أساس أمان Linux
توضح هذه المقالة بالتفصيل إعدادات التكوين لضيوف Linux حسب الاقتضاء في عمليات التنفيذ التالية:
- [معاينة]: يجب أن تفي أجهزة Linux بمتطلبات خط الأساس لأمان حساب Azure تعريف تكوين ضيف سياسة Azure
- يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك في مركز أمان Azure
لمزيد من المعلومات، راجع تكوين ضيف نهج Azure ونظرة عامة على معيار أمان Azure (V2).
الضوابط الأمنية العامة
| الاسم (CCEID) |
التفاصيل | فحص المعالجة |
|---|---|---|
| تأكد من تعيين خيار nodev على / قسم المنزل. (1.1.4) |
الوصف: يمكن للمهاجم تركيب جهاز خاص (على سبيل المثال، جهاز حظر أو حرف) على القسم /home. | قم بتحرير ملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات التركيب) للقسم /home. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار nodev على قسم /tmp. (1.1.5) |
الوصف: يمكن للمهاجم تركيب جهاز خاص (على سبيل المثال، جهاز حظر أو حرف) على القسم /tmp. | قم بتحرير ملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات التركيب) لقسم /tmp. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار nodev على قسم / var / tmp. (1.1.6) |
الوصف: يمكن للمهاجم تركيب جهاز خاص (على سبيل المثال، جهاز كتلة أو حرف) على القسم /var/tmp. | قم بتحرير ملف /etc/fstab وأضف nodev إلى الحقل الرابع (خيارات التركيب) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار nosuid على قسم /tmp. (1.1.7) |
الوصف: نظرا لأن نظام الملفات /tmp مخصص فقط لتخزين الملفات المؤقت، قم بتعيين هذا الخيار للتأكد من أن المستخدمين لا يمكنهم إنشاء ملفات setuid في /var/tmp. | قم بتحرير ملف /etc/fstab وأضف nosuid إلى الحقل الرابع (خيارات التركيب) لقسم /tmp. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار nosuid على قسم /var/tmp. (1.1.8) |
الوصف: نظرا لأن نظام الملفات /var/tmp مخصص فقط لتخزين الملفات المؤقت، قم بتعيين هذا الخيار لضمان عدم تمكن المستخدمين من إنشاء ملفات setuid في /var/tmp. | قم بتحرير ملف /etc/fstab وأضف nosuid إلى الحقل الرابع (خيارات التركيب) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار noexec على قسم /var/tmp. (1.1.9) |
الوصف: نظرا لأن /var/tmp نظام الملفات مخصص فقط لتخزين الملفات المؤقت، قم بتعيين هذا الخيار لضمان عدم تمكن المستخدمين من تشغيل الثنائيات القابلة للتنفيذ من /var/tmp . |
قم بتحرير ملف /etc/fstab وأضف noexec إلى الحقل الرابع (خيارات التركيب) لقسم /var/tmp. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تعيين خيار noexec على قسم /dev/shm. (1.1.16) |
الوصف: يؤدي تعيين هذا الخيار على نظام ملفات إلى منع المستخدمين من تنفيذ البرامج من الذاكرة المشتركة. هذا يردع المستخدمين عن إدخال برامج ضارة محتملة على النظام. | قم بتحرير ملف /etc/fstab وأضف noexec إلى الحقل الرابع (خيارات التركيب) لقسم /dev/shm. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تعطيل التركيب التلقائي (1.1.21) |
الوصف: مع تمكين التركيب التلقائي، يمكن لأي شخص لديه حق الوصول الفعلي إرفاق محرك أقراص USB أو قرص وإتاحة محتوياته في النظام حتى إذا كان يفتقر إلى أذونات لتركيبه بنفسه. | تعطيل خدمة autofs أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
| تأكد من تعطيل تركيب أجهزة تخزين USB (1.1.21.1) |
الوصف: تؤدي إزالة الدعم لأجهزة تخزين USB إلى تقليل سطح الهجوم المحلي للخادم. | تحرير أو إنشاء ملف في /etc/modprobe.d/ الدليل ينتهي ب .conf وإضافة install usb-storage /bin/true ثم إلغاء تحميل وحدة تخزين USB أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unضرورية-kernel-mods' |
| تأكد من تقييد المقالب الأساسية. (1.5.1) |
الوصف: يؤدي تعيين حد ثابت على عمليات التفريغ الأساسية إلى منع المستخدمين من تجاوز المتغير الناعم. إذا كانت هناك حاجة إلى عمليات تفريغ أساسية، ففكر في وضع حدود لمجموعات المستخدمين (راجع limits.conf(5) ). بالإضافة إلى ذلك ، فإن fs.suid_dumpable تعيين المتغير إلى 0 سيمنع برامج setuid من إغراق النواة. |
أضف hard core 0 إلى /etc/security/limits.conf أو ملف في دليل limits.d وقم بتعيينه fs.suid_dumpable = 0 في sysctl أو قم بتشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| تأكد من تعطيل الارتباط المسبق. (1.5.4) |
الوصف: يمكن أن تتداخل ميزة الربط المسبق مع تشغيل AIDE، لأنها تغير الثنائيات. يمكن أن يؤدي الربط المسبق أيضا إلى زيادة ضعف النظام إذا كان المستخدم الضار قادرا على اختراق مكتبة مشتركة مثل libc. | إلغاء التثبيت prelink باستخدام مدير الحزم الخاص بك أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
| تأكد من تكوين الأذونات على /etc/motd. (1.7.1.4) |
الوصف: إذا لم يكن للملف /etc/motd الملكية الصحيحة، فقد يتم تعديله بواسطة مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بتعيين المالك ومجموعة /etc/motd إلى الجذر وتعيين الأذونات إلى 0644 أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| تأكد من تكوين الأذونات على /etc/issue. (1.7.1.5) |
الوصف: إذا لم يكن للملف /etc/issue الملكية الصحيحة، فقد يتم تعديله بواسطة مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بتعيين المالك ومجموعة /etc/issue إلى الجذر وتعيين الأذونات إلى 0644 أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| تأكد من تكوين الأذونات على /etc/issue.net. (1.7.1.6) |
الوصف: إذا لم يكن للملف /etc/issue.net الملكية الصحيحة، فقد يتم تعديله بواسطة مستخدمين غير مصرح لهم بمعلومات غير صحيحة أو مضللة. |
قم بتعيين المالك ومجموعة /etc/issue.net إلى الجذر وتعيين الأذونات إلى 0644 أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| يجب تمكين خيار nodev لجميع الوسائط القابلة للإزالة. (2.1) |
الوصف: يمكن للمهاجم تركيب جهاز خاص (على سبيل المثال، جهاز حظر أو حرف) عبر وسائط قابلة للإزالة | أضف خيار nodev إلى الحقل الرابع (خيارات التركيب) في /etc/fstab. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| يجب تمكين خيار noexec لجميع الوسائط القابلة للإزالة. (2.2) |
الوصف: يمكن للمهاجم تحميل ملف قابل للتنفيذ عبر وسائط قابلة للإزالة | أضف خيار noexec إلى الحقل الرابع (خيارات التركيب) في /etc/fstab. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| يجب تمكين خيار nosuid لجميع الوسائط القابلة للإزالة. (2.3) |
الوصف: يمكن للمهاجم تحميل الملفات التي تعمل بسياق أمان مرتفع عبر وسائط قابلة للإزالة | أضف خيار nosuid إلى الحقل الرابع (خيارات التركيب) في /etc/fstab. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من عدم تثبيت عميل التحدث. (2.3.3) |
الوصف: يمثل البرنامج خطرا أمنيا لأنه يستخدم بروتوكولات غير مشفرة للاتصال. | إلغاء التثبيت talk أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| تأكد من تكوين الأذونات على /etc/hosts.allow. (3.4.4) |
الوصف: من الأهمية بمكان التأكد من /etc/hosts.allow حماية الملف من الوصول غير المصرح به للكتابة. على الرغم من أنه محمي افتراضيا، إلا أنه يمكن تغيير أذونات الملف إما عن غير قصد أو من خلال إجراءات ضارة. |
قم بتعيين المالك ومجموعة /etc/hosts.allow إلى الجذر والأذونات إلى 0644 أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions" |
| تأكد من تكوين الأذونات على /etc/hosts.den. (3.4.5) |
الوصف: من الأهمية بمكان التأكد من /etc/hosts.deny حماية الملف من الوصول غير المصرح به للكتابة. على الرغم من أنه محمي افتراضيا، إلا أنه يمكن تغيير أذونات الملف إما عن غير قصد أو من خلال إجراءات ضارة. |
تعيين المالك ومجموعة /etc/hosts.deny إلى الجذر والأذونات إلى 0644 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| ضمان سياسة رفض جدار الحماية الافتراضية (3.6.2) |
الوصف: باستخدام نهج قبول افتراضي، سيقبل جدار الحماية أي حزمة لم يتم تكوينها ليتم رفضها. من الأسهل الحفاظ على جدار حماية آمن باستخدام سياسة DROP افتراضية مقارنة بسياسة ALLOW الافتراضية. | تعيين السياسة الافتراضية لحركة المرور الواردة والصادرة والموجهة إلى deny أو reject حسب الاقتضاء باستخدام برنامج جدار الحماية |
| يجب تمكين خيار nodev/nosuid لجميع حوامل NFS. (5) |
الوصف: يمكن للمهاجم تحميل الملفات التي تعمل بسياق أمان مرتفع أو أجهزة خاصة عبر نظام الملفات البعيد | أضف خيارات nosuid و nodev إلى الحقل الرابع (خيارات التركيب) في /etc/fstab. لمزيد من المعلومات، راجع صفحات دليل fstab(5). |
| تأكد من تكوين الأذونات على /etc/ssh/sshd_config. (5.2.1) |
الوصف: /etc/ssh/sshd_config يجب حماية الملف من التغييرات غير المصرح بها من قبل المستخدمين غير المميزين. |
قم بتعيين المالك ومجموعة /etc/ssh/sshd_config إلى الجذر وتعيين الأذونات إلى 0600 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
| تأكد من تكوين متطلبات إنشاء كلمة المرور. (5.3.1) |
الوصف: تحمي كلمات المرور القوية الأنظمة من الاختراق من خلال أساليب القوة الغاشمة. | قم بتعيين أزواج المفاتيح / القيم التالية في PAM المناسب للتوزيعة الخاصة بك: minlen = 14 ، minclass = 4 ، dcredit = -1 ، ucredit = -1 ، ocredit = -1 ، lcredit = -1 ، أو قم بتشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| تأكد من تكوين تأمين محاولات كلمة المرور الفاشلة. (5.3.2) |
الوصف: يؤدي قفل معرفات المستخدمين بعد n محاولات تسجيل الدخول المتتالية غير الناجحة إلى تخفيف هجمات كلمة مرور القوة الغاشمة ضد أنظمتك. |
بالنسبة إلى Ubuntu و Debian، أضف الوحدات pam_tally و pam_deny حسب الاقتضاء. بالنسبة لجميع التوزيعات الأخرى، ارجع إلى وثائق التوزيعة الخاصة بك |
| تعطيل تثبيت واستخدام أنظمة الملفات غير المطلوبة (cramfs) (6.1) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في cramfs لرفع الامتيازات | إضافة ملف إلى الدليل /etc/modprob.d الذي يعطل الكرامف أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unضرورية-kernel-mods' |
| تعطيل تثبيت واستخدام أنظمة الملفات غير المطلوبة (freevxfs) (6.2) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في freevxfs لرفع الامتيازات | إضافة ملف إلى الدليل /etc/modprob.d الذي يعطل freevxfs أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| التأكد من وجود جميع الدلائل الرئيسية للمستخدمين (6.2.7) |
الوصف: إذا لم يكن الدليل الرئيسي للمستخدم موجودا أو لم يتم تعيينه، وضع المستخدم في / ولن يتمكن من كتابة أي ملفات أو تعيين متغيرات البيئة المحلية. | في حالة عدم وجود الدلائل الرئيسية لأي مستخدمين، قم بإنشائها وتأكد من أن المستخدم المعني يمتلك الدليل. يجب إزالة المستخدمين الذين ليس لديهم دليل رئيسي معين أو تعيين دليل رئيسي حسب الاقتضاء. |
| تأكد من امتلاك المستخدمين لأدلة منازلهم (6.2.9) |
الوصف: نظرا لأن المستخدم مسؤول عن الملفات المخزنة في الدليل الرئيسي للمستخدم، يجب أن يكون المستخدم هو مالك الدليل. | تغيير ملكية أي أدلة منزلية غير مملوكة للمستخدم المحدد إلى المستخدم الصحيح. |
| تأكد من أن الملفات النقطية للمستخدمين ليست قابلة للكتابة الجماعية أو العالمية. (6.2.10) |
الوصف: قد تمكن ملفات تكوين المستخدم الجماعية أو القابلة للكتابة عالميا المستخدمين الضارين من سرقة بيانات المستخدمين الآخرين أو تعديلها أو الحصول على امتيازات نظام مستخدم آخر. | يمكن أن يؤدي إجراء تعديلات عالمية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاع غير متوقع ومستخدمين غير راضين. لذلك، يوصى بوضع سياسة مراقبة للإبلاغ عن أذونات ملف نقطة المستخدم وتحديد الإجراء الواجب اتخاذه وفقا لسياسة الموقع. |
| تأكد من عدم وجود مستخدمين لديهم ملفات.forward (6.2.11) |
الوصف: يشكل استخدام .forward الملف خطرا أمنيا حيث قد يتم نقل البيانات الحساسة عن غير قصد خارج المؤسسة. يشكل .forward الملف أيضا خطرا حيث يمكن استخدامه لتنفيذ الأوامر التي قد تنفذ إجراءات غير مقصودة. |
يمكن أن يؤدي إجراء تعديلات عالمية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاع غير متوقع ومستخدمين غير راضين. ولذلك، يوصى بوضع سياسة رصد للإبلاغ عن ملفات المستخدمين .forward وتحديد الإجراءات الواجب اتخاذها وفقا لسياسة الموقع. |
| تأكد من عدم وجود ملفات .netrc لدى المستخدمين (6.2.12) |
الوصف: يمثل .netrc الملف خطرا أمنيا كبيرا لأنه يخزن كلمات المرور في شكل غير مشفر. حتى إذا تم تعطيل FTP ، فقد تكون حسابات المستخدمين قد جلبت .netrc ملفات من أنظمة أخرى يمكن أن تشكل خطرا على تلك الأنظمة |
يمكن أن يؤدي إجراء تعديلات عالمية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاع غير متوقع ومستخدمين غير راضين. ولذلك، يوصى بوضع سياسة رصد للإبلاغ عن ملفات المستخدمين .netrc وتحديد الإجراءات الواجب اتخاذها وفقا لسياسة الموقع. |
| تأكد من عدم وجود مستخدمين لديهم ملفات .rhosts (6.2.14) |
الوصف: يكون هذا الإجراء ذا مغزى فقط إذا كان .rhosts الدعم مسموحا به في الملف /etc/pam.conf . على الرغم .rhosts من أن الملفات غير فعالة إذا تم تعطيل الدعم ، /etc/pam.conf فقد يكون قد تم إحضارها من أنظمة أخرى ويمكن أن تحتوي على معلومات مفيدة للمهاجم لتلك الأنظمة الأخرى. |
يمكن أن يؤدي إجراء تعديلات عالمية على ملفات المستخدمين دون تنبيه مجتمع المستخدمين إلى انقطاع غير متوقع ومستخدمين غير راضين. ولذلك، يوصى بوضع سياسة رصد للإبلاغ عن ملفات المستخدمين .rhosts وتحديد الإجراءات الواجب اتخاذها وفقا لسياسة الموقع. |
| تأكد من وجود جميع المجموعات في /etc/passwd في /etc/group (6.2.15) |
الوصف: تشكل المجموعات التي يتم تعريفها في الملف /etc/passwd ولكن ليس في ملف /etc/group تهديدا لأمن النظام نظرا لعدم إدارة أذونات المجموعة بشكل صحيح. | لكل مجموعة محددة في /etc/passwd، تأكد من وجود مجموعة مناظرة في /etc/group |
| تأكد من عدم وجود معرفات UID مكررة (6.2.16) |
الوصف: يجب تعيين معرفات UID فريدة للمستخدمين للمساءلة وضمان حماية الوصول المناسبة. | قم بإنشاء معرفات UID فريدة ومراجعة جميع الملفات التي تملكها UIDs المشتركة لتحديد UID الذي من المفترض أن تنتمي إليه. |
| ضمان عدم وجود بيانات مكررة عن دائرة المخابرات العامة (6.2.17) |
الوصف: يجب تعيين مؤشرات GID فريدة للمجموعات للمساءلة وضمان حماية الوصول المناسبة. | إنشاء مؤشرات GID فريدة من نوعها ومراجعة جميع الملفات التي تملكها GIDs المشتركة لتحديد دائرة المخابرات العامة التي من المفترض أن تنتمي إليها. |
| ضمان عدم وجود أسماء مستخدمين مكررة (6.2.18) |
الوصف: إذا تم تعيين اسم مستخدم مكرر لمستخدم، فسيقوم بإنشاء ملفات باستخدام معرف المستخدم الأول لاسم المستخدم هذا ويمكنه الوصول إليها في /etc/passwd . على سبيل المثال، إذا كان "test4" يحتوي على UID من 1000 وإدخال "test4" لاحق يحتوي على UID من 2000، فإن تسجيل الدخول ك "test4" سيستخدم UID 1000. بشكل فعال ، تتم مشاركة UID ، وهي مشكلة أمنية. |
إنشاء أسماء مستخدمين فريدة لجميع المستخدمين. ستعكس ملكية الملفات التغيير تلقائيا طالما أن المستخدمين لديهم معرفات UID فريدة. |
| ضمان عدم وجود مجموعات مكررة (6.2.19) |
الوصف: إذا تم تعيين اسم مجموعة مكرر، فستقوم بإنشاء ملفات تحتوي على أول GID لتلك المجموعة في /etc/group . وعلى نحو فعال، تتم مشاركة دائرة المخابرات العامة، وهي مشكلة أمنية. |
إنشاء أسماء فريدة لجميع مجموعات المستخدمين. ستعكس ملكية مجموعات الملفات التغيير تلقائيا طالما أن المجموعات لديها مؤشرات GID فريدة. |
| تأكد من أن مجموعة الظل فارغة (6.2.20) |
الوصف: سيتم منح أي مستخدمين تم تعيينهم لمجموعة الظل حق الوصول للقراءة إلى ملف /etc/shadow. إذا تمكن المهاجمون من الوصول إلى الملف للقراءة /etc/shadow ، فيمكنهم بسهولة تشغيل برنامج تكسير كلمة المرور مقابل كلمات المرور المجزأة لكسرها. قد تكون معلومات الأمان الأخرى المخزنة في /etc/shadow الملف (مثل انتهاء الصلاحية) مفيدة أيضا لتخريب حسابات المستخدمين الإضافية. |
إزالة جميع المستخدمين من مجموعة الظل |
| تعطيل تثبيت واستخدام أنظمة الملفات غير المطلوبة (hfs) (6.3) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في hfs لرفع الامتيازات | إضافة ملف إلى الدليل /etc/modprob.d الذي يعطل hfs أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| تعطيل تثبيت واستخدام أنظمة الملفات غير المطلوبة (hfsplus) (6.4) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في hfsplus لرفع الامتيازات | إضافة ملف إلى الدليل /etc/modprob.d الذي يعطل hfsplus أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| تعطيل تثبيت واستخدام أنظمة الملفات غير المطلوبة (jffs2) (6.5) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في jffs2 لرفع الامتيازات | إضافة ملف إلى الدليل /etc/modprob.d الذي يعطل jffs2 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| يجب تجميع النواة فقط من مصادر معتمدة. (10) |
الوصف: قد تحتوي النواة من مصدر غير معتمد على ثغرات أمنية أو أبواب خلفية لمنح حق الوصول إلى مهاجم. | قم بتثبيت kernel التي يوفرها بائع التوزيعة. |
| يجب تعيين أذونات ملف الظل /etc/إلى 0400 (11.1) |
الوصف: يمكن للمهاجم استرداد كلمات المرور المجزأة أو معالجتها من /etc/shadow إذا لم يتم تأمينها بشكل صحيح. | تعيين الأذونات وملكية /etc/shadow* أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| /etc/shadow- يجب تعيين أذونات الملفات إلى 0400 (11.2) |
الوصف: يمكن للمهاجم استرداد كلمات المرور المجزأة أو التلاعب بها من /etc/shadow- إذا لم يتم تأمينها بشكل صحيح. | تعيين الأذونات وملكية /etc/shadow* أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| يجب تعيين أذونات ملف /etc/gshadow إلى 0400 (11.3) |
الوصف: قد ينضم مهاجم إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | تعيين الأذونات وملكية /etc/gshadow- أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| /etc/gshadow- يجب تعيين أذونات الملفات إلى 0400 (11.4) |
الوصف: قد ينضم مهاجم إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | تعيين الأذونات وملكية /etc/gshadow أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| /etc/passwd يجب أن تكون أذونات الملف 0644 (12.1) |
الوصف: يمكن للمهاجم تعديل معرفات المستخدمين وقذائف تسجيل الدخول | تعيين أذونات وملكية /etc/passwd أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| /etc/يجب أن تكون أذونات ملف المجموعة 0644 (12.2) |
الوصف: يمكن للمهاجم رفع الامتيازات عن طريق تعديل عضوية المجموعة | تعيين الأذونات وملكية /etc/group أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd- يجب تعيين أذونات الملف إلى 0600 (12.3) |
الوصف: قد ينضم مهاجم إلى مجموعات الأمان إذا لم يتم تأمين هذا الملف بشكل صحيح | تعيين الأذونات والملكية من /etc/passwd- أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- يجب أن تكون أذونات الملفات 0644 (12.4) |
الوصف: يمكن للمهاجم رفع الامتيازات عن طريق تعديل عضوية المجموعة | تعيين الأذونات وملكية /etc/group- أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| يجب أن يقتصر الوصول إلى حساب الجذر عبر su على مجموعة "الجذر" (21) |
الوصف: يمكن للمهاجم تصعيد الأذونات عن طريق تخمين كلمة المرور إذا لم يكن su مقتصرا على المستخدمين في المجموعة الجذر. | قم بتشغيل الأمر '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'. سيؤدي ذلك إلى إضافة السطر "المصادقة المطلوبة pam_wheel.so use_uid" إلى الملف "/etc/pam.d/su" |
| يجب أن تكون مجموعة "الجذر" موجودة ، وتحتوي على جميع الأعضاء الذين يمكنهم su to root (22) |
الوصف: يمكن للمهاجم تصعيد الأذونات عن طريق تخمين كلمة المرور إذا لم يكن su مقتصرا على المستخدمين في المجموعة الجذر. | إنشاء مجموعة الجذر عبر الأمر "groupadd -g 0 root" |
| يجب أن تحتوي جميع الحسابات على كلمة مرور (23.2) |
الوصف: يمكن للمهاجم تسجيل الدخول إلى الحسابات بدون كلمة مرور وتنفيذ أوامر تعسفية. | استخدم الأمر passwd لتعيين كلمات المرور لجميع الحسابات |
| يجب أن تحتوي الحسابات الأخرى غير الجذر على معرفات UID فريدة أكبر من الصفر(0) (24) |
الوصف: إذا كان الحساب بخلاف الجذر يحتوي على uid zero، فقد يقوم المهاجم بخرق الحساب والحصول على امتيازات الجذر. | تعيين uids فريدة وغير صفرية لجميع الحسابات غير الجذرية باستخدام "usermod -u" |
| يجب تمكين الموضع العشوائي لمناطق الذاكرة الظاهرية (25) |
الوصف: يمكن للمهاجم كتابة تعليمات برمجية قابلة للتنفيذ إلى مناطق معروفة في الذاكرة مما يؤدي إلى ارتفاع الامتياز | أضف القيمة "1" أو "2" إلى الملف "/proc/sys/kernel/randomize_va_space" |
| يجب تمكين دعم Kernel لميزة معالج XD/NX (26) |
الوصف: قد يتسبب مهاجم في قيام نظام بتنفيذ تعليمات برمجية من مناطق البيانات في الذاكرة مما يؤدي إلى ارتفاع الامتياز. | تأكيد الملف '/proc/cpuinfo' يحتوي على العلامة 'nx' |
| يجب ألا تظهر "." في $PATH الجذر (27.1) |
الوصف: يمكن للمهاجم رفع الامتيازات عن طريق وضع ملف ضار في $PATH الجذر | تعديل سطر "تصدير PATH=" في /root/.profile |
| يجب أن تكون الدلائل الرئيسية للمستخدم في الوضع 750 أو أكثر تقييدا (28) |
الوصف: يمكن للمهاجم استرداد المعلومات الحساسة من المجلدات الرئيسية للمستخدمين الآخرين. | تعيين أذونات المجلد الرئيسي إلى 750 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| يجب تعيين umask الافتراضي لجميع المستخدمين إلى 077 في login.defs (29) |
الوصف: يمكن للمهاجم استرداد معلومات حساسة من الملفات التي يملكها مستخدمون آخرون. | قم بتشغيل الأمر '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'. سيؤدي ذلك إلى إضافة السطر "UMASK 077" إلى الملف "/etc/login.defs" |
| يجب تمكين الحماية بكلمة مرور لجميع أدوات تحميل الإقلاع. (31) |
الوصف: يمكن للمهاجم الذي لديه حق الوصول الفعلي تعديل خيارات أداة تحميل الإقلاع، مما يؤدي إلى الوصول غير المقيد إلى النظام | أضف كلمة مرور محمل تمهيد إلى الملف "/boot/grub/grub".cfg |
| تأكد من تكوين الأذونات على تكوين أداة تحميل الإقلاع (31.1) |
الوصف: يؤدي تعيين أذونات القراءة والكتابة للجذر فقط إلى منع المستخدمين غير الجذر من رؤية معلمات التمهيد أو تغييرها. قد يتمكن المستخدمون غير الجذريين الذين يقرؤون معلمات التمهيد من تحديد نقاط الضعف في الأمان عند التمهيد ويكونون قادرين على استغلالها. | قم بتعيين مالك ومجموعة أداة تحميل التشغيل الخاصة بك إلى الجذر: الجذر والأذونات إلى 0400 أو قم بتشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| تأكد من المصادقة المطلوبة لوضع المستخدم الفردي. (33) |
الوصف: يؤدي طلب المصادقة في وضع المستخدم الفردي إلى منع مستخدم غير مصرح له من إعادة تشغيل النظام إلى مستخدم واحد للحصول على امتيازات الجذر بدون بيانات اعتماد. | قم بتشغيل الأمر التالي لتعيين كلمة مرور للمستخدم الجذر: passwd root |
| تأكد من تعطيل إرسال إعادة توجيه الحزمة. (38.3) |
الوصف: يمكن للمهاجم استخدام مضيف مخترق لإرسال عمليات إعادة توجيه ICMP غير صالحة إلى أجهزة جهاز توجيه أخرى في محاولة لإتلاف التوجيه وجعل المستخدمين يصلون إلى نظام أعده المهاجم بدلا من نظام صالح. | قم بتعيين المعلمات التالية في /etc/sysctl.conf: 'net.ipv4.conf.all.send_redirects = 0' و 'net.ipv4.conf.default.send_redirects = 0' أو قم بتشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| يجب تعطيل إرسال عمليات إعادة توجيه ICMP لجميع الواجهات. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
الوصف: يمكن للمهاجم تغيير جدول التوجيه الخاص بهذا النظام، وإعادة توجيه حركة المرور إلى وجهة بديلة | قم بالتشغيل والتعيين إلى قيمة متوافقة أو قم sysctl -w key=value بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects". |
| يجب تعطيل إرسال عمليات إعادة توجيه ICMP لجميع الواجهات. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
الوصف: يمكن للمهاجم تغيير جدول التوجيه الخاص بهذا النظام، وإعادة توجيه حركة المرور إلى وجهة بديلة | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' |
| يجب تعطيل قبول الحزم الموجهة المصدر لجميع الواجهات. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
الوصف: يمكن للمهاجم إعادة توجيه حركة المرور لأغراض ضارة. | قم بالتشغيل sysctl -w key=value والتعيين إلى قيمة متوافقة. |
| يجب تعطيل قبول الحزم الموجهة المصدر لجميع الواجهات. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
الوصف: يمكن للمهاجم إعادة توجيه حركة المرور لأغراض ضارة. | قم بالتشغيل sysctl -w key=value والتعيين إلى قيمة متوافقة. |
| يجب تعطيل الإعداد الافتراضي لقبول الحزم الموجهة المصدر لواجهات الشبكة. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
الوصف: يمكن للمهاجم إعادة توجيه حركة المرور لأغراض ضارة. | قم بالتشغيل sysctl -w key=value والتعيين إلى قيمة متوافقة. |
| يجب تعطيل الإعداد الافتراضي لقبول الحزم الموجهة المصدر لواجهات الشبكة. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
الوصف: يمكن للمهاجم إعادة توجيه حركة المرور لأغراض ضارة. | قم بالتشغيل sysctl -w key=value والتعيين إلى قيمة متوافقة. |
| يجب تمكين تجاهل ردود اللجنة الدولية لشؤون المفقودين المزيفة على عمليات البث. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
الوصف: يمكن للمهاجم تنفيذ هجوم ICMP مما يؤدي إلى DoS | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
| يجب تمكين تجاهل طلبات صدى ICMP (pings) المرسلة إلى عناوين البث / البث المتعدد. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
الوصف: يمكن للمهاجم تنفيذ هجوم ICMP مما يؤدي إلى DoS | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| يجب تمكين تسجيل حزم المريخ (تلك التي تحتوي على عناوين مستحيلة) لجميع الواجهات. (net.ipv4.conf.all.log_martians = 1) (45.1) |
الوصف: يمكن للمهاجم إرسال زيارات من عناوين مخادعة دون أن يتم اكتشافه | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
| يجب تمكين إجراء التحقق من صحة المصدر عن طريق المسار العكسي لجميع الواجهات. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
الوصف: سيقبل النظام حركة المرور من العناوين غير القابلة للتوجيه. | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| يجب تمكين إجراء التحقق من صحة المصدر عن طريق المسار العكسي لجميع الواجهات. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
الوصف: سيقبل النظام حركة المرور من العناوين غير القابلة للتوجيه. | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| يجب تمكين ملفات تعريف ارتباط TCP SYN. (net.ipv4.tcp_syncookies = 1) (47) |
الوصف: يمكن لمهاجم تنفيذ DoS عبر TCP | تشغيل وتعيين إلى قيمة متوافقة أو تشغيل sysctl -w key=value '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
| يجب ألا يعمل النظام كشم شبكة. (48) |
الوصف: قد يستخدم المهاجم واجهات غير متجانسة لاستنشاق حركة مرور الشبكة | يتم تمكين الوضع المختلط عبر إدخال "promisc" في "/etc/network/interfaces" أو "/etc/rc.local". تحقق من كلا الملفين وقم بإزالة هذا الإدخال. |
| يجب تعطيل جميع الواجهات اللاسلكية. (49) |
الوصف: يمكن للمهاجم إنشاء نقطة وصول مزيفة لاعتراض عمليات الإرسال. | تأكد من تعطيل جميع الواجهات اللاسلكية في "/etc/network/interfaces" |
| يجب تمكين بروتوكول IPv6. (50) |
الوصف: هذا ضروري للاتصال على الشبكات الحديثة. | افتح /etc/sysctl.conf وتأكد من تعيين "net.ipv6.conf.all.disable_ipv6" و "net.ipv6.conf.default.disable_ipv6" إلى 0 |
| ضمان تعطيل DCCP (54) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | تحرير أو إنشاء ملف في /etc/modprobe.d/ الدليل ينتهي ب .conf وإضافة install dccp /bin/true ثم إلغاء تحميل وحدة dccp النمطية أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| ضمان تعطيل SCTP (55) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | قم بتحرير أو إنشاء ملف في /etc/modprobe.d/ الدليل ينتهي ب .conf وأضف install sctp /bin/true ثم قم بإلغاء تحميل الوحدة النمطية sctp أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods" |
| تعطيل دعم RDS. (56) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في RDS لاختراق النظام | تحرير أو إنشاء ملف في /etc/modprobe.d/ الدليل ينتهي ب .conf وإضافة install rds /bin/true ثم إلغاء تحميل وحدة RDS النمطية أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unessential-kernel-mods' |
| ضمان تعطيل TIPC (57) |
الوصف: إذا لم يكن البروتوكول مطلوبا، فمن المستحسن عدم تثبيت برامج التشغيل لتقليل سطح الهجوم المحتمل. | قم بتحرير أو إنشاء ملف في /etc/modprobe.d/ الدليل ينتهي ب .conf وأضف install tipc /bin/true ثم قم بإلغاء تحميل الوحدة النمطية tipc أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r disable-unضرورية-kernel-mods" |
| التأكد من تكوين التسجيل (60) |
الوصف: يتم إرسال قدر كبير من المعلومات المهمة المتعلقة بالأمان عبر rsyslog (على سبيل المثال ، محاولات su الناجحة والفاشلة ، ومحاولات تسجيل الدخول الفاشلة ، ومحاولات تسجيل الدخول الجذر ، وما إلى ذلك). |
تكوين syslog أو rsyslog أو syslog-ng حسب الاقتضاء |
| يجب تثبيت حزمة syslog أو rsyslog أو syslog-ng. (61) |
الوصف: لن يتم تسجيل مشكلات الموثوقية والأمان، مما يمنع التشخيص المناسب. | تثبيت حزمة rsyslog، أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
| يجب تكوين الخدمة ذات دفتر اليومية النظامي لاستمرار رسائل السجل (61.1) |
الوصف: لن يتم تسجيل مشكلات الموثوقية والأمان، مما يمنع التشخيص المناسب. | إنشاء /var/log/journal والتأكد من أن التخزين في journald.conf تلقائي أو مستمر |
| تأكد من تمكين خدمة تسجيل الدخول (62) |
الوصف: من الضروري أن يكون لديك القدرة على تسجيل الأحداث على عقدة. | تمكين حزمة rsyslog أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
| يجب تعيين أذونات الملفات لكافة ملفات سجل rsyslog إلى 640 أو 600. (63) |
الوصف: يمكن لمهاجم إخفاء النشاط عن طريق التلاعب بالسجلات | أضف السطر "$FileCreateMode 0640" إلى الملف "/etc/rsyslog.conf" |
| تأكد من تقييد ملفات تكوين المسجل. (63.1) |
الوصف: من المهم التأكد من وجود ملفات السجل والحصول على الأذونات الصحيحة لضمان أرشفة بيانات syslog الحساسة وحمايتها. | قم بتعيين ملفات تكوين المسجل إلى 0640 أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions" |
| يجب أن تكون كافة ملفات سجل rsyslog مملوكة لمجموعة adm. (64) |
الوصف: يمكن لمهاجم إخفاء النشاط عن طريق التلاعب بالسجلات | أضف السطر "$FileGroup adm" إلى الملف "/etc/rsyslog.conf" |
| يجب أن تكون كافة ملفات سجل rsyslog مملوكة من قبل مستخدم syslog. (65) |
الوصف: يمكن لمهاجم إخفاء النشاط عن طريق التلاعب بالسجلات | أضف السطر "$FileOwner syslog" إلى الملف "/etc/rsyslog.conf" أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| يجب ألا يقبل Rsyslog الرسائل البعيدة. (67) |
الوصف: يمكن لمهاجم حقن رسائل في syslog، مما يتسبب في DoS أو تشتيت الانتباه عن نشاط آخر | إزالة الأسطر "$ModLoad imudp" و "$ModLoad imtcp" من الملف "/etc/rsyslog.conf" |
| يجب تمكين خدمة logrotate (syslog rotater). (68) |
الوصف: يمكن أن تنمو ملفات السجل دون حدود وتستهلك كل مساحة القرص | قم بتثبيت حزمة logrotate وتأكد من أن إدخال logrotate cron نشط (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| يجب تعطيل خدمة rlogin. (69) |
الوصف: يمكن لمهاجم الوصول وتجاوز متطلبات المصادقة الصارمة | إزالة خدمة inetd. |
| تعطيل inetd ما لم يكن ذلك مطلوبا. (inetd) (70.1) |
الوصف: قد يستغل مهاجم ثغرة أمنية في خدمة inetd للوصول | إلغاء تثبيت خدمة inetd (apt-get remove inetd) |
| تعطيل xinetd ما لم يكن ذلك مطلوبا. (xinetd) (70.2) |
الوصف: قد يستغل مهاجم ثغرة أمنية في خدمة xinetd للوصول | إلغاء تثبيت خدمة inetd (apt-get remove xinetd) |
| قم بتثبيت inetd فقط إذا كان ذلك مناسبا ومطلوبا من قبل التوزيعة الخاصة بك. آمن وفقا لمعايير التصلب الحالية. (إذا لزم الأمر) (71.1) |
الوصف: قد يستغل مهاجم ثغرة أمنية في خدمة inetd للوصول | إلغاء تثبيت خدمة inetd (apt-get remove inetd) |
| قم بتثبيت xinetd فقط إذا كان ذلك مناسبا ومطلوبا من قبل التوزيعة الخاصة بك. آمن وفقا لمعايير التصلب الحالية. (إذا لزم الأمر) (71.2) |
الوصف: قد يستغل مهاجم ثغرة أمنية في خدمة xinetd للوصول | إلغاء تثبيت خدمة inetd (apt-get remove xinetd) |
| يجب تعطيل خدمة telnet. (72) |
الوصف: يمكن للمهاجم التنصت على جلسات telnet غير المشفرة أو اختطافها | إزالة أو التعليق على إدخال telnet في الملف '/etc/inetd.conf' |
| يجب إزالة تثبيت جميع حزم telnetd. (73) |
الوصف: يمكن للمهاجم التنصت على جلسات telnet غير المشفرة أو اختطافها | إلغاء تثبيت أي حزم telnetd |
| يجب تعطيل خدمة rcp / rsh. (74) |
الوصف: يمكن للمهاجم التنصت على الجلسات غير المشفرة أو اختطافها | إزالة أو التعليق على إدخال shell في الملف '/etc/inetd.conf' |
| يجب إزالة تثبيت حزمة rsh-cell. (77) |
الوصف: يمكن للمهاجم التنصت على جلسات rsh غير المشفرة أو اختطافها | إلغاء تثبيت حزمة rsh-server (apt-get remove rsh-server) |
| يجب تعطيل خدمة ypbind. (78) |
الوصف: يمكن لمهاجم استرداد معلومات حساسة من خدمة ypbind | إلغاء تثبيت حزمة nis (apt-get remove nis) |
| يجب إزالة تثبيت حزمة nis. (79) |
الوصف: يمكن لمهاجم استرداد معلومات حساسة من خدمة NIS | إلغاء تثبيت حزمة nis (apt-get remove nis) |
| يجب تعطيل خدمة tftp. (80) |
الوصف: يمكن لمهاجم التنصت على جلسة عمل غير مشفرة أو اختطافها | إزالة إدخال tftp من الملف '/etc/inetd.conf' |
| يجب إزالة تثبيت حزمة tftpd. (81) |
الوصف: يمكن لمهاجم التنصت على جلسة عمل غير مشفرة أو اختطافها | إلغاء تثبيت حزمة tftpd (apt-get remove tftpd) |
| يجب إلغاء تثبيت حزمة القراءة إلى الأمام فيدورا. (82) |
الوصف: لا تخلق الحزمة أي تعرض كبير ، ولكنها لا تضيف أيضا أي فائدة كبيرة. | إلغاء تثبيت حزمة القراءة إلى الأمام فيدورا (apt-get remove readahead-fedora) |
| يجب تعطيل خدمة البلوتوث / hidd. (84) |
الوصف: يمكن للمهاجم اعتراض الاتصالات اللاسلكية أو التلاعب بها. | إلغاء تثبيت حزمة البلوتوث (apt-get remove bluetooth) |
| يجب تعطيل خدمة isdn. (86) |
الوصف: يمكن للمهاجم استخدام مودم للوصول غير المصرح به | إلغاء تثبيت حزمة isdnutils-base (apt-get remove isdnutils-base) |
| يجب إزالة تثبيت حزمة قاعدة isdnutils. (87) |
الوصف: يمكن للمهاجم استخدام مودم للوصول غير المصرح به | إلغاء تثبيت حزمة isdnutils-base (apt-get remove isdnutils-base) |
| يجب تعطيل خدمة kdump. (88) |
الوصف: يمكن لمهاجم تحليل عطل سابق في النظام لاسترداد المعلومات الحساسة | إلغاء تثبيت حزمة أدوات kdump (apt-get remove kdump-tools) |
| يجب تعطيل شبكة Zeroconf. (89) |
الوصف: يمكن للمهاجم إساءة استخدام ذلك للحصول على معلومات حول الأنظمة المتصلة بالشبكة، أو انتحال طلبات DNS بسبب عيوب في نموذج الثقة الخاص به | بالنسبة إلى RedHat و CentOS و Oracle: أضف NOZEROCONF=yes or no إلى /etc/sysconfig/network. لجميع التوزيعات الأخرى: قم بإزالة أي إدخالات "ipv4ll" في الملف "/etc/network/interfaces" أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf" |
| يجب تمكين خدمة crond. (90) |
الوصف: Cron مطلوب من قبل جميع الأنظمة تقريبا لمهام الصيانة الدورية | قم بتثبيت حزمة cron (apt-get install -y cron) وتأكد من أن الملف '/etc/init/cron.conf' يحتوي على السطر "ابدأ على مستوى التشغيل [2345]" |
| يجب تعيين أذونات الملف ل /etc/anacrontab إلى root:root 600. (91) |
الوصف: يمكن لمهاجم معالجة هذا الملف لمنع المهام المجدولة أو تنفيذ المهام الضارة | تعيين الملكية والأذونات على /etc/anacrontab أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
| تأكد من تكوين الأذونات على /etc/cron.d. (93) |
الوصف: يمكن أن يوفر منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المميزين الوسائل اللازمة للحصول على امتيازات مرتفعة غير مصرح بها. يمكن أن يمنح منح حق الوصول للقراءة إلى هذا الدليل مستخدما غير مميز في كيفية الحصول على امتيازات مرتفعة أو التحايل على ضوابط التدقيق. | تعيين المالك ومجموعة /etc/chron.d إلى الجذر والأذونات إلى 0700 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| تأكد من تكوين الأذونات على /etc/cron.daily. (94) |
الوصف: يمكن أن يوفر منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المميزين الوسائل اللازمة للحصول على امتيازات مرتفعة غير مصرح بها. يمكن أن يمنح منح حق الوصول للقراءة إلى هذا الدليل مستخدما غير مميز في كيفية الحصول على امتيازات مرتفعة أو التحايل على ضوابط التدقيق. | تعيين المالك والمجموعة من /etc/chron.daily إلى الجذر والأذونات إلى 0700 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| تأكد من تكوين الأذونات على /etc/cron.hourly. (95) |
الوصف: يمكن أن يوفر منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المميزين الوسائل اللازمة للحصول على امتيازات مرتفعة غير مصرح بها. يمكن أن يمنح منح حق الوصول للقراءة إلى هذا الدليل مستخدما غير مميز في كيفية الحصول على امتيازات مرتفعة أو التحايل على ضوابط التدقيق. | تعيين المالك والمجموعة من /etc/chron.hourly إلى الجذر والأذونات إلى 0700 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| تأكد من تكوين الأذونات على /etc/cron.monthly. (96) |
الوصف: يمكن أن يوفر منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المميزين الوسائل اللازمة للحصول على امتيازات مرتفعة غير مصرح بها. يمكن أن يمنح منح حق الوصول للقراءة إلى هذا الدليل مستخدما غير مميز في كيفية الحصول على امتيازات مرتفعة أو التحايل على ضوابط التدقيق. | تعيين المالك ومجموعة /etc/chron.monthly إلى الجذر والأذونات إلى 0700 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| تأكد من تكوين الأذونات على /etc/cron.weekly. (97) |
الوصف: يمكن أن يوفر منح حق الوصول للكتابة إلى هذا الدليل للمستخدمين غير المميزين الوسائل اللازمة للحصول على امتيازات مرتفعة غير مصرح بها. يمكن أن يمنح منح حق الوصول للقراءة إلى هذا الدليل مستخدما غير مميز في كيفية الحصول على امتيازات مرتفعة أو التحايل على ضوابط التدقيق. | تعيين المالك ومجموعة /etc/chron.weekly إلى الجذر والأذونات إلى 0700 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| تأكد من أن at/cron يقتصر على المستخدمين المصرح لهم (98) |
الوصف: في العديد من الأنظمة، يتم تفويض مسؤول النظام فقط بجدولة cron الوظائف. يؤدي استخدام الملف للتحكم في cron.allow من يمكنه تشغيل cron المهام إلى فرض هذا النهج. من الأسهل إدارة قائمة مسموح بها من قائمة الرفض. في قائمة الرفض، يمكنك إضافة معرف مستخدم إلى النظام ونسيان إضافته إلى ملفات الرفض. |
استبدال /etc/cron.deny و/etc/at.deny بالملفات الخاصة بكل منهما allow أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
| يجب تكوين SSH وإدارتها لتلبية أفضل الممارسات. - بروتوكول '/etc/ssh/sshd_config = 2' (106.1) |
الوصف: قد يستخدم مهاجم عيوبا في إصدار سابق من بروتوكول SSH للوصول | قم بتشغيل الأمر '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'. سيؤدي ذلك إلى تعيين "البروتوكول 2" في الملف "/etc/ssh/sshd_config" |
| يجب تكوين SSH وإدارتها لتلبية أفضل الممارسات. - '/etc/ssh/sshd_config IgnoreRhosts = نعم' (106.3) |
الوصف: يمكن للمهاجم استخدام عيوب في بروتوكول Rhosts للوصول | قم بتشغيل الأمر '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'. سيؤدي ذلك إلى إضافة السطر "IgnoreRhosts Yes" إلى الملف "/etc/ssh/sshd_config" |
| تأكد من تعيين SSH LogLevel إلى INFO (106.5) |
الوصف: يوفر SSH عدة مستويات تسجيل بكميات متفاوتة من الإسهاب. DEBUG لا ينصح به على وجه التحديد بخلاف تصحيح أخطاء اتصالات SSH لأنه يوفر الكثير من البيانات بحيث يصعب تحديد معلومات الأمان المهمة. INFO المستوى هو المستوى الأساسي الذي يسجل فقط نشاط تسجيل الدخول لمستخدمي SSH. في العديد من الحالات، مثل الاستجابة للحوادث، من المهم تحديد متى كان مستخدم معين نشطا على النظام. يمكن لسجل تسجيل الخروج القضاء على هؤلاء المستخدمين الذين قاموا بقطع الاتصال، مما يساعد على تضييق المجال. |
قم بتحرير /etc/ssh/sshd_config الملف لتعيين المعلمة كما يلي: LogLevel INFO |
| تأكد من تعيين SSH MaxAuthTries إلى 6 أو أقل (106.7) |
الوصف: سيؤدي تعيين المعلمة إلى رقم منخفض إلى تقليل خطر هجمات القوة الغاشمة MaxAuthTries الناجحة على خادم SSH. على الرغم من أن الإعداد الموصى به هو 4، فقم بتعيين الرقم استنادا إلى سياسة الموقع. |
تأكد من تعيين SSH MaxAuthTry إلى 6 أو أقل تحرير /etc/ssh/sshd_config الملف لتعيين المعلمة كما يلي: MaxAuthTries 6 |
| تأكد من أن الوصول إلى SSH محدود (106.11) |
الوصف: سيساعد تقييد المستخدمين الذين يمكنهم الوصول إلى النظام عن بعد عبر SSH في ضمان وصول المستخدمين المصرح لهم فقط إلى النظام. | تأكد من أن الوصول إلى SSH محدود قم بتحرير /etc/ssh/sshd_config الملف لتعيين واحد أو أكثر من المعلمة على النحو التالي: AllowUsers AllowGroups DenyUsers DenyGroups |
| يجب تعطيل محاكاة الأمر rsh من خلال خادم ssh. - '/etc/ssh/sshd_config RhostsRSAAuthentication = لا' (107) |
الوصف: يمكن لمهاجم استخدام عيوب في بروتوكول RHosts للوصول | قم بتشغيل الأمر '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'. سيؤدي ذلك إلى إضافة السطر "RhostsRSAAuthentication no" إلى الملف "/etc/ssh/sshd_config" |
| يجب تعطيل المصادقة المستندة إلى مضيف SSH. - '/etc/ssh/sshd_config HostbasedAuthentication = لا' (108) |
الوصف: يمكن للمهاجم استخدام المصادقة المستندة إلى المضيف للوصول من مضيف مخترق | قم بتشغيل الأمر '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'. سيؤدي ذلك إلى إضافة السطر "HostbasedAuthentication no" إلى الملف "/etc/ssh/sshd_config" |
| يجب تعطيل تسجيل الدخول إلى الجذر عبر SSH. - '/etc/ssh/sshd_config PermitRootLogin = لا' (109) |
الوصف: يمكن للمهاجم فرض كلمة مرور الجذر بشكل غاشم ، أو إخفاء سجل الأوامر الخاص به عن طريق تسجيل الدخول مباشرة كجذر | قم بتشغيل الأمر '/usr/local/bin/azsecd remediate -r disable-ssh-root-login'. سيؤدي ذلك إلى إضافة السطر "PermitRootLogin no" إلى الملف "/etc/ssh/sshd_config" |
| يجب تعطيل الاتصالات عن بعد من الحسابات ذات كلمات المرور الفارغة. - '/etc/ssh/sshd_config PermitEmptyPasswords = لا' (110) |
الوصف: يمكن للمهاجم الوصول من خلال تخمين كلمة المرور | قم بتشغيل الأمر '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'. سيؤدي ذلك إلى إضافة السطر "PermitEmptyPasswords no" إلى الملف "/etc/ssh/sshd_config" |
| تأكد من تكوين الفاصل الزمني لمهلة الخمول SSH. (110.1) |
الوصف: قد يؤدي عدم وجود قيمة مهلة مقترنة باتصال إلى وصول مستخدم غير مصرح به إلى جلسة عمل ssh الخاصة بمستخدم آخر. يؤدي تعيين قيمة مهلة على الأقل إلى تقليل خطر حدوث ذلك. على الرغم من أن الإعداد الموصى به هو 300 ثانية (5 دقائق)، قم بتعيين قيمة المهلة هذه استنادا إلى سياسة الموقع. الإعداد ClientAliveCountMax الموصى به هو 0. في هذه الحالة ، سيتم إنهاء جلسة عمل العميل بعد 5 دقائق من وقت الخمول ولن يتم إرسال أي رسائل keepalive. |
تحرير ملف /etc/ssh/sshd_config لتعيين المعلمات وفقا للسياسة |
| تأكد من تعيين SSH LoginGraceTime على دقيقة واحدة أو أقل. (110.2) |
الوصف: سيؤدي تعيين المعلمة إلى رقم منخفض إلى تقليل خطر هجمات القوة الغاشمة LoginGraceTime الناجحة على خادم SSH. كما أنه سيحد من عدد الاتصالات المتزامنة غير المصادق عليها بينما الإعداد الموصى به هو 60 ثانية (1 دقيقة) ، قم بتعيين الرقم استنادا إلى سياسة الموقع. |
قم بتحرير الملف /etc/ssh/sshd_config لتعيين المعلمات وفقا للسياسة أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time" |
| تأكد من استخدام خوارزميات MAC المعتمدة فقط (110.3) |
الوصف: تعتبر خوارزميات MAC MD5 و 96 بت ضعيفة وقد ثبت أنها تزيد من قابلية الاستغلال في هجمات الرجوع إلى إصدار أقدم من SSH. لا تزال الخوارزميات الضعيفة تحظى بقدر كبير من الاهتمام كنقطة ضعف يمكن استغلالها بقوة حوسبة موسعة. يمكن للمهاجم الذي يكسر الخوارزمية الاستفادة من موقع MiTM لفك تشفير نفق SSH والتقاط بيانات الاعتماد والمعلومات | قم بتحرير الملف /etc/sshd_config وإضافة/تعديل سطر MACs ليحتوي على قائمة مفصولة بفواصل من MACs المعتمدة أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs" |
| تأكد من تكوين شعار تحذير تسجيل الدخول عن بعد بشكل صحيح. (111) |
الوصف: تبلغ رسائل التحذير المستخدمين الذين يحاولون تسجيل الدخول إلى النظام بوضعهم القانوني فيما يتعلق بالنظام ويجب أن تتضمن اسم المؤسسة التي تمتلك النظام وأي سياسات مراقبة موجودة. كما أن عرض معلومات نظام التشغيل ومستوى التصحيح في لافتات تسجيل الدخول له أيضا تأثير جانبي يتمثل في توفير معلومات مفصلة عن النظام للمهاجمين الذين يحاولون استهداف عمليات استغلال محددة للنظام. يمكن للمستخدمين المصرح لهم الحصول على هذه المعلومات بسهولة عن طريق تشغيل uname -aالأمر بمجرد تسجيل الدخول. |
إزالة أي مثيلات \m \r \s و \v من الملف /etc/issue.net |
| تأكد من تكوين شعار تحذير تسجيل الدخول المحلي بشكل صحيح. (111.1) |
الوصف: تبلغ رسائل التحذير المستخدمين الذين يحاولون تسجيل الدخول إلى النظام بوضعهم القانوني فيما يتعلق بالنظام ويجب أن تتضمن اسم المؤسسة التي تمتلك النظام وأي سياسات مراقبة موجودة. كما أن عرض معلومات نظام التشغيل ومستوى التصحيح في لافتات تسجيل الدخول له أيضا تأثير جانبي يتمثل في توفير معلومات مفصلة عن النظام للمهاجمين الذين يحاولون استهداف عمليات استغلال محددة للنظام. يمكن للمستخدمين المصرح لهم الحصول على هذه المعلومات بسهولة عن طريق تشغيل uname -aالأمر بمجرد تسجيل الدخول. |
إزالة أي مثيلات من \m \r \s و \v من ملف /etc/issue |
| يجب تمكين شعار تحذير SSH. - '/etc/ssh/sshd_config بانر = /etc/issue.net' (111.2) |
الوصف: لن يتم تحذير المستخدمين من مراقبة إجراءاتهم على النظام | قم بتشغيل الأمر '/usr/local/bin/azsecd remediate -r configure-ssh-banner'. سيؤدي ذلك إلى إضافة السطر "Banner /etc/azsec/banner.txt" إلى الملف "/etc/ssh/sshd_config" |
| لا يسمح للمستخدمين بتعيين خيارات البيئة ل SSH. (112) |
الوصف: قد يتمكن مهاجم من تجاوز بعض قيود الوصول عبر SSH | إزالة السطر "PermitUserEnvironment Yes" من الملف "/etc/ssh/sshd_config" |
| يجب استخدام الأصفار المناسبة ل SSH. (Ciphers aes128-ctr,aes192-ctr,aes256-ctr) (113) |
الوصف: قد يعرض مهاجم اتصال SSH ضعيف الأمان للخطر | قم بتشغيل الأمر '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers'. سيؤدي ذلك إلى إضافة السطر "Ciphers aes128-ctr ، aes192-ctr ، aes256-ctr" إلى الملف "/etc/ssh/sshd_config" |
| يجب تعطيل خدمة avahi-daemon. (114) |
الوصف: قد يستخدم مهاجم ثغرة أمنية في برنامج avahi الخفي للوصول | تعطيل خدمة avahi-daemon أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
| يجب تعطيل خدمة الكؤوس. (115) |
الوصف: يمكن للمهاجم استخدام عيب في خدمة الكؤوس لرفع الامتيازات | تعطيل خدمة الأكواب أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups" |
| يجب تعطيل خدمة isc-dhcpd. (116) |
الوصف: يمكن للمهاجم استخدام dhcpd لتوفير معلومات خاطئة للعملاء، مما يتداخل مع التشغيل العادي. | إزالة حزمة ISC-dhcp-server (apt-get remove isc-dhcp-server) |
| يجب إزالة تثبيت حزمة ISC-dhcp-server. (117) |
الوصف: يمكن للمهاجم استخدام dhcpd لتوفير معلومات خاطئة للعملاء، مما يتداخل مع التشغيل العادي. | إزالة حزمة ISC-dhcp-server (apt-get remove isc-dhcp-server) |
| يجب إزالة تثبيت حزمة sendmail. (120) |
الوصف: يمكن للمهاجم استخدام هذا النظام لإرسال رسائل بريد إلكتروني تحتوي على محتوى ضار إلى مستخدمين آخرين | إلغاء تثبيت حزمة sendmail (apt-get remove sendmail) |
| يجب إزالة تثبيت حزمة postfix. (121) |
الوصف: يمكن للمهاجم استخدام هذا النظام لإرسال رسائل بريد إلكتروني تحتوي على محتوى ضار إلى مستخدمين آخرين | قم بإلغاء تثبيت حزمة postfix (apt-get remove postfix) أو قم بتشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
| يجب تعطيل الاستماع إلى شبكة Postfix حسب الاقتضاء. (122) |
الوصف: يمكن للمهاجم استخدام هذا النظام لإرسال رسائل بريد إلكتروني تحتوي على محتوى ضار إلى مستخدمين آخرين | أضف السطر "inet_interfaces localhost" إلى الملف "/etc/postfix/main.cf" |
| يجب تعطيل خدمة ldap. (124) |
الوصف: يمكن للمهاجم التلاعب بخدمة LDAP على هذا المضيف لتوزيع بيانات خاطئة على برامج LDAP | إلغاء تثبيت حزمة الصفعة (apt-get remove slapd) |
| يجب تعطيل خدمة rpcgssd. (126) |
الوصف: يمكن لمهاجم استخدام عيب في rpcgssd/nfs للوصول | تعطيل خدمة rpcgssd أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
| يجب تعطيل خدمة rpcidmapd. (127) |
الوصف: يمكن للمهاجم استخدام عيب في idmapd/nfs للوصول | تعطيل خدمة rpcidmapd أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
| يجب تعطيل خدمة خريطة المنفذ. (129.1) |
الوصف: قد يستخدم مهاجم ثغرة في خريطة المنفذ للوصول | تعطيل خدمة rpcbind أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
| يجب تعطيل خدمة نظام ملفات الشبكة (NFS). (129.2) |
الوصف: يمكن للمهاجم استخدام NFS لتحميل المشاركات وتنفيذ / نسخ الملفات. | تعطيل خدمة NFS أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' |
| يجب تعطيل خدمة rpcsvcgssd. (130) |
الوصف: يمكن للمهاجم استخدام عيب في rpcsvcgssd للوصول | إزالة السطر "NEED_SVCGSSD = نعم" من الملف "/etc/inetd.conf" |
| يجب تعطيل الخدمة المسماة. (131) |
الوصف: يمكن للمهاجم استخدام خدمة DNS لتوزيع بيانات خاطئة على العملاء | إلغاء تثبيت حزمة bind9 (apt-get remove bind9) |
| يجب إزالة تثبيت حزمة الربط. (132) |
الوصف: يمكن للمهاجم استخدام خدمة DNS لتوزيع بيانات خاطئة على العملاء | إلغاء تثبيت حزمة bind9 (apt-get remove bind9) |
| يجب تعطيل خدمة الحمامة. (137) |
الوصف: يمكن استخدام النظام كخادم IMAP/POP3 | إلغاء تثبيت حزمة dovecot-core (apt-get remove dovecot-core) |
| يجب إلغاء تثبيت حزمة dovecot. (138) |
الوصف: يمكن استخدام النظام كخادم IMAP/POP3 | إلغاء تثبيت حزمة dovecot-core (apt-get remove dovecot-core) |
تأكد من عدم وجود إدخالات قديمة + في /etc/passwd(156.1) |
الوصف: يمكن للمهاجم الوصول باستخدام اسم المستخدم "+" بدون كلمة مرور | إزالة أي إدخالات في /etc/passwd التي تبدأ ب "+:" |
تأكد من عدم وجود إدخالات قديمة + في /etc/shadow(156.2) |
الوصف: يمكن للمهاجم الوصول باستخدام اسم المستخدم "+" بدون كلمة مرور | إزالة أي إدخالات في /etc/shadow تبدأ ب "+:" |
تأكد من عدم وجود إدخالات قديمة + في /etc/group(156.3) |
الوصف: يمكن للمهاجم الوصول باستخدام اسم المستخدم "+" بدون كلمة مرور | إزالة أي إدخالات في /etc/group تبدأ ب "+:" |
| تأكد من انتهاء صلاحية كلمة المرور لمدة 365 يوما أو أقل. (157.1) |
الوصف: يؤدي تقليل الحد الأقصى لعمر كلمة المرور أيضا إلى تقليل فرصة المهاجم للاستفادة من بيانات الاعتماد المخترقة أو اختراق بيانات الاعتماد بنجاح عبر هجوم القوة الغاشمة عبر الإنترنت. | قم بتعيين المعلمة PASS_MAX_DAYS إلى ما لا يزيد عن 365 في /etc/login.defs أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days" |
| تأكد من أن أيام تحذير انتهاء صلاحية كلمة المرور هي 7 أيام أو أكثر. (157.2) |
الوصف: إن توفير تحذير مسبق بأن كلمة المرور ستنتهي صلاحيتها يمنح المستخدمين الوقت للتفكير في كلمة مرور آمنة. يمكن للمستخدمين الذين يتم اكتشافهم غير مدركين اختيار كلمة مرور بسيطة أو كتابتها حيث يمكن اكتشافها. | قم بتعيين المعلمة PASS_WARN_AGE إلى 7 في /etc/login.defs أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age" |
| تأكد من أن إعادة استخدام كلمة المرور محدودة. (157.5) |
الوصف: إجبار المستخدمين على عدم إعادة استخدام كلمات مرور 5 السابقة يجعل من غير المرجح أن يتمكن المهاجم من تخمين كلمة المرور. | تأكد من تعيين خيار "تذكر" على 5 على الأقل إما في /etc/pam.d/common-password أو كليهما/etc/pam.d/password_auth و/etc/pam.d/system_auth أو قم بتشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history" |
| تأكد من أن خوارزمية تجزئة كلمة المرور هي SHA-512 (157.11) |
الوصف: توفر خوارزمية SHA-512 تجزئة أقوى بكثير من MD5 ، مما يوفر حماية إضافية للنظام عن طريق زيادة مستوى الجهد المبذول للمهاجم لتحديد كلمات المرور بنجاح. ملاحظة: تنطبق هذه التغييرات فقط على الحسابات التي تم تكوينها على النظام المحلي. | اضبط خوارزمية تجزئة كلمة المرور على sha512. توفر العديد من التوزيعات أدوات لتحديث تكوين PAM ، راجع الوثائق الخاصة بك للحصول على التفاصيل. إذا لم يتم توفير أي أدوات، فقم بتحرير ملف التكوين المناسب /etc/pam.d/ وإضافة الأسطر أو تعديلها pam_unix.so لتضمين خيار sha512: password sufficient pam_unix.so sha512 |
| تأكد من أن الحد الأدنى للأيام بين تغييرات كلمة المرور هو 7 أيام أو أكثر. (157.12) |
الوصف: من خلال تقييد تكرار تغييرات كلمة المرور، يمكن للمسؤول منع المستخدمين من تغيير كلمة المرور بشكل متكرر في محاولة للتحايل على عناصر التحكم في إعادة استخدام كلمة المرور. | اضبط المعلمة PASS_MIN_DAYS على 7 في /etc/login.defs: PASS_MIN_DAYS 7. تعديل معلمات المستخدم لجميع المستخدمين الذين تم تعيين كلمة مرور لمطابقتهم: chage --mindays 7 أو تشغيل "/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days" |
| تأكد من أن تاريخ آخر تغيير لكلمة مرور جميع المستخدمين في الماضي (157.14) |
الوصف: إذا كان تاريخ تغيير كلمة المرور المسجلة للمستخدمين في المستقبل ، فيمكنهم تجاوز أي انتهاء صلاحية محدد لكلمة المرور. | تأكد من أن قفل كلمة المرور غير النشطة هو 30 يوما أو أقل قم بتشغيل الأمر التالي لتعيين فترة عدم نشاط كلمة المرور الافتراضية إلى 30 يوما: تعديل معلمات المستخدم لجميع المستخدمين الذين تم تعيين كلمة مرور لمطابقتهم: # useradd -D -f 30# chage --inactive 30 |
| التأكد من أن حسابات النظام لا تسجل الدخول (157.15) |
الوصف: من المهم التأكد من منع استخدام الحسابات التي لا يستخدمها المستخدمون العاديون لتوفير غلاف تفاعلي. بشكل افتراضي ، يقوم Ubuntu بتعيين حقل كلمة المرور لهذه الحسابات إلى سلسلة غير صالحة ، ولكن يوصى أيضا بتعيين حقل shell في ملف كلمة المرور إلى /usr/sbin/nologin. يمنع هذا الحساب من المحتمل استخدامه لتشغيل أية أوامر. |
تعيين shell لأي حسابات يتم إرجاعها بواسطة البرنامج النصي للتدقيق إلى /sbin/nologin |
| تأكد من أن المجموعة الافتراضية للحساب الجذر هي GID 0 (157.16) |
الوصف: يساعد استخدام GID 0 للحساب _root_ على منع _root_وصول الملفات المملوكة عن طريق الخطأ للمستخدمين غير المميزين. |
قم بتشغيل الأمر التالي لتعيين المجموعة الافتراضية للمستخدم root إلى GID 0 : # usermod -g 0 root |
| تأكد من أن الجذر هو حساب UID 0 الوحيد (157.18) |
الوصف: يجب أن يقتصر هذا الوصول على الحساب الافتراضي root فقط ومن وحدة تحكم النظام فقط. يجب أن يكون الوصول الإداري من خلال حساب غير مميز باستخدام آلية معتمدة. |
إزالة أي مستخدمين بخلاف root UID أو تعيين UID 0 جديد لهم إذا كان ذلك مناسبا. |
| إزالة الحزم غير الضرورية (158) |
الوصف: | Run '/opt/microsoft/omsagent/plugin/omsremediate -r remove-landscape-common |
| إزالة الحسابات غير الضرورية (159) |
الوصف: للامتثال | إزالة الحسابات غير الضرورية |
| ضمان تمكين الخدمة المدققة (162) |
الوصف: يوفر التقاط أحداث النظام لمسؤولي النظام معلومات للسماح لهم بتحديد ما إذا كان الوصول غير المصرح به إلى نظامهم يحدث. | تثبيت حزمة التدقيق (تمكين systemctl المدقق) |
| تشغيل خدمة AuditD (163) |
الوصف: يوفر التقاط أحداث النظام لمسؤولي النظام معلومات للسماح لهم بتحديد ما إذا كان الوصول غير المصرح به إلى نظامهم يحدث. | تشغيل خدمة AuditD (بدء تدقيق systemctl) |
| تأكد من عدم تمكين خادم SNMP (179) |
الوصف: يمكن لخادم SNMP الاتصال باستخدام SNMP v1 ، الذي ينقل البيانات بشكل واضح ولا يتطلب مصادقة لتنفيذ الأوامر. ما لم يكن ذلك ضروريا للغاية ، يوصى بعدم استخدام خدمة SNMP. إذا كان SNMP مطلوبا ، فيجب تكوين الخادم لعدم السماح ب SNMP v1. | قم بتشغيل أحد الأوامر التالية لتعطيل snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| تأكد من عدم تمكين خدمة rsync (181) |
الوصف: تمثل rsyncd الخدمة خطرا أمنيا لأنها تستخدم بروتوكولات غير مشفرة للاتصال. |
قم بتشغيل أحد الأوامر التالية لتعطيل rsyncd : chkconfig rsyncd off, , systemctl disable rsyncdupdate-rc.d rsyncd disable أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsysnc' |
| تأكد من عدم تمكين خادم NIS (182) |
الوصف: خدمة NIS هي نظام غير آمن بطبيعته كان عرضة لهجمات DOS وتجاوز سعة المخزن المؤقت وضعف المصادقة للاستعلام عن خرائط NIS. يتم استبدال NIS بشكل عام ببروتوكولات مثل بروتوكول الوصول إلى الدليل الخفيف الوزن (LDAP). يوصى بتعطيل الخدمة واستخدام خدمات أكثر أمانا | قم بتشغيل أحد الأوامر التالية لتعطيل ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| تأكد من عدم تثبيت عميل rsh (183) |
الوصف: تحتوي هذه الأجهزة العميلة القديمة على العديد من التعرضات الأمنية وتم استبدالها بحزمة SSH الأكثر أمانا. حتى إذا تمت إزالة الخادم ، فمن الأفضل التأكد من إزالة العملاء أيضا لمنع المستخدمين من محاولة استخدام هذه الأوامر عن غير قصد وبالتالي عرض بيانات الاعتماد الخاصة بهم. لاحظ أن إزالة الحزمة rsh يزيل العملاء ل rsh، rcp و rlogin. |
إلغاء التثبيت باستخدام مدير الحزم المناسب أو التثبيت rsh اليدوي: yum remove rshapt-get remove rshzypper remove rsh |
| تعطيل SMB V1 مع سامبا (185) |
الوصف: يحتوي SMB v1 على نقاط ضعف معروفة وخطيرة ولا يقوم بتشفير البيانات أثناء النقل. وإذا كان لا بد من استخدامه لأسباب تجارية، فمن المستحسن بشدة اتخاذ خطوات إضافية للتخفيف من المخاطر الكامنة في هذا البروتوكول. | إذا لم يكن سامبا قيد التشغيل، فقم بإزالة الحزمة، وإلا يجب أن يكون هناك سطر في القسم [العالمي] من /etc/samba/smb.conf: بروتوكول الحد الأدنى = SMB2 أو تشغيل '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
ملاحظة
قد يختلف توفر إعدادات تكوين ضيف Azure Policy محددة في Azure Government والسحب الوطنية الأخرى.
الخطوات التالية
مقالات إضافية حول سياسة Azure وتكوين الضيف:
- Azure Policy guest configuration.
- نظرة عامة على الامتثال الرقابي.
- اعرض أمثلة أخرى في نماذج نهج Azure.
- اطلع على فهم تأثيرات النهج.
- تعرّف على كيفية معالجة الموارد غير الممتثلة.