Baseline di sicurezza di Linux
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione di Linux che ha raggiunto lo stato di fine del servizio (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Questo articolo illustra in dettaglio le impostazioni di configurazione per i guest Linux applicabili nelle implementazioni seguenti:
- [Anteprima]: i computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure Criteri di Azure definizione di configurazione guest
- Le vulnerabilità nella configurazione di sicurezza nei computer devono essere risolte in Microsoft Defender per il cloud
Per altre informazioni, vedere Criteri di Azure configurazione guest e Panoramica di Azure Security Benchmark (V2).
Controlli di sicurezza generali
Nome (CCEID) |
Dettagli | Controllo delle correzioni |
---|---|---|
Verificare che l'opzione nodev sia impostata nella partizione /home. (1.1.4) |
Descrizione: un utente malintenzionato potrebbe montare un dispositivo speciale (ad esempio, blocco o dispositivo carattere) nella partizione /home. | Modificare il file /etc/fstab e aggiungere nodev al quarto campo (opzioni di montaggio) per la partizione /home. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Verificare che l'opzione nodev sia impostata nella partizione /tmp. (1.1.5) |
Descrizione: un utente malintenzionato potrebbe montare un dispositivo speciale (ad esempio, blocco o dispositivo carattere) nella partizione /tmp. | Modificare il file /etc/fstab e aggiungere nodev al quarto campo (opzioni di montaggio) per la partizione /tmp. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Verificare che l'opzione nodev sia impostata nella partizione /var/tmp. (1.1.6) |
Descrizione: un utente malintenzionato potrebbe montare un dispositivo speciale (ad esempio, blocco o dispositivo carattere) nella partizione /var/tmp. | Modificare il file /etc/fstab e aggiungere nodev al quarto campo (opzioni di montaggio) per la partizione /var/tmp. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Verificare che l'opzione nosuid sia impostata nella partizione /tmp. (1.1.7) |
Descrizione: poiché il file system /tmp è destinato solo all'archiviazione file temporanea, impostare questa opzione per assicurarsi che gli utenti non possano creare file setuid in /var/tmp. | Modificare il file /etc/fstab e aggiungere nosuid al quarto campo (opzioni di montaggio) per la partizione /tmp. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Verificare che l'opzione nosuid sia impostata nella partizione /var/tmp. (1.1.8) |
Descrizione: poiché il file system /var/tmp è destinato solo all'archiviazione file temporanea, impostare questa opzione per assicurarsi che gli utenti non possano creare file setuid in /var/tmp. | Modificare il file /etc/fstab e aggiungere nosuid al quarto campo (opzioni di montaggio) per la partizione /var/tmp. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Assicurarsi che l'opzione noexec sia impostata nella partizione /var/tmp. (1.1.9) |
Descrizione: poiché il /var/tmp file system è destinato solo all'archiviazione file temporanea, impostare questa opzione per assicurarsi che gli utenti non possano eseguire file binari eseguibili da /var/tmp . |
Modificare il file /etc/fstab e aggiungere noexec al quarto campo (opzioni di montaggio) per la partizione /var/tmp. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Assicurarsi che l'opzione noexec sia impostata nella partizione /dev/shm. (1.1.16) |
Descrizione: l'impostazione di questa opzione in un file system impedisce agli utenti di eseguire programmi dalla memoria condivisa. Questo controllo impedisce agli utenti di introdurre software potenzialmente dannoso nel sistema. | Modificare il file /etc/fstab e aggiungere noexec al quarto campo (opzioni di montaggio) per la partizione /dev/shm. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Disabilitare il montaggio automatico (1.1.21) |
Descrizione: con il montaggio automatico abilitato, chiunque abbia accesso fisico potrebbe collegare un'unità USB o un disco e avere il relativo contenuto disponibile nel sistema anche se non dispone delle autorizzazioni per montarlo autonomamente. | Disabilitare il servizio autofs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-autofs' |
Assicurarsi che il montaggio dei dispositivi di archiviazione USB sia disabilitato (1.1.21.1) |
Descrizione: la rimozione del supporto per i dispositivi di archiviazione USB riduce la superficie di attacco locale del server. | Modificare o creare un file nella /etc/modprobe.d/ directory che termina con .conf e aggiungere install usb-storage /bin/true quindi scaricare il modulo usb-storage oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Assicurarsi che i dump di base siano limitati. (1.5.1) |
Descrizione: l'impostazione di un limite rigido per i dump di base impedisce agli utenti di eseguire l'override della variabile soft. Se sono necessari dump di base, prendere in considerazione l'impostazione dei limiti per i gruppi di utenti (vedere limits.conf(5) ). Inoltre, l'impostazione della variabile su 0 impedirà ai programmi setuid di eseguire il fs.suid_dumpable dump del core. |
Aggiungere hard core 0 a /etc/security/limits.conf o un file nella directory limits.d e impostare fs.suid_dumpable = 0 in sysctl o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-core-dumps' |
Verificare che il prelink sia disabilitato. (1.5.4) |
Descrizione: la funzionalità di prelinking può interferire con l'operazione di AIDE, perché modifica i file binari. Il prelinking può anche aumentare la vulnerabilità del sistema se un utente malintenzionato è in grado di compromettere una libreria comune, ad esempio libc. | disinstallare prelink usando la gestione pacchetti o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r remove-prelink' |
Verificare che le autorizzazioni per /etc/motd siano configurate. (1.7.1.4) |
Descrizione: se il /etc/motd file non ha la proprietà corretta, potrebbe essere modificato da utenti non autorizzati con informazioni non corrette o fuorvianti. |
Impostare il proprietario e il gruppo di /etc/motd su root e impostare le autorizzazioni su 0644 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
Verificare che le autorizzazioni per /etc/issue siano configurate. (1.7.1.5) |
Descrizione: se il /etc/issue file non ha la proprietà corretta, potrebbe essere modificato da utenti non autorizzati con informazioni non corrette o fuorvianti. |
Impostare il proprietario e il gruppo di /etc/issue su root e impostare le autorizzazioni su 0644 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
Verificare che le autorizzazioni per /etc/issue.net siano configurate. (1.7.1.6) |
Descrizione: se il /etc/issue.net file non ha la proprietà corretta, potrebbe essere modificato da utenti non autorizzati con informazioni non corrette o fuorvianti. |
Impostare il proprietario e il gruppo di /etc/issue.net su root e impostare le autorizzazioni su 0644 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
L'opzione nodev deve essere abilitata per tutti i supporti rimovibili. (2.1) |
Descrizione: un utente malintenzionato potrebbe montare un dispositivo speciale (ad esempio, blocco o dispositivo carattere) tramite supporti rimovibili | Aggiungere l'opzione nodev al quarto campo (opzioni di montaggio) in /etc/fstab. Per altre informazioni, vedere le pagine manuali di fstab(5). |
L'opzione noexec deve essere abilitata per tutti i supporti rimovibili. (2.2) |
Descrizione: un utente malintenzionato potrebbe caricare il file eseguibile tramite supporti rimovibili | Aggiungere l'opzione noexec al quarto campo (opzioni di montaggio) in /etc/fstab. Per altre informazioni, vedere le pagine manuali di fstab(5). |
L'opzione nosuid deve essere abilitata per tutti i supporti rimovibili. (2.3) |
Descrizione: un utente malintenzionato potrebbe caricare i file eseguiti con un contesto di sicurezza con privilegi elevati tramite supporti rimovibili | Aggiungere l'opzione nosuid al quarto campo (opzioni di montaggio) in /etc/fstab. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Assicurarsi che il client talk non sia installato. (2.3.3) |
Descrizione: il software presenta un rischio di sicurezza quando usa protocolli non crittografati per la comunicazione. | Disinstallare talk o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r remove-talk' |
Verificare che le autorizzazioni per /etc/hosts.allow siano configurate. (3.4.4) |
Descrizione: è fondamentale assicurarsi che il /etc/hosts.allow file sia protetto da accessi in scrittura non autorizzati. Anche se è protetto per impostazione predefinita, le autorizzazioni dei file possono essere modificate inavvertitamente o tramite azioni dannose. |
Impostare il proprietario e il gruppo di /etc/hosts.allow per la radice e le autorizzazioni su 0644 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
Verificare che le autorizzazioni per /etc/hosts.deny siano configurate. (3.4.5) |
Descrizione: è fondamentale assicurarsi che il /etc/hosts.deny file sia protetto da accessi in scrittura non autorizzati. Anche se è protetto per impostazione predefinita, le autorizzazioni dei file possono essere modificate inavvertitamente o tramite azioni dannose. |
Impostare il proprietario e il gruppo di /etc/hosts.deny su root e le autorizzazioni su 0644 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r file-permissions' |
Assicurarsi che i criteri firewall di rifiuto predefiniti (3.6.2) |
Descrizione: con un criterio di accettazione predefinito, il firewall accetterà qualsiasi pacchetto non negato in modo esplicito. È più facile mantenere un firewall sicuro con un criterio DROP predefinito rispetto a quello con un criterio Consenti predefinito. | Impostare i criteri predefiniti per il traffico in ingresso, in uscita e instradato verso o reject in base alle deny esigenze usando il software firewall |
L'opzione nodev/nosuid deve essere abilitata per tutti i montaggi NFS. (5) |
Descrizione: un utente malintenzionato potrebbe caricare file eseguiti con un contesto di sicurezza elevato o dispositivi speciali tramite file system remoto | Aggiungere le opzioni nosuid e nodev al quarto campo (opzioni di montaggio) in /etc/fstab. Per altre informazioni, vedere le pagine manuali di fstab(5). |
Verificare che le autorizzazioni per /etc/ssh/sshd_config siano configurate. (5.2.1) |
Descrizione: il /etc/ssh/sshd_config file deve essere protetto da modifiche non autorizzate da utenti senza privilegi. |
Impostare il proprietario e il gruppo di /etc/ssh/sshd_config su root e impostare le autorizzazioni su 0600 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r sshd-config-file-permissions' |
Verificare che i requisiti di creazione delle password siano configurati. (5.3.1) |
Descrizione: le password complesse proteggono i sistemi dall'essere violati tramite metodi di forza bruta. | Impostare le coppie chiave/valore seguenti nel pam appropriato per la distribuzione: minlen=14, minclass = 4, dcredit = -1, ucredit = -1, ocredit = -1, lcredit = -1 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-password-requirements' |
Verificare che il blocco per i tentativi di password non riusciti sia configurato. (5.3.2) |
Descrizione: il blocco degli ID utente dopo n tentativi di accesso consecutivi non riusciti riduce gli attacchi di forza bruta alle password contro i sistemi. |
per Ubuntu e Debian aggiungere i moduli pam_tally e pam_deny in base alle esigenze. Per tutte le altre distribuzioni, vedere la documentazione della distribuzione |
Disabilitare l'installazione e l'uso di file system non necessari (cramfs) (6.1) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in cramfs per elevare i privilegi | Aggiungere un file alla directory /etc/modprob.d che disabilita cramfs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Disabilitare l'installazione e l'uso di file system non necessari (freevxfs) (6.2) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in freevxfs per elevare i privilegi | Aggiungere un file alla directory /etc/modprob.d che disabilita freevxfs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Verificare che tutte le home directory degli utenti esistano (6.2.7) |
Descrizione: se la home directory dell'utente non esiste o non è assegnata, l'utente verrà inserito nella radice del volume. Inoltre, l'utente non sarà in grado di scrivere file o impostare variabili di ambiente. | Se le home directory degli utenti non esistono, crearle e verificare che il rispettivo utente sia proprietario della directory. Gli utenti senza una home directory assegnata devono essere rimossi o assegnati a una home directory in base alle esigenze. |
Assicurarsi che gli utenti siano i proprietari delle home directory (6.2.9) |
Descrizione: poiché l'utente è responsabile per i file archiviati nella home directory dell'utente, l'utente deve essere il proprietario della directory. | Modificare la proprietà di tutte le home directory che non sono di proprietà dell'utente definito per l'utente corretto. |
Assicurarsi che i file dot degli utenti non siano scrivibili in gruppi o in tutto il mondo. (6.2.10) |
Descrizione: i file di configurazione utente scrivibili o di gruppo possono consentire agli utenti malintenzionati di rubare o modificare i dati di altri utenti o di ottenere i privilegi di sistema di un altro utente. | Apportare modifiche globali ai file degli utenti senza avvisare la community degli utenti può causare interruzioni impreviste e utenti infelice. È quindi consigliabile stabilire un criterio di monitoraggio per segnalare le autorizzazioni dei file dot dell'utente e determinare le azioni di correzione dei criteri del sito. |
Verificare che nessun utente disponga di file con estensione .forward (6.2.11) |
Descrizione: l'uso del file comporta un rischio per la .forward sicurezza in quanto i dati sensibili potrebbero essere trasferiti inavvertitamente all'esterno dell'organizzazione. Il .forward file rappresenta anche un rischio perché può essere usato per eseguire comandi che possono eseguire azioni impreviste. |
Apportare modifiche globali ai file degli utenti senza avvisare la community degli utenti può causare interruzioni impreviste e utenti infelice. È pertanto consigliabile stabilire un criterio di monitoraggio per segnalare i file utente .forward e determinare l'azione da intraprendere in conformità ai criteri del sito. |
Verificare che nessun utente disponga di file .netrc (6.2.12) |
Descrizione: il .netrc file presenta un rischio di sicurezza significativo perché archivia le password in formato non crittografato. Anche se FTP è disabilitato, gli account utente potrebbero aver portato su .netrc file di altri sistemi che potrebbero rappresentare un rischio per tali sistemi |
Apportare modifiche globali ai file degli utenti senza avvisare la community degli utenti può causare interruzioni impreviste e utenti infelice. È pertanto consigliabile stabilire un criterio di monitoraggio per segnalare i file utente .netrc e determinare l'azione da intraprendere in conformità ai criteri del sito. |
Verificare che nessun utente disponga di file con estensione .rhosts (6.2.14) |
Descrizione: questa azione è significativa solo se .rhosts il supporto è consentito nel file /etc/pam.conf . Anche se i file sono inefficaci se il .rhosts supporto è disabilitato in /etc/pam.conf , potrebbero essere stati portati da altri sistemi e potrebbero contenere informazioni utili a un utente malintenzionato per tali altri sistemi. |
Apportare modifiche globali ai file degli utenti senza avvisare la community degli utenti può causare interruzioni impreviste e utenti infelice. È pertanto consigliabile stabilire un criterio di monitoraggio per segnalare i file utente .rhosts e determinare l'azione da intraprendere in conformità ai criteri del sito. |
Verificare che tutti i gruppi in /etc/passwd esistano in /etc/group (6.2.15) |
Descrizione: i gruppi definiti nel file /etc/passwd, ma non nel file /etc/group rappresentano una minaccia per la sicurezza del sistema perché le autorizzazioni del gruppo non sono gestite correttamente. | Per ogni gruppo definito in /etc/passwd, verificare che sia presente un gruppo corrispondente in /etc/group |
Verificare che non esistano UID duplicati (6.2.16) |
Descrizione: agli utenti devono essere assegnati UID univoci per garantire la responsabilità e garantire le protezioni di accesso appropriate. | Stabilire UID univoci ed esaminare tutti i file di proprietà degli UID condivisi per determinare a quale UID devono appartenere. |
Verificare che non esistano GID duplicati (6.2.17) |
Descrizione: ai gruppi devono essere assegnati GID univoci per garantire la responsabilità e garantire le protezioni di accesso appropriate. | Stabilire GID univoci ed esaminare tutti i file di proprietà dei GID condivisi per determinare a quale GID devono appartenere. |
Verificare che non esistano nomi utente duplicati (6.2.18) |
Descrizione: se a un utente viene assegnato un nome utente duplicato, verrà creato e avrà accesso ai file con il primo UID per tale nome utente in /etc/passwd . Ad esempio, se "test4" ha un UID pari a 1000 e una voce "test4" successiva ha un UID 2000, l'accesso come "test4" userà UID 1000. In effetti, l'UID è condiviso, che è un problema di sicurezza. |
Stabilire nomi utente univoci per tutti gli utenti. Le proprietà dei file rifletteranno automaticamente la modifica, purché gli utenti abbiano UID univoci. |
Verificare che non esistano gruppi duplicati (6.2.19) |
Descrizione: se a un gruppo viene assegnato un nome di gruppo duplicato, verrà creato e avrà accesso ai file con il primo GID per tale gruppo in /etc/group . In effetti, il GID è condiviso, che è un problema di sicurezza. |
Stabilire nomi univoci per tutti i gruppi di utenti. Le proprietà del gruppo di file rifletteranno automaticamente la modifica, purché i gruppi abbiano GID univoci. |
Verificare che il gruppo shadow sia vuoto (6.2.20) |
Descrizione: a tutti gli utenti assegnati al gruppo shadow verrà concesso l'accesso in lettura al file /etc/shadow. Se gli utenti malintenzionati possono ottenere l'accesso in lettura al /etc/shadow file, possono eseguire facilmente un programma di cracking delle password rispetto alle password con hash per interromperle. Altre informazioni di sicurezza archiviate nel /etc/shadow file (ad esempio la scadenza) possono essere utili anche per sottrarre altri account utente. |
Rimuovere tutti gli utenti dal gruppo shadow |
Disabilitare l'installazione e l'uso di file system non necessari (hfs) (6.3) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in hfs per elevare i privilegi | Aggiungere un file alla directory /etc/modprob.d che disabilita gli hfs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Disabilitare l'installazione e l'uso di file system non necessari (hfsplus) (6.4) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in hfsplus per elevare i privilegi | Aggiungere un file alla directory /etc/modprob.d che disabilita l'estensione hfsplus o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Disabilitare l'installazione e l'uso di file system non necessari (jffs2) (6.5) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in jffs2 per elevare i privilegi | Aggiungere un file alla directory /etc/modprob.d che disabilita jffs2 o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
I kernel devono essere compilati solo da origini approvate. (10) |
Descrizione: un kernel da un'origine non approvata potrebbe contenere vulnerabilità o backdoor per concedere l'accesso a un utente malintenzionato. | Installare il kernel fornito dal fornitore della distribuzione. |
Le autorizzazioni del file /etc/shadow devono essere impostate su 0400 (11.1) |
Descrizione: un utente malintenzionato può recuperare o modificare le password con hash da /etc/shadow se non è protetto correttamente. | Impostare le autorizzazioni e la proprietà di /etc/shadow* oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
/etc/shadow- le autorizzazioni per i file devono essere impostate su 0400 (11.2) |
Descrizione: un utente malintenzionato può recuperare o modificare le password con hash da /etc/shadow, se non è protetto correttamente. | Impostare le autorizzazioni e la proprietà di /etc/shadow* oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-shadow-perms' |
Le autorizzazioni del file /etc/gshadow devono essere impostate su 0400 (11.3) |
Descrizione: un utente malintenzionato potrebbe partecipare ai gruppi di sicurezza se questo file non è protetto correttamente | Impostare le autorizzazioni e la proprietà di /etc/gshadow- oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
/etc/gshadow- le autorizzazioni del file devono essere impostate su 0400 (11.4) |
Descrizione: un utente malintenzionato potrebbe partecipare ai gruppi di sicurezza se questo file non è protetto correttamente | Impostare le autorizzazioni e la proprietà di /etc/gshadow o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-gshadow-perms' |
Le autorizzazioni del file /etc/passwd devono essere 0644 (12.1) |
Descrizione: un utente malintenzionato potrebbe modificare gli ID utente e le shell di accesso | Impostare le autorizzazioni e la proprietà di /etc/passwd oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms' |
Le autorizzazioni per i file di gruppo /etc/group devono essere 0644 (12.2) |
Descrizione: un utente malintenzionato potrebbe elevare i privilegi modificando l'appartenenza al gruppo | Impostare le autorizzazioni e la proprietà di /etc/group o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
Le autorizzazioni del file /etc/passwd- devono essere impostate su 0600 (12.3) |
Descrizione: un utente malintenzionato potrebbe partecipare ai gruppi di sicurezza se questo file non è protetto correttamente | Impostare le autorizzazioni e la proprietà di /etc/passwd- oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-passwd-perms |
/etc/group- le autorizzazioni per i file devono essere 0644 (12.4) |
Descrizione: un utente malintenzionato potrebbe elevare i privilegi modificando l'appartenenza al gruppo | Impostare le autorizzazioni e la proprietà di /etc/group- oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-etc-group-perms |
L'accesso all'account radice tramite su deve essere limitato al gruppo 'root' (21) |
Descrizione: un utente malintenzionato potrebbe inoltrare le autorizzazioni in base alla password indovinando se su non è limitato agli utenti nel gruppo radice. | Eseguire il comando '/opt/microsoft/omsagent/plugin/omsremediate -r fix-su-permissions'. Questo controllo aggiunge la riga 'auth required pam_wheel.so use_uid' al file '/etc/pam.d/su' |
Il gruppo 'root' deve esistere e contenere tutti i membri che possono eseguire la ricerca nella radice (22) |
Descrizione: un utente malintenzionato potrebbe inoltrare le autorizzazioni in base alla password indovinando se su non è limitato agli utenti nel gruppo radice. | Creare il gruppo radice tramite il comando 'groupadd -g 0 root' |
Tutti gli account devono avere una password (23.2) |
Descrizione: un utente malintenzionato può accedere agli account senza password ed eseguire comandi arbitrari. | Usare il comando passwd per impostare le password per tutti gli account |
Gli account diversi dalla radice devono avere UID univoci maggiori di zero(0) (24) |
Descrizione: se un account diverso da root ha un uid zero, un utente malintenzionato potrebbe compromettere l'account e ottenere privilegi radice. | Assegnare uid univoci e diversi da zero a tutti gli account non radice usando 'usermod -u' |
È necessario abilitare il posizionamento casuale delle aree di memoria virtuale (25) |
Descrizione: un utente malintenzionato potrebbe scrivere codice eseguibile in aree note in memoria con conseguente elevazione dei privilegi | Aggiungere il valore '1' o '2' al file '/proc/sys/kernel/randomize_va_space' |
È necessario abilitare il supporto del kernel per la funzionalità del processore XD/NX (26) |
Descrizione: un utente malintenzionato potrebbe causare un codice eseguibile da un sistema dalle aree dati nella memoria, con conseguente elevazione dei privilegi. | Verificare che il file '/proc/cpuinfo' contenga il flag 'nx' |
'.' non dovrebbe essere visualizzato nel $PATH radice (27.1) |
Descrizione: un utente malintenzionato potrebbe elevare i privilegi inserendo un file dannoso nel $PATH della radice | Modificare la riga 'export PATH=' in /root/.profile |
Le home directory utente devono essere in modalità 750 o più restrittive (28) |
Descrizione: un utente malintenzionato potrebbe recuperare informazioni riservate dalle home cartelle di altri utenti. | Impostare le autorizzazioni della cartella home su 750 o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-home-dir-permissions |
L'umask predefinito per tutti gli utenti deve essere impostato su 077 in login.defs (29) |
Descrizione: un utente malintenzionato potrebbe recuperare informazioni riservate dai file di proprietà di altri utenti. | Eseguire il comando '/opt/microsoft/omsagent/plugin/omsremediate -r set-default-user-umask'. Verrà aggiunta la riga 'UMASK 077' al file '/etc/login.defs' |
Tutti i bootloader devono avere la protezione password abilitata. (31) |
Descrizione: un utente malintenzionato con accesso fisico potrebbe modificare le opzioni del bootloader, cedendo l'accesso al sistema senza restrizioni | Aggiungere una password del caricatore di avvio al file '/boot/grub/grub.cfg' |
Verificare che le autorizzazioni per la configurazione del bootloader siano configurate (31.1) |
Descrizione: l'impostazione delle autorizzazioni per la lettura e la scrittura per la radice impedisce solo agli utenti non radice di visualizzare i parametri di avvio o modificarli. Gli utenti non radice che leggono i parametri di avvio possono essere in grado di identificare i punti deboli della sicurezza all'avvio e di sfruttarli. | Impostare il proprietario e il gruppo del bootloader su root:root e autorizzazioni su 0400 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r bootloader-permissions |
Verificare che l'autenticazione sia necessaria per la modalità utente singolo. (33) |
Descrizione: richiedere l'autenticazione in modalità utente singolo impedisce a un utente non autorizzato di riavviare il sistema in un singolo utente per ottenere privilegi radice senza credenziali. | eseguire il comando seguente per impostare una password per l'utente radice: passwd root |
Verificare che l'invio del reindirizzamento dei pacchetti sia disabilitato. (38.3) |
Descrizione: un utente malintenzionato potrebbe usare un host compromesso per inviare reindirizzamenti ICMP non validi ad altri dispositivi router nel tentativo di danneggiare il routing e consentire agli utenti di accedere a un sistema configurato dall'utente malintenzionato anziché a un sistema valido. | impostare i parametri seguenti in /etc/sysctl.conf: 'net.ipv4.conf.all.send_redirects = 0' e 'net.ipv4.conf.default.send_redirects = 0' o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-send-redirects |
L'invio di reindirizzamenti ICMP deve essere disabilitato per tutte le interfacce. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Descrizione: un utente malintenzionato potrebbe modificare la tabella di routing del sistema, reindirizzando il traffico a una destinazione alternativa | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-accept-redirects'. |
L'invio di reindirizzamenti ICMP deve essere disabilitato per tutte le interfacce. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Descrizione: un utente malintenzionato potrebbe modificare la tabella di routing del sistema, reindirizzando il traffico a una destinazione alternativa | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-secure-redirects' |
L'accettazione di pacchetti indirizzati di origine deve essere disabilitata per tutte le interfacce. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Descrizione: un utente malintenzionato potrebbe reindirizzare il traffico a scopi dannosi. | Eseguire sysctl -w key=value e impostare su un valore conforme. |
L'accettazione di pacchetti indirizzati di origine deve essere disabilitata per tutte le interfacce. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Descrizione: un utente malintenzionato potrebbe reindirizzare il traffico a scopi dannosi. | Eseguire sysctl -w key=value e impostare su un valore conforme. |
L'impostazione predefinita per l'accettazione di pacchetti indirizzati all'origine deve essere disabilitata per le interfacce di rete. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Descrizione: un utente malintenzionato potrebbe reindirizzare il traffico a scopi dannosi. | Eseguire sysctl -w key=value e impostare su un valore conforme. |
L'impostazione predefinita per l'accettazione di pacchetti indirizzati all'origine deve essere disabilitata per le interfacce di rete. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Descrizione: un utente malintenzionato potrebbe reindirizzare il traffico a scopi dannosi. | Eseguire sysctl -w key=value e impostare su un valore conforme. |
Ignorare le risposte ICMP fittizie alle trasmissioni deve essere abilitata. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Descrizione: un utente malintenzionato potrebbe eseguire un attacco ICMP con conseguente doS | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-ignore-bogus-error-responses' |
È necessario abilitare l'abilitazione delle richieste echo ICMP (ping) inviate agli indirizzi broadcast/multicast. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Descrizione: un utente malintenzionato potrebbe eseguire un attacco ICMP con conseguente doS | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-icmp-echo-ignore-broadcasts' |
La registrazione dei pacchetti marziani (quelli con indirizzi impossibili) deve essere abilitata per tutte le interfacce. (net.ipv4.conf.all.log_martians = 1) (45.1) |
Descrizione: un utente malintenzionato potrebbe inviare traffico da indirizzi spoofed senza essere rilevato | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-log-martians' |
L'esecuzione della convalida dell'origine in base al percorso inverso deve essere abilitata per tutte le interfacce. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Descrizione: il sistema accetterà il traffico dagli indirizzi non indirizzabili. | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
L'esecuzione della convalida dell'origine in base al percorso inverso deve essere abilitata per tutte le interfacce. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Descrizione: il sistema accetterà il traffico dagli indirizzi non indirizzabili. | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rp-filter' |
I cookie TCP SYN devono essere abilitati. (net.ipv4.tcp_syncookies = 1) (47) |
Descrizione: un utente malintenzionato potrebbe eseguire un DoS su TCP | Eseguire sysctl -w key=value e impostare su un valore conforme o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-tcp-syncookies' |
Il sistema non deve fungere da sniffer di rete. (48) |
Descrizione: un utente malintenzionato può usare interfacce promiscue per l'analisi del traffico di rete | La modalità promiscua è abilitata tramite una voce "promisc" in "/etc/network/interfaces" o "/etc/rc.local". Controllare entrambi i file e rimuovere questa voce. |
Tutte le interfacce wireless devono essere disabilitate. (49) |
Descrizione: un utente malintenzionato potrebbe creare un'API falsa per intercettare le trasmissioni. | Verificare che tutte le interfacce wireless siano disabilitate in '/etc/network/interfaces' |
Il protocollo IPv6 deve essere abilitato. (50) |
Descrizione: questa operazione è necessaria per la comunicazione sulle reti moderne. | Aprire /etc/sysctl.conf e verificare che 'net.ipv6.conf.all.disable_ipv6' e 'net.ipv6.conf.default.disable_ipv6' siano impostati su 0 |
Verificare che DCCP sia disabilitato (54) |
Descrizione: se il protocollo non è necessario, è consigliabile che i driver non siano installati per ridurre la potenziale superficie di attacco. | Modificare o creare un file nella /etc/modprobe.d/ directory che termina conf e aggiungere install dccp /bin/true e quindi scaricare il modulo dccp o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Verificare che SCTP sia disabilitato (55) |
Descrizione: se il protocollo non è necessario, è consigliabile che i driver non siano installati per ridurre la potenziale superficie di attacco. | Modificare o creare un file nella /etc/modprobe.d/ directory che termina con .conf e aggiungere install sctp /bin/true quindi scaricare il modulo sctp o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Disabilitare il supporto per Servizi Desktop remoto. (56) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità in Servizi Desktop remoto per compromettere il sistema | Modificare o creare un file nella /etc/modprobe.d/ directory che termina con .conf e aggiungere install rds /bin/true quindi scaricare il modulo rds o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Verificare che TIPC sia disabilitato (57) |
Descrizione: se il protocollo non è necessario, è consigliabile che i driver non siano installati per ridurre la potenziale superficie di attacco. | Modificare o creare un file nella /etc/modprobe.d/ directory che termina con .conf e aggiungere install tipc /bin/true e quindi scaricare il modulo tipc o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-unnecessary-kernel-mods' |
Verificare che la registrazione sia configurata (60) |
Descrizione: una grande quantità di informazioni importanti relative alla sicurezza viene inviata tramite rsyslog (ad esempio, tentativi riusciti e non riusciti, tentativi di accesso non riusciti, tentativi di accesso radice e così via). |
Configurare syslog, rsyslog o syslog-ng in base alle esigenze |
È necessario installare il pacchetto syslog, rsyslog o syslog-ng. (61) |
Descrizione: i problemi di affidabilità e sicurezza non verranno registrati, impedendo la diagnosi corretta. | Installare il pacchetto rsyslog oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r install-rsyslog' |
Il servizio systemd-journald deve essere configurato per rendere persistenti i messaggi di log (61.1) |
Descrizione: i problemi di affidabilità e sicurezza non verranno registrati, impedendo la diagnosi corretta. | Creare /var/log/journal e assicurarsi che l'archiviazione in journald.conf sia automatica o persistente |
Verificare che un servizio di registrazione sia abilitato (62) |
Descrizione: è fondamentale avere la possibilità di registrare gli eventi in un nodo. | Abilitare il pacchetto rsyslog o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r enable-rsyslog' |
Le autorizzazioni per tutti i file di log rsyslog devono essere impostate su 640 o 600. (63) |
Descrizione: un utente malintenzionato potrebbe nascondere l'attività modificando i log | Aggiungere la riga '$FileCreateMode 0640' al file '/etc/rsyslog.conf' |
Verificare che i file di configurazione del logger siano limitati. (63.1) |
Descrizione: è importante assicurarsi che i file di log esistano e dispongano delle autorizzazioni corrette per garantire che i dati syslog sensibili siano archiviati e protetti. | Impostare i file di configurazione del logger su 0640 o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r logger-config-file-permissions' |
Tutti i file di log rsyslog devono essere di proprietà del gruppo adm. (64) |
Descrizione: un utente malintenzionato potrebbe nascondere l'attività modificando i log | Aggiungere la riga '$FileGroup adm' al file '/etc/rsyslog.conf' |
Tutti i file di log rsyslog devono essere di proprietà dell'utente syslog. (65) |
Descrizione: un utente malintenzionato potrebbe nascondere l'attività modificando i log | Aggiungere la riga '$FileOwner syslog' al file '/etc/rsyslog.conf' o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r syslog-owner |
Rsyslog non deve accettare messaggi remoti. (67) |
Descrizione: un utente malintenzionato potrebbe inserire messaggi in syslog, causando un DoS o una distrazione da altre attività | Rimuovere le righe '$ModLoad imudp' e '$ModLoad imtcp' dal file '/etc/rsyslog.conf' |
Il servizio logrotate (syslog rotater) deve essere abilitato. (68) |
Descrizione: i file di log potrebbero aumentare e usare tutto lo spazio su disco | Installare il pacchetto logrotate e verificare che la voce cron logrotate sia attiva (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate) |
Il servizio rlogin deve essere disabilitato. (69) |
Descrizione: un utente malintenzionato potrebbe ottenere l'accesso, ignorando i requisiti di autenticazione rigorosi | Rimuovere il servizio inetd. |
Disabilitare l'impostazione inetd a meno che non sia necessario. (inetd) (70.1) |
Descrizione: un utente malintenzionato potrebbe sfruttare una vulnerabilità in un servizio inetd per ottenere l'accesso | Disinstallare il servizio inetd (apt-get remove inetd) |
Disabilitare xinetd a meno che non sia necessario. (xinetd) (70.2) |
Descrizione: un utente malintenzionato potrebbe sfruttare una vulnerabilità in un servizio xinetd per ottenere l'accesso | Disinstallare il servizio inetd (apt-get remove xinetd) |
Installare inetd solo se appropriato e richiesto dalla distribuzione. Proteggere in base agli attuali standard di protezione avanzata. (se necessario) (71.1) |
Descrizione: un utente malintenzionato potrebbe sfruttare una vulnerabilità in un servizio inetd per ottenere l'accesso | Disinstallare il servizio inetd (apt-get remove inetd) |
Installare xinetd solo se appropriato e richiesto dalla distribuzione. Proteggere in base agli attuali standard di protezione avanzata. (se necessario) (71.2) |
Descrizione: un utente malintenzionato potrebbe sfruttare una vulnerabilità in un servizio xinetd per ottenere l'accesso | Disinstallare il servizio inetd (apt-get remove xinetd) |
Il servizio telnet deve essere disabilitato. (72) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare sessioni telnet non crittografate | Rimuovere o impostare come commento la voce telnet nel file '/etc/inetd.conf' |
Tutti i pacchetti telnetd devono essere disinstallati. (73) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare sessioni telnet non crittografate | Disinstallare tutti i pacchetti telnetd |
Il servizio rcp/rsh deve essere disabilitato. (74) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare sessioni non crittografate | Rimuovere o impostare come commento la voce della shell nel file '/etc/inetd.conf' |
Il pacchetto rsh-server deve essere disinstallato. (77) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare sessioni rsh non crittografate | Disinstallare il pacchetto rsh-server (apt-get remove rsh-server) |
Il servizio ypbind deve essere disabilitato. (78) |
Descrizione: un utente malintenzionato potrebbe recuperare informazioni riservate dal servizio ypbind | Disinstallare il pacchetto nis (apt-get remove nis) |
Il pacchetto nis deve essere disinstallato. (79) |
Descrizione: un utente malintenzionato potrebbe recuperare informazioni riservate dal servizio NIS | Disinstallare il pacchetto nis (apt-get remove nis) |
Il servizio tftp deve essere disabilitato. (80) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare una sessione non crittografata | Rimuovere la voce tftp dal file '/etc/inetd.conf' |
Il pacchetto tftpd deve essere disinstallato. (81) |
Descrizione: un utente malintenzionato potrebbe intercettare o dirottare una sessione non crittografata | Disinstallare il pacchetto tftpd (apt-get remove tftpd) |
Il pacchetto readahead-fedora deve essere disinstallato. (82) |
Descrizione: il pacchetto non crea un'esposizione sostanziale, ma non aggiunge anche vantaggi sostanziali. | Disinstallare il pacchetto readahead-fedora (apt-get remove readahead-fedora) |
Il servizio bluetooth/hidd deve essere disabilitato. (84) |
Descrizione: un utente malintenzionato potrebbe intercettare o manipolare le comunicazioni wireless. | Disinstallare il pacchetto Bluetooth (apt-get remove bluetooth) |
Il servizio isdn deve essere disabilitato. (86) |
Descrizione: un utente malintenzionato potrebbe usare un modem per ottenere l'accesso non autorizzato | Disinstallare il pacchetto isdnutils-base (apt-get remove isdnutils-base) |
Il pacchetto isdnutils-base deve essere disinstallato. (87) |
Descrizione: un utente malintenzionato potrebbe usare un modem per ottenere l'accesso non autorizzato | Disinstallare il pacchetto isdnutils-base (apt-get remove isdnutils-base) |
Il servizio kdump deve essere disabilitato. (88) |
Descrizione: un utente malintenzionato potrebbe analizzare un arresto anomalo del sistema precedente per recuperare informazioni riservate | Disinstallare il pacchetto kdump-tools (apt-get remove kdump-tools) |
La rete Zeroconf deve essere disabilitata. (89) |
Descrizione: un utente malintenzionato potrebbe abusare di questo per ottenere informazioni sui sistemi in rete o sulle richieste DNS spoofing a causa di difetti nel modello di attendibilità | Per RedHat, CentOS e Oracle: aggiungi NOZEROCONF=yes or no a /etc/sysconfig/network. Per tutte le altre distribuzioni: rimuovere tutte le voci 'ipv4ll' nel file '/etc/network/interfaces' o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-zeroconf' |
Il servizio crond deve essere abilitato. (90) |
Descrizione: Cron è richiesto da quasi tutti i sistemi per le normali attività di manutenzione | Installare il pacchetto cron (apt-get install -y cron) e confermare che il file '/etc/init/cron.conf' contiene la riga 'start on runlevel [2345]' |
Le autorizzazioni per i file per /etc/anacrontab devono essere impostate su root:root 600. (91) |
Descrizione: un utente malintenzionato potrebbe modificare questo file per impedire attività pianificate o eseguire attività dannose | Impostare la proprietà e le autorizzazioni per /etc/anacrontab o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-anacrontab-perms' |
Verificare che le autorizzazioni per /etc/cron.d siano configurate. (93) |
Descrizione: la concessione dell'accesso in scrittura a questa directory per gli utenti senza privilegi potrebbe fornire loro i mezzi per ottenere privilegi elevati non autorizzati. La concessione dell'accesso in lettura a questa directory potrebbe fornire informazioni dettagliate sull'utente senza privilegi elevati o aggirare i controlli di controllo. | Impostare il proprietario e il gruppo di /etc/chron.d su root e autorizzazioni su 0700 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms' |
Verificare che le autorizzazioni per /etc/cron.daily siano configurate. (94) |
Descrizione: la concessione dell'accesso in scrittura a questa directory per gli utenti senza privilegi potrebbe fornire loro i mezzi per ottenere privilegi elevati non autorizzati. La concessione dell'accesso in lettura a questa directory potrebbe fornire informazioni dettagliate sull'utente senza privilegi elevati o aggirare i controlli di controllo. | Impostare il proprietario e il gruppo di /etc/chron.daily su root e autorizzazioni su 0700 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
Verificare che le autorizzazioni per /etc/cron.hourly siano configurate. (95) |
Descrizione: la concessione dell'accesso in scrittura a questa directory per gli utenti senza privilegi potrebbe fornire loro i mezzi per ottenere privilegi elevati non autorizzati. La concessione dell'accesso in lettura a questa directory potrebbe fornire informazioni dettagliate sull'utente senza privilegi elevati o aggirare i controlli di controllo. | Impostare il proprietario e il gruppo di /etc/chron.hourly su root e autorizzazioni su 0700 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
Verificare che le autorizzazioni per /etc/cron.monthly siano configurate. (96) |
Descrizione: la concessione dell'accesso in scrittura a questa directory per gli utenti senza privilegi potrebbe fornire loro i mezzi per ottenere privilegi elevati non autorizzati. La concessione dell'accesso in lettura a questa directory potrebbe fornire informazioni dettagliate sull'utente senza privilegi elevati o aggirare i controlli di controllo. | Impostare il proprietario e il gruppo di /etc/chron.monthly su root e autorizzazioni su 0700 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
Verificare che le autorizzazioni per /etc/cron.weekly siano configurate. (97) |
Descrizione: la concessione dell'accesso in scrittura a questa directory per gli utenti senza privilegi potrebbe fornire loro i mezzi per ottenere privilegi elevati non autorizzati. La concessione dell'accesso in lettura a questa directory potrebbe fornire informazioni dettagliate sull'utente senza privilegi elevati o aggirare i controlli di controllo. | Impostare il proprietario e il gruppo di /etc/chron.weekly su root e autorizzazioni su 0700 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-file-perms |
Assicurarsi che at/cron sia limitato agli utenti autorizzati (98) |
Descrizione: in molti sistemi, solo l'amministratore di sistema è autorizzato a pianificare i cron processi. L'uso del cron.allow file per controllare chi può eseguire cron i processi applica questo criterio. È più facile gestire un elenco di elementi consentiti rispetto a un elenco di rifiuto. In un elenco di rifiuto, è possibile aggiungere un ID utente al sistema e dimenticare di aggiungerlo ai file di rifiuto. |
Sostituire /etc/cron.deny e /etc/at.deny con i rispettivi allow file o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r fix-cron-job-allow' |
Ssh deve essere configurato e gestito per soddisfare le procedure consigliate. - '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Descrizione: un utente malintenzionato potrebbe usare difetti in una versione precedente del protocollo SSH per ottenere l'accesso | Eseguire il comando '/opt/microsoft/omsagent/plugin/omsremediate -r configure-ssh-protocol'. Verrà impostato il protocollo 2 nel file '/etc/ssh/sshd_config' |
Ssh deve essere configurato e gestito per soddisfare le procedure consigliate. - '/etc/ssh/sshd_config IgnoreRhosts = yes' (106.3) |
Descrizione: un utente malintenzionato potrebbe usare i difetti nel protocollo Rhosts per ottenere l'accesso | Eseguire il comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r enable-ssh-ignore-rhosts'. Verrà aggiunta la riga 'IgnoreRhosts yes' al file '/etc/ssh/sshd_config' |
Verificare che SSH LogLevel sia impostato su INFO (106.5) |
Descrizione: SSH offre diversi livelli di registrazione con quantità variabili di dettaglio. DEBUG non è consigliato in modo specifico diverso da quello strettamente per il debug delle comunicazioni SSH perché fornisce così tanti dati che è difficile identificare importanti informazioni di sicurezza. INFO level è il livello di base che registra solo l'attività di accesso degli utenti SSH. In molte situazioni, ad esempio risposta agli eventi imprevisti, è importante determinare quando un determinato utente era attivo in un sistema. Il record di disconnessione può eliminare gli utenti disconnessi, che consentono di restringere il campo. |
Modificare il /etc/ssh/sshd_config file per impostare il parametro come segue: LogLevel INFO |
Verificare che SSH MaxAuthTries sia impostato su 6 o meno (106.7) |
Descrizione: l'impostazione del MaxAuthTries parametro su un numero basso riduce al minimo il rischio di attacchi di forza bruta riusciti al server SSH. Mentre l'impostazione consigliata è 4, impostare il numero in base ai criteri del sito. |
Assicurarsi che SSH MaxAuthTries sia impostato su 6 o meno Modificare il /etc/ssh/sshd_config file per impostare il parametro come indicato di seguito: MaxAuthTries 6 |
Verificare che l'accesso a SSH sia limitato (106.11) |
Descrizione: la limitazione degli utenti che possono accedere in remoto al sistema tramite SSH consentirà di garantire che solo gli utenti autorizzati accervino al sistema. | Verificare che l'accesso SSH sia limitato Modificare il /etc/ssh/sshd_config file per impostare uno o più parametri come indicato di seguito: AllowUsers AllowGroups DenyUsers DenyGroups |
L'emulazione del comando rsh tramite il server SSH deve essere disabilitata. - '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
Descrizione: un utente malintenzionato potrebbe usare i difetti nel protocollo RHosts per ottenere l'accesso | Eseguire il comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-rhost-rsa-auth'. Verrà aggiunta la riga 'RhostsRSAAuthentication no' al file '/etc/ssh/sshd_config' |
L'autenticazione basata su host SSH deve essere disabilitata. - '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Descrizione: un utente malintenzionato potrebbe usare l'autenticazione basata su host per ottenere l'accesso da un host compromesso | Eseguire il comando '/opt/microsoft/omsagent/plugin/omsremediate -r disable-ssh-host-based-auth'. Verrà aggiunta la riga 'HostbasedAuthentication no' al file '/etc/ssh/sshd_config' |
L'accesso radice tramite SSH deve essere disabilitato. - '/etc/ssh/sshd_config PermitRootLogin = no' (109) |
Descrizione: un utente malintenzionato potrebbe forzare brutamente la password radice o nascondere la cronologia dei comandi accedendo direttamente come radice | Eseguire il comando '/usr/local/bin/azsecd remediate -r disable-ssh-root-login'. Verrà aggiunta la riga 'PermitRootLogin no' al file '/etc/ssh/sshd_config' |
Le connessioni remote dagli account con password vuote devono essere disabilitate. - '/etc/ssh/sshd_config PermitEmptyPasswords = no' (110) |
Descrizione: un utente malintenzionato potrebbe ottenere l'accesso tramite l'individuazione delle password | Eseguire il comando '/usr/local/bin/azsecd remediate (/opt/microsoft/omsagent/plugin/omsremediate) -r disable-ssh-empty-passwords'. Verrà aggiunta la riga 'PermitEmptyPasswords no' al file '/etc/ssh/sshd_config' |
Verificare che sia configurato l'intervallo di timeout di inattività SSH. (110.1) |
Descrizione: l'assenza di un valore di timeout associato a una connessione potrebbe consentire a un utente non autorizzato l'accesso alla sessione SSH di un altro utente. L'impostazione di un valore di timeout riduce almeno il rischio di questo evento. Mentre l'impostazione consigliata è 300 secondi (5 minuti), impostare questo valore di timeout in base ai criteri del sito. L'impostazione consigliata per ClientAliveCountMax è 0. In questo caso, la sessione client verrà terminata dopo 5 minuti di inattività e non verranno inviati messaggi keepalive. |
Modificare il file /etc/ssh/sshd_config per impostare i parametri in base ai criteri |
Verificare che LoginGraceTime SSH sia impostato su un minuto o meno. (110.2) |
Descrizione: l'impostazione del LoginGraceTime parametro su un numero basso riduce al minimo il rischio di attacchi di forza bruta riusciti al server SSH. Limiterà anche il numero di connessioni simultanee non autenticate, mentre l'impostazione consigliata è di 60 secondi (1 minuto), impostare il numero in base ai criteri del sito. |
Modificare il file /etc/ssh/sshd_config per impostare i parametri in base al criterio o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r configure-login-grace-time' |
Verificare che vengano usati solo gli algoritmi MAC approvati (110.3) |
Descrizione: gli algoritmi MAC MD5 e 96 bit sono considerati deboli e hanno dimostrato di aumentare l'exploitability negli attacchi di downgrade SSH. Gli algoritmi deboli continuano ad avere molta attenzione come punto debole che può essere sfruttato con potenza di calcolo espansa. Un utente malintenzionato che interrompe l'algoritmo potrebbe sfruttare una posizione MiTM per decrittografare il tunnel SSH e acquisire credenziali e informazioni | Modificare il file /etc/sshd_config e aggiungere/modificare la riga MACs in modo da contenere un elenco delimitato da virgole dei MAC approvati oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r configure-macs' |
Assicurarsi che il banner di avviso di accesso remoto sia configurato correttamente. (111) |
Descrizione: i messaggi di avviso informano gli utenti che tentano di accedere al sistema dello stato legale relativo al sistema e devono includere il nome dell'organizzazione proprietaria del sistema e dei criteri di monitoraggio applicati. La visualizzazione delle informazioni a livello di sistema operativo e patch nei banner di accesso ha anche l'effetto collaterale di fornire informazioni dettagliate sul sistema agli utenti malintenzionati che tentano di raggiungere exploit specifici di un sistema. Gli utenti autorizzati possono ottenere facilmente queste informazioni eseguendo il comando dopo aver eseguito l'accesso uname -a . |
Rimuovere tutte le istanze di \m \r \s e \v dal file /etc/issue.net |
Assicurarsi che il banner di avviso di accesso locale sia configurato correttamente. (111.1) |
Descrizione: i messaggi di avviso informano gli utenti che tentano di accedere al sistema dello stato legale relativo al sistema e devono includere il nome dell'organizzazione proprietaria del sistema e dei criteri di monitoraggio applicati. La visualizzazione delle informazioni a livello di sistema operativo e patch nei banner di accesso ha anche l'effetto collaterale di fornire informazioni dettagliate sul sistema agli utenti malintenzionati che tentano di raggiungere exploit specifici di un sistema. Gli utenti autorizzati possono ottenere facilmente queste informazioni eseguendo il comando dopo aver eseguito l'accesso uname -a . |
Rimuovere tutte le istanze di \m \r \s e \v dal file /etc/issue |
Il banner di avviso SSH deve essere abilitato. - '/etc/ssh/sshd_config Banner = /etc/issue.net' (111.2) |
Descrizione: gli utenti non verranno avvisati che le azioni sul sistema vengono monitorate | Eseguire il comando '/usr/local/bin/azsecd remediate -r configure-ssh-banner'. Verrà aggiunta la riga "Banner /etc/azsec/banner.txt" al file '/etc/ssh/sshd_config' |
Gli utenti non possono impostare le opzioni di ambiente per SSH. (112) |
Descrizione: un utente malintenzionato potrebbe essere in grado di ignorare alcune restrizioni di accesso tramite SSH | Rimuovere la riga 'PermitUserEnvironment yes' dal file '/etc/ssh/sshd_config' |
Le crittografie appropriate devono essere usate per SSH. (Crittografie aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Descrizione: un utente malintenzionato potrebbe compromettere una connessione SSH protetta in modo debole | Eseguire il comando '/usr/local/bin/azsecd remediate -r configure-ssh-ciphers'. Verrà aggiunta la riga 'Crittografie aes128-ctr,aes192-ctr,aes256-ctr' al file '/etc/ssh/sshd_config' |
Il servizio avahi-daemon deve essere disabilitato. (114) |
Descrizione: un utente malintenzionato potrebbe usare una vulnerabilità nel daemon avahi per ottenere l'accesso | Disabilitare il servizio avahi-daemon o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-avahi-daemon' |
Il servizio cups deve essere disabilitato. (115) |
Descrizione: un utente malintenzionato potrebbe usare un difetto nel servizio cups per elevare i privilegi | Disabilitare il servizio Cups o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-cups' |
Il servizio isc-dhcpd deve essere disabilitato. (116) |
Descrizione: un utente malintenzionato potrebbe usare dhcpd per fornire informazioni difettose ai client, interferendo con il normale funzionamento. | Rimuovere il pacchetto isc-dhcp-server (apt-get remove isc-dhcp-server) |
Il pacchetto isc-dhcp-server deve essere disinstallato. (117) |
Descrizione: un utente malintenzionato potrebbe usare dhcpd per fornire informazioni difettose ai client, interferendo con il normale funzionamento. | Rimuovere il pacchetto isc-dhcp-server (apt-get remove isc-dhcp-server) |
Il pacchetto sendmail deve essere disinstallato. (120) |
Descrizione: un utente malintenzionato potrebbe usare questo sistema per inviare messaggi di posta elettronica con contenuto dannoso ad altri utenti | Disinstallare il pacchetto sendmail (apt-get remove sendmail) |
Il pacchetto di prefisso deve essere disinstallato. (121) |
Descrizione: un utente malintenzionato potrebbe usare questo sistema per inviare messaggi di posta elettronica con contenuto dannoso ad altri utenti | Disinstallare il pacchetto di postfix (apt-get remove postfix) o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r remove-postfix' |
L'ascolto della rete suffisso deve essere disabilitato in base alle esigenze. (122) |
Descrizione: un utente malintenzionato potrebbe usare questo sistema per inviare messaggi di posta elettronica con contenuto dannoso ad altri utenti | Aggiungere la riga 'inet_interfaces localhost' al file '/etc/postfix/main.cf' |
Il servizio ldap deve essere disabilitato. (124) |
Descrizione: un utente malintenzionato potrebbe modificare il servizio LDAP in questo host per distribuire dati falsi ai client LDAP | Disinstallare il pacchetto slapd (apt-get remove slapd) |
Il servizio rpcgssd deve essere disabilitato. (126) |
Descrizione: un utente malintenzionato potrebbe usare un difetto in rpcgssd/nfs per ottenere l'accesso | Disabilitare il servizio rpcgssd o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcgssd' |
Il servizio rpcidmapd deve essere disabilitato. (127) |
Descrizione: un utente malintenzionato potrebbe usare un difetto in idmapd/nfs per ottenere l'accesso | Disabilitare il servizio rpcidmapd o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcidmapd' |
Il servizio portmap deve essere disabilitato. (129.1) |
Descrizione: un utente malintenzionato potrebbe usare un difetto nella mappa delle porte per ottenere l'accesso | Disabilitare il servizio rpcbind o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rpcbind' |
Il servizio NFS (Network File System) deve essere disabilitato. (129.2) |
Descrizione: un utente malintenzionato potrebbe usare nfs per montare condivisioni ed eseguire/copiare file. | Disabilitare il servizio nfs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-nfs' |
Il servizio rpcsvcgssd deve essere disabilitato. (130) |
Descrizione: un utente malintenzionato potrebbe usare un difetto in rpcsvcgssd per ottenere l'accesso | Rimuovere la riga 'NEED_SVCGSSD = yes' dal file '/etc/inetd.conf' |
Il servizio denominato deve essere disabilitato. (131) |
Descrizione: un utente malintenzionato potrebbe usare il servizio DNS per distribuire dati falsi ai client | Disinstallare il pacchetto bind9 (apt-get remove bind9) |
Il pacchetto di associazione deve essere disinstallato. (132) |
Descrizione: un utente malintenzionato potrebbe usare il servizio DNS per distribuire dati falsi ai client | Disinstallare il pacchetto bind9 (apt-get remove bind9) |
Il servizio dovecot deve essere disabilitato. (137) |
Descrizione: il sistema può essere usato come server IMAP/POP3 | Disinstallare il pacchetto dovecot-core (apt-get remove dovecot-core) |
Il pacchetto dovecot deve essere disinstallato. (138) |
Descrizione: il sistema può essere usato come server IMAP/POP3 | Disinstallare il pacchetto dovecot-core (apt-get remove dovecot-core) |
Assicurarsi che non esistano voci legacy + in /etc/passwd(156.1) |
Descrizione: un utente malintenzionato potrebbe ottenere l'accesso usando il nome utente '+' senza password | Rimuovere tutte le voci in /etc/passwd che iniziano con '+:' |
Assicurarsi che non esistano voci legacy + in /etc/shadow(156.2) |
Descrizione: un utente malintenzionato potrebbe ottenere l'accesso usando il nome utente '+' senza password | Rimuovere tutte le voci in /etc/shadow che iniziano con '+:' |
Verificare che non esistano voci legacy + in /etc/group(156.3) |
Descrizione: un utente malintenzionato potrebbe ottenere l'accesso usando il nome utente '+' senza password | Rimuovere tutte le voci in /etc/group che iniziano con '+:' |
Verificare che la scadenza della password sia di 365 giorni o meno. (157.1) |
Descrizione: riducendo la validità massima di una password si riduce anche la finestra di opportunità di un utente malintenzionato di sfruttare le credenziali compromesse o compromettere correttamente le credenziali tramite un attacco di forza bruta online. | Impostare il PASS_MAX_DAYS parametro su non più di 365 in /etc/login.defs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-max-days' |
Verificare che i giorni di avviso di scadenza della password siano 7 o più. (157.2) |
Descrizione: fornendo un avviso anticipato che una password sta per scadere offre agli utenti il tempo necessario per considerare una password sicura. Gli utenti rilevati non sanno possono scegliere una password semplice o annotarla dove potrebbe essere individuata. | Impostare il PASS_WARN_AGE parametro su 7 in /etc/login.defs o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-warn-age' |
Assicurarsi che il riutilizzo delle password sia limitato. (157.5) |
Descrizione: forzare gli utenti a non riutilizzare le ultime cinque password rende meno probabile che un utente malintenzionato possa indovinare la password. | Assicurarsi che l'opzione 'remember' sia impostata su almeno 5 in /etc/pam.d/common-password o /etc/pam.d/password_auth e /etc/pam.d/system_auth o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r configure-password-policy-history' |
Verificare che l'algoritmo hash delle password sia SHA-512 (157.11) |
Descrizione: l'algoritmo SHA-512 fornisce hashing molto più forte rispetto a MD5, fornendo così una protezione aggiuntiva al sistema aumentando il livello di sforzo per consentire a un utente malintenzionato di determinare correttamente le password. Nota: queste modifiche si applicano solo agli account configurati nel sistema locale. | Impostare l'algoritmo di hash delle password su sha512. Molte distribuzioni forniscono strumenti per l'aggiornamento della configurazione PAM, consultare la documentazione per informazioni dettagliate. Se non vengono forniti strumenti, modificare il file di configurazione appropriato /etc/pam.d/ e aggiungere o modificare le pam_unix.so righe in modo da includere l'opzione sha512: password sufficient pam_unix.so sha512 |
Assicurarsi che i giorni minimi tra le modifiche della password siano 7 o più. (157.12) |
Descrizione: limitando la frequenza delle modifiche delle password, un amministratore può impedire agli utenti di modificare ripetutamente la password nel tentativo di aggirare i controlli di riutilizzo delle password. | Impostare il PASS_MIN_DAYS parametro su 7 in /etc/login.defs : PASS_MIN_DAYS 7 . Modificare i parametri utente per tutti gli utenti con una password impostata in modo che corrisponda a: chage --mindays 7 oppure eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-pass-min-days' |
Verificare che la data dell'ultima modifica della password per tutti gli utenti sia nel passato (157.14) |
Descrizione: se gli utenti hanno registrato la data di modifica della password sono in futuro, è possibile ignorare qualsiasi scadenza impostata della password. | Assicurarsi che il blocco password inattivo sia di 30 giorni o meno Eseguire il comando seguente per impostare il periodo di inattività della password predefinito su 30 giorni: # useradd -D -f 30 Modificare i parametri utente per tutti gli utenti con una password impostata in modo che corrisponda: # chage --inactive 30 |
Verificare che gli account di sistema non siano account di accesso (157.15) |
Descrizione: è importante assicurarsi che gli account che non vengono usati dai normali utenti non vengano usati per fornire una shell interattiva. Per impostazione predefinita, Ubuntu imposta il campo password per questi account su una stringa non valida, ma è anche consigliabile impostare il campo shell nel file password su /usr/sbin/nologin . In questo modo si impedisce l'uso dell'account per eseguire qualsiasi comando. |
Impostare la shell per tutti gli account restituiti dallo script di controllo su /sbin/nologin |
Verificare che il gruppo predefinito per l'account radice sia GID 0 (157.16) |
Descrizione: l'uso di GID 0 per l'account root consente di evitare che root i file di proprietà diventino accidentalmente accessibili agli utenti senza privilegi. |
Eseguire il comando seguente per impostare il root gruppo predefinito dell'utente su GID 0 : # usermod -g 0 root |
Verificare che root sia l'unico account UID 0 (157.18) |
Descrizione: questo accesso deve essere limitato solo all'account predefinito root e solo dalla console di sistema. L'accesso amministrativo deve essere tramite un account senza privilegi usando un meccanismo approvato. |
Rimuovere qualsiasi utente diverso da root con UID 0 o assegnargli un nuovo UID, se appropriato. |
Rimuovere gli account non necessari (159) |
Descrizione: per la conformità | Rimuovere gli account non necessari |
Verificare che il servizio controllato sia abilitato (162) |
Descrizione: l'acquisizione degli eventi di sistema fornisce agli amministratori di sistema informazioni per consentire loro di determinare se si verifica un accesso non autorizzato al proprio sistema. | Installare il pacchetto di controllo (systemctl enable auditd) |
Eseguire il servizio AuditD (163) |
Descrizione: l'acquisizione degli eventi di sistema fornisce agli amministratori di sistema informazioni per consentire loro di determinare se si verifica un accesso non autorizzato al proprio sistema. | Eseguire il servizio AuditD (systemctl start auditd) |
Verificare che il server SNMP non sia abilitato (179) |
Descrizione: il server SNMP può comunicare tramite SNMP v1, che trasmette i dati in chiaro e non richiede l'autenticazione per eseguire comandi. A meno che non sia assolutamente necessario, è consigliabile non usare il servizio SNMP. Se è necessario SNMP, il server deve essere configurato per impedire SNMP v1. | Eseguire uno dei comandi seguenti per disabilitare snmpd : # chkconfig snmpd off # systemctl disable snmpd # update-rc.d snmpd disable |
Verificare che il servizio rsync non sia abilitato (181) |
Descrizione: il rsyncd servizio presenta un rischio di sicurezza quando usa protocolli non crittografati per la comunicazione. |
Eseguire uno dei comandi seguenti per disabilitare rsyncd : chkconfig rsyncd off , systemctl disable rsyncd update-rc.d rsyncd disable o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r disable-rsync' |
Verificare che il server NIS non sia abilitato (182) |
Descrizione: il servizio NIS è un sistema intrinsecamente non sicuro che è stato vulnerabile agli attacchi DOS, agli overflow del buffer e presenta un'autenticazione scarsa per l'esecuzione di query sulle mappe NIS. NIS viene in genere sostituito da protocolli come LDAP (Lightweight Directory Access Protocol). È consigliabile disabilitare il servizio e usare servizi più sicuri | Eseguire uno dei comandi seguenti per disabilitare ypserv : # chkconfig ypserv off # systemctl disable ypserv # update-rc.d ypserv disable |
Verificare che il client rsh non sia installato (183) |
Descrizione: questi client legacy contengono numerose esposizioni di sicurezza e sono stati sostituiti con il pacchetto SSH più sicuro. Anche se il server viene rimosso, è consigliabile assicurarsi che i client vengano rimossi anche per impedire agli utenti di tentare inavvertitamente di usare questi comandi e quindi di esporre le credenziali. Si noti che la rimozione del rsh pacchetto rimuove i client per rsh e rlogin rcp . |
Disinstallare rsh usando la gestione pacchetti appropriata o l'installazione manuale: yum remove rsh apt-get remove rsh zypper remove rsh |
Disabilitare SMB V1 con Samba (185) |
Descrizione: SMB v1 presenta vulnerabilità note e gravi e non crittografa i dati in transito. Se deve essere usato per motivi aziendali, è consigliabile adottare ulteriori passaggi per attenuare i rischi correlati a questo protocollo. | Se Samba non è in esecuzione, rimuovere il pacchetto; in caso contrario, nella sezione [globale] di /etc/samba/smb.conf: min protocol = SMB2 o eseguire '/opt/microsoft/omsagent/plugin/omsremediate -r set-smb-min-version |
Nota
La disponibilità di impostazioni di configurazione guest Criteri di Azure specifiche può variare in Azure per enti pubblici e in altri cloud nazionali.
Passaggi successivi
Articoli aggiuntivi sulla configurazione di Criteri di Azure e guest:
- Criteri di Azure configurazione guest.
- Panoramica della Conformità con le normative.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.