停用 kdump 服務。 (88) |
描述:攻擊者可以分析先前的系統當機以擷取敏感性資訊 | 卸載 kdump-tools 套件 (apt-get remove kdump-tools) |
| 應該停用 Zeroconf 網路功能。 (89) |
描述:攻擊者可能會濫用這項功能來取得網路系統的資訊,或因為信任模型中的缺陷而詐騙 DNS 要求 | 針對 RedHat、CentOS 和 Oracle:新增 NOZEROCONF=yes or no 至 /etc/sysconfig/network。 針對所有其他散發版本:移除檔案 '/etc/network/interfaces' 中的任何 'ipv4ll' 專案,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
| 應該啟用crond 服務。 (90) |
描述:幾乎所有系統都需要 Cron 才能進行一般維護工作 | 安裝 cron 套件 (apt-get install -y cron) 並確認檔案 '/etc/init/cron.conf' 包含 'start on runlevel [2345]' 這一行 |
| /etc/anacrontab 的檔案許可權應設定為 root:root 600。 (91) |
描述:攻擊者可以操作此檔案,以防止排程的工作或執行惡意工作 | 在 /etc/anacrontab 上設定擁有權和許可權,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
| 確定已設定 /etc/cron.d 的許可權。 (93) |
描述:為非特殊許可權的使用者授與此目錄的寫入許可權,可以提供他們獲得未經授權提高許可權的方法。 授與此目錄的讀取許可權,可能會提供一個不具特殊許可權的用戶見解,以瞭解如何提高許可權或規避稽核控制。 | 將 /etc/chron.d 的擁有者和群組設定為 root,並將許可權設定為 0700 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| 確定已設定 /etc/cron.daily 的許可權。 (94) |
描述:為非特殊許可權的使用者授與此目錄的寫入許可權,可以提供他們獲得未經授權提高許可權的方法。 授與此目錄的讀取許可權,可能會提供一個不具特殊許可權的用戶見解,以瞭解如何提高許可權或規避稽核控制。 | 將 /etc/chron.daily 的擁有者和群組設定為 root,並將許可權設定為 0700 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| 確定已設定 /etc/cron.hourly 的許可權。 (95) |
描述:為非特殊許可權的使用者授與此目錄的寫入許可權,可以提供他們獲得未經授權提高許可權的方法。 授與此目錄的讀取許可權,可能會提供一個不具特殊許可權的用戶見解,以瞭解如何提高許可權或規避稽核控制。 | 將 /etc/chron.hourly 的擁有者和群組設定為 root,並將許可權設定為 0700 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| 確定已設定 /etc/cron.monthly 的許可權。 (96) |
描述:為非特殊許可權的使用者授與此目錄的寫入許可權,可以提供他們獲得未經授權提高許可權的方法。 授與此目錄的讀取許可權,可能會提供一個不具特殊許可權的用戶見解,以瞭解如何提高許可權或規避稽核控制。 | 將 /etc/chron.monthly 的擁有者和群組設定為 root,並將許可權設定為 0700 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| 確定已設定 /etc/cron.weekly 的許可權。 (97) |
描述:為非特殊許可權的使用者授與此目錄的寫入許可權,可以提供他們獲得未經授權提高許可權的方法。 授與此目錄的讀取許可權,可能會提供一個不具特殊許可權的用戶見解,以瞭解如何提高許可權或規避稽核控制。 | 將 /etc/chron.weekly 的擁有者和群組設定為 root,並將許可權設定為 0700 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| 確定 at/cron 限制為已授權的使用者 (98) |
描述:在許多系統上,只有系統管理員有權排程 cron 作業。 cron.allow使用檔案來控制誰可執行cron作業會強制執行此原則。 管理允許清單比拒絕清單更容易。 在拒絕清單中,您可能會將使用者標識元新增至系統,而忘記將它新增至拒絕檔案。 |
以各自的 allow 檔案取代 /etc/cron.deny 和 /etc/at.deny,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
| SSH 必須設定和管理,以符合最佳做法。 - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
描述:攻擊者可以使用舊版 SSH 通訊協定中的缺陷來取得存取權 | 執行命令 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'。 這會在檔案 '/etc/ssh/sshd_config' 中設定 'Protocol 2' |
| SSH 必須設定和管理,以符合最佳做法。 - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
描述:攻擊者可以使用 Rhosts 通訊協定中的缺陷來取得存取權 | 執行命令 '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'。 這會將 'IgnoreRhosts yes' 行新增至檔案 '/etc/ssh/sshd_config' |
| 確定 SSH LogLevel 已設定為 INFO (106.5) |
描述:SSH 提供數個記錄層級,具有不同數量的詳細資訊。 DEBUG 特別 不建議 進行 SSH 通訊偵錯,因為它提供如此多的數據,因此很難識別重要的安全性資訊。 INFO 層級是僅記錄 SSH 使用者的登入活動的基本層級。 在許多情況下,例如事件回應,請務必判斷特定使用者何時在系統上作用中。 註銷記錄可以消除中斷連線的使用者,這有助於縮小欄位範圍。 |
編輯檔案 /etc/ssh/sshd_config 以設定 參數,如下所示: LogLevel INFO |
| 確定 SSH MaxAuthTries 已設定為 6 或更少 (106.7) |
描述:將 參數設定 MaxAuthTries 為低數位,將成功暴力密碼破解攻擊的風險降到最低。 雖然建議的設定為 4,但根據網站原則設定數位。 |
確定 SSH MaxAuthTries 已設定為 6 或更少 [編輯 /etc/ssh/sshd_config 檔案] 以設定 參數,如下所示: MaxAuthTries 6 |
| 確定 SSH 存取受到限制 (106.11) |
描述:限制哪些使用者可以透過 SSH 遠端存取系統,將有助於確保只有授權的使用者才能存取系統。 | 請確定 SSH 存取受限:編輯 /etc/ssh/sshd_config 檔案以設定一或多個參數,如下所示: AllowUsers AllowGroups DenyUsers DenyGroups |
| 應停用透過 ssh 伺服器模擬 rsh 命令。 - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
描述:攻擊者可以使用 RHosts 通訊協定中的缺陷來取得存取權 | 執行命令 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'。 這會將 'RhostsRSAAuthentication no' 行新增至檔案 '/etc/ssh/sshd_config' |
| 應停用 SSH 主機型驗證。 - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
描述:攻擊者可以使用主機型驗證從遭入侵的主機取得存取權 | 執行命令 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'。 這會將 'HostbasedAuthentication no' 行新增至檔案 '/etc/ssh/sshd_config' |
| 應停用透過 SSH 的根登入。 - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
描述:攻擊者可以暴力密碼破解根密碼,或直接以root身分登入來隱藏其命令歷程記錄 | 執行命令 '/usr/local/bin/azsecd 補救 -r disable-ssh-root-login'。 這會將 'PermitRootLogin no' 行新增至檔案 '/etc/ssh/sshd_config' |
| 應停用來自具有空白密碼之帳戶的遠端連線。 - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
描述:攻擊者可以透過密碼猜測取得存取權 | 執行命令 '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'。 這會將 'PermitEmptyPasswords no' 行新增至檔案 '/etc/ssh/sshd_config' |
| 確定已設定 SSH 閑置逾時間隔。 (110.1) |
描述:沒有與連線相關聯的逾時值,可能會允許未經授權的使用者存取其他使用者的 ssh 會話。 設定逾時值至少可降低發生此情況的風險。 雖然建議的設定為 300 秒(5 分鐘),但根據網站原則設定此逾時值。 的建議設定 ClientAliveCountMax 為 0。 在此情況下,用戶端會話會在閑置時間 5 分鐘後終止,而且不會傳送任何保留訊息。 |
編輯 /etc/ssh/sshd_config 檔案,以根據原則設定參數 |
| 確定 SSH LoginGraceTime 設定為一分鐘以下。 (110.2) |
描述:將 參數設定 LoginGraceTime 為低數位,將成功暴力密碼破解攻擊的風險降到最低。 它也會限制並行未經驗證的連線數目。雖然建議的設定為 60 秒 (1 分鐘),但會根據站台原則設定數位。 |
編輯 /etc/ssh/sshd_config 檔案,以根據原則設定參數,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' |
| 確定只使用已核准的 MAC 演算法 (110.3) |
描述:MD5 和 96 位 MAC 演演算法被視為弱式,並已顯示增加 SSH 降級攻擊的惡意探索性。 弱式演算法會繼續大量關注,因為弱式演算法是可利用擴充運算能力來利用的弱點。 中斷演算法的攻擊者可以利用MiTM位置來解密 SSH 通道,並擷取認證和資訊 | 編輯 /etc/sshd_config 檔案並新增/修改 MAC 行,以包含已核准 MAC 的逗號分隔列表,或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' |
| 請確定已正確設定遠端登錄警告橫幅。 (111) |
描述:警告訊息會通知嘗試登入系統的使用者,他們對於系統具有其法律狀態,且必須包含擁有系統的組織名稱,以及任何已就地的監視原則。 在登入橫幅中顯示OS和修補程式層級資訊,也會對嘗試以系統特定惡意探索為目標的攻擊者提供詳細的系統資訊副作用。 授權的使用者只要登入,就可以執行 命令,輕鬆地取得這項資訊 uname -a。 |
從 /etc/issue.net 檔案中移除 \m \r \s 和 \v 的任何實例 |
| 請確定已正確設定本機登入警告橫幅。 (111.1) |
描述:警告訊息會通知嘗試登入系統的使用者,他們對於系統具有其法律狀態,且必須包含擁有系統的組織名稱,以及任何已就地的監視原則。 在登入橫幅中顯示OS和修補程式層級資訊,也會對嘗試以系統特定惡意探索為目標的攻擊者提供詳細的系統資訊副作用。 授權的使用者只要登入,就可以執行 命令,輕鬆地取得這項資訊 uname -a。 |
從 /etc/issue 檔案中移除 \m \r \s 和 \v 的任何實例 |
| 應啟用 SSH 警告橫幅。 - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
描述:系統不會監視用戶的行為 | 執行命令 '/usr/local/bin/azsecd 補救 -r configure-ssh-banner'。 這會將 'Banner /etc/azsec/banner.txt' 這一行新增至檔案 '/etc/ssh/sshd_config' |
| 不允許使用者設定SSH的環境選項。 (112) |
描述:攻擊者可能能夠略過透過 SSH 的一些存取限制 | 從檔案 '/etc/ssh/sshd_config' 移除 'PermitUserEnvironment yes' 行 |
| 適當的加密應該用於 SSH。 (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
描述:攻擊者可能會入侵弱式保護的 SSH 連線 | 執行命令 『/usr/local/bin/azsecd 補救 -r configure-ssh-ciphers』。 這會將 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' 行新增至檔案 '/etc/ssh/sshd_config' |
| 應該停用 avahi-daemon 服務。 (114) |
描述:攻擊者可以使用 avahi 精靈中的弱點來取得存取權 | 停用 avahi-daemon 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
| 杯子服務應停用。 (115) |
描述:攻擊者可以使用杯子服務中的缺陷來提升許可權 | 停用杯子服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
| isc-dhcpd 服務應停用。 (116) |
描述:攻擊者可以使用 dhcpd 將錯誤資訊提供給客戶端,干擾正常作業。 | 移除 isc-dhcp-server 套件 (apt-get remove isc-dhcp-server) |
| 應卸載 isc-dhcp-server 套件。 (117) |
描述:攻擊者可以使用 dhcpd 將錯誤資訊提供給客戶端,干擾正常作業。 | 移除 isc-dhcp-server 套件 (apt-get remove isc-dhcp-server) |
| sendmail 套件應該卸載。 (120) |
描述:攻擊者可以使用此系統將含有惡意內容的電子郵件傳送給其他使用者 | 卸載 sendmail 套件 (apt-get remove sendmail) |
| 後置套件應卸載。 (121) |
描述:攻擊者可以使用此系統將含有惡意內容的電子郵件傳送給其他使用者 | 卸載後置套件 (apt-get remove postfix) 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
| 應該視需要停用後置網路接聽。 (122) |
描述:攻擊者可以使用此系統將含有惡意內容的電子郵件傳送給其他使用者 | 將 'inet_interfaces localhost' 行新增至檔案 '/etc/postfix/main.cf' |
| ldap 服務應停用。 (124) |
描述:攻擊者可以操作此主機上的LDAP服務,以將 False 數據散發至LDAP用戶端 | 卸載 Slapd 套件 (apt-get remove slapd) |
| 應停用 rpcgssd 服務。 (126) |
描述:攻擊者可以使用 rpcgssd/nfs 中的缺陷來取得存取權 | 停用 rpcgssd 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
| rpcidmapd 服務應該停用。 (127) |
描述:攻擊者可以使用idmapd/nfs中的缺陷來取得存取權 | 停用 rpcidmapd 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
| 應該停用 portmap 服務。 (129.1) |
描述:攻擊者可以使用 portmap 中的缺陷來取得存取權 | 停用 rpcbind 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
| 應該停用網路文件系統 (NFS) 服務。 (129.2) |
描述:攻擊者可以使用 nfs 掛接共用並執行/複製檔案。 | 停用 nfs 服務或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' |
| rpcsvcgssd 服務應停用。 (130) |
描述:攻擊者可以使用 rpcsvcgssd 中的缺陷來取得存取權 | 從檔案 '/etc/inetd.conf' 移除行 'NEED_SVCGSSD = yes'。 |
| 應該停用具名服務。 (131) |
描述:攻擊者可以使用 DNS 服務將 false 數據散發給用戶端 | 卸載 bind9 套件 (apt-get remove bind9) |
| 應該卸載系結套件。 (132) |
描述:攻擊者可以使用 DNS 服務將 false 數據散發給用戶端 | 卸載 bind9 套件 (apt-get remove bind9) |
| 應該停用 dovecot 服務。 (137) |
描述:系統可作為 IMAP/POP3 伺服器 | 卸載 dovecot-core 套件 (apt-get remove dovecot-core) |
| 應該卸載 dovecot 套件。 (138) |
描述:系統可作為 IMAP/POP3 伺服器 | 卸載 dovecot-core 套件 (apt-get remove dovecot-core) |
確定 /etc/passwd 中沒有任何舊版 + 專案存在(156.1) |
描述:攻擊者可以使用沒有密碼的用戶名稱 『+』 來取得存取權 | 拿掉 /etc/passwd 中開頭為 '+:' 的任何專案 |
確定 /etc/shadow 中沒有任何舊版 + 專案存在(156.2) |
描述:攻擊者可以使用沒有密碼的用戶名稱 『+』 來取得存取權 | 拿掉 /etc/shadow 中以 '+:' 開頭的任何專案 |
確定 /etc/group 中沒有任何舊版 + 專案存在(156.3) |
描述:攻擊者可以使用沒有密碼的用戶名稱 『+』 來取得存取權 | 拿掉 /etc/group 中以 '+:' 開頭的任何專案 |
| 請確定密碼到期日為 365 天或更少。 (157.1) |
描述:減少密碼的最大存留期,也會減少攻擊者利用遭入侵的認證或透過在線暴力密碼破解攻擊成功入侵認證的機會視窗。 | 將 PASS_MAX_DAYS 參數設定為不超過 365, /etc/login.defs 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' |
| 確定密碼到期警告天數為7或更多。 (157.2) |
描述:提供密碼即將到期的進階警告,可讓使用者有時間思考安全密碼。 使用者未察覺可能選擇簡單的密碼,或將它寫下來,以找出它的位置。 | 將 PASS_WARN_AGE 參數設定為 7 in /etc/login.defs 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' |
| 請確定密碼重複使用受到限制。 (157.5) |
描述:強制使用者不要重複使用過去五個密碼,使得攻擊者不太可能猜出密碼。 | 確定 /etc/pam.d/common-password 或 /etc/pam.d/password_auth 和 /etc/pam.d/system_auth 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' 中至少 5 個選項 |
| 確保密碼雜湊演算法為 SHA-512 (157.11) |
描述:SHA-512 演算法提供比 MD5 更強大的哈希,藉由增加攻擊者成功判斷密碼的努力層級,為系統提供額外的保護。 注意:這些變更僅適用於本機系統上設定的帳戶。 | 將密碼哈希演算法設定為sha512。 許多散發套件提供更新 PAM 設定的工具,請參閱您的檔以取得詳細數據。 如果未提供任何工具編輯適當的 /etc/pam.d/ 組態檔,並新增或修改 pam_unix.so 行以包含sha512選項: password sufficient pam_unix.so sha512 |
| 確定密碼變更之間的最小天數為 7 或更多。 (157.12) |
描述:藉由限制密碼變更的頻率,系統管理員可以防止使用者在嘗試規避密碼重複使用控件時重複變更其密碼。 | 在中/etc/login.defsPASS_MIN_DAYS 7將 PASS_MIN_DAYS 參數設定為7。 修改所有使用者的用戶參數,並將密碼設定為符合: chage --mindays 7 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' |
| 確保所有使用者的上次密碼變更日期是過去的日期 (157.14) |
描述:如果用戶記錄的密碼變更日期是未來,則他們可以略過任何設定的密碼到期日。 | 請確定非使用中的密碼鎖定為 30 天或更少 執行下列命令,將預設密碼閒置期間設定為 30 天: # useradd -D -f 30 修改所有使用者的使用者參數,並將密碼設定為相符: # chage --inactive 30 |
| 確定系統帳戶不是登入 (157.15) |
描述:請務必確定一般使用者使用的帳戶無法用來提供互動式殼層。 根據預設,Ubuntu 會將這些帳戶的密碼欄位設定為無效的字串,但也建議將密碼檔案中的殼層字段設定為 /usr/sbin/nologin。 這可防止帳戶用來執行任何命令。 |
將稽核腳本傳回的任何帳戶殼層設定為 /sbin/nologin |
| 確定根帳戶的預設群組為 GID 0 (157.16) |
描述:針對帳戶使用 GID 0 root 有助於防止 root非特殊許可權使用者意外存取擁有的檔案。 |
執行下列命令,將 root 使用者預設群組設定為 GID 0 : # usermod -g 0 root |
| 確保根是唯一的 UID 0 帳戶 (157.18) |
描述:此存取只能限制為默認 root 帳戶,而且只能從系統控制台存取。 系統管理存取權必須透過使用核准機制的未特殊許可權帳戶。 |
拿掉 UID 0 以外的root任何使用者,或視需要指派新的 UID。 |
| 拿掉不必要的帳戶 (159) |
描述:適用於合規性 | 拿掉不必要的帳戶 |
| 確定已啟用稽核的服務 (162) |
描述:系統事件的擷取可讓系統管理員取得資訊,以判斷系統是否發生未經授權的存取。 | 安裝稽核套件 (systemctl enable auditd) |
| 執行 AuditD 服務 (163) |
描述:系統事件的擷取可讓系統管理員取得資訊,以判斷系統是否發生未經授權的存取。 | 執行 AuditD 服務 (systemctl start auditd) |
| 確定未啟用SNMP 伺服器 (179) |
描述:SNMP 伺服器可以使用 SNMP v1 進行通訊,這會在清除中傳輸數據,而且不需要驗證來執行命令。 除非絕對必要,否則建議不要使用SNMP服務。 如果需要 SNMP,伺服器應設定為不允許 SNMP v1。 | 執行下列其中一個指令來停用 snmpd: # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
| 確定未啟用 rsync 服務 (181) |
描述:服務 rsyncd 會提供安全性風險,因為它使用未加密的通訊協議進行通訊。 |
執行下列其中一個命令來停用 rsyncd :chkconfig rsyncd off、 systemctl disable rsyncdupdate-rc.d rsyncd disable 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| 確定未啟用 NIS 伺服器 (182) |
描述:NIS 服務是原本就不安全的系統,容易遭受 DOS 攻擊、緩衝區溢位,而且查詢 NIS 地圖的驗證不佳。 NIS 通常會由輕量型目錄存取通訊協定 (LDAP) 等通訊協定取代。 建議停用服務,並使用更安全的服務 | 執行下列其中一個指令來停用 ypserv : # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
| 確定未安裝 rsh 用戶端 (183) |
描述:這些舊版用戶端包含許多安全性暴露,且已取代為更安全的 SSH 套件。 即使移除伺服器,最好確保用戶端也會遭到移除,以防止使用者不小心嘗試使用這些命令,因而公開其認證。 請注意,移除封裝會rsh移除、 和 rlogin的rshrcp用戶端。 |
使用適當的套件管理員或手動安裝卸載 rsh : yum remove rsh apt-get remove rsh zypper remove rsh |
| 使用 Samba 停用 SMB V1 (185) |
描述:SMB v1 具有已知的嚴重弱點,且不會加密傳輸中的數據。 如果它必須用於商務原因,強烈建議採取其他步驟來降低此通訊協定固有的風險。 | 如果 Samba 未執行,請移除套件,否則應該在 /etc/samba/smb.conf: min protocol = SMB2 或執行 '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
注意
特定 Azure 原則 客體設定的可用性可能會因 Azure Government 和其他國家雲端而異。
下一步
關於 Azure 原則和來賓設定的其他文章:
- Azure 原則 來賓設定。
- 法規合規性概觀。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。