Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Cuidado
Este artigo faz referência ao CentOS, uma distribuição Linux que está em status de fim do serviço (EOL). Considere seu uso e planejamento adequadamente. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.
Este artigo detalha as definições de configuração para convidados do Linux conforme aplicável nas seguintes implementações:
- Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Definição de configuração de convidado do Azure Policy
- As vulnerabilidades na configuração de segurança nos computadores devem ser corrigidas no Microsoft Defender para Nuvem
Para as verificações de correção e sugestões, tomamos uma abordagem de práticas recomendadas. No entanto, sempre verifique se os comandos serão testados e não aplicados cegamente em qualquer ambiente de produção. Para correções automáticas, lançamos na Visualização Pública Limitada nossa nova funcionalidade de correção automática para que você também possa testar essa política com a ação "DeployIfNotExist".
A nova versão da política para auditoria e correção é alimentada pelo azure-osconfig nosso mecanismo de software livre - você pode ler mais sobre o anúncio de replatformação.
Para obter mais informações, consulte Configuração de convidado do Azure Policy e Visão geral do parâmetro de comparação de segurança do Azure (V2).
Os mapeamentos de CIS são baseados na versão Distro Independent Benchmark v2.0.0.
Controles gerais de segurança
| Nome (CCEID) |
Novo Nome | Detalhes | Verificação das correções |
|---|---|---|---|
| Verifique se a opção nodev foi definida na partição /home. (1.1.4) |
Verifique se a opção nodev está definida na partição /home (CIS: L1 – Servidor – 1.1.14) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /home. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /home. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nodev foi definida na partição /tmp. (1.1.5) |
Verifique se a opção nodev está definida na partição /tmp (CIS: L1 – Servidor – 1.1.3) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nodev foi definida na partição /var/tmp. (1.1.6) |
Verifique se a opção nodev está definida na partição /var/tmp (CIS: L1 – Servidor – 1.1.8) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) na partição /var/tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nosuid foi definida na partição /tmp. (1.1.7) |
Verifique se a opção nosuid está definida na partição /tmp (CIS: L1 – Servidor – 1.1.4) | Descrição: como o filesystem /tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção nosuid foi definida na partição /var/tmp. (1.1.8) |
Verifique se a opção nosuid está definida na partição /var/tmp (CIS: L1 – Servidor – 1.1.9) | Descrição: como o filesystem /var/tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção noexec foi definida na partição /var/tmp. (1.1.9) |
Verifique se a opção noexec está definida na partição /var/tmp (CIS: L1 – Servidor – 1.1.10) | Descrição: como o filesystem /var/tmp é destinado apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam executar binários executáveis em /var/tmp. |
Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se a opção noexec foi definida na partição /dev/shm. (1.1.16) |
Verifique se a opção noexec está definida na partição /dev/shm (CIS: L1 – Servidor – 1.1.17) | Descrição: definir esta opção em um sistema de arquivos impede que os usuários executem programas na memória compartilhada. Esse controle impede que os usuários introduzam software possivelmente mal-intencionado no sistema. | Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /dev/shm. Para obter mais informações, confira as página de manual fstab(5). |
| Desabilitar a montagem automática (1.1.21) |
Verifique se o dimensionamento automático está desabilitado (CIS: L1 – Servidor – 1.1.22) | Descrição: com a montagem automática habilitada, qualquer pessoa com acesso físico pode anexar uma unidade USB ou um disco e ter o conteúdo disponível no sistema, mesmo que não tenha permissões para montá-lo. | Desabilitar o serviço de autofs: systemctl disable autofs (systemd) ou chkconfig autofs off (sysv) |
| Verifique se a montagem dos dispositivos de armazenamento USB foi desabilitada (1.1.21.1) |
Verifique se a montagem de dispositivos de armazenamento USB está desabilitada (CIS: L1 – Servidor – 1.1.23) | Descrição: a remoção do suporte para dispositivos de armazenamento USB reduz a superfície de ataque local do servidor. | Adicionar install usb-storage /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r usb-storage |
| Verifique se os despejos de núcleo são restritos. (1.5.1) |
Verifique se os despejos de núcleo são restritos (CIS: L1 – Servidor – 1.5.1) | Descrição: definir um limite permanente nos despejos de núcleo impede que os usuários substituam a variável temporária. Se despejos de núcleo forem necessários, define limites para os grupos de usuários (confira limits.conf(5)). Além disso, definir variável fs.suid_dumpable como 0 evitará os despejos de núcleo dos programas setuid. |
* hard core 0 Adicionar /etc/security/limits.conf e definir fs.suid_dumpable = 0 em, em /etc/sysctl.confseguida, executarsysctl -p |
| Verifique se o Prelink está desabilitado. (1.5.4) |
Verifique se o pré-link está desabilitado (CIS: L1 – Servidor – 1.5.4) | Descrição: o recurso de Prelink pode interferir na operação do AIDE, pois altera os binários. O Prelink também pode aumentar a vulnerabilidade do sistema, se um usuário mal-intencionado comprometer uma biblioteca comum, como libc. | Desinstalar o prelink: yum remove prelink (RHEL/CentOS) ou apt remove prelink (Debian/Ubuntu) |
| Verifique se as permissões em /etc/motd foram configuradas. (1.7.1.4) |
Verifique se as permissões em /etc/motd estão configuradas (CIS: L1 – Servidor – 1.7.1.4) | Descrição: se o arquivo /etc/motd não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Definir propriedade e permissões: chown root:root /etc/motd && chmod 644 /etc/motd |
| Verifique se as permissões em /etc/issue foram configuradas. (1.7.1.5) |
Verifique se as permissões em /etc/issue estão configuradas (CIS: L1 – Servidor – 1.7.1.5) | Descrição: se o arquivo /etc/issue não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Definir propriedade e permissões: chown root:root /etc/issue && chmod 644 /etc/issue |
| Verifique se as permissões em /etc/issue.net foram configuradas. (1.7.1.6) |
Verifique se as permissões em /etc/issue.net estão configuradas (CIS: L1 – Servidor – 1.7.1.6) | Descrição: se o arquivo /etc/issue.net não tiver a propriedade correta, poderá ser modificado por usuários não autorizados com informações incorretas ou equivocadas. |
Definir propriedade e permissões: chown root:root /etc/issue.net && chmod 644 /etc/issue.net |
| A opção nodev deve estar habilitada para todas as mídias removíveis. (2.1) |
Verifique se a opção nodev está habilitada para todas as mídias removíveis (CIS: L1 – Servidor – 1.1.18) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou de caractere) por meio da mídia removível | Adicione a opção nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| A opção noexec deve estar habilitada para todas as mídias removíveis. (2.2) |
Verifique se a opção noexec está habilitada para todas as mídias removíveis (CIS: L1 – Servidor – 1.1.20) | Descrição: um invasor pode carregar o arquivo executável por meio da mídia removível | Adicione a opção noexec ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| A opção nosuid deve estar habilitada para todas as mídias removíveis. (2.3) |
Verifique se a opção nosuid está habilitada para todas as mídias removíveis (CIS: L1 – Servidor – 1.1.19) | Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado por meio da mídia removível | Adicione a opção nosuid ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se o cliente do Talk não foi instalado. (2.3.3) |
Verifique se o cliente talk não está instalado (CIS: L1 – Servidor – 2.3.3) | Descrição: o software apresenta um risco de segurança, pois usa protocolos não criptografados para comunicação. | Desinstalar conversa: yum remove talk (RHEL/CentOS) ou apt remove talk (Debian/Ubuntu) |
| Verifique se as permissões em /etc/hosts.allow foram configuradas. (3.4.4) |
Verifique se as permissões em /etc/hosts.allow estão configuradas (CIS: L1 – Servidor – 3.3.2 + 3.3.4) | Descrição: é crítico garantir que o arquivo /etc/hosts.allow seja protegido contra o acesso de gravação não autorizado. Embora protegidas por padrão, as permissões de arquivo podem ser alteradas inadvertidamente ou por meio de ações mal-intencionadas. |
Definir propriedade e permissões: chown root:root /etc/hosts.allow && chmod 644 /etc/hosts.allow |
| Verifique se as permissões em /etc/hosts.deny foram configuradas. (3.4.5) |
Verifique se as permissões em /etc/hosts.deny estão configuradas (CIS: L1 – Servidor – 3.3.3 + 3.3.5) | Descrição: é crítico garantir que o arquivo /etc/hosts.deny seja protegido contra o acesso de gravação não autorizado. Embora protegidas por padrão, as permissões de arquivo podem ser alteradas inadvertidamente ou por meio de ações mal-intencionadas. |
Definir propriedade e permissões: chown root:root /etc/hosts.deny && chmod 644 /etc/hosts.deny |
| Verifique a política de firewall de negação padrão (3.6.2) |
Verifique se a política de firewall de negação padrão está definida (CIS: L1 – Servidor – 3.5.2.1) | Descrição: com uma política de aceitação padrão, o firewall aceitará qualquer pacote que não seja negado explicitamente. É mais fácil manter um firewall seguro com uma política DROP padrão do que com uma política Allow padrão. | Definir a política padrão para o tráfego de entrada, de saída e roteado como deny ou reject, conforme apropriado, usando o software de firewall |
| A opção nodev/nosuid deve estar habilitada para todas as montagens NFS. (5) |
Verifique se a opção nodev/nosuid está habilitada para todas as montagens NFS | Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado ou dispositivos especiais por meio do sistema de arquivos remoto | Adicione as opções nosuid e nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, confira as página de manual fstab(5). |
| Verifique se as permissões em /etc/ssh/sshd_config foram definidas. (5.2.1) |
Verifique se as permissões em /etc/ssh/sshd_config estão configuradas (CIS: L1 – Servidor – 5.2.1) | Descrição: o arquivo /etc/ssh/sshd_config precisa ser protegido contra alterações não autorizadas por usuários sem privilégios. |
Definir propriedade e permissões: chown root:root /etc/ssh/sshd_config && chmod 600 /etc/ssh/sshd_config |
| Verifique se os requisitos de criação de senha foram configurados. (5.3.1) |
Verifique se os requisitos de criação de senha estão configurados (CIS: L1 – Servidor – 5.3.1) | Descrição: senhas fortes protegem os sistemas contra a invasão por meio de métodos de força bruta. | Configurar a complexidade da senha do PAM em /etc/pam.d/common-password ou /etc/pam.d/system-auth: password requisite pam_pwquality.so minlen=14 minclass=4 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 |
| Verifique se o bloqueio de tentativas de senha com falha foi configurado. (5.3.2) |
Verifique se o bloqueio para tentativas de senha com falha está configurado (CIS: L1 – Servidor – 5.3.2) | Descrição: bloquear as IDs de usuário após n tentativas de logon consecutivas malsucedidas atenua os ataques de senha de força bruta nos sistemas. |
para Ubuntu e Debian, adicione os módulos pam_tally e pam_deny, conforme apropriado. Para todas as outras distribuições, veja a documentação da distribuição |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (cramfs) (6.1) |
Verifique se o sistema de arquivos cramfs está desabilitado (CIS: L1 – Servidor – 1.1.1.1) | Descrição: um invasor pode usar uma vulnerabilidade no cramfs para elevar os privilégios | Adicionar install cramfs /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r cramfs |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (freevxfs) (6.2) |
Verifique se o sistema de arquivos freevxfs está desabilitado (CIS: L1 – Servidor – 1.1.1.2) | Descrição: um invasor pode usar uma vulnerabilidade no freevxfs para elevar os privilégios | Adicionar install freevxfs /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r freevxfs |
| Verifique se existem todos os diretórios base (6.2.7) |
Verifique se os diretórios base de todos os usuários existem (CIS: L1 – Servidor – 6.2.7) | Descrição: se o diretório inicial do usuário não existir ou não for atribuído, o usuário será colocado na raiz do volume. Além disso, o usuário não poderá gravar nenhum arquivo ou definir variáveis de ambiente. | Se não existirem diretórios base de usuários, crie-os e verifique se o respectivo usuário possui o diretório. Os usuários que não possuem diretório base atribuído devem ser removidos ou atribuídos a um diretório base conforme apropriado. |
| Verifique se os usuários possuem os diretórios base (6.2.9) |
Verifique se os usuários possuem seus diretórios domésticos (CIS: L1 – Servidor – 6.2.9) | Descrição: como o usuário é responsável pelos arquivos armazenados no diretório base do usuário, ele deve ser o proprietário do diretório. | Altere a propriedade dos diretórios base que não pertencem ao usuário definido para o usuário correto. |
| Verifique se os arquivos dot dos usuários não são um grupo ou um mundo gravável. (6.2.10) |
Verifique se os arquivos de ponto dos usuários não são graváveis em grupo ou no mundo (CIS: L1 – Servidor – 6.2.10) | Descrição: arquivos de configuração do usuário de grupo ou mundo gravável podem permitir que usuários mal-intencionados roubem ou modifiquem os dados de outros usuários ou obtenham os privilégios de sistema de outro usuário. | Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, recomendamos que você estabeleça uma política de monitoramento para relatar permissões de arquivo dot do usuário e determinar ações de correção de política de site. |
| Verifique se os usuário não possuem arquivos .forward (6.2.11) |
Verifique se nenhum usuário tem arquivos .forward (CIS: L1 – Servidor – 6.2.11) | Descrição: o uso do arquivo .forward representa um risco de segurança, pois os dados confidenciais podem ser transferidos inadvertidamente para fora da organização. O arquivo .forward também representa um risco porque pode ser usado para executar comandos que podem realizar ações não intencionais. |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .forward do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se os usuários não possuem arquivos .netrc (6.2.12) |
Verifique se nenhum usuário tem arquivos .netrc (CIS: L1 – Servidor – 6.2.12) | Descrição: o arquivo .netrc apresenta um risco de segurança significativo, pois armazena senhas em formato não criptografado. Mesmo se o FTP estiver desabilitado, as contas de usuário poderão ter trazido arquivos .netrc de outros sistemas que podem representar um risco para esses sistemas |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .netrc do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se os usuários não possem arquivos .rhosts (6.2.14) |
Verifique se nenhum usuário tem arquivos .rhosts (CIS: L1 – Servidor – 6.2.14) | Descrição: essa ação só será significativa se o suporte .rhosts for permitido no arquivo /etc/pam.conf. Embora os arquivos .rhosts sejam ineficazes se o suporte estiver desabilitado em /etc/pam.conf, eles podem ter sido trazidos de outros sistemas e podem conter informações úteis para um invasor nesses outros sistemas. |
Fazer modificações globais nos arquivos dos usuários, sem alertar a comunidade de usuários, pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar os arquivos .rhosts do usuário e determinar a ação a ser executada de acordo com a política do site. |
| Verifique se todos os grupos em /etc/passwd existem em /etc/Group (6.2.15) |
Verifique se todos os grupos em /etc/passwd existem em /etc/group (CIS: L1 – Servidor – 6.2.15) | Descrição: os grupos definidos no arquivo /etc/passwd, mas não no arquivo /etc/group representam uma ameaça à segurança do sistema, pois as permissões do grupo não são gerenciadas corretamente. | Para cada grupo definido em /etc/passwd, verifique se há um grupo correspondente em /etc/group |
| Verifique se não existem UIDs duplicados (6.2.16) |
Verifique se não existem UIDs duplicadas (CIS: L1 – Servidor – 6.2.16) | Descrição: os usuários devem receber UIDs exclusivos para prestação de contas e para garantir as proteções de acesso apropriadas. | Estabeleça UIDs exclusivos e examine todos os arquivos de propriedade dos UIDs compartilhados para determinar a qual UID eles devem pertencer. |
| Verifique se não existem GIDs duplicados (6.2.17) |
Verifique se não existem GIDs duplicados (CIS: L1 – Servidor – 6.2.17) | Descrição: os grupos devem receber GIDs exclusivos para prestação de contas e para garantir as proteções de acesso apropriadas. | Estabeleça GIDs exclusivos e examine todos os arquivos de propriedade dos GIDs compartilhados para determinar a qual GID eles devem pertencer. |
| Verifique se não existem nomes de usuário duplicados (6.2.18) |
Verifique se não existem nomes de usuário duplicados (CIS: L1 – Servidor – 6.2.18) | Descrição: se um usuário receber um nome de usuário duplicado, ele criará e terá acesso aos arquivos com o primeiro UID para esse nome de usuário em /etc/passwd. Por exemplo, se 'test4' tiver um UID de 1.000 e uma entrada 'test4' subsequente tiver um UID de 2.000, fazer logon como 'test4 ' usará o UID 1.000. De fato, o UID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes de usuário exclusivos para todos os usuários. As propriedade de arquivo refletirão automaticamente a alteração, contanto que os usuários tenham UIDs exclusivos. |
| Verifique se não existem grupos duplicados (6.2.19) |
Verifique se não existem grupos duplicados (CIS: L1 – Servidor – 6.2.19) | Descrição: se um grupo receber um nome de grupo duplicado, ele criará e terá acesso aos arquivos com o primeiro GID para esse grupo em /etc/group. De fato, o GID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes exclusivos para todos os grupos de usuários. As propriedade de grupo de arquivo refletirão automaticamente a alteração, contanto que os grupos tenham GIDs exclusivos. |
| Verifique se o grupo de sombra está vazio (6.2.20) |
Verifique se o grupo de sombras está vazio (CIS: L1 – Servidor – 6.2.20) | Descrição: todos os usuários atribuídos ao grupo de sombra recebem acesso de leitura para o arquivo /etc/shadow. Se invasores obtiverem acesso de leitura ao arquivo /etc/shadow, poderão facilmente executar um programa de quebra de senha nas senhas com hash. Outras informações de segurança armazenadas no arquivo /etc/shadow (como expiração) também podem ser úteis para subverter outras contas de usuário. |
Remova todos os usuários do grupo de sombra |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (hfs) (6.3) |
Verifique se o sistema de arquivos hfs está desabilitado (CIS: L1 – Servidor – 1.1.1.4) | Descrição: um invasor pode usar uma vulnerabilidade no hfs para elevar os privilégios | Adicionar install hfs /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r hfs |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (hfsplus) (6.4) |
Verifique se os sistemas de arquivos hfsplus estão desabilitados (CIS: L1 – Servidor – 1.1.1.5) | Descrição: um invasor pode usar uma vulnerabilidade no hfsplus para elevar os privilégios | Adicionar install hfsplus /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r hfsplus |
| Desabilitar a instalação e o uso dos sistemas de arquivos que não são necessários (jffs2) (6.5) |
Verifique se os sistemas de arquivos jffs2 estão desabilitados (CIS: L1 – Servidor – 1.1.1.3) | Descrição: um invasor pode usar uma vulnerabilidade no jffs2 para elevar os privilégios | Adicionar install jffs2 /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r jffs2 |
| Os kernels só devem ser compilados em fontes aprovadas. (10) |
Verifique se o kernel é compilado de fontes aprovadas | Descrição: um kernel de uma fonte não aprovada pode conter vulnerabilidades ou backdoors para conceder acesso a um invasor. | Instale o kernel fornecido pelo fornecedor de distribuição. |
| As permissões de arquivo /etc/shadow devem ser definidas como 0400 (11.1) |
Verifique se as permissões de arquivo em /etc/shadow estão configuradas (CIS: L1 – Servidor – 6.1.3) | Descrição: um invasor poderá recuperar ou manipular as senhas com hash do /etc/shadow se ele não estiver protegido corretamente. | Definir propriedade e permissões: chown root:shadow /etc/shadow && chmod 640 /etc/shadow |
| As permissões de arquivo /etc/shadow- devem ser definidas como 0400 (11.2) |
Verifique se as permissões de arquivo em /etc/shadow- estão configuradas (CIS: L1 – Servidor – 6.1.7) | Descrição: um invasor poderá recuperar ou manipular as senhas com hash do /etc/shadow se ele não estiver protegido corretamente. | Definir propriedade e permissões: chown root:shadow /etc/shadow- && chmod 640 /etc/shadow- |
| As permissões de arquivo /etc/gshadow devem ser definidas como 0400 (11.3) |
Verifique se as permissões de arquivo em /etc/gshadow estão configuradas (CIS: L1 – Servidor – 6.1.5) | Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:shadow /etc/gshadow && chmod 640 /etc/gshadow |
| As permissões de arquivo /etc/gshadow- devem ser definidas como 0400 (11.4) |
Verifique se as permissões de arquivo em /etc/gshadow- estão configuradas (CIS: L1 – Servidor – 6.1.9) | Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:shadow /etc/gshadow- && chmod 640 /etc/gshadow- |
| As permissões de arquivo /etc/passwd devem ser 0644 (12.1) |
Verifique se as permissões de arquivo em /etc/passwd estão configuradas (CIS: L1 – Servidor – 6.1.2) | Descrição: um invasor pode modificar os userIDs e shells de logon | Definir propriedade e permissões: chown root:root /etc/passwd && chmod 644 /etc/passwd |
| As permissões de arquivo /etc/group devem ser 0644 (12.2) |
Verifique se as permissões de arquivo em /etc/group estão configuradas (CIS: L1 – Servidor – 6.1.4) | Descrição: um invasor pode elevar os privilégios modificando a associação de grupo | Definir propriedade e permissões: chown root:root /etc/group && chmod 644 /etc/group |
| As permissões de arquivo /etc/passwd- devem ser definidas como 0600 (12.3) |
Verifique se as permissões de arquivo em /etc/passwd- estão configuradas (CIS: L1 – Servidor – 6.1.6) | Descrição: um invasor poderá ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:root /etc/passwd- && chmod 600 /etc/passwd- |
| As permissões de arquivo /etc/group- devem ser 0644 (12.4) |
Verifique se as permissões de arquivo em /etc/group- estão configuradas (CIS: L1 – Servidor – 6.1.8) | Descrição: um invasor pode elevar os privilégios modificando a associação de grupo | Definir propriedade e permissões: chown root:root /etc/group- && chmod 644 /etc/group- |
| O acesso à conta raiz por meio de su deve ser restrito ao grupo 'root' (21) |
Verifique se o acesso à conta raiz por meio de su é restrito ao grupo 'raiz' (CIS: L1 – Servidor - 5.5) | Descrição: um invasor pode escalonar as permissões por adivinhação de senha, se o su não estiver restrito aos usuários no grupo raiz. | Adicionar auth required pam_wheel.so use_uid e /etc/pam.d/su garantir que o grupo de rodas exista |
| O grupo 'raiz' deve existir e conter todos os membros que podem executar su na raiz (22) |
Verifique se o grupo 'raiz' existe e contenha todos os membros que podem su to root (CIS: L1 - Server - 5.6) | Descrição: um invasor pode escalonar as permissões por adivinhação de senha, se o su não estiver restrito aos usuários no grupo raiz. | Crie o grupo raiz por meio do comando 'groupadd -g 0 root' |
| Todas as contas devem ter uma senha (23.2) |
Verifique se todas as contas de usuário que podem fazer logon têm um conjunto de senhas | Descrição: um invasor pode fazer logon nas contas sem senha e executar comandos arbitrários. | Use o comando passwd para definir senhas para todas as contas |
| As contas que não são raiz devem ter UIDs exclusivos maiores que zero (0) (24) |
Verifique se todas as contas de usuário que não sejam raiz têm UIDs exclusivas maiores que zero (0) | Descrição: se uma conta que não é raiz tiver um UID zero, um invasor poderá comprometer a conta e obter os privilégios de raiz. | Atribua UIDs exclusivos diferentes de zero para todas as contas não raiz, usando 'usermod-u' |
| O posicionamento aleatório de regiões de memória virtual deve estar habilitado (25) |
Verifique se o ASLR (posicionamento aleatório) de regiões de memória virtual está habilitado (CIS: L1 – Servidor – 1.5.3) | Descrição: um invasor pode gravar o código executável em regiões conhecidas na memória, resultando na elevação de privilégio | Adicione o valor '1' ou '2' ao arquivo '/proc/sys/kernel/randomize_va_space' |
| O suporte a kernel para o recurso do processador XD/NX deve estar habilitado (26) |
Verifique se o suporte do kernel para o recurso de processador XD/NX está habilitado (CIS: L1 – Servidor – 1.5.2) | Descrição: um invasor pode fazer com que um sistema execute código de regiões de dados na memória, resultando em elevação de privilégio. | Confirme se o arquivo '/proc/cpuinfo' contém o sinalizador 'nx' |
| O '.' não deve ser exibido no $PATH da raiz (27.1) |
Verifique se '.' não aparece no $PATH da raiz (CIS: L1 – Servidor - 6.2.6) | Descrição: um invasor pode elevar os privilégios colocando um arquivo mal-intencionado no $PATH da raiz | Modifique a linha 'export PATH=' em /root/.profile |
| Os diretórios base do usuário devem estar no modo 750 ou mais restritivo (28) |
Verifique se o acesso aos diretórios domésticos do usuário é restrito | Descrição: um invasor pode recuperar informações confidenciais das pastas base de outros usuários. | Defina permissões de diretório residencial como 750 ou mais restritivas: chmod 750 /home/* |
| O umask padrão para todos os usuários deve ser definido como 077 em login.defs (29) |
Verifique se a umask padrão para todos os usuários está configurada | Descrição: um invasor pode recuperar informações confidenciais dos arquivos pertencentes a outros usuários. | Adicionar UMASK 077 e /etc/login.defs adicionar umask 077 a /etc/profile e /etc/bashrc |
| Todos os carregadores de inicialização devem ter a proteção por senha habilitada. (31) |
Verifique se todos os carregadores de inicialização têm a proteção por senha habilitada (CIS: L1 – Servidor – 1.4.2) | Descrição: um invasor com acesso físico pode modificar as opções do carregador de inicialização, resultando no acesso irrestrito ao sistema | Adicione uma senha do carregador de inicialização ao arquivo '/boot/grub/grub.cfg' |
| Verifique se as permissões na configuração do carregador de inicialização foram definidas (31.1) |
Verifique se as permissões na configuração do carregador de inicialização estão configuradas (CIS: L1 – Servidor – 1.4.1) | Descrição: definir as permissões de leitura e gravação para a raiz impede que usuários não raiz vejam ou alterem os parâmetros de inicialização. Os usuários não raiz que leem os parâmetros de inicialização podem identificar os pontos fracos de segurança na inicialização e ser capazes de explorá-los. | Definir permissões de configuração do carregador de inicialização: chown root:root /boot/grub*/grub.cfg && chmod 400 /boot/grub*/grub.cfg (ajustar o caminho para o carregador de inicialização) |
| Verifique a autenticação necessária para o modo de usuário único. (33) |
Verifique se a autenticação é necessária para o modo de usuário único (CIS: L1 – Servidor – 1.4.3) | Descrição: exigir autenticação no modo de usuário único impede que um usuário não autorizado inicialize o sistema no único usuário para obter privilégios raiz sem credenciais. | Execute o seguinte comando para definir uma senha para o usuário raiz: passwd root |
| Verifique se o envio de redirecionamento de pacotes foi desabilitado. (38.3) |
Verifique se o envio de redirecionamento de pacotes está desabilitado (CIS: L1 – Servidor – 3.1.2) | Descrição: um invasor pode usar um host comprometido para enviar redirecionamentos de ICMP inválidos para outros dispositivos de roteador, em uma tentativa de corromper o roteamento e fazer com que os usuários acessem um sistema configurado pelo invasor, em vez de um sistema válido. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.send_redirects = 0 e net.ipv4.conf.default.send_redirects = 0, em seguida, executar sysctl -p |
| Enviar redirecionamentos de ICMP deve estar desabilitado para todas as interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Verifique se os redirecionamentos do ICMP não são aceitos (CIS: L1 – Servidor – 3.2.2) – várias regras combinadas | Descrição: um invasor pode alterar essa tabela de roteamento do sistema, redirecionando o tráfego para um destino alternativo | Adicionar a /etc/sysctl.conf: net.ipv4.conf.default.accept_redirects = 0 e net.ipv6.conf.default.accept_redirects = 0, em seguida, executar sysctl -p |
| Enviar redirecionamentos de ICMP deve estar desabilitado para todas as interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Verifique se os redirecionamentos do ICMP não são aceitos (CIS: L1 – Servidor – 3.2.2) – várias regras combinadas | Descrição: um invasor pode alterar essa tabela de roteamento do sistema, redirecionando o tráfego para um destino alternativo | Adicionar a /etc/sysctl.conf: net.ipv4.conf.default.secure_redirects = 0e, em seguida, executar sysctl -p |
| Aceitar pacotes roteados na origem deve estar desabilitado para todas as interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Verifique se a aceitação de pacotes roteados de origem está desabilitada para todas as interfaces (CIS: L1 – Servidor – 3.2.1) – regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| Aceitar pacotes roteados na origem deve estar desabilitado para todas as interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Verifique se a aceitação de pacotes roteados de origem está desabilitada para todas as interfaces (CIS: L1 – Servidor – 3.2.1) – regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para adaptadores de rede. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Verifique se a configuração padrão para aceitar pacotes roteados de origem está desabilitada para interfaces de rede (CIS: L1 – Servidor – 3.2.1) – regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para adaptadores de rede. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Verifique se a configuração padrão para aceitar pacotes roteados de origem está desabilitada para interfaces de rede (CIS: L1 – Servidor – 3.2.1) – regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor em conformidade. |
| Ignorar as respostas de ICMP falsas para difusões deve estar habilitado. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Verifique se ignorar respostas falsas do ICMP para transmissões está habilitada (CIS: L1 – Servidor – 3.2.6) | Descrição: um invasor pode executar um ataque de ICMP resultante no DoS | Adicionar a /etc/sysctl.conf: net.ipv4.icmp_ignore_bogus_error_responses = 1e, em seguida, executar sysctl -p |
| Ignorar as solicitações de eco de ICMP (pings) enviadas para endereços de difusão/multicast deve estar habilitado. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Verifique se a opção ignorar solicitações de eco ICMP (pings) enviadas para endereços de transmissão/multicast está habilitada (CIS: L1 – Servidor - 3.2.5) | Descrição: um invasor pode executar um ataque de ICMP resultante no DoS | Adicionar a /etc/sysctl.conf: net.ipv4.icmp_echo_ignore_broadcasts = 1e, em seguida, executar sysctl -p |
| O registro em log de pacotes marcianos (aqueles com endereços impossíveis) deve estar habilitado para todas as interfaces. (net.ipv4.conf.all.log_marcianos = 1) (45.1) |
Verifique se o registro em log de pacotes marcianos (aqueles com endereços impossíveis) está habilitado para todas as interfaces | Descrição: um invasor pode enviar tráfego de endereços falsificados sem ser detectado | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.log_martians = 1 e net.ipv4.conf.default.log_martians = 1, em seguida, executar sysctl -p |
| Realizar a validação de origem pelo caminho inverso deve ser habilitado para todas as interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Verifique se a execução da validação de origem por caminho inverso está habilitada para todas as interfaces (CIS: L1 – Servidor – 3.2.7) – várias regras combinadas | Descrição: o sistema aceitará o tráfego dos endereços que não podem ser encaminhados. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 e net.ipv4.conf.default.rp_filter = 1, em seguida, executar sysctl -p |
| Realizar a validação de origem pelo caminho inverso deve ser habilitado para todas as interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Verifique se a execução da validação de origem por caminho inverso está habilitada para todas as interfaces (CIS: L1 – Servidor – 3.2.7) – várias regras combinadas | Descrição: o sistema aceitará o tráfego dos endereços que não podem ser encaminhados. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 e net.ipv4.conf.default.rp_filter = 1, em seguida, executar sysctl -p |
| Os cookies TCP SYN devem ser habilitados. (net.ipv4.tcp_syncookies = 1) (47) |
Verifique se os cookies TCP SYN estão habilitados (CIS: L1 – Servidor – 3.2.8) | Descrição: um invasor pode realizar um DoS sobre TCP | Adicionar a /etc/sysctl.conf: net.ipv4.tcp_syncookies = 1e, em seguida, executar sysctl -p |
| O sistema não deve atuar como sniffer (farejador) de rede. (48) |
Verifique se o sistema não funciona como um farejador de rede | Descrição: um invasor pode usar interfaces promíscuas para detectar o tráfego de rede | O modo promíscuo é habilitado por meio de uma entrada 'promisc' em '/etc/network/interfaces' ou '/etc/rc.local.' Verifique ambos os arquivos e remova essa entrada. |
| Todas as interfaces sem fio devem estar desabilitadas. (49) |
Verifique se todas as interfaces sem fio estão desabilitadas (CIS: L1 – Servidor – 3.6) | Descrição: um invasor pode criar um AP falso para interceptar as transmissões. | Confirme se todas as interfaces sem fio estão desabilitadas em '/etc/network/interfaces' |
| O protocolo IPv6 deve estar habilitado. (50) |
Verifique se o protocolo IPv6 está habilitado | Descrição: isso é necessário para a comunicação em redes modernas. | Abra /etc/sysctl.conf e confirme se 'net.ipv6.conf.all.disable_ipv6' e 'net.ipv6.conf.default.disable_ipv6' foram definidos como 0 |
| Verifique se o DCCP está desabilitado (54) |
Verifique se o DCCP está desabilitado | Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Adicionar install dccp /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r dccp |
| Verifique se o SCTP está desabilitado (55) |
Verifique se o SCTP está desabilitado | Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Adicionar install sctp /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r sctp |
| Desabilite o suporte para RDS. (56) |
Verifique se o suporte para RDS está desabilitado | Descrição: um invasor pode usar uma vulnerabilidade no RDS para comprometer o sistema | Adicionar install rds /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r rds |
| Verifique se o TIPC está desabilitado (57) |
Verifique se o TIPC está desabilitado | Descrição: se o protocolo não for necessário, será recomendável que os drivers não sejam instalados para reduzir a possível superfície de ataque. | Adicionar install tipc /bin/true a um arquivo ao terminar em .conf e, em /etc/modprobe.d/ seguida, executar modprobe -r tipc |
| Verifique se o registro em log foi configurado (60) |
Verifique se o log está configurado (CIS: L1 – Servidor – 4.2.1.2 + 4.2.1.3) | Descrição: uma grande quantidade de informações importantes relacionadas à segurança é enviada por meio do rsyslog (por exemplo, tentativas de su com êxito e com falha, tentativas de logon com falha, tentativas de logon raiz, etc.). |
Configure syslog, rsyslog ou syslog-ng conforme apropriado |
| O pacote syslog, rsyslog ou syslog-ng deve ser instalado. (61) |
Verifique se o pacote syslog, rsyslog ou syslog-ng está instalado (CIS: L1 – Servidor - 4.2.1.1) | Descrição: os problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Instalar o rsyslog: yum install rsyslog (RHEL/CentOS) ou apt install rsyslog (Debian/Ubuntu) |
| O serviço systemd-journald deve ser configurado como persistir mensagens de log (61.1) |
Verifique se o serviço com diários sistematiza mensagens de log (CIS: L1 – Servidor – 4.2.2.3) | Descrição: os problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Crie /var/log/journal e verificar se o Armazenamento em journald.conf é automático ou persistente |
| Verifique se um serviço de registro em log está habilitado (62) |
Verifique se um serviço de registro em log está habilitado | Descrição: é imperativo ter a capacidade de registrar eventos em um nó. | Habilitar o serviço rsyslog: systemctl enable rsyslog (systemd) ou chkconfig rsyslog on (sysv) |
| As permissões de arquivo para todos os arquivos de log do rsyslog devem ser definidas como 640 ou 600. (63) |
Verifique se as permissões de arquivo para todos os arquivos de log rsyslog estão configuradas (CIS: L1 – Servidor – 4.2.1.4) | Descrição: um invasor pode ocultar a atividade manipulando os logs | Adicione a linha '$FileCreateMode 0640' ao arquivo '/etc/rsyslog.conf' |
| Verifique se os arquivos de configuração do agente estão restritos. (63.1) |
Verifique se os arquivos de configuração do agente são restritos (CIS: L1 – Servidor – 4.2.1.4) | Descrição: é importante garantir que os arquivos de log existam e tenham as permissões corretas para garantir que os dados confidenciais do syslog sejam arquivados e protegidos. | Definir permissões de configuração rsyslog: chown root:root /etc/rsyslog.conf && chmod 640 /etc/rsyslog.conf |
| Todos os arquivos de log do rsyslog devem pertencer ao grupo ADM. (64) |
Verifique se todos os arquivos de log rsyslog pertencem ao grupo de adm | Descrição: um invasor pode ocultar a atividade manipulando os logs | Adicione a linha '$FileGroup adm' ao arquivo '/etc/rsyslog.conf' |
| Todos os arquivos de log do rsyslog devem pertencer ao usuário do syslog. (65) |
Verifique se todos os arquivos de log rsyslog pertencem ao usuário do syslog (CIS: L1 – Servidor – 4.2.1.4) | Descrição: um invasor pode ocultar a atividade manipulando os logs |
$FileOwner syslog Adicionar /etc/rsyslog.conf e reiniciar o serviço rsyslog |
| O rsyslog não deve aceitar mensagens remotas. (67) |
Verifique se o rsyslog não aceita mensagens remotas | Descrição: um invasor pode injetar mensagens no syslog, causando um DoS ou uma distração de outra atividade | Remova as linhas '$ModLoad imudp' e '$ModLoad imtcp' do arquivo '/etc/rsyslog.conf' |
| O serviço logrotate (syslog rotater) deve estar habilitado. (68) |
Verifique se o serviço logrotate (rotativo de syslog) está habilitado (CIS: L1 – Servidor – 4.3) | Descrição: os logfiles podem aumentar sem limites e consumir todo o espaço em disco | Instale o pacote logrotate e confirme se a entrada logrotate cron está ativa (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| O serviço rlogin deve estar desabilitado. (69) |
Verifique se o serviço rlogin está desabilitado | Descrição: um invasor pode obter acesso, ignorando os rigorosos requisitos de autenticação | Remova o serviço inetd. |
| Desabilite o inetd, a menos que necessário. (inetd) (70.1) |
Verifique se o inetd não está instalado (CIS: L1 – Servidor – 2.1.10) – regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstalar o serviço inetd: yum remove inetd (RHEL/CentOS) ou apt remove inetd (Debian/Ubuntu) |
| Desabilite o xinetd, a menos que necessário. (xinetd) (70.2) |
Verifique se o xinetd não está instalado (CIS: L1 – Servidor – 2.1.10) – regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço xinetd: yum remove xinetd (RHEL/CentOS) ou apt remove xinetd (Debian/Ubuntu) |
| Instale o inetd somente se apropriado e exigido pela distribuição. Proteja de acordo com os padrões atuais de proteção. (se necessário) (71.1) |
Verifique se o inetd não está instalado (CIS: L1 – Servidor – 2.1.10) – regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstalar o serviço inetd: yum remove inetd (RHEL/CentOS) ou apt remove inetd (Debian/Ubuntu) |
| Instale o xinetd somente se apropriado e exigido pela distribuição. Proteja de acordo com os padrões atuais de proteção. (se necessário) (71.2) |
Verifique se o xinetd não está instalado (CIS: L1 – Servidor – 2.1.10) – regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço xinetd: yum remove xinetd (RHEL/CentOS) ou apt remove xinetd (Debian/Ubuntu) |
| O serviço telnet deve estar desabilitado. (72) |
Verifique se o serviço telnet está desabilitado (CIS: L1 – Servidor – 2.1.8) | Descrição: um invasor pode espionar ou sequestrar sessões Telnet não criptografadas | Remova ou comente a entrada Telnet no arquivo '/etc/inetd.conf' |
| Todos os pacotes Telnet devem ser desinstalados. (73) |
Verifique se todos os pacotes telnetd estão desinstalados | Descrição: um invasor pode espionar ou sequestrar sessões Telnet não criptografadas | Desinstale todos os pacotes Telnet |
| O serviço rcp/rsh deve estar desabilitado. (74) |
Verifique se o serviço rcp/rsh está desabilitado | Descrição: um invasor pode espionar ou sequestrar sessões não criptografadas | Remova ou comente a entrada de shell no arquivo '/etc/inetd.conf' |
| O pacote rsh-server deve ser desinstalado. (77) |
Verifique se o pacote rsh-server está desinstalado (CIS: L1 – Servidor – 2.1.6) | Descrição: um invasor pode espionar ou sequestrar sessões rsh não criptografadas | Desinstale o pacote rsh-server: yum remove rsh-server (RHEL/CentOS) ou apt remove rsh-server (Debian/Ubuntu) |
| O serviço ypbind deve estar desabilitado. (78) |
Verifique se o serviço de ypbind está desabilitado e se o pacote nis não está instalado – regras de serviço e pacote combinadas | Descrição: um invasor pode recuperar informações confidenciais do serviço ypbind | Desinstale o pacote nis: yum remove nis (RHEL/CentOS) ou apt remove nis (Debian/Ubuntu) |
| O pacote NIS deve ser desinstalado. (79) |
Verifique se o serviço de ypbind está desabilitado e se o pacote nis não está instalado – regras de serviço e pacote combinadas | Descrição: um invasor pode recuperar informações confidenciais do serviço NIS | Desinstale o pacote nis: yum remove nis (RHEL/CentOS) ou apt remove nis (Debian/Ubuntu) |
| O serviço tftp deve estar desabilitado. (80) |
Verifique se o serviço tftp está desabilitado (CIS: L1 – Servidor – 2.1.9) | Descrição: um invasor pode espionar ou sequestrar uma sessão não criptografada | Remover a entrada de TFTP do arquivo '/etc/inetd.conf' |
| O pacote tftpd deve ser desinstalado. (81) |
Verifique se o pacote tftpd não está instalado (CIS: L1 – Servidor – 2.1.9) | Descrição: um invasor pode espionar ou sequestrar uma sessão não criptografada | Desinstale o pacote tftpd: yum remove tftpd (RHEL/CentOS) ou apt remove tftpd (Debian/Ubuntu) |
| O pacote readahead-fedora deve ser desinstalado. (82) |
Verifique se o pacote readahead-fedora não está instalado | Descrição: o pacote não cria nenhuma exposição substancial, mas também não adiciona nenhum benefício substancial. | Desinstale o pacote readahead-fedora: yum remove readahead-fedora (RHEL/CentOS) ou apt remove readahead-fedora (Debian/Ubuntu) |
| O serviço bluetooth/hidd deve estar desabilitado. (84) |
Verifique se o pacote bluetooth não está instalado | Descrição: um invasor pode interceptar ou manipular as comunicações sem fio. | Desinstale o pacote bluetooth: yum remove bluetooth (RHEL/CentOS) ou apt remove bluetooth (Debian/Ubuntu) |
| O serviço isdn deve estar desabilitado. (86) |
Verifique se o serviço isdn está desabilitado e se o pacote isdnutils-base não está instalado – regras de serviço e pacote combinadas | Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base: yum remove isdnutils-base (RHEL/CentOS) ou apt remove isdnutils-base (Debian/Ubuntu) |
| O pacote isdnutils-base deve ser desinstalado. (87) |
Verifique se o serviço isdn está desabilitado e se o pacote isdnutils-base não está instalado – regras de serviço e pacote combinadas | Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base: yum remove isdnutils-base (RHEL/CentOS) ou apt remove isdnutils-base (Debian/Ubuntu) |
| O serviço kdump deve estar desabilitado. (88) |
Verifique se o serviço kdump está desabilitado e se o pacote kdump-tools não está instalado | Descrição: um invasor pode analisar uma falha de sistema anterior para recuperar informações confidenciais | Desinstale o pacote de ferramentas kdump: yum remove kdump-tools (RHEL/CentOS) ou apt remove kdump-tools (Debian/Ubuntu) |
| A rede zeroconf deve estar desabilitada. (89) |
Verifique se a rede de zeroconf está desabilitada | Descrição: um invasor pode abusar disso para obter informações sobre sistemas em rede ou falsificar solicitações DNS devido a falhas no modelo de confiança | RHEL/CentOS: Adicionar NOZEROCONF=yes a /etc/sysconfig/network. Debian/Ubuntu: remover ipv4ll entradas de /etc/network/interfaces |
| O serviço crond deve estar habilitado. (90) |
Verifique se o serviço cron está habilitado (CIS: L1 – Servidor – 5.1.1) | Descrição: quase todos os sistemas exigem o Cron para tarefas de manutenção regulares | Instale o pacote cron: yum install cron (RHEL/CentOS) ou apt install cron (Debian/Ubuntu) e habilite o serviço |
| As permissões de arquivo para /etc/anacrontab devem ser definidas como root:root 600. (91) |
Verifique se as permissões de arquivo em /etc/anacrontab estão configuradas | Descrição: um invasor pode manipular esse arquivo para impedir tarefas agendadas ou executar tarefas mal-intencionadas | Definir propriedade e permissões: chown root:root /etc/anacrontab && chmod 600 /etc/anacrontab |
| Verifique se as permissões em /etc/cron.d foram configuradas. (93) |
Verifique se as permissões em /etc/cron.d estão configuradas (CIS: L1 – Servidor – 5.1.7) | Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.d && chmod 700 /etc/cron.d |
| Verifique se as permissões em /etc/cron.daily foram configuradas. (94) |
Verifique se as permissões em /etc/cron.daily estão configuradas (CIS: L1 – Servidor – 5.1.4) | Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.daily && chmod 700 /etc/cron.daily |
| Verifique se as permissões em /etc/cron.hourly foram configuradas. (95) |
Verifique se as permissões em /etc/cron.hourly estão configuradas (CIS: L1 – Servidor – 5.1.3) | Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.hourly && chmod 700 /etc/cron.hourly |
| Verifique se as permissões em /etc/cron.monthly foram configuradas. (96) |
Verifique se as permissões em /etc/cron.monthly estão configuradas (CIS: L1 – Servidor – 5.1.6) | Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.monthly && chmod 700 /etc/cron.monthly |
| Verifique se as permissões em /etc/cron.weekly foram configuradas. (97) |
Verifique se as permissões em /etc/cron.weekly estão configuradas (CIS: L1 – Servidor – 5.1.5) | Descrição: conceder acesso de gravação a este diretório para usuários sem privilégios pode fornecer a eles os meios de obter privilégios elevados não autorizados. Conceder acesso de leitura a este diretório pode dar insights a um usuário sem privilégios sobre como obter privilégios elevados ou contornar os controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.weekly && chmod 700 /etc/cron.weekly |
| Verifique se at/cron está restrito aos usuários autorizados (98) |
Verifique se at/cron está restrito a usuários autorizados (CIS: L1 – Servidor – 5.1.8) | Descrição: em muitos sistemas, somente o administrador do sistema está autorizado a agendar cron trabalhos. Usar o arquivo cron.allow para controlar quem pode executar cron trabalhos aplica essa política. É mais fácil gerenciar uma lista de permitidos do que uma lista de negações. Em uma lista de negações, é possível adicionar uma ID de usuário ao sistema e esquecer de adicioná-la aos arquivos de negação. |
Criar /etc/cron.allow e /etc/at.allow com usuários autorizados, remover /etc/cron.deny e /etc/at.deny |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Verifique se o protocolo SSH está configurado (CIS: L1 – Servidor – 5.2.4) | Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso |
Protocol 2 Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config IgnoreRhosts = sim' (106.3) |
Verifique se o IgnoreRhosts SSH está configurado (CIS: L1 – Servidor – 5.2.8) | Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso |
IgnoreRhosts yes Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| Verifique se o LogLevel do SSH está definido como INFO (106.5) |
Verifique se o LogLevel do SSH está configurado (CIS: L1 – Servidor – 5.2.5) | Descrição: o SSH fornece vários níveis de log com diferentes quantidades de detalhamento.
DEBUGnão é especificamente recomendado, exceto estritamente para depurar comunicações SSH, pois fornece tantos dados que é difícil identificar informações de segurança importantes.
INFO level é o nível básico que registra apenas a atividade de login de usuários SSH. Em muitas situações, como na resposta a incidentes, é importante determinar quando um determinado usuário esteve ativo em um sistema. O registro de logout pode eliminar os usuários que se desconectaram, o que ajuda a restringir o campo. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros da seguinte maneira: LogLevel INFO |
| Certifique-se de que o MaxAuthTries do SSH esteja definido como 6 ou menos (106.7) |
Verifique se o MaxAuthTries do SSH está configurado (CIS: L1 – Servidor – 5.2.7) | Descrição: definir o parâmetro MaxAuthTries como um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Embora a configuração recomendada seja 4, defina o número com base na política do site. |
Verifique se o MaxAuthTries do SSH está definido como 6 ou menos Edite o arquivo /etc/ssh/sshd_config para definir o parâmetro da seguinte maneira: MaxAuthTries 6 |
| Garantir que o acesso SSH seja limitado (106.11) |
Verifique se os usuários permitidos para acesso SSH estão configurados (CIS: L1 – Servidor – 5.2.18) | Descrição: restringir quais usuários podem acessar remotamente o sistema via SSH ajudará a garantir que somente usuários autorizados acessem o sistema. | Verifique se o acesso SSH está limitado Edite o arquivo /etc/ssh/sshd_config para definir um ou mais dos parâmetros da seguinte maneira: AllowUsers AllowGroups DenyUsers DenyGroups |
| A emulação do comando rsh por meio do servidor SSH deve ser desabilitada. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
N/A | Descrição: um invasor pode usar falhas no protocolo RHosts para obter acesso |
RhostsRSAAuthentication no Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| A autenticação baseada em host SSH deve ser desabilitada. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Verifique se o HostBasedAuthentication do SSH está configurado (CIS: L1 – Servidor – 5.2.9) | Descrição: um invasor pode usar a autenticação baseada em host para obter acesso de um host comprometido |
HostbasedAuthentication no Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| O logon raiz via SSH deve ser desabilitado. - '/etc/ssh/sshd_config PermitRootLogin = não' (109) |
Verifique se o SSH PermitRootLogin está configurado (CIS: L1 – Servidor – 5.2.10) | Descrição: um invasor pode forçar brutamente a senha raiz ou ocultar seu histórico de comandos fazendo logom diretamente como raiz |
PermitRootLogin no Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| As conexões remotas de contas com senhas vazias devem ser desabilitadas. - '/etc/ssh/sshd_config PermitEmptyPasswords = não' (110) |
Verifique se o SSH PermitEmptyPasswords está configurado (CIS: L1 – Servidor – 5.2.11) | Descrição: um invasor pode obter acesso por meio de adivinhação de senha |
PermitEmptyPasswords no Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| Verifique se o intervalo de tempo limite ocioso do SSH está configurado. (110.1) |
Verifique se o SSH ClientAliveCountMax está configurado | Descrição: não ter nenhum valor temporal associado a uma conexão pode permitir que um usuário não autorizado acesse a sessão SSH de outro usuário. Definir um valor temporal pelo menos reduz o risco de isso acontecer. Embora a configuração recomendada seja de 300 segundos (5 minutos), defina esse valor temporal com base na política do site. A configuração recomendada para ClientAliveCountMax é 0. Nesse caso, a sessão do cliente será encerrada após 5 minutos de tempo ocioso e nenhuma mensagem keepalive será enviada. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política |
| Verifique se o LoginGraceTime do SSH está definido para um minuto ou menos. (110.2) |
Verifique se o LoginGraceTime do SSH está configurado (CIS: L1 – Servidor – 5.2.17) | Descrição: definir o parâmetro LoginGraceTime como um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Ele também limitará o número de conexões não autenticadas simultâneas. Enquanto a configuração recomendada é de 60 segundos (1 minuto), delimite o número com base na política do site. |
LoginGraceTime 60 Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| Verifique se apenas algoritmos MAX aprovados estão sendo usados (110.3) |
Verifique se somente algoritmos MAC aprovados são usados (CIS: L1 – Servidor – 5.2.14) | Descrição: algoritmos MAC de 96 bits e MD5 são considerados fracos e foram mostrados para aumentar a exploração em ataques de downgrade do SSH. Algoritmos fracos continuam a receber muita atenção como um ponto fraco que pode ser explorado com capacidade de computação expandida. Um invasor que interrompe o algoritmo pode aproveitar uma posição MiTM para descriptografar o túnel SSH e capturar credenciais e informações | Adicionar MACs aprovados a /etc/ssh/sshd_config: MACs hmac-sha2-512,hmac-sha2-256 e reiniciar o serviço sshd |
| Verifique se a faixa de aviso de logon remoto foi configurada corretamente. (111) |
Verifique se a faixa de aviso de logon remoto está configurada corretamente (CIS: L1 – Servidor – 1.7.1.3) | Descrição: as mensagens de aviso informam os usuários que estão tentando fazer logon no sistema sobre o status legal em relação ao sistema e devem incluir o nome da organização que possui o sistema e as políticas de monitoramento em vigor. Exibir as informações de nível de patch e do sistema operacional em faixas de logon também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atacar explorações específicas de um sistema. Os usuários autorizados podem obter essas informações facilmente executando o comando uname -a, depois de fazer logon. |
Remover sequências de escape de informações do sistema (\m, , \r, \s, \v) e substituir pelo texto de /etc/issue.net aviso apropriado |
| Verifique se a faixa de aviso de logon local foi configurada corretamente. (111.1) |
Verifique se a faixa de aviso de logon local está configurada corretamente (CIS: L1 – Servidor – 1.7.1.2) | Descrição: as mensagens de aviso informam os usuários que estão tentando fazer logon no sistema sobre o status legal em relação ao sistema e devem incluir o nome da organização que possui o sistema e as políticas de monitoramento em vigor. Exibir as informações de nível de patch e do sistema operacional em faixas de logon também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atacar explorações específicas de um sistema. Os usuários autorizados podem obter essas informações facilmente executando o comando uname -a, depois de fazer logon. |
Remover sequências de escape de informações do sistema (\m, , \r, \s, \v) e substituir pelo texto de /etc/issue aviso apropriado |
| A faixa de aviso do SSH deve ser habilitada. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Verifique se a faixa de aviso SSH está configurada (CIS: L1 – Servidor – 5.2.19) | Descrição: os usuários não serão avisados de que suas ações no sistema são monitoradas |
Banner /etc/issue.net Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| Os usuários não têm permissão para definir opções de ambiente para SSH. (112) |
Verifique se o SSH PermitUserEnvironment está configurado (CIS: L1 – Servidor – 5.2.12) | Descrição: um invasor pode ser capaz de ignorar algumas restrições de acesso por SSH | Remova a linha 'PermitUserEnvironment yes' from the file '/etc/ssh/sshd_config' |
| As criptografias apropriadas devem ser usadas para SSH. (Criptografa aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Verifique se as criptografias apropriadas são usadas para SSH (CIS: L1 – Servidor – 5.2.13) | Descrição: um invasor pode comprometer uma conexão SSH fracamente protegida |
Ciphers aes128-ctr,aes192-ctr,aes256-ctr Adicionar /etc/ssh/sshd_config e reiniciar o serviço sshd |
| O serviço avahi-daemon deve estar desabilitado. (114) |
Verifique se o serviço avahi-daemon está desabilitado (CIS: L1 – Servidor – 2.2.3) | Descrição: um invasor pode usar uma vulnerabilidade no avahi daemon para obter acesso | Desabilite o serviço avahi-daemon: systemctl disable avahi-daemon (systemd) ou chkconfig avahi-daemon off (sysv) |
| O serviço cups deve estar desabilitado. (115) |
Verifique se o serviço cups está desabilitado (CIS: L1 – Servidor – 2.2.4) | Descrição: um invasor pode usar uma falha no serviço cups para elevar os privilégios | Desabilitar o serviço cups: systemctl disable cups (systemd) ou chkconfig cups off (sysv) |
| O serviço isc-dhcpd deve estar desabilitado. (116) |
Verifique se o pacote isc-dhcp-server não está instalado (CIS: L1 – Servidor – 2.2.5) – regras de serviço e pacote combinadas | Descrição: um invasor pode usar o dhcpd para fornecer informações com falha aos clientes, interferindo na operação normal. | Remova o pacote isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) ou apt remove isc-dhcp-server (Debian/Ubuntu) |
| O pacote isc-dhcp-server deve ser desinstalado. (117) |
Verifique se o pacote isc-dhcp-server não está instalado (CIS: L1 – Servidor – 2.2.5) – regras de serviço e pacote combinadas | Descrição: um invasor pode usar o dhcpd para fornecer informações com falha aos clientes, interferindo na operação normal. | Remova o pacote isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) ou apt remove isc-dhcp-server (Debian/Ubuntu) |
| O pacote sendmail deve ser desinstalado. (120) |
Verifique se o pacote de remetente não está instalado | Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Desinstale o pacote sendmail: yum remove sendmail (RHEL/CentOS) ou apt remove sendmail (Debian/Ubuntu) |
| O pacote postfix deve ser desinstalado. (121) |
Verifique se o pacote de postfixo não está instalado | Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Desinstale o pacote postfix: yum remove postfix (RHEL/CentOS) ou apt remove postfix (Debian/Ubuntu) |
| A escuta de rede postfix deve estar desabilitada conforme apropriado. (122) |
Verifique se a escuta de rede de postfixo está desabilitada | Descrição: um invasor pode usar este sistema para enviar emails com conteúdo mal-intencionado a outros usuários | Adicione a linha 'inet_interfaces localhost' ao arquivo '/etc/postfix/main.cf' |
| O serviço ldap deve estar desabilitado. (124) |
Verifique se o serviço ldap está desabilitado e se o pacote sldapd não está instalado (CIS: L1 – Servidor – 2.2.6) | Descrição: um invasor pode manipular o serviço LDAP neste host para distribuir dados falsos para os clientes LDAP | Desinstale o pacote com tapa: yum remove openldap-servers (RHEL/CentOS) ou apt remove slapd (Debian/Ubuntu) |
| O serviço rpcgssd deve estar desabilitado. (126) |
Verifique se o serviço rpcgssd está desabilitado | Descrição: um invasor pode usar uma falha no rpcgssd/nfs para obter acesso | Desabilitar o serviço rpcgssd: systemctl disable rpc-gssd (systemd) ou chkconfig rpc-gssd off (sysv) |
| O serviço rpcgssd deve estar desabilitado. (127) |
Verifique se o serviço rpcidmapd está desabilitado | Descrição: um invasor pode usar uma falha no idmapd/nfs para obter acesso | Desabilitar o serviço rpcidmapd: systemctl disable rpc-idmapd (systemd) ou chkconfig rpc-idmapd off (sysv) |
| O serviço portmap deve estar desabilitado. (129.1) |
Verifique se o serviço portmap está desabilitado | Descrição: um invasor pode usar uma falha no portmap para obter acesso | Desabilitar o serviço rpcbind: systemctl disable rpcbind (systemd) ou chkconfig rpcbind off (sysv) |
| O serviço NFS (Sistema de Arquivos de Rede) deve ser desabilitado. (129.2) |
Verifique se o serviço NFS (Sistema de Arquivos de Rede) está desabilitado (CIS: L1 – Servidor – 2.2.7 – parcial) | Descrição: um invasor pode usar o NFS para montar compartilhamentos e executar/copiar arquivos. | Desabilitar o serviço nfs: systemctl disable nfs-server (systemd) ou chkconfig nfs off (sysv) |
| O serviço portmap deve estar desabilitado. (130) |
Verifique se o serviço rpcsvcgssd está desabilitado | Descrição: um invasor pode usar uma falha no rpcsvcgssd para obter acesso | Remova a linha 'NEED_SVCGSSD = yes' do arquivo '/etc/inetd.conf' |
| O serviço nomeado deve estar desabilitado. (131) |
Verifique se o serviço nomeado está desabilitado e se o pacote bind9 não está instalado (CIS: L1 – Servidor – 2.2.8) – regras de serviço e pacote combinadas | Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos para os clientes | Desinstale o pacote de associação: yum remove bind (RHEL/CentOS) ou apt remove bind9 (Debian/Ubuntu) |
| O pacote bind deve ser desinstalado. (132) |
Verifique se o serviço nomeado está desabilitado e se o pacote bind9 não está instalado (CIS: L1 – Servidor – 2.2.8) – regras de serviço e pacote combinadas | Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos para os clientes | Desinstale o pacote de associação: yum remove bind (RHEL/CentOS) ou apt remove bind9 (Debian/Ubuntu) |
| O serviço dovecot deve estar desabilitado. (137) |
Verifique se o serviço do dovecot está desabilitado e se o pacote dovecot-core não está instalado – regras de serviço e pacote combinadas | Descrição: o sistema pode ser usado como servidor IMAP/POP3 | Desinstale o pacote dovecot: yum remove dovecot (RHEL/CentOS) ou apt remove dovecot-core (Debian/Ubuntu) |
| O pacote dovecot deve ser desinstalado. (138) |
Verifique se o serviço do dovecot está desabilitado e se o pacote dovecot-core não está instalado – regras de serviço e pacote combinadas | Descrição: o sistema pode ser usado como servidor IMAP/POP3 | Desinstale o pacote dovecot: yum remove dovecot (RHEL/CentOS) ou apt remove dovecot-core (Debian/Ubuntu) |
Verifique se não existem entradas + herdadas em /etc/passwd(156.1) |
Verifique se não existem entradas herdadas em /etc/passwd (CIS: L1 – Servidor – 6.2.2) | Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/passwd que começam com '+:' |
Verifique se não existem entradas + herdadas em /etc/shadow(156.2) |
Verifique se não existem entradas herdadas em /etc/shadow (CIS: L1 – Servidor – 6.2.3) | Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/shadow que começam com '+:' |
Verifique se não existem entradas + herdadas em /etc/group(156.3) |
Verifique se não existem entradas herdadas em /etc/group (CIS: L1 – Servidor – 6.2.4) | Descrição: um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova as entradas em /etc/group que começam com '+:' |
| Verifique se a expiração da senha é de 365 dias ou menos. (157.1) |
Verifique se a expiração da senha está configurada (CIS: L1 – Servidor – 5.4.1.1) | Descrição: reduzir a idade máxima de uma senha também reduz a janela de oportunidade de um invasor aproveitar as credenciais comprometidas ou comprometer com êxito as credenciais por meio de um ataque de força bruta online. | Definir PASS_MAX_DAYS 365 em /etc/login.defs |
| Verifique se o tempo de aviso de expiração da senha é de 7 dias ou mais. (157.2) |
Verifique se os dias de aviso de expiração de senha estão configurados (CIS: L1 – Servidor – 5.4.1.3) | Descrição: fornecer um aviso antecipado de que uma senha expirará dá tempo aos usuários para pensar uma senha segura. Usuários pegos de surpresa podem escolher uma senha simples ou anotá-la onde possa ser descoberta. | Definir PASS_WARN_AGE 7 em /etc/login.defs |
| Verifique se a reutilização de senha é limitada. (157.5) |
Verifique se a reutilização de senha é limitada (CIS: L1 – Servidor – 5.3.3) | Descrição: forçar os usuários a não reutilizar as últimas cinco senhas torna menos provável que um invasor possa adivinhar a senha. | Adicionar remember=5 ao módulo de senha do PAM em /etc/pam.d/common-password |
| Verifique se o algoritmo de hash da senha é SHA-512 (157.11) |
Verifique se o algoritmo de hash de senha é SHA-512 (CIS: L1 – Servidor – 5.3.4) | Descrição: o algoritmo SHA-512 fornece um hash muito mais forte que o MD5, portanto, fornece proteção adicional ao sistema, aumentando o nível de esforço de um invasor para determinar as senhas com êxito. Observação: essas alterações se aplicam somente às contas configuradas no sistema local. | Defina o algoritmo de hash da senha como SHA512. Muitas distribuições fornecem ferramentas para atualizar a configuração do PAM, veja a documentação para obter detalhes. Se uma ferramenta não foi fornecida, edite o arquivo de configuração /etc/pam.d/ apropriado e adicione ou modifique as linhas pam_unix.so para incluir a opção sha512: password sufficient pam_unix.so sha512 |
| Verifique se o mínimo de dias entre as alterações de senha é 7 ou mais. (157.12) |
Verifique se os dias mínimos entre as alterações de senha estão configurados (CIS: L1 – Servidor – 5.4.1.2) | Descrição: ao restringir a frequência de alterações de senha, um administrador pode impedir que os usuários alterem a senha repetidamente, em uma tentativa de contornar os controles de reutilização de senha. |
PASS_MIN_DAYS 7 Definir /etc/login.defs e executar chage --mindays 7 <username> para usuários existentes |
| Verifique se a última data de alteração de senha de todos os usuários está no passado (157.14) |
Verifique se o período de bloqueio de senha inativo está configurado (CIS: L1 – Servidor – 5.4.1.4) | Descrição: se uma data de alteração de senha registrada pelos usuários estiver no futuro, eles poderão ignorar qualquer expiração de senha definida. | Verifique se o bloqueio de senha inativo é de 30 dias ou menos. Execute o seguinte comando para definir o período de inatividade de senha padrão como 30 dias: # useradd -D -f 30. Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder a: # chage --inactive 30 |
| Verifique se as contas do sistema são de não logon (157.15) |
Verifique se todas as contas do sistema não são de logon (CIS: L1 – Servidor – 5.4.2) | Descrição: é importante verificar se as contas que não estão sendo usadas por usuários regulares são impedidas de ser usadas para fornecer um shell interativo. Por padrão, o Ubuntu define o campo de senha para essas contas como uma cadeia de caracteres inválida, mas também é recomendável que o campo shell no arquivo de senha seja definido como /usr/sbin/nologin. Isso impede que a conta seja usada possivelmente para executar qualquer comando. |
Defina o shell para as contas retornadas pelo script de auditoria como /sbin/nologin |
| Verifique se o grupo padrão da conta raiz é GID 0 (157.16) |
Verifique se o grupo padrão da conta raiz é GID 0 (CIS: L1 – Servidor – 5.4.3) | Descrição: o uso do GID 0 para a root conta ajuda a impedir que rootarquivos de propriedade se tornem acidentalmente acessíveis a usuários sem privilégios. |
Execute o comando a seguir para definir o grupo padrão do usuário root como GID 0: # usermod -g 0 root |
| Verifique se a raiz é a única conta UID 0 (157.18) |
Verifique se a raiz é a única conta UID 0 (CIS: L1 – Servidor – 6.2.5) | Descrição: esse acesso deve ser limitado apenas à conta padrão root e somente no console do sistema. O acesso administrativo deve ser por meio de uma conta sem privilégios, usando um mecanismo aprovado. |
Remova qualquer usuário que não seja root com o UID 0 ou atribua a eles um novo UID, se apropriado. |
| Remova as contas desnecessárias (159) |
Garantir que contas desnecessárias sejam removidas | Descrição: para conformidade | Remova as contas desnecessárias |
| Verifique se o serviço auditd está habilitado (162) |
Verifique se o pacote auditado está instalado | Descrição: a captura de eventos do sistema fornece aos administradores do sistema informações para que determinem se o sistema está sendo acesso por usuários não autorizados. | Instale o pacote de auditoria (systemctl enable auditd) |
| Execute o serviço AuditD (163) |
Verifique se o serviço auditado está em execução | Descrição: a captura de eventos do sistema fornece aos administradores do sistema informações para que determinem se o sistema está sendo acesso por usuários não autorizados. | Execute o serviço AuditD (systemctl start auditd) |
| Verifique se o servidor SNMP não está habilitado (179) |
Verifique se o servidor SNMP não está habilitado (CIS: L1 – Servidor – 2.2.14) | Descrição: o servidor SNMP pode se comunicar usando o SNMP v1, que transmite dados claramente e não requer autenticação para executar comandos. A menos que seja absolutamente necessário, é recomendável que o serviço SNMP não seja usado. Se o SNMP for necessário, o servidor deverá ser configurado para proibir o SNMP v1. | Execute um dos seguintes comandos para desabilitar snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Verifique se o serviço rsync não está habilitado (181) |
Verifique se o serviço rsync não está habilitado (CIS: L1 – Servidor – 2.2.16) | Descrição: o serviço rsyncd apresenta um risco de segurança, pois usa protocolos não criptografados para comunicação. |
Desabilitar o serviço rsync: systemctl disable rsyncd (systemd) ou chkconfig rsyncd off (sysv) |
| Verifique se o servidor NIS não está habilitado (182) |
Verifique se o servidor NIS não está habilitado (CIS: L1 – Servidor – 2.2.17) | Descrição: o serviço NIS é inerentemente um sistema inseguro, que era vulnerável a ataques de DOS e estouros de buffer, além de ter autenticação inadequada para consultar mapas NIS. Em geral, o NIS é substituído por protocolos como LDAP (Lightweight Directory Access Protocol). É recomendável que o serviço seja desabilitado e serviços mais seguros sejam usados | Execute um dos seguintes comandos para desabilitar ypserv: # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Verifique se o cliente rsh não foi instalado (183) |
Verifique se o cliente rsh não está instalado (CIS: L1 – Servidor – 2.3.2) | Descrição: esses clientes herdados contêm várias exposições de segurança e foram substituídos pelo pacote SSH mais seguro. Mesmo que o servidor seja removido, é melhor garantir que os clientes também sejam removidos para impedir que os usuários tentem usar esses comandos inadvertidamente e, portanto, expondo as credenciais. Observe que a remoção do rsh pacote remove os clientes para rsh, rcp e rlogin. |
Desinstale o rsh usando o gerenciador de pacotes apropriado: yum remove rsh (RHEL/CentOS), apt remove rsh (Debian/Ubuntu) ou zypper remove rsh (SUSE) |
| Desabilite o SMB v1 com Samba (185) |
Verifique se o SMB V1 com samba está desabilitado (CIS: L1 – Servidor – 2.2.12) | Descrição: o SMB v1 tem vulnerabilidades graves bem conhecidas e não criptografa dados em trânsito. Se tiver que ser usado por motivos comerciais, é altamente recomendável que etapas adicionais sejam seguidas para atenuar os riscos inerentes a esse protocolo. | Adicionar min protocol = SMB2 à [global] seção /etc/samba/smb.conf e reiniciar o serviço smbd |
Observação
A disponibilidade de definições específicas de configuração do convidado do Azure Policy pode variar no Azure Government e em outras nuvens nacionais.
Próximas etapas
Artigos adicionais sobre Azure Policy e configuração de convidado:
- Configuração de convidado do Azure Policy.
- Visão geral da Conformidade Regulatória.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos não compatíveis com a nova função de correção automática azure-osconfigLimited Public Preview.