Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux com status de Fim de Vida (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
Este artigo detalha as definições de configuração para convidados Linux, conforme aplicável nas seguintes implementações:
- As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Definição de configuração de convidado da Política do Azure
- As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas no Microsoft Defender for Cloud
Para as verificações e sugestões de correção, adotamos uma abordagem de práticas recomendadas - no entanto, certifique-se sempre de que os comandos serão testados e não aplicados cegamente em qualquer ambiente de produção. Para correções automáticas, lançamos no Limited Public Preview nosso novo recurso de correção automática para que você possa testar essa política com a ação "DeployIfNotExist" também.
A nova versão da política para auditoria e correção é alimentada pelo azure-osconfig , nosso mecanismo de código aberto - você pode ler mais sobre o anúncio de replataforma.
Para obter mais informações, consulte Configuração de convidado da Política do Azure e Visão geral do Benchmark de Segurança do Azure (V2).
Os mapeamentos CIS são baseados na versão Distro Independent Benchmark v2.0.0.
Controlos gerais de segurança
| Nome (CCEID) |
Novo nome | Detalhes | Verificação de correção |
|---|---|---|---|
| Certifique-se da opção nodev definida na partição /home. (1.1.4) |
Certifique-se da opção nodev definida na partição /home (CIS: L1 - Server - 1.1.14) | Descrição: Um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /home. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /home. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique a opção nodev definida na partição /tmp. (1.1.5) |
Verifique se a opção nodev está definida na partição /tmp (CIS: L1 - Servidor - 1.1.3) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique a opção nodev definida na partição /var/tmp. (1.1.6) |
Verifique a opção nodev definida na partição /var/tmp (CIS: L1 - Servidor - 1.1.8) | Descrição: Um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) na partição /var/tmp. | Edite o arquivo /etc/fstab e adicione nodev ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção nosuid esteja definida na partição /tmp. (1.1.7) |
Certifique-se de que a opção nosuid esteja definida na partição /tmp (CIS: L1 - Servidor - 1.1.4) | Descrição: Como o sistema de arquivos /tmp se destina apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção nosuid esteja definida na partição /var/tmp. (1.1.8) |
Certifique-se de que a opção nosuid esteja definida na partição /var/tmp (CIS: L1 - Servidor - 1.1.9) | Descrição: Como o sistema de arquivos /var/tmp se destina apenas ao armazenamento temporário de arquivos, defina esta opção para garantir que os usuários não possam criar arquivos setuid em /var/tmp. | Edite o arquivo /etc/fstab e adicione nosuid ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção noexec esteja definida na partição /var/tmp. (1.1.9) |
Verifique a opção noexec definida na partição /var/tmp (CIS: L1 - Servidor - 1.1.10) | Descrição: Como o /var/tmp sistema de arquivos se destina apenas ao armazenamento temporário de arquivos, defina essa opção para garantir que os usuários não possam executar binários executáveis a partir do /var/tmp . |
Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /var/tmp. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Certifique-se de que a opção noexec esteja definida na partição /dev/shm. (1.1.16) |
Certifique-se de que a opção noexec esteja definida na partição /dev/shm (CIS: L1 - Servidor - 1.1.17) | Descrição: Definir essa opção em um sistema de arquivos impede que os usuários executem programas a partir da memória compartilhada. Este controlo dissuade os utilizadores de introduzir software potencialmente malicioso no sistema. | Edite o arquivo /etc/fstab e adicione noexec ao quarto campo (opções de montagem) para a partição /dev/shm. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Desativar a montagem automática (1.1.21) |
Verifique se a montagem automática está desativada (CIS: L1 - Servidor - 1.1.22) | Descrição: Com a montagem automática ativada, qualquer pessoa com acesso físico pode anexar uma unidade USB ou disco e ter seu conteúdo disponível no sistema, mesmo que não tenha permissões para montá-lo por conta própria. | Desative o serviço autofs: systemctl disable autofs (systemd) ou chkconfig autofs off (sysv) |
| Verifique se a montagem de dispositivos de armazenamento USB está desativada (1.1.21.1) |
Verifique se a montagem de dispositivos de armazenamento USB está desativada (CIS: L1 - Servidor - 1.1.23) | Descrição: A remoção do suporte para dispositivos de armazenamento USB reduz a superfície de ataque local do servidor. | Adicionar install usb-storage /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r usb-storage |
| Certifique-se de que os dumps principais sejam restritos. (1.5.1) |
Verifique se os dumps principais são restritos (CIS: L1 - Servidor - 1.5.1) | Descrição: Definir um limite rígido em dumps principais impede que os usuários substituam a variável soft. Se forem necessários dumps principais, considere definir limites para grupos de usuários (consulte limits.conf(5)). Além disso, definir a variável como 0 evitará que os fs.suid_dumpable programas setuid despejem o núcleo. |
Adicionar * hard core 0 e /etc/security/limits.conf definir fs.suid_dumpable = 0 e, em /etc/sysctl.confseguida, executar sysctl -p |
| Verifique se o pré-link está desativado. (1.5.4) |
Verifique se o pré-link está desativado (CIS: L1 - Servidor - 1.5.4) | Descrição: O recurso de pré-vinculação pode interferir na operação do AIDE, pois altera binários. A pré-vinculação também pode aumentar a vulnerabilidade do sistema se um usuário mal-intencionado for capaz de comprometer uma biblioteca comum, como a libc. | Pré-link de desinstalação: yum remove prelink (RHEL/CentOS) ou apt remove prelink (Debian/Ubuntu) |
| Verifique se as permissões em /etc/motd estão configuradas. (1.7.1.4) |
Verifique se as permissões em /etc/motd estão configuradas (CIS: L1 - Servidor - 1.7.1.4) | Descrição: Se o /etc/motd arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Definir propriedade e permissões: chown root:root /etc/motd && chmod 644 /etc/motd |
| Verifique se as permissões em /etc/issue estão configuradas. (1.7.1.5) |
Verifique se as permissões em /etc/issue estão configuradas (CIS: L1 - Servidor - 1.7.1.5) | Descrição: Se o /etc/issue arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Definir propriedade e permissões: chown root:root /etc/issue && chmod 644 /etc/issue |
| Verifique se as permissões em /etc/issue.net estão configuradas. (1.7.1.6) |
Verifique se as permissões em /etc/issue.net estão configuradas (CIS: L1 - Servidor - 1.7.1.6) | Descrição: Se o /etc/issue.net arquivo não tiver a propriedade correta, ele pode ser modificado por usuários não autorizados com informações incorretas ou enganosas. |
Definir propriedade e permissões: chown root:root /etc/issue.net && chmod 644 /etc/issue.net |
| A opção nodev deve ser habilitada para todas as mídias removíveis. (2.1) |
Verifique se a opção nodev está ativada para todas as mídias removíveis (CIS: L1 - Servidor - 1.1.18) | Descrição: um invasor pode montar um dispositivo especial (por exemplo, dispositivo de bloco ou caractere) por meio de mídia removível | Adicione a opção nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| A opção noexec deve ser ativada para todas as mídias removíveis. (2.2) |
Verifique se a opção noexec está ativada para todas as mídias removíveis (CIS: L1 - Servidor - 1.1.20) | Descrição: Um invasor pode carregar um arquivo executável por meio de mídia removível | Adicione a opção noexec ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| A opção nosuid deve ser ativada para todas as mídias removíveis. (2.3) |
Verifique se a opção nosuid está ativada para todas as mídias removíveis (CIS: L1 - Servidor - 1.1.19) | Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado por meio de mídia removível | Adicione a opção nosuid ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique se o cliente de conversa não está instalado. (2.3.3) |
Verifique se o cliente de conversação não está instalado (CIS: L1 - Servidor - 2.3.3) | Descrição: O software apresenta um risco de segurança, uma vez que utiliza protocolos não encriptados para comunicação. | Conversa de desinstalação: yum remove talk (RHEL/CentOS) ou apt remove talk (Debian/Ubuntu) |
| Verifique se as permissões em /etc/hosts.allow estão configuradas. (3.4.4) |
Verifique se as permissões em /etc/hosts.allow estão configuradas (CIS: L1 - Servidor - 3.3.2 + 3.3.4) | Descrição: é fundamental garantir que o /etc/hosts.allow arquivo esteja protegido contra acesso de gravação não autorizado. Embora esteja protegido por padrão, as permissões do arquivo podem ser alteradas inadvertidamente ou por meio de ações maliciosas. |
Definir propriedade e permissões: chown root:root /etc/hosts.allow && chmod 644 /etc/hosts.allow |
| Verifique se as permissões em /etc/hosts.deny estão configuradas. (3.4.5) |
Verifique se as permissões em /etc/hosts.deny estão configuradas (CIS: L1 - Servidor - 3.3.3 + 3.3.5) | Descrição: é fundamental garantir que o /etc/hosts.deny arquivo esteja protegido contra acesso de gravação não autorizado. Embora esteja protegido por padrão, as permissões do arquivo podem ser alteradas inadvertidamente ou por meio de ações maliciosas. |
Definir propriedade e permissões: chown root:root /etc/hosts.deny && chmod 644 /etc/hosts.deny |
| Garantir a política de firewall de negação padrão (3.6.2) |
Verifique se a política de firewall de negação padrão está definida (CIS: L1 - Servidor - 3.5.2.1) | Descrição: Com uma política de aceitação padrão, o firewall aceitará qualquer pacote que não seja explicitamente negado. É mais fácil manter um firewall seguro com uma política DROP padrão do que com uma política Permitir padrão. | Defina a política padrão para tráfego de entrada, de saída e roteado para deny ou reject conforme apropriado usando seu software de firewall |
| A opção nodev/nosuid deve ser habilitada para todas as montagens NFS. (5) |
Verifique se a opção nodev/nosuid está ativada para todas as montagens NFS | Descrição: um invasor pode carregar arquivos executados com um contexto de segurança elevado ou dispositivos especiais por meio do sistema de arquivos remoto | Adicione as opções nosuid e nodev ao quarto campo (opções de montagem) em /etc/fstab. Para obter mais informações, consulte as páginas de manual do fstab(5). |
| Verifique se as permissões em /etc/ssh/sshd_config estão configuradas. (5.2.1) |
Verifique se as permissões em /etc/ssh/sshd_config estão configuradas (CIS: L1 - Servidor - 5.2.1) | Descrição: O /etc/ssh/sshd_config arquivo precisa ser protegido contra alterações não autorizadas por usuários não privilegiados. |
Definir propriedade e permissões: chown root:root /etc/ssh/sshd_config && chmod 600 /etc/ssh/sshd_config |
| Verifique se os requisitos de criação de senha estão configurados. (5.3.1) |
Verifique se os requisitos de criação de senha estão configurados (CIS: L1 - Servidor - 5.3.1) | Descrição: As palavras-passe fortes protegem os sistemas de serem pirateados através de métodos de força bruta. | Configurar a complexidade da senha do PAM em /etc/pam.d/common-password ou /etc/pam.d/system-auth: password requisite pam_pwquality.so minlen=14 minclass=4 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 |
| Verifique se o bloqueio para tentativas de senha com falha está configurado. (5.3.2) |
Verifique se o bloqueio para tentativas de senha com falha está configurado (CIS: L1 - Servidor - 5.3.2) | Descrição: Bloquear IDs de usuário após n tentativas de login consecutivas malsucedidas reduz os ataques de senha de força bruta contra seus sistemas. |
para Ubuntu e Debian, adicione os módulos pam_tally e pam_deny conforme apropriado. Para todas as outras distros, consulte a documentação da sua distro |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (cramfs) (6.1) |
Verifique se o sistema de arquivos cramfs está desativado (CIS: L1 - Servidor - 1.1.1.1) | Descrição: um invasor pode usar uma vulnerabilidade no cramfs para elevar privilégios | Adicionar install cramfs /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r cramfs |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (freevxfs) (6.2) |
Verifique se o sistema de arquivos freevxfs está desativado (CIS: L1 - Servidor - 1.1.1.2) | Descrição: um invasor pode usar uma vulnerabilidade no freevxfs para elevar privilégios | Adicionar install freevxfs /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r freevxfs |
| Verifique se todos os diretórios base dos usuários existem (6.2.7) |
Verifique se todos os diretórios base dos usuários existem (CIS: L1 - Servidor - 6.2.7) | Descrição: Se o diretório base do usuário não existir ou não estiver atribuído, o usuário será colocado na raiz do volume. Além disso, o usuário será incapaz de escrever quaisquer arquivos ou definir variáveis de ambiente. | Se os diretórios base de algum usuário não existirem, crie-os e certifique-se de que o respetivo usuário seja o proprietário do diretório. Os usuários sem um diretório base atribuído devem ser removidos ou atribuídos a um diretório base, conforme apropriado. |
| Garantir que os usuários possuam seus diretórios base (6.2.9) |
Garantir que os usuários possuam seus diretórios base (CIS: L1 - Servidor - 6.2.9) | Descrição: Como o usuário é responsável pelos arquivos armazenados no diretório inicial do usuário, o usuário deve ser o proprietário do diretório. | Altere a propriedade de quaisquer diretórios base que não sejam de propriedade do usuário definido para o usuário correto. |
| Certifique-se de que os arquivos de pontos dos usuários não são graváveis em grupo ou no mundo. (6.2.10) |
Verifique se os arquivos de pontos dos usuários não são graváveis em grupo ou no mundo (CIS: L1 - Servidor - 6.2.10) | Descrição: Os arquivos de configuração de usuário graváveis em grupo ou no mundo podem permitir que usuários mal-intencionados roubem ou modifiquem dados de outros usuários ou ganhem privilégios de sistema de outro usuário. | Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, recomendamos que você estabeleça uma política de monitoramento para relatar as permissões do arquivo ponto do usuário e determinar as ações de correção da política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .forward (6.2.11) |
Certifique-se de que nenhum usuário tenha arquivos .forward (CIS: L1 - Servidor - 6.2.11) | Descrição: O uso do arquivo representa um risco de segurança, .forward pois dados confidenciais podem ser transferidos inadvertidamente para fora da organização. O .forward arquivo também representa um risco, pois pode ser usado para executar comandos que podem executar ações não intencionais. |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .forward e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .netrc (6.2.12) |
Certifique-se de que nenhum usuário tenha arquivos .netrc (CIS: L1 - Servidor - 6.2.12) | Descrição: O .netrc ficheiro apresenta um risco de segurança significativo, uma vez que armazena palavras-passe de forma não encriptada. Mesmo que o FTP esteja desativado, as contas de usuário podem ter trazido .netrc arquivos de outros sistemas que podem representar um risco para esses sistemas |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .netrc e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que nenhum usuário tenha arquivos .rhosts (6.2.14) |
Certifique-se de que nenhum usuário tenha arquivos .rhosts (CIS: L1 - Servidor - 6.2.14) | Descrição: Esta ação só é significativa se .rhosts o suporte for permitido no arquivo /etc/pam.conf . Mesmo que os arquivos sejam ineficazes se o .rhosts suporte estiver desativado no /etc/pam.conf , eles podem ter sido trazidos de outros sistemas e podem conter informações úteis para um invasor desses outros sistemas. |
Fazer modificações globais nos arquivos dos usuários sem alertar a comunidade de usuários pode resultar em interrupções inesperadas e usuários insatisfeitos. Portanto, é recomendável que uma política de monitoramento seja estabelecida para relatar arquivos de usuário .rhosts e determinar a ação a ser tomada de acordo com a política do site. |
| Certifique-se de que todos os grupos em /etc/passwd existam em /etc/group (6.2.15) |
Verifique se todos os grupos em /etc/passwd existem em /etc/group (CIS: L1 - Servidor - 6.2.15) | Descrição: Os grupos definidos no arquivo /etc/passwd, mas não no arquivo /etc/group, representam uma ameaça à segurança do sistema, uma vez que as permissões de grupo não são gerenciadas corretamente. | Para cada grupo definido em /etc/passwd, certifique-se de que existe um grupo correspondente em /etc/group |
| Certifique-se de que não existem UIDs duplicados (6.2.16) |
Verifique se não existem UIDs duplicados (CIS: L1 - Servidor - 6.2.16) | Descrição: Os usuários devem receber UIDs exclusivos para responsabilidade e para garantir proteções de acesso apropriadas. | Estabeleça UIDs exclusivos e revise todos os arquivos de propriedade dos UIDs compartilhados para determinar a qual UID eles devem pertencer. |
| Certifique-se de que não existem GIDs duplicados (6.2.17) |
Certifique-se de que não existem GIDs duplicados (CIS: L1 - Servidor - 6.2.17) | Descrição: Os grupos devem receber GIDs exclusivos para prestação de contas e para garantir proteções de acesso apropriadas. | Estabeleça GIDs exclusivos e analise todos os arquivos de propriedade dos GIDs compartilhados para determinar a qual GID eles devem pertencer. |
| Certifique-se de que não existem nomes de utilizador duplicados (6.2.18) |
Verifique se não existem nomes de usuário duplicados (CIS: L1 - Servidor - 6.2.18) | Descrição: Se um usuário receber um nome de usuário duplicado, ele criará e terá acesso a arquivos com o primeiro UID para esse nome de usuário no /etc/passwd . Por exemplo, se 'test4' tem um UID de 1000 e uma entrada 'test4' subsequente tem um UID de 2000, o login como 'test4' usará UID 1000. Efetivamente, o UID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes de usuário exclusivos para todos os usuários. As propriedades dos arquivos refletirão automaticamente a alteração, desde que os usuários tenham UIDs exclusivos. |
| Certifique-se de que não existem grupos duplicados (6.2.19) |
Verifique se não existem grupos duplicados (CIS: L1 - Servidor - 6.2.19) | Descrição: Se um grupo receber um nome de grupo duplicado, ele criará e terá acesso a arquivos com o primeiro GID para esse grupo no /etc/group . Efetivamente, o GID é compartilhado, o que é um problema de segurança. |
Estabeleça nomes exclusivos para todos os grupos de usuários. As propriedades do grupo de arquivos refletirão automaticamente a alteração, desde que os grupos tenham GIDs exclusivos. |
| Verifique se o grupo de sombras está vazio (6.2.20) |
Verifique se o grupo de sombras está vazio (CIS: L1 - Servidor - 6.2.20) | Descrição: Todos os usuários atribuídos ao grupo de sombras teriam acesso de leitura ao arquivo /etc/shadow. Se os invasores podem obter acesso de leitura ao /etc/shadow arquivo, eles podem facilmente executar um programa de quebra de senha contra as senhas com hash para quebrá-las. Outras informações de segurança armazenadas no /etc/shadow arquivo (como expiração) também podem ser úteis para subverter outras contas de usuário. |
Remover todos os usuários do grupo de sombra |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (hfs) (6.3) |
Verifique se o sistema de arquivos hfs está desativado (CIS: L1 - Servidor - 1.1.1.4) | Descrição: um invasor pode usar uma vulnerabilidade no hfs para elevar os privilégios | Adicionar install hfs /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r hfs |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (hfsplus) (6.4) |
Verifique se os sistemas de arquivos hfsplus estão desativados (CIS: L1 - Servidor - 1.1.1.5) | Descrição: um invasor pode usar uma vulnerabilidade no hfsplus para elevar privilégios | Adicionar install hfsplus /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r hfsplus |
| Desativar a instalação e o uso de sistemas de arquivos que não são necessários (jffs2) (6.5) |
Verifique se os sistemas de arquivos jffs2 estão desativados (CIS: L1 - Servidor - 1.1.1.3) | Descrição: um invasor pode usar uma vulnerabilidade no jffs2 para elevar privilégios | Adicionar install jffs2 /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r jffs2 |
| Os kernels só devem ser compilados a partir de fontes aprovadas. (10) |
Certifique-se de que o kernel é compilado a partir de fontes aprovadas | Descrição: Um kernel de uma fonte não aprovada pode conter vulnerabilidades ou backdoors para conceder acesso a um invasor. | Instale o kernel fornecido pelo fornecedor da sua distribuição. |
| As permissões do arquivo /etc/shadow devem ser definidas como 0400 (11.1) |
Verifique se as permissões de arquivo em /etc/shadow estão configuradas (CIS: L1 - Servidor - 6.1.3) | Descrição: Um invasor pode recuperar ou manipular senhas com hash de /etc/shadow se não estiver protegido corretamente. | Definir propriedade e permissões: chown root:shadow /etc/shadow && chmod 640 /etc/shadow |
| As permissões do arquivo /etc/shadow- devem ser definidas como 0400 (11.2) |
Verifique se as permissões de arquivo em /etc/shadow- estão configuradas (CIS: L1 - Server - 6.1.7) | Descrição: Um invasor pode recuperar ou manipular senhas com hash de /etc/shadow- se não estiver protegido corretamente. | Definir propriedade e permissões: chown root:shadow /etc/shadow- && chmod 640 /etc/shadow- |
| As permissões do arquivo /etc/gshadow devem ser definidas como 0400 (11.3) |
Verifique se as permissões de arquivo em /etc/gshadow estão configuradas (CIS: L1 - Servidor - 6.1.5) | Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:shadow /etc/gshadow && chmod 640 /etc/gshadow |
| /etc/gshadow- as permissões de arquivo devem ser definidas como 0400 (11.4) |
Verifique se as permissões de arquivo em /etc/gshadow- estão configuradas (CIS: L1 - Servidor - 6.1.9) | Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:shadow /etc/gshadow- && chmod 640 /etc/gshadow- |
| As permissões do arquivo /etc/passwd devem ser 0644 (12.1) |
Verifique se as permissões de arquivo em /etc/passwd estão configuradas (CIS: L1 - Servidor - 6.1.2) | Descrição: um invasor pode modificar IDs de usuário e shells de login | Definir propriedade e permissões: chown root:root /etc/passwd && chmod 644 /etc/passwd |
| As permissões de arquivo /etc/group devem ser 0644 (12.2) |
Verifique se as permissões de arquivo em /etc/group estão configuradas (CIS: L1 - Servidor - 6.1.4) | Descrição: um invasor pode elevar os privilégios modificando a associação ao grupo | Definir propriedade e permissões: chown root:root /etc/group && chmod 644 /etc/group |
| /etc/passwd- as permissões de arquivo devem ser definidas como 0600 (12.3) |
Verifique se as permissões de arquivo em /etc/passwd- estão configuradas (CIS: L1 - Server - 6.1.6) | Descrição: um invasor pode ingressar em grupos de segurança se esse arquivo não estiver protegido corretamente | Definir propriedade e permissões: chown root:root /etc/passwd- && chmod 600 /etc/passwd- |
| /etc/group- as permissões de arquivo devem ser 0644 (12.4) |
Verifique se as permissões de arquivo em /etc/group- estão configuradas (CIS: L1 - Servidor - 6.1.8) | Descrição: um invasor pode elevar os privilégios modificando a associação ao grupo | Definir propriedade e permissões: chown root:root /etc/group- && chmod 644 /etc/group- |
| O acesso à conta root via su deve ser restrito ao grupo 'root' (21) |
Certifique-se de que o acesso à conta root via su é restrito ao grupo 'root' (CIS: L1 - Server - 5.5) | Descrição: um invasor pode escalar permissões por adivinhação de senha se su não estiver restrito a usuários no grupo raiz. | Adicionar auth required pam_wheel.so use_uid e /etc/pam.d/su garantir que o grupo de rodas existe |
| O grupo 'raiz' deve existir, e conter todos os membros que podem su para root (22) |
Certifique-se de que o grupo 'root' existe e contém todos os membros que podem su to root (CIS: L1 - Server - 5.6) | Descrição: um invasor pode escalar permissões por adivinhação de senha se su não estiver restrito a usuários no grupo raiz. | Crie o grupo raiz através do comando 'groupadd -g 0 root' |
| Todas as contas devem ter uma palavra-passe (23.2) |
Certifique-se de que todas as contas de utilizador que podem iniciar sessão têm uma palavra-passe definida | Descrição: um invasor pode fazer login em contas sem senha e executar comandos arbitrários. | Use o comando passwd para definir senhas para todas as contas |
| Contas diferentes da raiz devem ter UIDs exclusivos maiores que zero(0) (24) |
Certifique-se de que todas as contas de usuário que não sejam root tenham UIDs exclusivos maiores que zero (0) | Descrição: Se uma conta diferente do root tiver uid zero, um invasor poderá comprometer a conta e obter privilégios de root. | Atribua uids exclusivos e diferentes de zero a todas as contas não-root usando 'usermod -u' |
| O posicionamento aleatório de regiões de memória virtual deve ser habilitado (25) |
Verifique se o posicionamento aleatório (ASLR) de regiões de memória virtual está habilitado (CIS: L1 - Servidor - 1.5.3) | Descrição: um invasor pode escrever código executável em regiões conhecidas na memória, resultando em elevação de privilégio | Adicione o valor '1' ou '2' ao ficheiro '/proc/sys/kernel/randomize_va_space' |
| O suporte do kernel para o recurso de processador XD/NX deve ser ativado (26) |
Verifique se o suporte do kernel para o recurso de processador XD/NX está ativado (CIS: L1 - Server - 1.5.2) | Descrição: um invasor pode fazer com que um sistema execute código de regiões de dados na memória, resultando em elevação de privilégio. | Confirme se o ficheiro '/proc/cpuinfo' contém a bandeira 'nx' |
| O '.' não deve aparecer no $PATH do root (27.1) |
Certifique-se de que '.' não aparece no $PATH da raiz (CIS: L1 - Servidor - 6.2.6) | Descrição: um invasor pode elevar os privilégios colocando um arquivo mal-intencionado no $PATH da raiz | Modifique a linha 'export PATH=' em /root/.profile |
| Os diretórios iniciais do usuário devem ser de modo 750 ou mais restritivos (28) |
Garantir que o acesso aos diretórios iniciais do usuário seja restrito | Descrição: um invasor pode recuperar informações confidenciais das pastas base de outros usuários. | Defina as permissões do diretório base como 750 ou mais restritivas: chmod 750 /home/* |
| O umask padrão para todos os usuários deve ser definido como 077 em login.defs (29) |
Verifique se o umask padrão para todos os usuários está configurado | Descrição: um invasor pode recuperar informações confidenciais de arquivos pertencentes a outros usuários. | Adicionar UMASK 077 e /etc/login.defs adicionar umask 077 a /etc/profile e /etc/bashrc |
| Todos os bootloaders devem ter a proteção por senha ativada. (31) |
Verifique se todos os bootloaders têm a proteção por senha ativada (CIS: L1 - Server - 1.4.2) | Descrição: Um invasor com acesso físico pode modificar as opções do carregador de inicialização, produzindo acesso irrestrito ao sistema | Adicione uma senha do carregador de inicialização ao arquivo '/boot/grub/grub.cfg' |
| Verifique se as permissões na configuração do carregador de inicialização estão configuradas (31.1) |
Verifique se as permissões na configuração do carregador de inicialização estão configuradas (CIS: L1 - Servidor - 1.4.1) | Descrição: Definir as permissões de leitura e gravação para root apenas impede que usuários não-root vejam os parâmetros de inicialização ou os alterem. Os usuários não-root que leem os parâmetros de inicialização podem ser capazes de identificar fraquezas na segurança durante a inicialização e ser capazes de explorá-las. | Definir permissões de configuração do carregador de inicialização: chown root:root /boot/grub*/grub.cfg && chmod 400 /boot/grub*/grub.cfg (ajuste o caminho para o seu carregador de inicialização) |
| Verifique a autenticação necessária para o modo de usuário único. (33) |
Verifique se a autenticação é necessária para o modo de usuário único (CIS: L1 - Servidor - 1.4.3) | Descrição: Exigir autenticação no modo de usuário único impede que um usuário não autorizado reinicie o sistema em um único usuário para obter privilégios de root sem credenciais. | Execute o seguinte comando para definir uma senha para o usuário root: passwd root |
| Verifique se o envio de redirecionamento de pacotes está desativado. (38.3) |
Verifique se o envio de redirecionamento de pacotes está desativado (CIS: L1 - Servidor - 3.1.2) | Descrição: um invasor pode usar um host comprometido para enviar redirecionamentos ICMP inválidos para outros dispositivos do roteador em uma tentativa de corromper o roteamento e fazer com que os usuários acessem um sistema configurado pelo invasor em vez de um sistema válido. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.send_redirects = 0 e net.ipv4.conf.default.send_redirects = 0, em seguida, executar sysctl -p |
| O envio de redirecionamentos ICMP deve ser desativado para todas as interfaces. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Verifique se os redirecionamentos ICMP não são aceitos (CIS: L1 - Servidor - 3.2.2) - várias regras combinadas | Descrição: um invasor pode alterar a tabela de roteamento deste sistema, redirecionando o tráfego para um destino alternativo | Adicionar a /etc/sysctl.conf: net.ipv4.conf.default.accept_redirects = 0 e net.ipv6.conf.default.accept_redirects = 0, em seguida, executar sysctl -p |
| O envio de redirecionamentos ICMP deve ser desativado para todas as interfaces. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Verifique se os redirecionamentos ICMP não são aceitos (CIS: L1 - Servidor - 3.2.2) - várias regras combinadas | Descrição: um invasor pode alterar a tabela de roteamento deste sistema, redirecionando o tráfego para um destino alternativo | Adicionar a /etc/sysctl.conf: net.ipv4.conf.default.secure_redirects = 0e, em seguida, executar sysctl -p |
| A aceitação de pacotes roteados de origem deve ser desabilitada para todas as interfaces. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Verifique se a aceitação de pacotes roteados de origem está desabilitada para todas as interfaces (CIS: L1 - Servidor - 3.2.1) - regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A aceitação de pacotes roteados de origem deve ser desabilitada para todas as interfaces. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Verifique se a aceitação de pacotes roteados de origem está desabilitada para todas as interfaces (CIS: L1 - Servidor - 3.2.1) - regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para interfaces de rede. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Verifique se a configuração padrão para aceitar pacotes roteados de origem está desabilitada para interfaces de rede (CIS: L1 - Servidor - 3.2.1) - regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| A configuração padrão para aceitar pacotes roteados de origem deve ser desabilitada para interfaces de rede. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Verifique se a configuração padrão para aceitar pacotes roteados de origem está desabilitada para interfaces de rede (CIS: L1 - Servidor - 3.2.1) - regras IPv4 e IPv6 combinadas | Descrição: um invasor pode redirecionar o tráfego para fins mal-intencionados. | Execute sysctl -w key=value e defina como um valor compatível. |
| Ignorar respostas ICMP falsas para transmissões deve ser habilitado. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Certifique-se de que ignorar respostas ICMP falsas a transmissões está ativado (CIS: L1 - Servidor - 3.2.6) | Descrição: um invasor pode executar um ataque ICMP resultando em DoS | Adicionar a /etc/sysctl.conf: net.ipv4.icmp_ignore_bogus_error_responses = 1e, em seguida, executar sysctl -p |
| Ignorar solicitações de eco ICMP (pings) enviadas para endereços de difusão / multicast deve ser habilitado. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Verifique se a opção de ignorar solicitações de eco ICMP (pings) enviadas para endereços de difusão/multicast está habilitada (CIS: L1 - Servidor - 3.2.5) | Descrição: um invasor pode executar um ataque ICMP resultando em DoS | Adicionar a /etc/sysctl.conf: net.ipv4.icmp_echo_ignore_broadcasts = 1e, em seguida, executar sysctl -p |
| O registro de pacotes marcianos (aqueles com endereços impossíveis) deve ser habilitado para todas as interfaces. (net.ipv4.conf.all.log_marcianos = 1) (45.1) |
Verifique se o registro de pacotes marcianos (aqueles com endereços impossíveis) está habilitado para todas as interfaces | Descrição: um invasor pode enviar tráfego de endereços falsificados sem ser detetado | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.log_martians = 1 e net.ipv4.conf.default.log_martians = 1, em seguida, executar sysctl -p |
| A execução da validação de origem por caminho reverso deve ser habilitada para todas as interfaces. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Certifique-se de que a execução da validação de origem por caminho reverso esteja habilitada para todas as interfaces (CIS: L1 - Servidor - 3.2.7) - várias regras combinadas | Descrição: O sistema aceitará tráfego de endereços que não são roteáveis. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 e net.ipv4.conf.default.rp_filter = 1, em seguida, executar sysctl -p |
| A execução da validação de origem por caminho reverso deve ser habilitada para todas as interfaces. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Certifique-se de que a execução da validação de origem por caminho reverso esteja habilitada para todas as interfaces (CIS: L1 - Servidor - 3.2.7) - várias regras combinadas | Descrição: O sistema aceitará tráfego de endereços que não são roteáveis. | Adicionar a /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 e net.ipv4.conf.default.rp_filter = 1, em seguida, executar sysctl -p |
| Os cookies TCP SYN devem ser ativados. (net.ipv4.tcp_syncookies = 1) (47) |
Verifique se os cookies TCP SYN estão ativados (CIS: L1 - Servidor - 3.2.8) | Descrição: um invasor pode executar um DoS sobre TCP | Adicionar a /etc/sysctl.conf: net.ipv4.tcp_syncookies = 1e, em seguida, executar sysctl -p |
| O sistema não deve agir como um sniffer de rede. (48) |
Certifique-se de que o sistema não atua como um sniffer de rede | Descrição: um invasor pode usar interfaces promíscuas para detetar tráfego de rede | O modo promíscuo é ativado através de uma entrada 'promisc' em '/etc/network/interfaces' ou '/etc/rc.local'. Verifique ambos os ficheiros e remova esta entrada. |
| Todas as interfaces sem fio devem ser desativadas. (49) |
Verifique se todas as interfaces sem fio estão desativadas (CIS: L1 - Servidor - 3.6) | Descrição: Um invasor pode criar um AP falso para intercetar transmissões. | Confirme se todas as interfaces sem fio estão desativadas em '/etc/network/interfaces' |
| O protocolo IPv6 deve estar habilitado. (50) |
Verifique se o protocolo IPv6 está habilitado | Descrição: Isto é necessário para a comunicação em redes modernas. | Abra /etc/sysctl.conf e confirme se 'net.ipv6.conf.all.disable_ipv6' e 'net.ipv6.conf.default.disable_ipv6' estão definidos como 0 |
| Verifique se o DCCP está desativado (54) |
Verifique se o DCCP está desativado | Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Adicionar install dccp /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r dccp |
| Verifique se o SCTP está desativado (55) |
Verifique se o SCTP está desativado | Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Adicionar install sctp /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r sctp |
| Desative o suporte para RDS. (56) |
Verifique se o suporte para RDS está desativado | Descrição: um invasor pode usar uma vulnerabilidade no RDS para comprometer o sistema | Adicionar install rds /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r rds |
| Verifique se o TIPC está desativado (57) |
Verifique se o TIPC está desativado | Descrição: Se o protocolo não for necessário, recomenda-se que os drivers não sejam instalados para reduzir a superfície de ataque potencial. | Adicionar install tipc /bin/true a um arquivo terminando /etc/modprobe.d/ em .conf e, em seguida, executar modprobe -r tipc |
| Verifique se o registro em log está configurado (60) |
Verifique se o registro em log está configurado (CIS: L1 - Servidor - 4.2.1.2 + 4.2.1.3) | Descrição: Uma grande quantidade de informações importantes relacionadas à segurança é enviada via rsyslog (por exemplo, tentativas de su bem-sucedidas e fracassadas, tentativas de login falhadas, tentativas de login root, etc.). |
Configure syslog, rsyslog ou syslog-ng conforme apropriado |
| O pacote syslog, rsyslog ou syslog-ng deve ser instalado. (61) |
Verifique se o pacote syslog, rsyslog ou syslog-ng está instalado (CIS: L1 - Server - 4.2.1.1) | Descrição: Problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Instale rsyslog: yum install rsyslog (RHEL/CentOS) ou apt install rsyslog (Debian/Ubuntu) |
| O serviço systemd-journald deve ser configurado para persistir mensagens de log (61.1) |
Verifique se o serviço systemd-journald persiste mensagens de log (CIS: L1 - Servidor - 4.2.2.3) | Descrição: Problemas de confiabilidade e segurança não serão registrados, impedindo o diagnóstico adequado. | Crie /var/log/journal e verifique se o armazenamento em journald.conf é automático ou persistente |
| Verifique se um serviço de registro em log está habilitado (62) |
Verifique se um serviço de registro em log está habilitado | Descrição: É imperativo ter a capacidade de registrar eventos em um nó. | Ativar serviço rsyslog: systemctl enable rsyslog (systemd) ou chkconfig rsyslog on (sysv) |
| As permissões de arquivo para todos os arquivos de log rsyslog devem ser definidas como 640 ou 600. (63) |
Verifique se as permissões de arquivo para todos os arquivos de log rsyslog estão configuradas (CIS: L1 - Servidor - 4.2.1.4) | Descrição: um invasor pode ocultar a atividade manipulando logs | Adicione a linha '$FileCreateMode 0640' ao arquivo '/etc/rsyslog.conf' |
| Verifique se os arquivos de configuração do registrador estão restritos. (63.1) |
Verifique se os arquivos de configuração do registrador são restritos (CIS: L1 - Servidor - 4.2.1.4) | Descrição: é importante garantir que os arquivos de log existam e tenham as permissões corretas para garantir que os dados confidenciais do syslog sejam arquivados e protegidos. | Defina as permissões de configuração do rsyslog: chown root:root /etc/rsyslog.conf && chmod 640 /etc/rsyslog.conf |
| Todos os arquivos de log rsyslog devem pertencer ao grupo adm. (64) |
Certifique-se de que todos os arquivos de log rsyslog são de propriedade do grupo adm | Descrição: um invasor pode ocultar a atividade manipulando logs | Adicione a linha '$FileGroup adm' ao arquivo '/etc/rsyslog.conf' |
| Todos os arquivos de log rsyslog devem ser de propriedade do usuário syslog. (65) |
Verifique se todos os arquivos de log rsyslog são de propriedade do usuário syslog (CIS: L1 - Server - 4.2.1.4) | Descrição: um invasor pode ocultar a atividade manipulando logs | Adicionar $FileOwner syslog e reiniciar o /etc/rsyslog.conf serviço rsyslog |
| O Rsyslog não deve aceitar mensagens remotas. (67) |
Verifique se o rsyslog não aceita mensagens remotas | Descrição: um invasor pode injetar mensagens no syslog, causando um DoS ou uma distração de outra atividade | Remova as linhas '$ModLoad imudp' e '$ModLoad imtcp' do arquivo '/etc/rsyslog.conf' |
| O serviço logrotate (rotativo syslog) deve ser habilitado. (68) |
Verifique se o serviço logrotate (rotativo syslog) está ativado (CIS: L1 - Servidor - 4.3) | Descrição: Os ficheiros de registo podem crescer sem limites e consumir todo o espaço em disco | Instale o pacote logrotate e confirme se a entrada cron logrotate está ativa (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
| O serviço rlogin deve ser desativado. (69) |
Verifique se o serviço rlogin está desativado | Descrição: um invasor pode obter acesso, ignorando requisitos estritos de autenticação | Remova o serviço inetd. |
| Desative o inetd, a menos que seja necessário. (INETD) (70.1) |
Verifique se o inetd não está instalado (CIS: L1 - Servidor - 2.1.10) - regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd: yum remove inetd (RHEL/CentOS) ou apt remove inetd (Debian/Ubuntu) |
| Desative o xinetd a menos que seja necessário. (Xinetd) (70.2) |
Verifique se o xinetd não está instalado (CIS: L1 - Servidor - 2.1.10) - regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço xinetd: yum remove xinetd (RHEL/CentOS) ou apt remove xinetd (Debian/Ubuntu) |
| Instale o inetd somente se apropriado e exigido pela sua distro. Seguro de acordo com as normas de endurecimento atuais. (se necessário) (71.1) |
Verifique se o inetd não está instalado (CIS: L1 - Servidor - 2.1.10) - regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço inetd para obter acesso | Desinstale o serviço inetd: yum remove inetd (RHEL/CentOS) ou apt remove inetd (Debian/Ubuntu) |
| Instale o xinetd somente se apropriado e exigido pela sua distro. Seguro de acordo com as normas de endurecimento atuais. (se necessário) (71.2) |
Verifique se o xinetd não está instalado (CIS: L1 - Servidor - 2.1.10) - regras de serviço e pacote combinadas | Descrição: um invasor pode explorar uma vulnerabilidade em um serviço xinetd para obter acesso | Desinstale o serviço xinetd: yum remove xinetd (RHEL/CentOS) ou apt remove xinetd (Debian/Ubuntu) |
| O serviço telnet deve ser desativado. (72) |
Verifique se o serviço telnet está desativado (CIS: L1 - Servidor - 2.1.8) | Descrição: um invasor pode espionar ou sequestrar sessões de telnet não criptografadas | Remova ou comente a entrada telnet no arquivo '/etc/inetd.conf' |
| Todos os pacotes telnetd devem ser desinstalados. (73) |
Verifique se todos os pacotes telnetd estão desinstalados | Descrição: um invasor pode espionar ou sequestrar sessões de telnet não criptografadas | Desinstale todos os pacotes telnetd |
| O serviço rcp/rsh deve ser desativado. (74) |
Verifique se o serviço rcp/rsh está desativado | Descrição: um invasor pode espionar ou sequestrar sessões não criptografadas | Remova ou comente a entrada do shell no arquivo '/etc/inetd.conf' |
| O pacote rsh-server deve ser desinstalado. (77) |
Verifique se o pacote rsh-server está desinstalado (CIS: L1 - Server - 2.1.6) | Descrição: Um invasor pode espionar ou sequestrar sessões rsh não criptografadas | Desinstale o pacote rsh-server: yum remove rsh-server (RHEL/CentOS) ou apt remove rsh-server (Debian/Ubuntu) |
| O serviço ypbind deve ser desativado. (78) |
Verifique se o serviço ypbind está desativado e se o pacote nis não está instalado - regras de serviço e pacote combinadas | Descrição: um invasor pode recuperar informações confidenciais do serviço ypbind | Desinstale o pacote nis: yum remove nis (RHEL/CentOS) ou apt remove nis (Debian/Ubuntu) |
| O pacote nis deve ser desinstalado. (79) |
Verifique se o serviço ypbind está desativado e se o pacote nis não está instalado - regras de serviço e pacote combinadas | Descrição: um invasor pode recuperar informações confidenciais do serviço NIS | Desinstale o pacote nis: yum remove nis (RHEL/CentOS) ou apt remove nis (Debian/Ubuntu) |
| O serviço tftp deve ser desativado. (80) |
Verifique se o serviço tftp está desativado (CIS: L1 - Servidor - 2.1.9) | Descrição: um invasor pode intercetar ou sequestrar uma sessão não criptografada | Remova a entrada tftp do arquivo '/etc/inetd.conf' |
| O pacote tftpd deve ser desinstalado. (81) |
Verifique se o pacote tftpd não está instalado (CIS: L1 - Servidor - 2.1.9) | Descrição: um invasor pode intercetar ou sequestrar uma sessão não criptografada | Desinstale o pacote tftpd: yum remove tftpd (RHEL/CentOS) ou apt remove tftpd (Debian/Ubuntu) |
| O pacote readahead-fedora deve ser desinstalado. (82) |
Verifique se o pacote readahead-fedora não está instalado | Descrição: O pacote não cria nenhuma exposição substancial, mas também não acrescenta nenhum benefício substancial. | Desinstale o pacote readahead-fedora: yum remove readahead-fedora (RHEL/CentOS) ou apt remove readahead-fedora (Debian/Ubuntu) |
| O serviço bluetooth/hidd deve ser desativado. (84) |
Verifique se o pacote bluetooth não está instalado | Descrição: um invasor pode intercetar ou manipular comunicações sem fio. | Desinstale o pacote bluetooth: yum remove bluetooth (RHEL/CentOS) ou apt remove bluetooth (Debian/Ubuntu) |
| O serviço rdis deve ser desativado. (86) |
Verifique se o serviço isdn está desativado e se o pacote isdnutils-base não está instalado - regras de serviço e pacote combinadas | Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base: yum remove isdnutils-base (RHEL/CentOS) ou apt remove isdnutils-base (Debian/Ubuntu) |
| O pacote isdnutils-base deve ser desinstalado. (87) |
Verifique se o serviço isdn está desativado e se o pacote isdnutils-base não está instalado - regras de serviço e pacote combinadas | Descrição: um invasor pode usar um modem para obter acesso não autorizado | Desinstale o pacote isdnutils-base: yum remove isdnutils-base (RHEL/CentOS) ou apt remove isdnutils-base (Debian/Ubuntu) |
| O serviço kdump deve ser desativado. (88) |
Verifique se o serviço kdump está desativado e se o pacote kdump-tools não está instalado | Descrição: um invasor pode analisar uma falha anterior do sistema para recuperar informações confidenciais | Desinstale o pacote kdump-tools: yum remove kdump-tools (RHEL/CentOS) ou apt remove kdump-tools (Debian/Ubuntu) |
| A rede Zeroconf deve ser desativada. (89) |
Certifique-se de que a rede zeroconf está desativada | Descrição: um invasor pode abusar disso para obter informações em sistemas em rede ou falsificar solicitações de DNS devido a falhas em seu modelo de confiança | RHEL/CentOS: Adicionar NOZEROCONF=yes ao /etc/sysconfig/network. Debian/Ubuntu: Remover ipv4ll entradas de /etc/network/interfaces |
| O serviço crond deve ser ativado. (90) |
Verifique se o serviço cron está ativado (CIS: L1 - Servidor - 5.1.1) | Descrição: Cron é exigido por quase todos os sistemas para tarefas de manutenção regulares | Instale o pacote cron: yum install cron (RHEL/CentOS) ou apt install cron (Debian/Ubuntu) e habilite o serviço |
| As permissões de arquivo para /etc/anacrontab devem ser definidas como root:root 600. (91) |
Verifique se as permissões de arquivo em /etc/anacrontab estão configuradas | Descrição: um invasor pode manipular esse arquivo para impedir tarefas agendadas ou executar tarefas maliciosas | Definir propriedade e permissões: chown root:root /etc/anacrontab && chmod 600 /etc/anacrontab |
| Verifique se as permissões em /etc/cron.d estão configuradas. (93) |
Verifique se as permissões em /etc/cron.d estão configuradas (CIS: L1 - Servidor - 5.1.7) | Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.d && chmod 700 /etc/cron.d |
| Verifique se as permissões em /etc/cron.daily estão configuradas. (94) |
Verifique se as permissões em /etc/cron.daily estão configuradas (CIS: L1 - Servidor - 5.1.4) | Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.daily && chmod 700 /etc/cron.daily |
| Verifique se as permissões em /etc/cron.hourly estão configuradas. (95) |
Verifique se as permissões em /etc/cron.hourly estão configuradas (CIS: L1 - Servidor - 5.1.3) | Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.hourly && chmod 700 /etc/cron.hourly |
| Verifique se as permissões em /etc/cron.monthly estão configuradas. (96) |
Verifique se as permissões em /etc/cron.monthly estão configuradas (CIS: L1 - Servidor - 5.1.6) | Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.monthly && chmod 700 /etc/cron.monthly |
| Verifique se as permissões em /etc/cron.weekly estão configuradas. (97) |
Verifique se as permissões em /etc/cron.weekly estão configuradas (CIS: L1 - Servidor - 5.1.5) | Descrição: Conceder acesso de gravação a este diretório para usuários não privilegiados pode fornecer a eles os meios para obter privilégios elevados não autorizados. Conceder acesso de leitura a esse diretório pode fornecer a um usuário sem privilégios informações sobre como obter privilégios elevados ou contornar controles de auditoria. | Definir propriedade e permissões: chown root:root /etc/cron.weekly && chmod 700 /etc/cron.weekly |
| Certifique-se de que at/cron está restrito a usuários autorizados (98) |
Certifique-se de que at/cron está restrito a usuários autorizados (CIS: L1 - Server - 5.1.8) | Descrição: Em muitos sistemas, apenas o administrador do sistema está autorizado a agendar cron trabalhos. Usar o cron.allow arquivo para controlar quem pode executar cron trabalhos impõe essa política. É mais fácil gerenciar uma lista de permissões do que uma lista de negação. Em uma lista de negação, você pode potencialmente adicionar um ID de usuário ao sistema e esquecer de adicioná-lo aos arquivos de negação. |
Criar /etc/cron.allow e /etc/at.allow com usuários autorizados, remover /etc/cron.deny e /etc/at.deny |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - Protocolo «/etc/ssh/sshd_config = 2» (106.1) |
Verifique se o protocolo SSH está configurado (CIS: L1 - Servidor - 5.2.4) | Descrição: um invasor pode usar falhas em uma versão anterior do protocolo SSH para obter acesso | Adicionar Protocol 2 e reiniciar o /etc/ssh/sshd_config serviço sshd |
| O SSH deve ser configurado e gerenciado para atender às práticas recomendadas. - '/etc/ssh/sshd_config IgnoreRhosts = sim' (106.3) |
Verifique se o SSH IgnoreRhosts está configurado (CIS: L1 - Servidor - 5.2.8) | Descrição: um invasor pode usar falhas no protocolo Rhosts para obter acesso | Adicionar IgnoreRhosts yes e reiniciar o /etc/ssh/sshd_config serviço sshd |
| Verifique se o SSH LogLevel está definido como INFO (106.5) |
Verifique se o SSH LogLevel está configurado (CIS: L1 - Servidor - 5.2.5) | Descrição: SSH fornece vários níveis de registro com quantidades variáveis de verbosidade.
DEBUG
especificamente não é recomendado a não ser estritamente para depuração de comunicações SSH, uma vez que fornece tantos dados que é difícil identificar informações de segurança importantes.
INFO level é o nível básico que registra apenas a atividade de login dos usuários SSH. Em muitas situações, como a Resposta a Incidentes, é importante determinar quando um determinado usuário estava ativo em um sistema. O registro de logout pode eliminar os usuários que se desconectaram, o que ajuda a restringir o campo. |
Edite o /etc/ssh/sshd_config arquivo para definir o parâmetro da seguinte maneira: LogLevel INFO |
| Verifique se o SSH MaxAuthTries está definido como 6 ou menos (106.7) |
Verifique se o SSH MaxAuthTries está configurado (CIS: L1 - Servidor - 5.2.7) | Descrição: Definir o MaxAuthTries parâmetro para um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Embora a configuração recomendada seja 4, defina o número com base na política do site. |
Verifique se o SSH MaxAuthTries está definido como 6 ou menos Edite o /etc/ssh/sshd_config arquivo para definir o parâmetro da seguinte maneira: MaxAuthTries 6 |
| Garantir que o acesso SSH seja limitado (106.11) |
Verifique se os usuários permitidos para acesso SSH estão configurados (CIS: L1 - Servidor - 5.2.18) | Descrição: Restringir quais usuários podem acessar remotamente o sistema via SSH ajudará a garantir que apenas usuários autorizados acessem o sistema. | Verifique se o acesso SSH é limitado Edite o /etc/ssh/sshd_config arquivo para definir um ou mais dos parâmetros da seguinte maneira: AllowUsers AllowGroups DenyUsers DenyGroups |
| A emulação do comando rsh através do servidor ssh deve ser desativada. - '/etc/ssh/sshd_config RhostsRSAAuthentication = não' (107) |
N/A | Descrição: um invasor pode usar falhas no protocolo RHosts para obter acesso | Adicionar RhostsRSAAuthentication no e reiniciar o /etc/ssh/sshd_config serviço sshd |
| A autenticação baseada em host SSH deve ser desabilitada. - '/etc/ssh/sshd_config HostbasedAuthentication = não' (108) |
Verifique se o SSH HostBasedAuthentication está configurado (CIS: L1 - Server - 5.2.9) | Descrição: um invasor pode usar a autenticação baseada em host para obter acesso de um host comprometido | Adicionar HostbasedAuthentication no e reiniciar o /etc/ssh/sshd_config serviço sshd |
| O login root via SSH deve ser desativado. - '/etc/ssh/sshd_config PermitRootLogin = não' (109) |
Verifique se o SSH PermitRootLogin está configurado (CIS: L1 - Server - 5.2.10) | Descrição: um invasor pode forçar a senha do root ou ocultar seu histórico de comandos fazendo login diretamente como root | Adicionar PermitRootLogin no e reiniciar o /etc/ssh/sshd_config serviço sshd |
| As ligações remotas de contas com palavras-passe vazias devem ser desativadas. - '/etc/ssh/sshd_config PermitEmptyPasswords = não' (110) |
Verifique se o SSH PermitEmptyPasswords está configurado (CIS: L1 - Servidor - 5.2.11) | Descrição: Um invasor pode obter acesso por meio da adivinhação de senha | Adicionar PermitEmptyPasswords no e reiniciar o /etc/ssh/sshd_config serviço sshd |
| Verifique se o intervalo de tempo limite ocioso SSH está configurado. (110.1) |
Verifique se o SSH ClientAliveCountMax está configurado | Descrição: Não ter nenhum valor de tempo limite associado a uma conexão pode permitir que um usuário não autorizado acesse a sessão ssh de outro usuário. Definir um valor de tempo limite pelo menos reduz o risco de isso acontecer. Embora a configuração recomendada seja de 300 segundos (5 minutos), defina esse valor de tempo limite com base na política do site. A configuração recomendada para ClientAliveCountMax é 0. Neste caso, a sessão do cliente será encerrada após 5 minutos de tempo ocioso e nenhuma mensagem keepalive será enviada. |
Edite o arquivo /etc/ssh/sshd_config para definir os parâmetros de acordo com a política |
| Certifique-se de que SSH LoginGraceTime está definido para um minuto ou menos. (110.2) |
Certifique-se de que o SSH LoginGraceTime está configurado (CIS: L1 - Servidor - 5.2.17) | Descrição: Definir o LoginGraceTime parâmetro para um número baixo minimizará o risco de ataques de força bruta bem-sucedidos ao servidor SSH. Ele também limitará o número de conexões simultâneas não autenticadas Embora a configuração recomendada seja de 60 segundos (1 minuto), defina o número com base na política do site. |
Adicionar LoginGraceTime 60 e reiniciar o /etc/ssh/sshd_config serviço sshd |
| Certifique-se de que apenas algoritmos MAC aprovados sejam usados (110.3) |
Certifique-se de que apenas algoritmos MAC aprovados são usados (CIS: L1 - Servidor - 5.2.14) | Descrição: Os algoritmos MAC MD5 e 96-bit são considerados fracos e demonstraram aumentar a capacidade de exploração em ataques de downgrade SSH. Algoritmos fracos continuam a ter muita atenção como um ponto fraco que pode ser explorado com poder de computação expandido. Um invasor que quebre o algoritmo pode tirar proveito de uma posição MiTM para descriptografar o túnel SSH e capturar credenciais e informações | Adicione MACs aprovados ao : /etc/ssh/sshd_config e reinicie o MACs hmac-sha2-512,hmac-sha2-256serviço sshd |
| Verifique se o banner de aviso de login remoto está configurado corretamente. (111) |
Verifique se o banner de aviso de login remoto está configurado corretamente (CIS: L1 - Servidor - 1.7.1.3) | Descrição: As mensagens de aviso informam os usuários que estão tentando fazer login no sistema sobre seu status legal em relação ao sistema e devem incluir o nome da organização proprietária do sistema e quaisquer políticas de monitoramento que estejam em vigor. A exibição de informações de nível de sistema operacional e patch em banners de login também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atingir explorações específicas de um sistema. Os utilizadores autorizados podem obter facilmente estas informações executando o uname -acomando depois de iniciarem sessão. |
Remova as sequências de escape de informações do sistema (\m, \r, \s, \v) e substitua por um texto de /etc/issue.net aviso apropriado |
| Verifique se o banner de aviso de login local está configurado corretamente. (111.1) |
Verifique se o banner de aviso de login local está configurado corretamente (CIS: L1 - Servidor - 1.7.1.2) | Descrição: As mensagens de aviso informam os usuários que estão tentando fazer login no sistema sobre seu status legal em relação ao sistema e devem incluir o nome da organização proprietária do sistema e quaisquer políticas de monitoramento que estejam em vigor. A exibição de informações de nível de sistema operacional e patch em banners de login também tem o efeito colateral de fornecer informações detalhadas do sistema para invasores que tentam atingir explorações específicas de um sistema. Os utilizadores autorizados podem obter facilmente estas informações executando o uname -acomando depois de iniciarem sessão. |
Remova as sequências de escape de informações do sistema (\m, \r, \s, \v) e substitua por um texto de /etc/issue aviso apropriado |
| O banner de aviso SSH deve ser ativado. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Verifique se o banner de aviso SSH está configurado (CIS: L1 - Servidor - 5.2.19) | Descrição: Os usuários não serão avisados de que suas ações no sistema são monitoradas | Adicionar Banner /etc/issue.net e reiniciar o /etc/ssh/sshd_config serviço sshd |
| Os usuários não têm permissão para definir opções de ambiente para SSH. (112) |
Verifique se o SSH PermitUserEnvironment está configurado (CIS: L1 - Server - 5.2.12) | Descrição: Um invasor pode ser capaz de ignorar algumas restrições de acesso sobre SSH | Remova a linha 'PermitUserEnvironment yes' do arquivo '/etc/ssh/sshd_config' |
| Devem ser utilizadas cifras apropriadas para SSH. (Cifras aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Certifique-se de que as cifras apropriadas são usadas para SSH (CIS: L1 - Servidor - 5.2.13) | Descrição: um invasor pode comprometer uma conexão SSH fracamente segura | Adicionar Ciphers aes128-ctr,aes192-ctr,aes256-ctr e reiniciar o /etc/ssh/sshd_config serviço sshd |
| O serviço avahi-daemon deve ser desativado. (114) |
Verifique se o serviço avahi-daemon está desativado (CIS: L1 - Servidor - 2.2.3) | Descrição: um invasor pode usar uma vulnerabilidade no daemon avahi para obter acesso | Desative o serviço avahi-daemon: systemctl disable avahi-daemon (systemd) ou chkconfig avahi-daemon off (sysv) |
| O serviço de copos deve ser desativado. (115) |
Verifique se o serviço de copos está desativado (CIS: L1 - Servidor - 2.2.4) | Descrição: um atacante pode usar uma falha no serviço de copos para elevar privilégios | Desative o serviço de copos: systemctl disable cups (systemd) ou chkconfig cups off (sysv) |
| O serviço isc-dhcpd deve ser desativado. (116) |
Verifique se o pacote isc-dhcp-server não está instalado (CIS: L1 - Server - 2.2.5) - regras de serviço e pacote combinadas | Descrição: Um invasor pode usar dhcpd para fornecer informações defeituosas aos clientes, interferindo com a operação normal. | Remova o pacote isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) ou apt remove isc-dhcp-server (Debian/Ubuntu) |
| O pacote isc-dhcp-server deve ser desinstalado. (117) |
Verifique se o pacote isc-dhcp-server não está instalado (CIS: L1 - Server - 2.2.5) - regras de serviço e pacote combinadas | Descrição: Um invasor pode usar dhcpd para fornecer informações defeituosas aos clientes, interferindo com a operação normal. | Remova o pacote isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) ou apt remove isc-dhcp-server (Debian/Ubuntu) |
| O pacote sendmail deve ser desinstalado. (120) |
Verifique se o pacote sendmail não está instalado | Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Desinstale o pacote sendmail: yum remove sendmail (RHEL/CentOS) ou apt remove sendmail (Debian/Ubuntu) |
| O pacote postfix deve ser desinstalado. (121) |
Verifique se o pacote postfix não está instalado | Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Desinstale o pacote postfix: yum remove postfix (RHEL/CentOS) ou apt remove postfix (Debian/Ubuntu) |
| A escuta de rede Postfix deve ser desativada conforme apropriado. (122) |
Verifique se a escuta de rede postfix está desativada | Descrição: um invasor pode usar este sistema para enviar e-mails com conteúdo mal-intencionado para outros usuários | Adicione a linha 'inet_interfaces localhost' ao arquivo '/etc/postfix/main.cf' |
| O serviço ldap deve ser desativado. (124) |
Verifique se o serviço ldap está desativado e se o pacote sldapd não está instalado (CIS: L1 - Server - 2.2.6) | Descrição: um invasor pode manipular o serviço LDAP neste host para distribuir dados falsos para clientes LDAP | Desinstale o pacote slapd: yum remove openldap-servers (RHEL/CentOS) ou apt remove slapd (Debian/Ubuntu) |
| O serviço rpcgssd deve ser desativado. (126) |
Verifique se o serviço rpcgssd está desativado | Descrição: um invasor pode usar uma falha no rpcgssd/nfs para obter acesso | Desative o serviço rpcgssd: systemctl disable rpc-gssd (systemd) ou chkconfig rpc-gssd off (sysv) |
| O serviço rpcidmapd deve ser desativado. (127) |
Verifique se o serviço rpcidmapd está desativado | Descrição: um invasor pode usar uma falha no idmapd/nfs para obter acesso | Desative o serviço rpcidmapd: systemctl disable rpc-idmapd (systemd) ou chkconfig rpc-idmapd off (sysv) |
| O serviço portmap deve ser desativado. (129.1) |
Verifique se o serviço portmap está desativado | Descrição: um invasor pode usar uma falha no portmap para obter acesso | Desative o serviço rpcbind: systemctl disable rpcbind (systemd) ou chkconfig rpcbind off (sysv) |
| O serviço NFS (Network File System) deve ser desativado. (129.2) |
Verifique se o serviço NFS (Network File System) está desativado (CIS: L1 - Servidor - 2.2.7 - parcial) | Descrição: um invasor pode usar nfs para montar compartilhamentos e executar/copiar arquivos. | Desative o serviço nfs: systemctl disable nfs-server (systemd) ou chkconfig nfs off (sysv) |
| O serviço rpcsvcgssd deve ser desativado. (130) |
Verifique se o serviço rpcsvcgssd está desativado | Descrição: um invasor pode usar uma falha no rpcsvcgssd para obter acesso | Remova a linha 'NEED_SVCGSSD = yes' do arquivo '/etc/inetd.conf' |
| O serviço nomeado deve ser desativado. (131) |
Verifique se o serviço nomeado está desativado e se o pacote bind9 não está instalado (CIS: L1 - Servidor - 2.2.8) - regras de serviço e pacote combinadas | Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos aos clientes | Desinstale o pacote de ligação: yum remove bind (RHEL/CentOS) ou apt remove bind9 (Debian/Ubuntu) |
| O pacote bind deve ser desinstalado. (132) |
Verifique se o serviço nomeado está desativado e se o pacote bind9 não está instalado (CIS: L1 - Servidor - 2.2.8) - regras de serviço e pacote combinadas | Descrição: um invasor pode usar o serviço DNS para distribuir dados falsos aos clientes | Desinstale o pacote de ligação: yum remove bind (RHEL/CentOS) ou apt remove bind9 (Debian/Ubuntu) |
| O serviço de pombo deve ser desativado. (137) |
Verifique se o serviço dovecot está desativado e se o pacote dovecot-core não está instalado - regras de serviço e pacote combinadas | Descrição: O sistema pode ser usado como um servidor IMAP/POP3 | Desinstale o pacote dovecot: yum remove dovecot (RHEL/CentOS) ou apt remove dovecot-core (Debian/Ubuntu) |
| O pacote dovecot deve ser desinstalado. (138) |
Verifique se o serviço dovecot está desativado e se o pacote dovecot-core não está instalado - regras de serviço e pacote combinadas | Descrição: O sistema pode ser usado como um servidor IMAP/POP3 | Desinstale o pacote dovecot: yum remove dovecot (RHEL/CentOS) ou apt remove dovecot-core (Debian/Ubuntu) |
Certifique-se de que não existem entradas herdadas + em /etc/passwd(156.1) |
Certifique-se de que não existem entradas herdadas + em /etc/passwd (CIS: L1 - Servidor - 6.2.2) | Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/passwd que comecem com '+:' |
Certifique-se de que não existem entradas herdadas + em /etc/shadow(156.2) |
Certifique-se de que não existem entradas herdadas + em /etc/shadow (CIS: L1 - Servidor - 6.2.3) | Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/shadow que comecem com '+:' |
Certifique-se de que não existem entradas herdadas + em /etc/group(156.3) |
Certifique-se de que não existem entradas herdadas + em /etc/group (CIS: L1 - Servidor - 6.2.4) | Descrição: Um invasor pode obter acesso usando o nome de usuário '+' sem senha | Remova todas as entradas em /etc/group que comecem com '+:' |
| Certifique-se de que a expiração da senha é de 365 dias ou menos. (157.1) |
Verifique se a expiração da senha está configurada (CIS: L1 - Servidor - 5.4.1.1) | Descrição: Reduzir a idade máxima de uma palavra-passe também reduz a janela de oportunidade de um atacante para tirar partido de credenciais comprometidas ou comprometer com êxito credenciais através de um ataque de força bruta online. | Situado PASS_MAX_DAYS 365 em /etc/login.defs |
| Certifique-se de que os dias de aviso de expiração da palavra-passe são 7 ou mais. (157.2) |
Verifique se os dias de aviso de expiração de senha estão configurados (CIS: L1 - Servidor - 5.4.1.3) | Descrição: Fornecer um aviso prévio de que uma senha estará expirando dá aos usuários tempo para pensar em uma senha segura. Os utilizadores apanhados desprevenidos podem escolher uma palavra-passe simples ou anotá-la onde pode ser descoberta. | Situado PASS_WARN_AGE 7 em /etc/login.defs |
| Certifique-se de que a reutilização da palavra-passe é limitada. (157.5) |
Verifique se a reutilização da senha é limitada (CIS: L1 - Servidor - 5.3.3) | Descrição: Forçar os utilizadores a não reutilizarem as suas últimas cinco palavras-passe torna menos provável que um intruso consiga adivinhar a palavra-passe. | Adicionar remember=5 ao módulo de senha PAM em /etc/pam.d/common-password |
| Verifique se o algoritmo de hash de senha é SHA-512 (157.11) |
Verifique se o algoritmo de hash de senha é SHA-512 (CIS: L1 - Servidor - 5.3.4) | Descrição: O algoritmo SHA-512 fornece hashing muito mais forte do que o MD5, fornecendo proteção adicional ao sistema, aumentando o nível de esforço para um invasor determinar senhas com sucesso. Nota: Estas alterações aplicam-se apenas a contas configuradas no sistema local. | Defina o algoritmo de hash de senha como sha512. Muitas distribuições fornecem ferramentas para atualizar a configuração do PAM, consulte a documentação para obter detalhes. Se nenhuma ferramenta for fornecida, edite o arquivo de configuração apropriado /etc/pam.d/ e adicione ou modifique as pam_unix.so linhas para incluir a opção sha512: password sufficient pam_unix.so sha512 |
| Certifique-se de que o número mínimo de dias entre as alterações de senha é de 7 ou mais. (157.12) |
Verifique se o mínimo de dias entre as alterações de senha está configurado (CIS: L1 - Servidor - 5.4.1.2) | Descrição: Ao restringir a frequência das alterações de senha, um administrador pode impedir que os usuários alterem repetidamente suas senhas na tentativa de contornar os controles de reutilização de senha. |
PASS_MIN_DAYS 7 Definir /etc/login.defs e executar chage --mindays 7 <username> para usuários existentes |
| Verifique se a data da última alteração de senha de todos os usuários está no passado (157.14) |
Verifique se o período de bloqueio de senha inativa está configurado (CIS: L1 - Servidor - 5.4.1.4) | Descrição: Se uma data de alteração de senha gravada por um usuário estiver no futuro, eles poderão ignorar qualquer expiração de senha definida. | Verifique se o bloqueio de senha inativa é de 30 dias ou menos Execute o seguinte comando para definir o período de inatividade da senha padrão para 30 dias: # useradd -D -f 30 Modifique os parâmetros do usuário para todos os usuários com uma senha definida para corresponder: # chage --inactive 30 |
| Certifique-se de que as contas do sistema não são de login (157.15) |
Certifique-se de que todas as contas do sistema não são login (CIS: L1 - Servidor - 5.4.2) | Descrição: é importante garantir que as contas que não estão sendo usadas por usuários comuns sejam impedidas de serem usadas para fornecer um shell interativo. Por padrão, o Ubuntu define o campo de senha para essas contas como uma string inválida, mas também é recomendado que o campo shell no arquivo de senha seja definido como /usr/sbin/nologin. Isso impede que a conta seja potencialmente usada para executar quaisquer comandos. |
Defina o shell para todas as contas retornadas pelo script de auditoria como /sbin/nologin |
| Verifique se o grupo padrão para a conta raiz é GID 0 (157.16) |
Verifique se o grupo padrão para a conta raiz é GID 0 (CIS: L1 - Servidor - 5.4.3) | Descrição: Usar o GID 0 para a root conta ajuda a evitar que rootarquivos de propriedade se tornem acidentalmente acessíveis a usuários sem privilégios. |
Execute o seguinte comando para definir o grupo padrão do root usuário como GID 0 : # usermod -g 0 root |
| Verifique se root é a única conta UID 0 (157.18) |
Verifique se root é a única conta UID 0 (CIS: L1 - Servidor - 6.2.5) | Descrição: Este acesso deve ser limitado apenas à conta predefinida root e apenas a partir da consola do sistema. O acesso administrativo deve ser feito através de uma conta sem privilégios usando um mecanismo aprovado. |
Remova todos os usuários que não root sejam com UID 0 ou atribua-lhes um novo UID, se apropriado. |
| Remover contas desnecessárias (159) |
Garantir que contas desnecessárias sejam removidas | Descrição: Para fins de conformidade | Remova as contas desnecessárias |
| Garantir que o serviço auditado esteja habilitado (162) |
Verifique se o pacote auditado está instalado | Descrição: A captura de eventos do sistema fornece aos administradores do sistema informações que lhes permitem determinar se o acesso não autorizado ao seu sistema está ocorrendo. | Instalar pacote de auditoria (systemctl enable auditd) |
| Executar o serviço AuditD (163) |
Verifique se o serviço auditado está em execução | Descrição: A captura de eventos do sistema fornece aos administradores do sistema informações que lhes permitem determinar se o acesso não autorizado ao seu sistema está ocorrendo. | Executar o serviço AuditD (systemctl start auditd) |
| Verifique se o SNMP Server não está habilitado (179) |
Verifique se o servidor SNMP não está habilitado (CIS: L1 - Servidor - 2.2.14) | Descrição: O servidor SNMP pode se comunicar usando SNMP v1, que transmite dados em branco e não requer autenticação para executar comandos. A menos que seja absolutamente necessário, recomenda-se que o serviço SNMP não seja usado. Se o SNMP for necessário, o servidor deverá ser configurado para não permitir o SNMP v1. | Execute um dos seguintes comandos para desativar snmpd: # chkconfig snmpd off# systemctl disable snmpd# update-rc.d snmpd disable |
| Verifique se o serviço rsync não está habilitado (181) |
Verifique se o serviço rsync não está habilitado (CIS: L1 - Servidor - 2.2.16) | Descrição: O rsyncd serviço apresenta um risco de segurança, uma vez que utiliza protocolos não encriptados para comunicação. |
Desative o serviço rsync: systemctl disable rsyncd (systemd) ou chkconfig rsyncd off (sysv) |
| Verifique se o servidor NIS não está habilitado (182) |
Verifique se o servidor NIS não está habilitado (CIS: L1 - Servidor - 2.2.17) | Descrição: O serviço NIS é um sistema inerentemente inseguro que tem sido vulnerável a ataques DOS, estouros de buffer e tem autenticação deficiente para consultar mapas NIS. O NIS é geralmente substituído por protocolos como o Lightweight Directory Access Protocol (LDAP). Recomenda-se que o serviço seja desativado e que serviços mais seguros sejam usados | Execute um dos seguintes comandos para desativar ypserv : # chkconfig ypserv off# systemctl disable ypserv# update-rc.d ypserv disable |
| Verifique se o cliente rsh não está instalado (183) |
Verifique se o cliente rsh não está instalado (CIS: L1 - Servidor - 2.3.2) | Descrição: Esses clientes herdados contêm várias exposições de segurança e foram substituídos pelo pacote SSH mais seguro. Mesmo que o servidor seja removido, é melhor garantir que os clientes também sejam removidos para evitar que os usuários tentem inadvertidamente usar esses comandos e, portanto, exponham suas credenciais. Observe que a remoção do rsh pacote remove os clientes para rsh, rcp e rlogin. |
Desinstale o rsh usando o gerenciador de pacotes apropriado: yum remove rsh (RHEL/CentOS), apt remove rsh (Debian/Ubuntu) ou zypper remove rsh (SUSE) |
| Desativar SMB V1 com Samba (185) |
Verifique se o SMB V1 com Samba está desativado (CIS: L1 - Servidor - 2.2.12) | Descrição: O SMB v1 tem vulnerabilidades graves bem conhecidas e não encripta dados em trânsito. Se tiver de ser utilizado por razões comerciais, recomenda-se vivamente que sejam tomadas medidas adicionais para mitigar os riscos inerentes a este protocolo. | Adicionar min protocol = SMB2 à seção e [global] reiniciar o /etc/samba/smb.conf serviço smbd |
Nota
A disponibilidade de definições específicas de configuração de convidado da Política do Azure pode variar no Azure Government e em outras nuvens nacionais.
Próximos passos
Artigos adicionais sobre a Política do Azure e a configuração de convidado:
- Configuração de convidado da Política do Azure.
- Visão geral da conformidade regulamentar.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis com a nova função de correção automática azure-osconfigLimited Public Preview.