Linha de base de segurança Linux
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
Este artigo detalha as definições de configuração para convidados Linux, conforme aplicável nas seguintes implementações:
- [Pré-visualização]: As máquinas Linux devem cumprir os requisitos para a definição de configuração de convidado de convidado da Política do Azure para a linha de base de segurança de computação do Azure
- As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas no Microsoft Defender for Cloud
Para obter mais informações, consulte Configuração de convidado da Política do Azure e Visão geral do Benchmark de Segurança do Azure (V2).
Controlos gerais de segurança
| Nome (CCEID) |
Detalhes | Verificação de correção |
|---|---|---|
| Certifique-se da opção nodev definida na partição /home. (1.1.4) |
Descrição: Um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /home. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /home. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique a opção nodev definida na partição /tmp. (1.1.5) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique a opção nodev definida na partição /var/tmp. (1.1.6) |
Descrição: Um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /var/tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção nosuid esteja definida na partição /tmp. (1.1.7) |
Descrição: Como o sistema de arquivos /tmp se destina apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção nosuid esteja definida na partição /var/tmp. (1.1.8) |
Descrição: Como o sistema de arquivos /var/tmp se destina apenas ao armazenamento temporário de arquivos, defina esta opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção noexec esteja definida na partição /var/tmp. (1.1.9) |
Descrição: Como o /var/tmp sistema de arquivos se destina apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam executar binários executáveis a partir do /var/tmp . |
Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção noexec esteja definida na partição /dev/shm. (1.1.16) |
Descrição: Definir essa opção em um sistema de arquivos impede que os usuários executem programas a partir da memória compartilhada. Este controlo dissuade os utilizadores de introduzir software potencialmente malicioso no sistema. | Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /dev/shm. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Desativar a montagem automática (1.1.21) |
Descrição: Com a montagem automática ativada, qualquer pessoa com acesso físico pode anexar uma unidade USB ou disco e ter seu conteúdo disponível no sistema, mesmo que não tenha permissões para montá-lo por conta própria. | Desative o serviço autofs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
| Verifique se a montagem de dispositivos de armazenamento USB está desativada (1.1.21.1) |
Descrição: A remoção do suporte para dispositivos de armazenamento USB reduz a superfície de ataque local do servidor. | Edite ou crie um arquivo no /etc/modprobe.d/ diretório que termina em .conf e adicione install usb-storage /bin/true , em seguida, descarregue o módulo de armazenamento usb ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Certifique-se de que os dumps principais sejam restritos. (1.5.1) |
Descrição: Definir um limite rígido em dumps principais impede que os usuários substituam a variável soft. Se forem necessários dumps principais, considere definir limites para grupos de usuários (consulte limits.conf(5)). Além disso, definir a variável como 0 evitará que os fs.suid_dumpable programas setuid despejem o núcleo. |
Adicione hard core 0 ao /etc/security/limits.conf ou um arquivo no diretório limits.d e defina fs.suid_dumpable = 0 no sysctl ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
| Verifique se o pré-link está desativado. (1.5.4) |
Descrição: O recurso de pré-vinculação pode interferir na operação do AIDE, pois altera binários. A pré-vinculação também pode aumentar a vulnerabilidade do sistema se um usuário mal-intencionado for capaz de comprometer uma biblioteca comum, como a libc. | Desinstale prelink usando seu gerenciador de pacotes ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
| Verifique se as permissões em /etc/motd estão configuradas. (1.7.1.4) |
Descrição: Se o /etc/motd arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Defina o proprietário e o grupo de /etc/motd como root e defina permissões para 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/issue estão configuradas. (1.7.1.5) |
Descrição: Se o /etc/issue arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Defina o proprietário e o grupo de /etc/issue como root e defina permissões para 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/issue.net estão configuradas. (1.7.1.6) |
Descrição: Se o /etc/issue.net arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Defina o proprietário e o grupo de /etc/issue.net como root e defina permissões para 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| A opção nodev deve ser habilitada para todas as mídias removíveis. (2.1) |
Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) por meio de mídia removível | Adicione a opção nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| A opção noexec deve ser ativada para todas as mídias removíveis. (2.2) |
Descrição: Um invasor pode carregar um arquivo executável por meio de mídia removível | Adicione a opção noexec ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| A opção nosuid deve ser ativada para todas as mídias removíveis. (2.3) |
Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado por meio de mídia removível | Adicione a opção nosuid ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique se o cliente de conversa não está instalado. (2.3.3) |
Descrição: O software apresenta um risco de segurança, uma vez que utiliza protocolos não encriptados para comunicação. | Desinstale talk ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
| Verifique se as permissões em /etc/hosts.allow estão configuradas. (3.4.4) |
Descrição: é fundamental garantir que o /etc/hosts.allow arquivo esteja protegido contra acesso de gravação não autorizado. Embora esteja protegido por padrão, as permissões do arquivo podem ser alteradas inadvertidamente ou por meio de ações maliciosas. |
Defina o proprietário e o grupo de /etc/hosts.allow para root e as permissões para 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Verifique se as permissões em /etc/hosts.deny estão configuradas. (3.4.5) |
Descrição: é fundamental garantir que o /etc/hosts.deny arquivo esteja protegido contra acesso de gravação não autorizado. Embora esteja protegido por padrão, as permissões do arquivo podem ser alteradas inadvertidamente ou por meio de ações maliciosas. |
Defina o proprietário e o grupo de /etc/hosts.deny para root e as permissões para 0644 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
| Garantir a política de firewall de negação padrão (3.6.2) |
Descrição: Com uma política de aceitação padrão, o firewall aceitará qualquer pacote que não seja explicitamente negado. É mais fácil manter um firewall seguro com uma política DROP padrão do que com uma política Permitir padrão. | Defina a política padrão para tráfego de entrada, de saída e roteado para deny ou reject conforme apropriado usando seu software de firewall |
| A opção nodev/nosuid deve ser habilitada para todas as montagens NFS. (5) |
Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado ou dispositivos especiais por meio do sistema de arquivos remoto | Adicione as opções nosuid e nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique se as permissões em /etc/ssh/sshd_config estão configuradas. (5.2.1) |
Descrição: O /etc/ssh/sshd_config arquivo precisa ser protegido contra alterações não autorizadas por usuários não privilegiados. |
Defina o proprietário e o grupo de /etc/ssh/sshd_config para root e defina as permissões para 0600 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
| Verifique se os requisitos de criação de senha estão configurados. (5.3.1) |
Descrição: As palavras-passe fortes protegem os sistemas de serem pirateados através de métodos de força bruta. | Defina os seguintes pares chave/valor no PAM apropriado para sua distro: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1, ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
| Verifique se o bloqueio para tentativas de senha com falha está configurado. (5.3.2) |
Descrição: Bloquear IDs de usuário após n tentativas de login consecutivas malsucedidas reduz os ataques de senha de força bruta contra seus sistemas. |
para Ubuntu e Debian, adicione os módulos pam_tally e pam_deny conforme apropriado. Para todas as outras distros, consulte a documentação da sua distro |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (cramfs) (6.1) |
Descrição: um invasor pode usar uma vulnerabilidade no cramfs para elevar privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desative cramfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (freevxfs) (6.2) |
Descrição: um invasor pode usar uma vulnerabilidade no freevxfs para elevar privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desative o freevxfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se todos os diretórios base dos usuários existem (6.2.7) |
Descrição: Se o diretório base do usuário não existir ou não estiver atribuído, o usuário será colocado na raiz do volume. Além disso, o usuário será incapaz de escrever quaisquer arquivos ou definir variáveis de ambiente. | Se os diretórios base de algum usuário não existirem, crie-os e certifique-se de que o respetivo usuário seja o proprietário do diretório. Os usuários sem um diretório base atribuído devem ser removidos ou atribuídos a um diretório base, conforme apropriado. |
| Garantir que os usuários possuam seus diretórios base (6.2.9) |
Descrição: Como o usuário é responsável pelos arquivos armazenados no diretório inicial do usuário, o usuário deve ser o proprietário do diretório. | Altere a propriedade de quaisquer diretórios base que não sejam de propriedade do usuário definido para o usuário correto. |
| Certifique-se de que os arquivos de pontos dos usuários não são graváveis em grupo ou no mundo. (6.2.10) |
Descrição: Os arquivos de configuração de usuário graváveis em grupo ou no mundo podem permitir que usuários mal-intencionados roubem ou modifiquem dados de outros usuários ou ganhem privilégios de sistema de outro usuário. | Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, recomendamos que você estabeleça uma política de monitoramento para relatar as permissões do arquivo ponto do usuário e determinar as ações de correção da política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .forward (6.2.11) |
Descrição: O uso do arquivo representa um risco de segurança, .forward pois dados confidenciais podem ser transferidos inadvertidamente para fora da organização. O .forward arquivo também representa um risco, pois pode ser usado para executar comandos que podem executar ações não intencionais. |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .forward e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .netrc (6.2.12) |
Descrição: O .netrc ficheiro apresenta um risco de segurança significativo, uma vez que armazena palavras-passe de forma não encriptada. Mesmo que o FTP esteja desativado, as contas de usuário podem ter trazido .netrc arquivos de outros sistemas que podem representar um risco para esses sistemas |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .netrc e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .rhosts (6.2.14) |
Descrição: Esta ação só é significativa se .rhosts o suporte for permitido no arquivo /etc/pam.conf . Mesmo que os arquivos sejam ineficazes se o .rhosts suporte estiver desativado no /etc/pam.conf , eles podem ter sido trazidos de outros sistemas e podem conter informações úteis para um invasor desses outros sistemas. |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .rhosts e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que todos os grupos em /etc/passwd existam em /etc/group (6.2.15) |
Descrição: Os grupos definidos no arquivo /etc/passwd, mas não no arquivo /etc/group, representam uma ameaça à segurança do sistema, uma vez que as permissões de grupo não são gerenciadas corretamente. | Para cada grupo definido em /etc/passwd, certifique-se de que existe um grupo correspondente em /etc/group |
| Certifique-se de que não existem UIDs duplicados (6.2.16) |
Descrição: Os usuários devem receber UIDs exclusivos para responsabilidade e para garantir proteções de acesso apropriadas. | Estabeleça UIDs exclusivos e revise todos os arquivos de propriedade dos UIDs compartilhados para determinar a qual UID eles devem pertencer. |
| Certifique-se de que não existem GIDs duplicados (6.2.17) |
Descrição: Os grupos devem receber GIDs exclusivos para prestação de contas e para garantir proteções de acesso apropriadas. | Estabeleça GIDs exclusivos e analise todos os arquivos de propriedade dos GIDs compartilhados para determinar a qual GID eles devem pertencer. |
| Certifique-se de que não existem nomes de utilizador duplicados (6.2.18) |
Descrição: Se um usuário receber um nome de usuário duplicado, ele criará e terá acesso a arquivos com o primeiro UID para esse nome de usuário no /etc/passwd . Por exemplo, se 'test4' tem um UID de 1000 e uma entrada 'test4' subsequente tem um UID de 2000, o login como 'test4' usará UID 1000. Efetivamente, o UID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes de usuário exclusivos para todos os usuários. As propriedades dos arquivos refletirão automaticamente a alteração, desde que os usuários tenham UIDs exclusivos. |
| Certifique-se de que não existem grupos duplicados (6.2.19) |
Descrição: Se um grupo receber um nome de grupo duplicado, ele criará e terá acesso a arquivos com o primeiro GID para esse grupo no /etc/group . Efetivamente, o GID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes exclusivos para todos os grupos de usuários. As propriedades do grupo de arquivos refletirão automaticamente a alteração, desde que os grupos tenham GIDs exclusivos. |
| Verifique se o grupo de sombras está vazio (6.2.20) |
Descrição: Todos os usuários atribuídos ao grupo de sombras teriam acesso de leitura ao arquivo /etc/shadow. Se os invasores podem obter acesso de leitura ao /etc/shadow arquivo, eles podem facilmente executar um programa de quebra de senha contra as senhas com hash para quebrá-las. Outras informações de segurança armazenadas no /etc/shadow arquivo (como expiração) também podem ser úteis para subverter outras contas de usuário. |
Remover todos os usuários do grupo de sombra |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (hfs) (6.3) |
Descrição: um invasor pode usar uma vulnerabilidade no hfs para elevar os privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desative o hfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (hfsplus) (6.4) |
Descrição: um invasor pode usar uma vulnerabilidade no hfsplus para elevar privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desative o hfsplus ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (jffs2) (6.5) |
Descrição: um invasor pode usar uma vulnerabilidade no jffs2 para elevar privilégios | Adicione um arquivo ao diretório /etc/modprob.d que desative o jffs2 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Os kernels só devem ser compilados a partir de fontes aprovadas. (10) |
Descrição: Um kernel de uma fonte não aprovada pode conter vulnerabilidades ou backdoors para conceder acesso a um invasor. | Instale o kernel fornecido pelo fornecedor da sua distribuição. |
| As permissões do arquivo /etc/shadow devem ser definidas como 0400 (11.1) |
Descrição: Um invasor pode recuperar ou manipular senhas com hash de /etc/shadow se não estiver protegido corretamente. | Defina as permissões e a propriedade de /etc/shadow* ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| As permissões do arquivo /etc/shadow- devem ser definidas como 0400 (11.2) |
Descrição: Um invasor pode recuperar ou manipular senhas com hash de /etc/shadow- se não estiver protegido corretamente. | Defina as permissões e a propriedade de /etc/shadow* ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
| As permissões do arquivo /etc/gshadow devem ser definidas como 0400 (11.3) |
Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade de /etc/gshadow- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| /etc/gshadow- as permissões de arquivo devem ser definidas como 0400 (11.4) |
Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade do /etc/gshadow ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
| As permissões do arquivo /etc/passwd devem ser 0644 (12.1) |
Descrição: um invasor pode modificar IDs de usuário e shells de login | Defina as permissões e a propriedade de /etc/passwd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
| As permissões de arquivo /etc/group devem ser 0644 (12.2) |
Descrição: um invasor pode elevar os privilégios modificando a associação ao grupo | Defina as permissões e a propriedade de /etc/group ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| /etc/passwd- as permissões de arquivo devem ser definidas como 0600 (12.3) |
Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Defina as permissões e a propriedade de /etc/passwd- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
| /etc/group- as permissões de arquivo devem ser 0644 (12.4) |
Descrição: um invasor pode elevar os privilégios modificando a associação ao grupo | Defina as permissões e a propriedade de /etc/group- ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
| O acesso à conta root via su deve ser restrito ao grupo 'root' (21) |
Descrição: um invasor pode escalar permissões por adivinhação de senha se su não estiver restrito a usuários no grupo raiz. | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'. Esse controle adiciona a linha 'auth required pam_wheel.so use_uid' ao arquivo '/etc/pam.d/su' |
| O grupo 'raiz' deve existir, e conter todos os membros que podem su para root (22) |
Descrição: um invasor pode escalar permissões por adivinhação de senha se su não estiver restrito a usuários no grupo raiz. | Crie o grupo raiz através do comando 'groupadd -g 0 root' |
| Todas as contas devem ter uma palavra-passe (23.2) |
Descrição: um invasor pode fazer login em contas sem senha e executar comandos arbitrários. | Use o comando passwd para definir senhas para todas as contas |
| Contas diferentes da raiz devem ter UIDs exclusivos maiores que zero(0) (24) |
Descrição: Se uma conta diferente do root tiver uid zero, um invasor poderá comprometer a conta e obter privilégios de root. | Atribua uids exclusivos e diferentes de zero a todas as contas não-root usando 'usermod -u' |
| O posicionamento aleatório de regiões de memória virtual deve ser habilitado (25) |
Descrição: um invasor pode escrever código executável em regiões conhecidas na memória, resultando em elevação de privilégio | Adicione o valor '1' ou '2' ao ficheiro '/proc/sys/kernel/randomize_va_space' |
| O suporte do kernel para o recurso de processador XD/NX deve ser ativado (26) |
Descrição: um invasor pode fazer com que um sistema execute código de regiões de dados na memória, resultando em elevação de privilégio. | Confirme se o ficheiro '/proc/cpuinfo' contém a bandeira 'nx' |
| O '.' não deve aparecer no $PATH do root (27.1) |
Descrição: um invasor pode elevar os privilégios colocando um arquivo mal-intencionado no $PATH da raiz | Modifique a linha 'export PATH=' em /root/.profile |
| Os diretórios iniciais do usuário devem ser de modo 750 ou mais restritivos (28) |
Descrição: um invasor pode recuperar informações confidenciais das pastas base de outros usuários. | Defina as permissões da pasta base para 750 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
| O umask padrão para todos os usuários deve ser definido como 077 em login.defs (29) |
Descrição: um invasor pode recuperar informações confidenciais de arquivos pertencentes a outros usuários. | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'. Isto adicionará a linha 'UMASK 077' ao ficheiro '/etc/login.defs' |
| Todos os bootloaders devem ter a proteção por senha ativada. (31) |
Descrição: Um invasor com acesso físico pode modificar as opções do carregador de inicialização, produzindo acesso irrestrito ao sistema | Adicione uma senha do carregador de inicialização ao arquivo '/boot/grub/grub.cfg' |
| Verifique se as permissões na configuração do carregador de inicialização estão configuradas (31.1) |
Descrição: Definir as permissões de leitura e gravação para root apenas impede que usuários não-root vejam os parâmetros de inicialização ou os alterem. Os usuários não-root que leem os parâmetros de inicialização podem ser capazes de identificar fraquezas na segurança durante a inicialização e ser capazes de explorá-las. | Defina o proprietário e o grupo do seu bootloader para root:root e permissões para 0400 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
| Verifique a autenticação necessária para o modo de usuário único. (33) |
Descrição: Exigir autenticação no modo de usuário único impede que um usuário não autorizado reinicie o sistema em um único usuário para obter privilégios de root sem credenciais. | Execute o seguinte comando para definir uma senha para o usuário root: passwd root |
| Verifique se o envio de redirecionamento de pacotes está desativado. (38.3) |
Descrição: um invasor pode usar um host comprometido para enviar redirecionamentos ICMP inválidos para outros dispositivos do roteador em uma tentativa de corromper o roteamento e fazer com que os usuários acessem um sistema configurado pelo invasor em vez de um sistema válido. | defina os seguintes parâmetros em /etc/sysctl.conf: 'net.ipv4.conf.all.send_redirects = 0' e 'net.ipv4.conf.default.send_redirects = 0' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
| O envio de redirecionamentos ICMP deve ser desativado para todas as interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Descrição: um invasor pode alterar a tabela de roteamento deste sistema, redirecionando o tráfego para um destino alternativo | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects'. |
| O envio de redirecionamentos ICMP deve ser desativado para todas as interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Descrição: um invasor pode alterar a tabela de roteamento deste sistema, redirecionando o tráfego para um destino alternativo | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' |
| A aceitação de pacotes roteados de origem deve ser desabilitada para todas as interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A aceitação de pacotes roteados de origem deve ser desabilitada para todas as interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para interfaces de rede. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para interfaces de rede. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| Ignorar respostas ICMP falsas para transmissões deve ser habilitado. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Descrição: um invasor pode executar um ataque ICMP resultando em DoS | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
| Ignorar solicitações de eco ICMP (pings) enviadas para endereços de difusão / multicast deve ser habilitado. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Descrição: um invasor pode executar um ataque ICMP resultando em DoS | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
| O registro de pacotes marcianos (aqueles com endereços impossíveis) deve ser habilitado para todas as interfaces. (net.ipv4.conf.all.log_marcianos = 1) (45.1) |
Descrição: um invasor pode enviar tráfego de endereços falsificados sem ser detetado | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
| A execução da validação de origem por caminho reverso deve ser habilitada para todas as interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Descrição: O sistema aceitará tráfego de endereços que não são roteáveis. | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| A execução da validação de origem por caminho reverso deve ser habilitada para todas as interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Descrição: O sistema aceitará tráfego de endereços que não são roteáveis. | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
| Os cookies TCP SYN devem ser ativados. (net.ipv4.tcp_syncookies = 1) (47) |
Descrição: um invasor pode executar um DoS sobre TCP | Execute sysctl -w key=value e defina como um valor compatível ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
| O sistema não deve agir como um sniffer de rede. (48) |
Descrição: um invasor pode usar interfaces promíscuas para detetar tráfego de rede | O modo promíscuo é ativado através de uma entrada 'promisc' em '/etc/network/interfaces' ou '/etc/rc.local'. Verifique ambos os ficheiros e remova esta entrada. |
| Todas as interfaces sem fio devem ser desativadas. (49) |
Descrição: Um invasor pode criar um AP falso para intercetar transmissões. | Confirme se todas as interfaces sem fio estão desativadas em '/etc/network/interfaces' |
| O protocolo IPv6 deve estar habilitado. (50) |
Descrição: Isto é necessário para a comunicação em redes modernas. | Abra /etc/sysctl.conf e confirme se 'net.ipv6.conf.all.disable_ipv6' e 'net.ipv6.conf.default.disable_ipv6' estão definidos como 0 |
| Verifique se o DCCP está desativado (54) |
Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Edite ou crie um arquivo no /etc/modprobe.d/ diretório que termina em .conf e adicione install dccp /bin/true , em seguida, descarregue o módulo dccp ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o SCTP está desativado (55) |
Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Edite ou crie um arquivo no /etc/modprobe.d/ diretório que termina em .conf e adicione e descarregue install sctp /bin/true o módulo sctp ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Desative o suporte para RDS. (56) |
Descrição: um invasor pode usar uma vulnerabilidade no RDS para comprometer o sistema | Edite ou crie um arquivo no /etc/modprobe.d/ diretório que termina em .conf e adicione e depois install rds /bin/true descarregue o módulo rds ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o TIPC está desativado (57) |
Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Edite ou crie um arquivo no /etc/modprobe.d/ diretório que termina em .conf e adicione install tipc /bin/true , em seguida, descarregue o módulo tipc ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
| Verifique se o registro em log está configurado (60) |
Descrição: Uma grande quantidade de informações importantes relacionadas à segurança é enviada via rsyslog (por exemplo, tentativas de su bem-sucedidas e fracassadas, tentativas de login falhadas, tentativas de login root, etc.). |
Configure syslog, rsyslog ou syslog-ng conforme apropriado |
| O pacote syslog, rsyslog ou syslog-ng deve ser instalado. (61) |
Descrição: Problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Instale o pacote rsyslog ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
| O serviço systemd-journald deve ser configurado para persistir mensagens de log (61.1) |
Descrição: Problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Crie /var/log/journal e verifique se o armazenamento em journald.conf é automático ou persistente |
| Verifique se um serviço de registro em log está habilitado (62) |
Descrição: É imperativo ter a capacidade de registrar eventos em um nó. | Habilite o pacote rsyslog ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
| As permissões de arquivo para todos os arquivos de log rsyslog devem ser definidas como 640 ou 600. (63) |
Descrição: um invasor pode ocultar a atividade manipulando logs | Adicione a linha '$FileCreateMode 0640' ao arquivo '/etc/rsyslog.conf' |
| Verifique se os arquivos de configuração do registrador estão restritos. (63.1) |
Descrição: é importante garantir que os arquivos de log existam e tenham as permissões corretas para garantir que os dados confidenciais do syslog sejam arquivados e protegidos. | Defina os arquivos de configuração do seu registrador como 0640 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' |
| Todos os arquivos de log rsyslog devem pertencer ao grupo adm. (64) |
Descrição: um invasor pode ocultar a atividade manipulando logs | Adicione a linha '$FileGroup adm' ao arquivo '/etc/rsyslog.conf' |
| Todos os arquivos de log rsyslog devem ser de propriedade do usuário syslog. (65) |
Descrição: um invasor pode ocultar a atividade manipulando logs | Adicione a linha '$FileOwner syslog' ao arquivo '/etc/rsyslog.conf' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
| O Rsyslog não deve aceitar mensagens remotas. (67) |
Descrição: um invasor pode injetar mensagens no syslog, causando um DoS ou uma distração de outra atividade | Remova as linhas '$ModLoad imudp' e '$ModLoad imtcp' do arquivo '/etc/rsyslog.conf' |
| O serviço logrotate (rotativo syslog) deve ser habilitado. (68) |
Descrição: Os ficheiros de registo podem crescer sem limites e consumir todo o espaço em disco | Instale o pacote logrotate e confirme se a entrada cron logrotate está ativa (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| O serviço rlogin deve ser desativado. (69) |
Descrição: um invasor pode obter acesso, ignorando requisitos estritos de autenticação | Remova o serviço inetd. |
| Desative o inetd, a menos que seja necessário. (INETD) (70.1) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd (apt-get remove inetd) |
| Desative o xinetd a menos que seja necessário. (Xinetd) (70.2) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço inetd (apt-get remove xinetd) |
| Instale o inetd somente se apropriado e exigido pela sua distro. Seguro de acordo com as normas de endurecimento atuais. (se necessário) (71.1) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd (apt-get remove inetd) |
| Instale o xinetd somente se apropriado e exigido pela sua distro. Seguro de acordo com as normas de endurecimento atuais. (se necessário) (71.2) |
Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço inetd (apt-get remove xinetd) |
| O serviço telnet deve ser desativado. (72) |
Descrição: um invasor pode espionar ou sequestrar sessões de telnet não criptografadas | Remova ou comente a entrada telnet no arquivo '/etc/inetd.conf' |
| Todos os pacotes telnetd devem ser desinstalados. (73) |
Descrição: um invasor pode espionar ou sequestrar sessões de telnet não criptografadas | Desinstale todos os pacotes telnetd |
| O serviço rcp/rsh deve ser desativado. (74) |
Descrição: um invasor pode espionar ou sequestrar sessões não criptografadas | Remova ou comente a entrada do shell no arquivo '/etc/inetd.conf' |
| O pacote rsh-server deve ser desinstalado. (77) |
Descrição: Um invasor pode espionar ou sequestrar sessões rsh não criptografadas | Desinstale o pacote rsh-server (apt-get remove rsh-server) |
| O serviço ypbind deve ser desativado. (78) |
Descrição: um invasor pode recuperar informações confidenciais do serviço ypbind | Desinstale o pacote nis (apt-get remove nis) |
| O pacote nis deve ser desinstalado. (79) |
Descrição: um invasor pode recuperar informações confidenciais do serviço NIS | Desinstale o pacote nis (apt-get remove nis) |
| O serviço tftp deve ser desativado. (80) |
Descrição: um invasor pode intercetar ou sequestrar uma sessão não criptografada | Remova a entrada tftp do arquivo '/etc/inetd.conf' |
| O pacote tftpd deve ser desinstalado. (81) |
Descrição: um invasor pode intercetar ou sequestrar uma sessão não criptografada | Desinstale o pacote tftpd (apt-get remove tftpd) |
| O pacote readahead-fedora deve ser desinstalado. (82) |
Descrição: O pacote não cria nenhuma exposição substancial, mas também não acrescenta nenhum benefício substancial. | Desinstale o pacote readahead-fedora (apt-get remove readahead-fedora) |
| O serviço bluetooth/hidd deve ser desativado. (84) |
Descrição: um invasor pode intercetar ou manipular comunicações sem fio. | Desinstale o pacote bluetooth (apt-get remove bluetooth) |
| O serviço rdis deve ser desativado. (86) |
Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base (apt-get remove isdnutils-base) |
| O pacote isdnutils-base deve ser desinstalado. (87) |
Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base (apt-get remove isdnutils-base) |
| O serviço kdump deve ser desativado. (88) |
Descrição: um invasor pode analisar uma falha anterior do sistema para recuperar informações confidenciais | Desinstale o pacote kdump-tools (apt-get remove kdump-tools) |
| A rede Zeroconf deve ser desativada. (89) |
Descrição: um invasor pode abusar disso para obter informações em sistemas em rede ou falsificar solicitações de DNS devido a falhas em seu modelo de confiança | Para RedHat, CentOS e Oracle: Adicione NOZEROCONF=yes or no ao /etc/sysconfig/network. Para todas as outras distros: Remova todas as entradas 'ipv4ll' no arquivo '/etc/network/interfaces' ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
| O serviço crond deve ser ativado. (90) |
Descrição: Cron é exigido por quase todos os sistemas para tarefas de manutenção regulares | Instale o pacote cron (apt-get install -y cron) e confirme que o arquivo '/etc/init/cron.conf' contém a linha 'start on runlevel [2345]' |
| As permissões de arquivo para /etc/anacrontab devem ser definidas como root:root 600. (91) |
Descrição: um invasor pode manipular esse arquivo para impedir tarefas agendadas ou executar tarefas maliciosas | Defina a propriedade e as permissões em /etc/anacrontab ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
| Verifique se as permissões em /etc/cron.d estão configuradas. (93) |
Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.d como root e permissões para 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
| Verifique se as permissões em /etc/cron.daily estão configuradas. (94) |
Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.daily como root e permissões para 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Verifique se as permissões em /etc/cron.hourly estão configuradas. (95) |
Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.hourly como root e permissões para 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Verifique se as permissões em /etc/cron.monthly estão configuradas. (96) |
Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.monthly para root e permissões para 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Verifique se as permissões em /etc/cron.weekly estão configuradas. (97) |
Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Defina o proprietário e o grupo de /etc/chron.weekly como root e permissões para 0700 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
| Certifique-se de que at/cron está restrito a usuários autorizados (98) |
Descrição: Em muitos sistemas, apenas o administrador do sistema está autorizado a agendar cron trabalhos. Usar o cron.allow arquivo para controlar quem pode executar cron trabalhos impõe essa política. É mais fácil gerenciar uma lista de permissões do que uma lista de negação. Em uma lista de negação, você pode potencialmente adicionar um ID de usuário ao sistema e esquecer de adicioná-lo aos arquivos de negação. |
Substitua /etc/cron.deny e /etc/at.deny por seus respetivos allow arquivos ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - Protocolo «/etc/ssh/sshd_config = 2» (106.1) |
Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'. Isto irá definir 'Protocolo 2' no ficheiro '/etc/ssh/sshd_config' |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config IgnoreRhosts = sim' (106.3) |
Descrição: um invasor pode usar falhas no protocolo Rhosts para obter acesso | Execute o comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'. Isso adicionará a linha 'IgnoreRhosts yes' ao arquivo '/etc/ssh/sshd_config' |
| Verifique se o SSH LogLevel está definido como INFO (106.5) |
Descrição: SSH fornece vários níveis de registro com quantidades variáveis de verbosidade. DEBUG especificamente não é recomendado a não ser estritamente para depuração de comunicações SSH, uma vez que fornece tantos dados que é difícil identificar informações de segurança importantes. INFO level é o nível básico que registra apenas a atividade de login dos usuários SSH. Em muitas situações, como a Resposta a Incidentes, é importante determinar quando um determinado usuário estava ativo em um sistema. O registro de logout pode eliminar os usuários que se desconectaram, o que ajuda a restringir o campo. |
Edite o /etc/ssh/sshd_config arquivo para definir o parâmetro da seguinte maneira: LogLevel INFO |
| Verifique se o SSH MaxAuthTries está definido como 6 ou menos (106.7) |
Descrição: Definir o MaxAuthTries parâmetro para um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Embora a configuração recomendada seja 4, defina o número com base na política do site. |
Verifique se o SSH MaxAuthTries está definido como 6 ou menos Edite o /etc/ssh/sshd_config arquivo para definir o parâmetro da seguinte maneira: MaxAuthTries 6 |
| Garantir que o acesso SSH seja limitado (106.11) |
Descrição: Restringir quais usuários podem acessar remotamente o sistema via SSH ajudará a garantir que apenas usuários autorizados acessem o sistema. | Verifique se o acesso SSH é limitado Edite o /etc/ssh/sshd_config arquivo para definir um ou mais dos parâmetros da seguinte maneira: AllowUsers AllowGroups DenyUsers DenyGroups |
| A emulação do comando rsh através do servidor ssh deve ser desativada. - '/etc/ssh/sshd_config RhostsRSAAuthentication = não' (107) |
Descrição: um invasor pode usar falhas no protocolo RHosts para obter acesso | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'. Isso adicionará a linha 'RhostsRSAAuthentication no' ao arquivo '/etc/ssh/sshd_config' |
| A autenticação baseada em host SSH deve ser desabilitada. - '/etc/ssh/sshd_config HostbasedAuthentication = não' (108) |
Descrição: um invasor pode usar a autenticação baseada em host para obter acesso de um host comprometido | Execute o comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'. Isso adicionará a linha 'HostbasedAuthentication no' ao arquivo '/etc/ssh/sshd_config' |
| O login root via SSH deve ser desativado. - '/etc/ssh/sshd_config PermitRootLogin = não' (109) |
Descrição: um invasor pode forçar a senha do root ou ocultar seu histórico de comandos fazendo login diretamente como root | Execute o comando '/usr/local/bin/azsecd remediate -r disable-ssh-root-login'. Isso adicionará a linha 'PermitRootLogin no' ao arquivo '/etc/ssh/sshd_config' |
| As ligações remotas de contas com palavras-passe vazias devem ser desativadas. - '/etc/ssh/sshd_config PermitEmptyPasswords = não' (110) |
Descrição: Um invasor pode obter acesso por meio da adivinhação de senha | Execute o comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'. Isso adicionará a linha 'PermitEmptyPasswords no' ao arquivo '/etc/ssh/sshd_config' |
| Verifique se o intervalo de tempo limite ocioso SSH está configurado. (110.1) |
Descrição: Não ter nenhum valor de tempo limite associado a uma conexão pode permitir que um usuário não autorizado acesse a sessão ssh de outro usuário. Definir um valor de tempo limite pelo menos reduz o risco de isso acontecer. Embora a configuração recomendada seja de 300 segundos (5 minutos), defina esse valor de tempo limite com base na política do site. A configuração recomendada para ClientAliveCountMax é 0. Neste caso, a sessão do cliente será encerrada após 5 minutos de tempo ocioso e nenhuma mensagem keepalive será enviada. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política |
| Certifique-se de que SSH LoginGraceTime está definido para um minuto ou menos. (110.2) |
Descrição: Definir o LoginGraceTime parâmetro para um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Ele também limitará o número de conexões simultâneas não autenticadas Embora a configuração recomendada seja de 60 segundos (1 minuto), defina o número com base na política do site. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' |
| Certifique-se de que apenas algoritmos MAC aprovados sejam usados (110.3) |
Descrição: Os algoritmos MAC MD5 e 96-bit são considerados fracos e demonstraram aumentar a capacidade de exploração em ataques de downgrade SSH. Algoritmos fracos continuam a ter muita atenção como um ponto fraco que pode ser explorado com poder de computação expandido. Um invasor que quebre o algoritmo pode tirar proveito de uma posição MiTM para descriptografar o túnel SSH e capturar credenciais e informações | Edite o arquivo /etc/sshd_config e adicione/modifique a linha MACs para conter uma lista separada por vírgulas dos MACs aprovados ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' |
| Verifique se o banner de aviso de login remoto está configurado corretamente. (111) |
Descrição: As mensagens de aviso informam os usuários que estão tentando fazer login no sistema sobre seu status legal em relação ao sistema e devem incluir o nome da organização proprietária do sistema e quaisquer políticas de monitoramento que estejam em vigor. A exibição de informações de nível de sistema operacional e patch em banners de login também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atingir explorações específicas de um sistema. Os utilizadores autorizados podem obter facilmente estas informações executando o uname -acomando depois de iniciarem sessão. |
Remova todas as instâncias de \m \r \s e \v do arquivo /etc/issue.net |
| Verifique se o banner de aviso de login local está configurado corretamente. (111.1) |
Descrição: As mensagens de aviso informam os usuários que estão tentando fazer login no sistema sobre seu status legal em relação ao sistema e devem incluir o nome da organização proprietária do sistema e quaisquer políticas de monitoramento que estejam em vigor. A exibição de informações de nível de sistema operacional e patch em banners de login também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atingir explorações específicas de um sistema. Os utilizadores autorizados podem obter facilmente estas informações executando o uname -acomando depois de iniciarem sessão. |
Remova todas as instâncias de \m \r \s e \v do arquivo /etc/issue |
| O banner de aviso SSH deve ser ativado. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Descrição: Os usuários não serão avisados de que suas ações no sistema são monitoradas | Execute o comando '/usr/local/bin/azsecd remediate -r configure-ssh-banner'. Isso adicionará a linha 'Banner /etc/azsec/banner.txt' ao arquivo '/etc/ssh/sshd_config' |
| Os usuários não têm permissão para definir opções de ambiente para SSH. (112) |
Descrição: Um invasor pode ser capaz de ignorar algumas restrições de acesso sobre SSH | Remova a linha 'PermitUserEnvironment yes' do arquivo '/etc/ssh/sshd_config' |
| Devem ser utilizadas cifras apropriadas para SSH. (Cifras aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Descrição: um invasor pode comprometer uma conexão SSH fracamente segura | Execute o comando '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers'. Isso adicionará a linha 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' ao arquivo '/etc/ssh/sshd_config' |
| O serviço avahi-daemon deve ser desativado. (114) |
Descrição: um invasor pode usar uma vulnerabilidade no daemon avahi para obter acesso | Desative o serviço avahi-daemon ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
| O serviço de copos deve ser desativado. (115) |
Descrição: um atacante pode usar uma falha no serviço de copos para elevar privilégios | Desative o serviço cups ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
| O serviço isc-dhcpd deve ser desativado. (116) |
Descrição: Um invasor pode usar dhcpd para fornecer informações defeituosas aos clientes, interferindo com a operação normal. | Remova o pacote isc-dhcp-server (apt-get remove isc-dhcp-server) |
| O pacote isc-dhcp-server deve ser desinstalado. (117) |
Descrição: Um invasor pode usar dhcpd para fornecer informações defeituosas aos clientes, interferindo com a operação normal. | Remova o pacote isc-dhcp-server (apt-get remove isc-dhcp-server) |
| O pacote sendmail deve ser desinstalado. (120) |
Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Desinstale o pacote sendmail (apt-get remove sendmail) |
| O pacote postfix deve ser desinstalado. (121) |
Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Desinstale o pacote postfix (apt-get remove postfix) ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
| A escuta de rede Postfix deve ser desativada conforme apropriado. (122) |
Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Adicione a linha 'inet_interfaces localhost' ao arquivo '/etc/postfix/main.cf' |
| O serviço ldap deve ser desativado. (124) |
Descrição: um invasor pode manipular o serviço LDAP neste host para distribuir dados falsos para clientes LDAP | Desinstale o pacote slapd (apt-get remove slapd) |
| O serviço rpcgssd deve ser desativado. (126) |
Descrição: um invasor pode usar uma falha no rpcgssd/nfs para obter acesso | Desative o serviço rpcgssd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
| O serviço rpcidmapd deve ser desativado. (127) |
Descrição: um invasor pode usar uma falha no idmapd/nfs para obter acesso | Desative o serviço rpcidmapd ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
| O serviço portmap deve ser desativado. (129.1) |
Descrição: um invasor pode usar uma falha no portmap para obter acesso | Desative o serviço rpcbind ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
| O serviço NFS (Network File System) deve ser desativado. (129.2) |
Descrição: um invasor pode usar nfs para montar compartilhamentos e executar/copiar arquivos. | Desative o serviço nfs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' |
| O serviço rpcsvcgssd deve ser desativado. (130) |
Descrição: um invasor pode usar uma falha no rpcsvcgssd para obter acesso | Remova a linha 'NEED_SVCGSSD = yes' do arquivo '/etc/inetd.conf' |
| O serviço nomeado deve ser desativado. (131) |
Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos aos clientes | Desinstale o pacote bind9 (apt-get remove bind9) |
| O pacote bind deve ser desinstalado. (132) |
Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos aos clientes | Desinstale o pacote bind9 (apt-get remove bind9) |
| O serviço de pombo deve ser desativado. (137) |
Descrição: O sistema pode ser usado como um servidor IMAP/POP3 | Desinstale o pacote dovecot-core (apt-get remove dovecot-core) |
| O pacote dovecot deve ser desinstalado. (138) |
Descrição: O sistema pode ser usado como um servidor IMAP/POP3 | Desinstale o pacote dovecot-core (apt-get remove dovecot-core) |
Certifique-se de que não existem entradas herdadas + em /etc/passwd(156.1) |
Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/passwd que comecem com '+:' |
Certifique-se de que não existem entradas herdadas + em /etc/shadow(156.2) |
Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/shadow que comecem com '+:' |
Certifique-se de que não existem entradas herdadas + em /etc/group(156.3) |
Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/group que comecem com '+:' |
| Certifique-se de que a expiração da senha é de 365 dias ou menos. (157.1) |
Descrição: Reduzir a idade máxima de uma palavra-passe também reduz a janela de oportunidade de um atacante para tirar partido de credenciais comprometidas ou comprometer com êxito credenciais através de um ataque de força bruta online. | Defina o PASS_MAX_DAYS parâmetro como não mais do que 365 in /etc/login.defs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' |
| Certifique-se de que os dias de aviso de expiração da palavra-passe são 7 ou mais. (157.2) |
Descrição: Fornecer um aviso prévio de que uma senha estará expirando dá aos usuários tempo para pensar em uma senha segura. Os utilizadores apanhados desprevenidos podem escolher uma palavra-passe simples ou anotá-la onde pode ser descoberta. | Defina o PASS_WARN_AGE parâmetro como 7 in /etc/login.defs ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' |
| Certifique-se de que a reutilização da palavra-passe é limitada. (157.5) |
Descrição: Forçar os utilizadores a não reutilizarem as suas últimas cinco palavras-passe torna menos provável que um intruso consiga adivinhar a palavra-passe. | Certifique-se de que a opção 'lembrar' está definida como pelo menos 5 em /etc/pam.d/common-password ou ambos /etc/pam.d/password_auth e /etc/pam.d/system_auth ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' |
| Verifique se o algoritmo de hash de senha é SHA-512 (157.11) |
Descrição: O algoritmo SHA-512 fornece hashing muito mais forte do que o MD5, fornecendo proteção adicional ao sistema, aumentando o nível de esforço para um invasor determinar senhas com sucesso. Nota: Estas alterações aplicam-se apenas a contas configuradas no sistema local. | Defina o algoritmo de hash de senha como sha512. Muitas distribuições fornecem ferramentas para atualizar a configuração do PAM, consulte a documentação para obter detalhes. Se nenhuma ferramenta for fornecida, edite o arquivo de configuração apropriado /etc/pam.d/ e adicione ou modifique as pam_unix.so linhas para incluir a opção sha512: password sufficient pam_unix.so sha512 |
| Certifique-se de que o número mínimo de dias entre as alterações de senha é de 7 ou mais. (157.12) |
Descrição: Ao restringir a frequência das alterações de senha, um administrador pode impedir que os usuários alterem repetidamente suas senhas na tentativa de contornar os controles de reutilização de senha. | Defina o PASS_MIN_DAYS parâmetro como 7 em /etc/login.defs: PASS_MIN_DAYS 7. Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder: chage --mindays 7 ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' |
| Verifique se a data da última alteração de senha de todos os usuários está no passado (157.14) |
Descrição: Se uma data de alteração de senha gravada por um usuário estiver no futuro, eles poderão ignorar qualquer expiração de senha definida. | Verifique se o bloqueio de senha inativa é de 30 dias ou menos Execute o seguinte comando para definir o período de inatividade da senha padrão para 30 dias: # useradd -D -f 30 Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder: # chage --inactive 30 |
| Certifique-se de que as contas do sistema não são de login (157.15) |
Descrição: é importante garantir que as contas que não estão sendo usadas por usuários comuns sejam impedidas de serem usadas para fornecer um shell interativo. Por padrão, o Ubuntu define o campo de senha para essas contas como uma string inválida, mas também é recomendado que o campo shell no arquivo de senha seja definido como /usr/sbin/nologin. Isso impede que a conta seja potencialmente usada para executar quaisquer comandos. |
Defina o shell para todas as contas retornadas pelo script de auditoria como /sbin/nologin |
| Verifique se o grupo padrão para a conta raiz é GID 0 (157.16) |
Descrição: Usar o GID 0 para a _root_ conta ajuda a evitar que _root_arquivos de propriedade se tornem acidentalmente acessíveis a usuários sem privilégios. |
Execute o seguinte comando para definir o grupo padrão do root usuário como GID 0 : # usermod -g 0 root |
| Verifique se root é a única conta UID 0 (157.18) |
Descrição: Este acesso deve ser limitado apenas à conta predefinida root e apenas a partir da consola do sistema. O acesso administrativo deve ser feito através de uma conta sem privilégios usando um mecanismo aprovado. |
Remova todos os usuários que não root sejam com UID 0 ou atribua-lhes um novo UID, se apropriado. |
| Remover contas desnecessárias (159) |
Descrição: Para fins de conformidade | Remova as contas desnecessárias |
| Garantir que o serviço auditado esteja habilitado (162) |
Descrição: A captura de eventos do sistema fornece aos administradores do sistema informações que lhes permitem determinar se o acesso não autorizado ao seu sistema está ocorrendo. | Instalar pacote de auditoria (systemctl enable auditd) |
| Executar o serviço AuditD (163) |
Descrição: A captura de eventos do sistema fornece aos administradores do sistema informações que lhes permitem determinar se o acesso não autorizado ao seu sistema está ocorrendo. | Executar o serviço AuditD (systemctl start auditd) |
| Verifique se o SNMP Server não está habilitado (179) |
Descrição: O servidor SNMP pode se comunicar usando SNMP v1, que transmite dados em branco e não requer autenticação para executar comandos. A menos que seja absolutamente necessário, recomenda-se que o serviço SNMP não seja usado. Se o SNMP for necessário, o servidor deverá ser configurado para não permitir o SNMP v1. | Execute um dos seguintes comandos para desativar snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Verifique se o serviço rsync não está habilitado (181) |
Descrição: O rsyncd serviço apresenta um risco de segurança, uma vez que utiliza protocolos não encriptados para comunicação. |
Execute um dos seguintes comandos para desativar rsyncd : chkconfig rsyncd off, systemctl disable rsyncdupdate-rc.d rsyncd disable ou execute '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
| Verifique se o servidor NIS não está habilitado (182) |
Descrição: O serviço NIS é um sistema inerentemente inseguro que tem sido vulnerável a ataques DOS, estouros de buffer e tem autenticação deficiente para consultar mapas NIS. O NIS é geralmente substituído por protocolos como o Lightweight Directory Access Protocol (LDAP). Recomenda-se que o serviço seja desativado e que serviços mais seguros sejam usados | Execute um dos seguintes comandos para desativar ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Verifique se o cliente rsh não está instalado (183) |
Descrição: Esses clientes herdados contêm várias exposições de segurança e foram substituídos pelo pacote SSH mais seguro. Mesmo que o servidor seja removido, é melhor garantir que os clientes também sejam removidos para evitar que os usuários tentem inadvertidamente usar esses comandos e, portanto, exponham suas credenciais. Observe que a remoção do rsh pacote remove os clientes para rsh, rcp e rlogin. |
Desinstale rsh usando o gerenciador de pacotes apropriado ou a instalação manual: yum remove rshapt-get remove rshzypper remove rsh |
| Desativar SMB V1 com Samba (185) |
Descrição: O SMB v1 tem vulnerabilidades graves bem conhecidas e não encripta dados em trânsito. Se tiver de ser utilizado por razões comerciais, recomenda-se vivamente que sejam tomadas medidas adicionais para mitigar os riscos inerentes a este protocolo. | Se o Samba não estiver em execução, remova o pacote, caso contrário, deve haver uma linha na seção [global] de /etc/samba/smb.conf: min protocol = SMB2 ou run '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Nota
A disponibilidade de definições específicas de configuração de convidado da Política do Azure pode variar no Azure Government e em outras nuvens nacionais.
Próximos passos
Artigos adicionais sobre a Política do Azure e a configuração de convidado:
- Configuração de convidado da Política do Azure.
- Visão geral da conformidade regulamentar.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.