Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
В этой статье описаны параметры конфигурации для гостевых систем Linux, применимые в следующих реализациях:
- Компьютеры Linux должны соответствовать требованиям для базовой базы безопасности вычислений Azure Определение гостевой конфигурации политики Azure
- Уязвимости в конфигурации безопасности на компьютерах должны быть исправлены в Microsoft Defender для облака
Для проверок исправления и предложений мы приняли подход к рекомендациям, однако всегда убедитесь, что команды будут тестироваться и не применяться в любой рабочей среде. Для автоматических исправлений мы выпустили в ограниченной общедоступной предварительной версии нашу новую возможность автоматического исправления, чтобы проверить эту политику с помощью действия DeployIfNotExist.
Новый выпуск политики для аудита и исправления работает с помощью azure-osconfig нашего ядра с открытым исходным кодом. Дополнительные сведения о объявлении о переплатформении можно узнать.
Дополнительные сведения см. в разделах Конфигурация гостя политики Azure и Обзор производительности системы безопасности Azure (версия 2).
Сопоставления CIS основаны на версии distro Independent Benchmark версии 2.0.0.
Общие средства управления безопасностью
| Имя. (CCEID) |
Новое имя | Сведения | Проверка исправления |
|---|---|---|---|
| Убедитесь, что для раздела /home установлен параметр nodev. (1.1.4) |
Убедитесь, что параметр nodev установлен в разделе /home (CIS: L1 - Server - 1.1.14) | Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /home. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /home. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /tmp установлен параметр nodev. (1.1.5) |
Убедитесь, что параметр nodev установлен в разделе /tmp (CIS: L1 - Server - 1.1.3) | Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /tmp. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр nodev. (1.1.6) |
Убедитесь, что параметр nodev установлен в разделе /var/tmp (CIS: L1 - Server - 1.1.8) | Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) к разделу /var/tmp. | Измените файл /etc/fstab, добавив nodev в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /tmp установлен параметр nosuid. (1.1.7) |
Убедитесь, что параметр nosuid установлен в секции /tmp (CIS: L1 - Server - 1.1.4) | Описание. Так как файловая система /tmp предназначена только для временного хранилища файлов, задайте этот параметр, чтобы пользователи не могли создавать файлы setuid в /var/tmp. | Измените файл /etc/fstab, добавив nosuid в четвертое поле (параметры подключения) строки для раздела /tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр nosuid. (1.1.8) |
Убедитесь, что параметр nosuid установлен в разделе /var/tmp (CIS: L1 - Server - 1.1.9) | Описание. Так как файловая система /var/tmp предназначена только для временного хранилища файлов, задайте этот параметр, чтобы пользователи не могли создавать файлы setuid в /var/tmp. | Измените файл /etc/fstab, добавив параметр nosuid в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /var/tmp установлен параметр noexec. (1.1.9) |
Убедитесь, что параметр noexec установлен в разделе /var/tmp (CIS: L1 - Server - 1.1.10) | Описание. Так как /var/tmp файловая система предназначена только для временного хранилища файлов, установите этот параметр, чтобы убедиться, что пользователи не могут запускать исполняемые двоичные файлы из /var/tmp . |
Измените файл /etc/fstab, добавив параметр noexec в четвертое поле (параметры подключения) строки для раздела /var/tmp. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что для раздела /dev/shm установлен параметр noexec. (1.1.16) |
Убедитесь, что параметр noexec установлен в разделе /dev/shm (CIS: L1 - Server - 1.1.17) | Описание: при установке этого параметра для файловой системы пользователям запрещается запускать программы из общей памяти. Этот элемент управления позволяет пользователям вводить потенциально вредоносное программное обеспечение в системе. | Измените файл /etc/fstab, добавив параметр noexec в четвертое поле (параметры подключения) строки для раздела /dev/shm. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Отключение автоподключения (1.1.21) |
Убедитесь, что автоматическое подключение отключено (CIS: L1 — Сервер — 1.1.22) | Описание: при использовании автоподключения любой пользователь с физическим доступом к компьютеру может подключить к нему USB-носитель или диск и сделать его содержимое доступным в системе, даже не имея полномочий на подключение устройств. | Отключите службу autofs: systemctl disable autofs (systemd) или chkconfig autofs off (sysv) |
| Убедитесь, что возможность подключения USB-носителей отключена. (1.1.21.1) |
Убедитесь, что подключение USB-устройств хранилища отключено (CIS: L1 - Server - 1.1.23) | Описание: удаление поддержки USB-носителей сокращает направления атак на локальный сервер. | Добавьте install usb-storage /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r usb-storage |
| Убедитесь, что дамп ядра ограничен. (1.5.1) |
Убедитесь, что основные дампы ограничены (CIS: L1 — Сервер — 1.5.1) | Описание: установка жесткого ограничения на дампы ядра не позволяет пользователям переопределять мягко заданную переменную. Если вам нужны дампы ядра, попробуйте применить лимиты для групп пользователей (см. limits.conf(5)). Кроме того, можно присвоить переменной fs.suid_dumpable значение 0, чтобы предотвратить создание дампов ядра программами setuid. |
* hard core 0 Добавление /etc/security/limits.conf и установка fs.suid_dumpable = 0 в /etc/sysctl.conf, а затем запускsysctl -p |
| Убедитесь, что предкомпоновка отключена. (1.5.4) |
Убедитесь, что предварительная связь отключена (CIS: L1 — Сервер — 1.5.4) | Описание: функция предкомпоновки может мешать работе AIDE, так как она изменяет двоичные файлы. Кроме того, предкомпоновка может повысить уязвимость системы, если пользователь-злоумышленник сумеет изменить общую библиотеку, например libc. | Удаление предварительной ссылки: yum remove prelink (RHEL/CentOS) или apt remove prelink (Debian/Ubuntu) |
| Убедитесь, что для /etc/motd настроены разрешения. (1.7.1.4) |
Убедитесь, что разрешения на /etc/motd настроены (CIS: L1 - Server - 1.7.1.4) | Описание. Если /etc/motd файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте права владения и разрешения: chown root:root /etc/motd && chmod 644 /etc/motd |
| Убедитесь, что для /etc/issue настроены разрешения. (1.7.1.5) |
Убедитесь, что разрешения на /etc/issue настроены (CIS: L1 - Server - 1.7.1.5) | Описание. Если /etc/issue файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте права владения и разрешения: chown root:root /etc/issue && chmod 644 /etc/issue |
| Убедитесь, что для /etc/issue.net настроены разрешения. (1.7.1.6) |
Убедитесь, что разрешения на /etc/issue.net настроены (CIS: L1 - Server - 1.7.1.6) | Описание. Если /etc/issue.net файл не имеет правильного владения, он может быть изменен неавторизованными пользователями с неправильной или вводящей в заблуждение информацией. |
Задайте права владения и разрешения: chown root:root /etc/issue.net && chmod 644 /etc/issue.net |
| Параметр nodev нужно включить для всех съемных носителей. (2.1) |
Убедитесь, что параметр nodev включен для всех съемных носителей (CIS: L1 - Server - 1.1.18) | Описание: злоумышленник может подключить специальное устройство (например, блочное или символьное устройство) через съемный носитель. | Добавьте параметр nodev в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Параметр noexec нужно включить для всех съемных носителей. (2.2) |
Убедитесь, что параметр noexec включен для всех съемных носителей (CIS: L1 - Server - 1.1.20) | Описание: злоумышленник может загрузить исполняемый файл через съемный носитель. | Добавьте параметр noexec в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Для всех съемных носителей нужно включить параметр nosuid. (2.3) |
Убедитесь, что параметр nosuid включен для всех съемных носителей (CIS: L1 - Server - 1.1.19) | Описание: злоумышленник может загружать через съемный носитель файлы, которые выполняются в контексте безопасности с повышенными правами. | Добавьте параметр nosuid в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что не установлен клиент talk. (2.3.3) |
Убедитесь, что клиент talk не установлен (CIS: L1 — Сервер — 2.3.3) | Описание: это программное обеспечение представляет угрозу безопасности, так как использует незашифрованные протоколы для обмена данными. | Удаление беседы: yum remove talk (RHEL/CentOS) или apt remove talk (Debian/Ubuntu) |
| Убедитесь, что для /etc/hosts.allow настроены разрешения. (3.4.4) |
Убедитесь, что разрешения на /etc/hosts.allow настроены (CIS: L1 - Server - 3.3.2 + 3.3.4) | Описание. Важно убедиться, что /etc/hosts.allow файл защищен от несанкционированного доступа на запись. Хотя он защищен по умолчанию, разрешения файлов могут быть изменены случайно или с помощью вредоносных действий. |
Задайте права владения и разрешения: chown root:root /etc/hosts.allow && chmod 644 /etc/hosts.allow |
| Убедитесь, что для /etc/hosts.deny настроены разрешения. (3.4.5) |
Убедитесь, что разрешения на /etc/hosts.deny настроены (CIS: L1 - Server - 3.3.3 + 3.3.5) | Описание. Важно убедиться, что /etc/hosts.deny файл защищен от несанкционированного доступа на запись. Хотя он защищен по умолчанию, разрешения файлов могут быть изменены случайно или с помощью вредоносных действий. |
Задайте права владения и разрешения: chown root:root /etc/hosts.deny && chmod 644 /etc/hosts.deny |
| Примените политику брандмауэра с запретом по умолчанию. (3.6.2) |
Убедитесь, что политика брандмауэра по умолчанию задана (CIS: L1 — Сервер — 3.5.2.1) | Описание: при использовании политики принятия по умолчанию брандмауэр будет принимать любой пакет, который не запрещен явно. Проще поддерживать безопасный брандмауэр с политикой DROP по умолчанию, чем с политикой разрешения по умолчанию. | В политике по умолчанию для входящего, исходящего и маршрутизируемого трафика настройте действие deny или reject в зависимости от используемого программного обеспечения брандмауэра. |
| Для всех подключений NFS нужно включить параметр nodev/nosuid. (5) |
Убедитесь, что параметр nodev/nosuid включен для всех подключений NFS | Описание: злоумышленник может загружать через удаленную файловую систему файлы, которые выполняются в контексте безопасности с повышенными правами, или специальные устройства. | Добавьте параметры nosuid и nodev в четвертое поле (параметры подключения) в файле /etc/fstab. Дополнительные сведения см. на страницах руководства по команде fstab(5). |
| Убедитесь, что в настроены разрешения для /etc/ssh/sshd_config. (5.2.1) |
Убедитесь, что разрешения на /etc/ssh/sshd_config настроены (CIS: L1 - Server - 5.2.1) | Описание: файл /etc/ssh/sshd_config должен быть защищен от несанкционированного изменения непривилегированными пользователями. |
Задайте права владения и разрешения: chown root:root /etc/ssh/sshd_config && chmod 600 /etc/ssh/sshd_config |
| Убедитесь, что настроены требования к созданию пароля. (5.3.1) |
Убедитесь, что требования к созданию паролей настроены (CIS: L1 — сервер — 5.3.1) | Описание: надежные пароли защищают системы от атак методом подбора. | Настройка сложности пароля PAM в или/etc/pam.d/common-password:/etc/pam.d/system-authpassword requisite pam_pwquality.so minlen=14 minclass=4 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 |
| Убедитесь, что настроена блокировка для неудачных попыток ввода пароля. (5.3.2) |
Убедитесь, что блокировка для неудачных попыток паролей настроена (CIS: L1 — Сервер — 5.3.2) | Описание: блокировка идентификаторов пользователей после n неудачных попыток входа в систему снижает риск атак методом подбора пароля. |
Для Ubuntu и Debian добавьте необходимые модули pam_tally и pam_deny. Для остальных дистрибутивов воспользуйтесь соответствующей документацией. |
| Отключите установку и использование файловых систем, которые не требуются (cramfs) (6.1) |
Убедитесь, что файловая система cramfs отключена (CIS: L1 — Сервер — 1.1.1.1.1) | Описание: злоумышленник может использовать уязвимости cramfs, чтобы получить повышенные привилегии. | Добавьте install cramfs /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r cramfs |
| Отключите установку и использование файловых систем, которые не требуются (freevxfs) (6.2) |
Убедитесь, что файловая система freevxfs отключена (CIS: L1 - Server - 1.1.1.2) | Описание: злоумышленник может использовать уязвимости freevxfs, чтобы получить повышенные привилегии. | Добавьте install freevxfs /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r freevxfs |
| Убедитесь, что у всех пользователей есть домашние каталоги. (6.2.7) |
Убедитесь, что все каталоги пользователей существуют (CIS: L1 — Сервер — 6.2.7) | Описание. Если домашний каталог пользователя не существует или не назначен, пользователь будет помещен в корневой каталог тома. Кроме того, пользователь не сможет записывать файлы или задавать переменные среды. | Если домашние каталоги пользователей не существуют, создайте их и убедитесь, что соответствующий пользователь владеет каталогом. Пользователей, для которых не назначен домашний каталог, необходимо удалить. Или же нужно назначить для них домашний каталог. |
| Убедитесь, что все пользователи владеют своими домашними каталогами. (6.2.9) |
Убедитесь, что пользователи имеют собственные домашние каталоги (CIS: L1 - Server - 6.2.9) | Описание: так как пользователь несет ответственность за файлы, сохраненные в его домашнем каталоге, такому пользователю требуются права владельца на этот каталог. | Измените владение любыми домашними каталогами, не принадлежащими определенному пользователю, на правильного пользователя. |
| Убедитесь, что файлы точек пользователей не являются групповыми или мировыми записываемыми. (6.2.10) |
Убедитесь, что файлы точки пользователей не являются групповыми или мировыми записываемыми (CIS: L1 - Server - 6.2.10) | Описание: если для пользовательских файлов конфигурации установлены права на запись для группы или для всех пользователей, злоумышленник сможет украсть или изменить данные других пользователей или получить полномочия другого пользователя в системе. | Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому мы рекомендуем установить политику мониторинга, чтобы сообщить о разрешениях пользователя dot file и определить действия по исправлению политики сайта. |
| Убедитесь, что у пользователей нет файлов FORWARD. (6.2.11) |
Убедитесь, что у пользователей нет файлов .forward (CIS: L1 — Сервер — 6.2.11) | Описание: использование файла .forward представляет риск безопасности, так как конфиденциальные данные могут быть случайно переданы за пределы организации. Кроме того, файл .forward создает риск использования для запуска команд, выполняющих нежелательные действия. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .forward и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что у пользователей нет файлов NETRC. (6.2.12) |
Убедитесь, что у пользователей нет файлов .netrc (CIS: L1 — Сервер — 6.2.12) | Описание: файл .netrc представляет существенный риск безопасности, так как пароли в нем хранятся в незашифрованном виде. Даже если FTP отключен, учетные записи пользователей, возможно, перенесли .netrc файлы из других систем, которые могут представлять угрозу для этих систем. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .netrc и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что у пользователей нет файлов RHOSTS. (6.2.14) |
Убедитесь, что у пользователей нет файлов Rhosts (CIS: L1 — Сервер — 6.2.14) | Описание: это действие имеет смысл, только если в файле .rhosts разрешена поддержка /etc/pam.conf. Хотя файлы .rhosts недействительны при отключенной в /etc/pam.conf поддержке, они могли быть перенесены из других систем и могут содержать полезную для злоумышленников информацию об этих системах. |
Внесение глобальных изменений в файлы пользователей без извещения об этом самих пользователей может привести к непредвиденным простоям и недовольству пользователей. Поэтому рекомендуется установить политику мониторинга для отчета о файлах пользователей .rhosts и определить действия, которые необходимо выполнить в соответствии с политикой сайта. |
| Убедитесь, что все включенные в файл /etc/passwd группы существуют в файле /etc/group. (6.2.15) |
Убедитесь, что все группы в /etc/passwd существуют в /etc/group (CIS: L1 - Server - 6.2.15) | Описание. Группы, определенные в файле /etc/passwd, но не в файле /etc/group, представляют угрозу системной безопасности, так как разрешения группы не управляются должным образом. | Для каждой группы, определенной в /etc/passwd, должна существовать соответствующая группа в /etc/group. |
| Убедитесь, что отсутствуют повторяющиеся идентификаторы UID. (6.2.16) |
Убедитесь, что повторяющиеся идентификаторы пользовательского интерфейса не существуют (CIS: L1 — сервер — 6.2.16) | Описание: пользователям необходимо назначать уникальные идентификаторы UID, чтобы гарантировать правильное управление отчетностью и защитой доступа. | Обеспечьте уникальность идентификаторов UID и проверьте все файлы, принадлежащие совместно используемым идентификаторам, чтобы определить, к какому UID они должны относиться. |
| Убедитесь, что отсутствуют повторяющиеся идентификаторы GID. (6.2.17) |
Убедитесь, что повторяющиеся GID не существуют (CIS: L1 - Server - 6.2.17) | Описание: группам должны быть присвоены уникальные идентификаторы GID, чтобы гарантировать правильное управление отчетностью и защитой доступа. | Обеспечьте уникальность идентификаторов GID и проверьте все файлы, принадлежащие совместно используемым идентификаторам, чтобы определить, к какому GID они должны относиться. |
| Убедитесь, что имена пользователей не дублируются. (6.2.18) |
Убедитесь, что повторяющиеся имена пользователей не существуют (CIS: L1 — Сервер — 6.2.18) | Описание: если назначить пользователю уже существующее имя пользователя, он будет успешно создан и получит доступ ко всем файлам, принадлежащим пользователю с первым UID и таким именем пользователя в файле /etc/passwd. Например, если уже существует пользователь с именем test4 и идентификатором UID 1000, а затем создается пользователь с именем test4 и идентификатором UID 2000, то при входе с именем test4 будет использоваться идентификатор UID 1000. Фактически этот идентификатор UID будет общим, что является проблемой безопасности. |
Укажите уникальные имена пользователя для всех пользователей. Такие изменения будут автоматически применены к владению файлами, если у пользователей уникальные идентификаторы UID. |
| Убедитесь, что группы не дублируются. (6.2.19) |
Убедитесь, что повторяющиеся группы не существуют (CIS: L1 — Сервер — 6.2.19) | Описание: если назначить группе уже существующее имя группы, она будет успешно создана и получит доступ ко всем файлам, принадлежащим группе с первым GID и таким именем в файле /etc/group. Фактически этот идентификатор GID будет общим, что является проблемой безопасности. |
Укажите уникальные имена для всех групп. Такие изменения будут автоматически применены к групповому владению файлами, если у групп уникальные идентификаторы GID. |
| Убедитесь, что группа shadow пуста. (6.2.20) |
Убедитесь, что теневая группа пуста (CIS: L1 — Сервер — 6.2.20) | Описание: всем пользователям, которым назначена группа shadow, предоставляется доступ на чтение файла/etc/shadow. Получив доступ на чтение к файлу /etc/shadow, злоумышленник легко сможет запустить программу взлома пароля по хэшированным значениям паролей. Другие сведения о безопасности, хранящиеся в /etc/shadow файле (например, истечение срока действия), также могут быть полезны для подрыва других учетных записей пользователей. |
Удалите всех пользователей из группы shadow. |
| Отключите установку и использование файловых систем, которые не требуются (hfs) (6.3) |
Убедитесь, что файловая система hfs отключена (CIS: L1 - Server - 1.1.1.4) | Описание: злоумышленник может использовать уязвимости hfs, чтобы получить повышенные привилегии. | Добавьте install hfs /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r hfs |
| Отключите установку и использование файловых систем, которые не требуются (hfsplus) (6.4) |
Убедитесь, что файловые системы hfsplus отключены (CIS: L1 — Сервер — 1.1.1.5) | Описание: злоумышленник может использовать уязвимости hfsplus, чтобы получить повышенные привилегии. | Добавьте install hfsplus /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r hfsplus |
| Отключите установку и использование файловых систем, которые не требуются (jffs2) (6.5) |
Убедитесь, что файловые системы jffs2 отключены (CIS: L1 — Сервер — 1.1.1.3) | Описание: злоумышленник может использовать уязвимости jffs2, чтобы получить повышенные привилегии. | Добавьте install jffs2 /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r jffs2 |
| Ядра должны компилироваться только из утвержденных источников. (10) |
Убедитесь, что ядро компилируется из утвержденных источников | Описание: ядро из неутвержденного источника может содержать уязвимости или черные ходы, предоставляющие доступ злоумышленникам. | Устанавливайте только те ядра, которые предоставляет поставщик дистрибутива. |
| Для файла /etc/shadow следует задать разрешения 0400. (11.1) |
Убедитесь, что настроены разрешения файла на /etc/shadow (CIS: L1 - Server - 6.1.3) | Описание. Злоумышленник может получить хэшированные пароли из /etc/shadow, если он неправильно защищен. | Задайте права владения и разрешения: chown root:shadow /etc/shadow && chmod 640 /etc/shadow |
| Для файла /etc/shadow- следует задать разрешения 0400. (11.2) |
Убедитесь, что разрешения файлов на /etc/shadow- настроены (CIS: L1 - Server - 6.1.7) | Описание. Злоумышленник может получить хэшированные пароли из /etc/shadow, если он неправильно защищен. | Задайте права владения и разрешения: chown root:shadow /etc/shadow- && chmod 640 /etc/shadow- |
| Для файла /etc/gshadow следует задать разрешения 0400. (11.3) |
Убедитесь, что настроены разрешения файла на /etc/gshadow (CIS: L1 - Server - 6.1.5) | Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте права владения и разрешения: chown root:shadow /etc/gshadow && chmod 640 /etc/gshadow |
| Для файла /etc/gshadow- следует задать разрешения 0400. (11.4) |
Убедитесь, что разрешения файла на /etc/gshadow настроены (CIS: L1 - Server - 6.1.9) | Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте права владения и разрешения: chown root:shadow /etc/gshadow- && chmod 640 /etc/gshadow- |
| Для файла /etc/passwd следует задать разрешения 0644. (12.1) |
Убедитесь, что настроены разрешения файла на /etc/passwd (CIS: L1 - Server - 6.1.2) | Описание: злоумышленник может изменять идентификаторы пользователей и оболочки для входа | Задайте права владения и разрешения: chown root:root /etc/passwd && chmod 644 /etc/passwd |
| Для файла /etc/group следует задать разрешения 0644. (12.2) |
Убедитесь, что настроены разрешения файла на /etc/group (CIS: L1 - Server - 6.1.4) | Описание: злоумышленник может получать повышенные привилегии, изменяя членство в группах | Задайте права владения и разрешения: chown root:root /etc/group && chmod 644 /etc/group |
| Для файла /etc/passwd- следует задать разрешения 0600. (12.3) |
Убедитесь, что разрешения файлов на /etc/passwd настроены (CIS: L1 - Server - 6.1.6) | Описание. Злоумышленник может присоединиться к группам безопасности, если этот файл не защищен должным образом. | Задайте права владения и разрешения: chown root:root /etc/passwd- && chmod 600 /etc/passwd- |
| Для файла /etc/group- следует задать разрешения 0644. (12.4) |
Убедитесь, что настроены разрешения файла на /etc/group (CIS: L1 - Server - 6.1.8) | Описание: злоумышленник может получать повышенные привилегии, изменяя членство в группах | Задайте права владения и разрешения: chown root:root /etc/group- && chmod 644 /etc/group- |
| Доступ к учетной записи root должен быть ограничен только группой root. (21) |
Убедитесь, что доступ к корневой учетной записи через su ограничен группой root (CIS: L1 - Server - 5.5) | Описание: злоумышленник сможет повышать свои разрешения путем подбора пароля, если команду su разрешено выполнять пользователям не из группы root. |
auth required pam_wheel.so use_uid Добавление /etc/pam.d/su и обеспечение существования группы колес |
| Группа root должна существовать и содержать всех пользователей, которым требуется выполнять команду su для операций с правами пользователя root. (22) |
Убедитесь, что группа "root" существует и содержит всех участников, которые могут отправлять в root (CIS: L1 - Server - 5.6) | Описание: злоумышленник сможет повышать свои разрешения путем подбора пароля, если команду su разрешено выполнять пользователям не из группы root. | Создайте группу root с помощью команды "groupadd -g 0 root". |
| Для всех учетных записей должны существовать пароли. (23.2) |
Убедитесь, что все учетные записи пользователей, которые могут входить в систему, имеют набор паролей. | Описание: злоумышленник может входить в учетные записи без пароля и выполнять произвольные команды. | Установите пароли для всех учетных записей с помощью команды passwd. |
| Учетные записи, отличные от root, должны иметь уникальные идентификаторы UID со значением больше нуля. (24) |
Убедитесь, что все учетные записи пользователей, отличные от корневых, имеют уникальные идентификаторы пользовательского интерфейса больше нуля (0) | Описание: если учетная запись, отличная от root, имеет нулевое значение идентификатора UID, в случае компрометации этой учетной записи злоумышленник сможет получить привилегии root. | Назначьте уникальные ненулевые идентификаторы UID всем учетным записям, кроме root, с помощью команды "usermod -u". |
| Необходимо включить случайное размещение областей виртуальной памяти. (25) |
Убедитесь, что включено случайное размещение (ASLR) регионов виртуальной памяти (CIS: L1 — Сервер — 1.5.3) | Описание: злоумышленник может записать исполняемый код в известные регионы в памяти, что приведет к несанкционированному повышению привилегий. | Добавьте значение "1" или "2" в файл "/proc/sys/kernel/randomize_va_space". |
| В ядре должна быть включена поддержка функции процессора XD/NX. (26) |
Убедитесь, что включена поддержка ядра для компонента процессора XD/NX (CIS: L1 - Server - 1.5.2) | Описание. Злоумышленник может привести к тому, что система выполняет код из регионов данных в памяти, что приводит к повышению привилегий. | Убедитесь, что файл "/proc/cpuinfo" содержит флаг "nx". |
| Значение "." не должно отображаться в $PATH корневого каталога (27.1) |
Убедитесь, что "." не отображается в корневой $PATH (CIS: L1 - Server - 6.2.6) | Описание: злоумышленник может повысить привилегии, поместив вредоносный файл в папку, включенную в переменную $PATH пользователя root. | Измените строку "export PATH=" в файле /root/.profile. |
| Домашние каталоги пользователей должны иметь полномочия уровня 750 или более строгие полномочия. (28) |
Убедитесь, что доступ к домашним каталогам пользователей ограничен | Описание: злоумышленник может получить конфиденциальную информацию из домашних папок других пользователей. | Задайте разрешения домашнего каталога на 750 или более строгие: chmod 750 /home/* |
| Значение umask в файле login.defs для всех пользователей должно иметь значение по умолчанию 077. (29) |
Убедитесь, что umask по умолчанию для всех пользователей настроен | Описание: злоумышленник может получить конфиденциальную информацию из файлов, принадлежащих другим пользователям. | Добавление UMASK 077 и добавление /etc/login.defs в umask 077/etc/profile/etc/bashrc |
| Для всех загрузчиков следует включить защиту паролем. (31) |
Убедитесь, что у всех загрузчиков включена защита паролем (CIS: L1 - Server - 1.4.2) | Описание: злоумышленник с физическим доступом может изменить параметры загрузчика, получая неограниченный доступ к системе. | Добавьте пароль для загрузчика в файл /boot/grub/grub.cfg. |
| Убедитесь, что в конфигурации загрузчика настроены разрешения. (31.1) |
Убедитесь, что разрешения для конфигурации загрузчика настроены (CIS: L1 — Сервер — 1.4.1) | Описание: если разрешения на чтение и запись будут только у пользователя root, другие пользователи не смогут просмотреть или изменить параметры загрузки. Если другие пользователи, кроме root, будут знать параметры загрузки, такие пользователи смогут выявлять слабые места в системе безопасности при загрузке и пытаться использовать их. | Задайте разрешения конфигурации загрузчика: chown root:root /boot/grub*/grub.cfg && chmod 400 /boot/grub*/grub.cfg (настройте путь к загрузчику) |
| Убедитесь, что для однопользовательского режима требуется проверка подлинности. (33) |
Убедитесь, что проверка подлинности требуется для одного пользовательского режима (CIS: L1 — Сервер — 1.4.3) | Описание: обязательная проверка подлинности в однопользовательском режиме не позволит неавторизованному пользователю перезагрузить систему в однопользовательский режим для получения привилегий root без ввода учетных данных. | Выполните следующую команду, чтобы задать пароль для пользователя root: passwd root. |
| Убедитесь, что отключено перенаправление пакетов. (38.3) |
Убедитесь, что отправка перенаправления пакетов отключена (CIS: L1 - Server - 3.1.2) | Описание: злоумышленник может использовать скомпрометированный узел для отправки недопустимых перенаправлений ICMP другим устройствам маршрутизации, чтобы нарушить систему маршрутизации и вынудить пользователей обращаться к системе, настроенной злоумышленником, вместо настоящей рабочей системы. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.all.send_redirects = 0 и net.ipv4.conf.default.send_redirects = 0выполните команду sysctl -p |
| Отправка перенаправлений ICMP должна быть отключена для всех интерфейсов. (net.ipv4.conf.default.accept_redirects = 0) (38.4) |
Убедитесь, что перенаправления ICMP не принимаются (CIS: L1 - Server - 3.2.2) — несколько правил в сочетании | Описание: злоумышленник может изменить таблицу маршрутизации в системе, перенаправляя трафик к другим назначениям. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.default.accept_redirects = 0 и net.ipv6.conf.default.accept_redirects = 0выполните команду sysctl -p |
| Отправка перенаправлений ICMP должна быть отключена для всех интерфейсов. (net.ipv4.conf.default.secure_redirects = 0) (38.5) |
Убедитесь, что перенаправления ICMP не принимаются (CIS: L1 - Server - 3.2.2) — несколько правил в сочетании | Описание: злоумышленник может изменить таблицу маршрутизации в системе, перенаправляя трафик к другим назначениям. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.default.secure_redirects = 0, а затем запустите sysctl -p |
| Прием перенаправленных пакетов от источника должен быть отключен во всех интерфейсах. (net.ipv4.conf.all.accept_source_route = 0) (40.1) |
Убедитесь, что прием исходных перенаправленных пакетов отключен для всех интерфейсов (CIS: L1 - Server - 3.2.1) — правила IPv4 и IPv6 в сочетании | Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Прием перенаправленных пакетов от источника должен быть отключен во всех интерфейсах. (net.ipv6.conf.all.accept_source_route = 0) (40.2) |
Убедитесь, что прием исходных перенаправленных пакетов отключен для всех интерфейсов (CIS: L1 - Server - 3.2.1) — правила IPv4 и IPv6 в сочетании | Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Значение по умолчанию для приема исходных перенаправленных пакетов должно быть отключено для сетевых интерфейсов. (net.ipv4.conf.default.accept_source_route = 0) (42.1) |
Убедитесь, что параметр по умолчанию для приема перенаправленных исходных пакетов отключен для сетевых интерфейсов (CIS: L1 - Server - 3.2.1) — правила IPv4 и IPv6 в сочетании | Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Значение по умолчанию для приема исходных перенаправленных пакетов должно быть отключено для сетевых интерфейсов. (net.ipv6.conf.default.accept_source_route = 0) (42.2) |
Убедитесь, что параметр по умолчанию для приема перенаправленных исходных пакетов отключен для сетевых интерфейсов (CIS: L1 - Server - 3.2.1) — правила IPv4 и IPv6 в сочетании | Описание: злоумышленник может перенаправлять трафик для вредоносных целей. | Выполните sysctl -w key=value и задайте соответствующее значение. |
| Игнорирование фиктивных ответов ICMP для широковещательных рассылок должно быть включено. (net.ipv4.icmp_ignore_bogus_error_responses = 1) (43) |
Убедитесь, что игнорировать нефиксные ответы ICMP на трансляции включены (CIS: L1 - Server - 3.2.6) | Описание: злоумышленник может выполнить атаку ICMP для организации атаки типа "отказ в обслуживании". | Добавьте в /etc/sysctl.conf: net.ipv4.icmp_ignore_bogus_error_responses = 1, а затем запустите sysctl -p |
| Игнорирование эхо-запросов ICMP (проверки связи) для широковещательных или многоадресных адресов должно быть включено. (net.ipv4.icmp_echo_ignore_broadcasts = 1) (44) |
Убедитесь, что включено пропускание запросов эхо-уведомлений ICMP ( pings), отправленных в широковещательные или многоадресные адреса (CIS: L1 - Server - 3.2.5) | Описание: злоумышленник может выполнить атаку ICMP для организации атаки типа "отказ в обслуживании". | Добавьте в /etc/sysctl.conf: net.ipv4.icmp_echo_ignore_broadcasts = 1, а затем запустите sysctl -p |
| Ведение журнала марсианских пакетов (с невозможными адресами) должно быть включено на всех интерфейсах. (net.ipv4.conf.all.log_марсианы = 1) (45.1) |
Убедитесь, что ведение журнала марсианских пакетов (с невозможными адресами) включено для всех интерфейсов. | Описание: злоумышленник может отправлять трафик с фиктивных адресов, не опасаясь обнаружения. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.all.log_martians = 1 и net.ipv4.conf.default.log_martians = 1выполните команду sysctl -p |
| Проверка источника по обратному пути должна быть включена во всех интерфейсах. (net.ipv4.conf.all.rp_filter = 1) (46.1) |
Убедитесь, что проверка источника по обратному пути включена для всех интерфейсов (CIS: L1 - Server - 3.2.7) — несколько правил в сочетании | Описание: система будет принимать трафик с немаршрутизируемых адресов. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 и net.ipv4.conf.default.rp_filter = 1выполните команду sysctl -p |
| Проверка источника по обратному пути должна быть включена во всех интерфейсах. (net.ipv4.conf.default.rp_filter = 1) (46.2) |
Убедитесь, что проверка источника по обратному пути включена для всех интерфейсов (CIS: L1 - Server - 3.2.7) — несколько правил в сочетании | Описание: система будет принимать трафик с немаршрутизируемых адресов. | Добавьте в /etc/sysctl.conf: net.ipv4.conf.all.rp_filter = 1 и net.ipv4.conf.default.rp_filter = 1выполните команду sysctl -p |
| Файлы cookie TCP SYN должны быть включены. (net.ipv4.tcp_syncookies = 1) (47) |
Убедитесь, что файлы cookie TCP SYN включены (CIS: L1 — Сервер — 3.2.8) | Описание: злоумышленник может выполнить атаку типа "отказ в обслуживании" через TCP. | Добавьте в /etc/sysctl.conf: net.ipv4.tcp_syncookies = 1, а затем запустите sysctl -p |
| Система не должна выступать в качестве сетевого sniffer. (48) |
Убедитесь, что система не выступает в качестве сетевого sniffer | Описание: злоумышленник может использовать неизбирательные интерфейсы для прослушивания сетевого трафика. | Неизбирательный режим включается путем добавления атрибута "promisc" в файл "/etc/network/interfaces" или "/etc/rc.local". Проверьте оба файла и удалите эту запись. |
| Все беспроводные интерфейсы должны быть отключены. (49) |
Убедитесь, что все беспроводные интерфейсы отключены (CIS: L1 - Server - 3.6) | Описание: злоумышленник может создать фиктивную точку доступа для перехвата передачи данных. | Убедитесь, что все беспроводные интерфейсы отключены в файле "/etc/network/interfaces". |
| Протокол IPv6 должен быть включен. (50) |
Убедитесь, что протокол IPv6 включен | Описание: это необходимый протокол для обмена данными в современных сетях. | Откройте файл /etc/sysctl.conf и убедитесь, что для параметров "net.ipv6.conf.all.disable_ipv6" и "net.ipv6.conf.default.disable_ipv6" заданы значения "0". |
| Проверка отключения протокола DCCP (54) |
Проверка отключения протокола DCCP | Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Добавьте install dccp /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r dccp |
| Проверка отключения протокола SCTP (55) |
Проверка отключения протокола SCTP | Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Добавьте install sctp /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r sctp |
| Отключите поддержку RDS. (56) |
Убедитесь, что поддержка RDS отключена | Описание: злоумышленник может использовать уязвимость в RDS для компрометации системы. | Добавьте install rds /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r rds |
| Проверка отключения TIPC (57) |
Проверка отключения TIPC | Описание. Если протокол не требуется, рекомендуется, чтобы драйверы не были установлены, чтобы уменьшить потенциальную область атаки. | Добавьте install tipc /bin/true в файл в /etc/modprobe.d/ конце .conf, а затем запустите modprobe -r tipc |
| Проверка настройки ведения журнала (60) |
Убедитесь, что ведение журнала настроено (CIS: L1 — Сервер — 4.2.1.2 + 4.2.1.3) | Описание: значительная часть важных сведений, связанных с безопасностью, отправляется через rsyslog (например, сведения об успешных и неудачных попытках выполнить команду su, неудачных попытках входа, попытках входа с правами root и т. д.). |
Настройте syslog, rsyslog или syslog-ng соответствующим образом. |
| Должен быть установлен пакет syslog, rsyslog или syslog-ng. (61) |
Убедитесь, что установлен пакет syslog, rsyslog или syslog-ng (CIS: L1 - Server - 4.2.1.1). | Описание: сведения о проблемах с надежностью и безопасностью не будут сохраняться в журнал, что не позволит правильно провести диагностику. | Установка rsyslog: yum install rsyslog (RHEL/CentOS) или apt install rsyslog (Debian/Ubuntu) |
| Служба systemd-journald должна быть настроена для сохранения сообщений журнала. (61.1) |
Убедитесь, что служба systemd-journald сохраняет сообщения журнала (CIS: L1 - Server - 4.2.2.3) | Описание: сведения о проблемах с надежностью и безопасностью не будут сохраняться в журнал, что не позволит правильно провести диагностику. | Создайте /var/log/journal и убедитесь, что параметр Storage в файле journald.conf имеет значение auto или persistent. |
| Убедитесь, что включена служба ведения журналов. (62) |
Убедитесь, что включена служба ведения журналов. | Описание. Необходимо иметь возможность регистрировать события на узле. | Включение службы rsyslog: systemctl enable rsyslog (systemd) или chkconfig rsyslog on (sysv) |
| Для всех файлов журнала rsyslog должны быть установлены разрешения 640 или 600. (63) |
Убедитесь, что настроены разрешения файлов для всех файлов журнала rsyslog (CIS: L1 - Server - 4.2.1.4) | Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. | Добавьте строку "$FileCreateMode 0640" в файл "/etc/rsyslog.conf". |
| Убедитесь, что доступ к файлам конфигурации средства ведения журнала ограничен. (63.1) |
Убедитесь, что файлы конфигурации средства ведения журнала ограничены (CIS: L1 — Сервер — 4.2.1.4) | Описание. Важно убедиться, что файлы журналов существуют и имеют правильные разрешения, чтобы обеспечить архивирование и защиту конфиденциальных данных системного журнала. | Задайте разрешения конфигурации rsyslog: chown root:root /etc/rsyslog.conf && chmod 640 /etc/rsyslog.conf |
| Все файлы журнала rsyslog должны принадлежать группе adm. (64) |
Убедитесь, что все файлы журнала rsyslog принадлежат группе adm | Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. | Добавьте строку "$FileGroup adm" в файл "/etc/rsyslog.conf". |
| Все файлы журнала rsyslog должны принадлежать пользователю syslog. (65) |
Убедитесь, что все файлы журнала rsyslog принадлежат пользователю системного журнала (CIS: L1 - Server - 4.2.1.4) | Описание: злоумышленник может скрыть свои действия, изменяя содержимое журналов. |
$FileOwner syslog Добавление /etc/rsyslog.conf и перезапуск службы rsyslog |
| Rsyslog не должен принимать удаленные сообщения. (67) |
Убедитесь, что rsyslog не принимает удаленные сообщения | Описание: злоумышленник может внедрять сообщения в системный журнал, чтобы организовать атаку типа "отказ в обслуживании" или отвлечь внимание от других действий. | Удалите строки "$ModLoad imudp" и "$ModLoad imtcp" из файла "/etc/rsyslog.conf". |
| Должна быть включена служба смены файлов системного журнала (logrotate). (68) |
Убедитесь, что служба logrotate (вращатель системного журнала) включена (CIS: L1 - Server - 4.3) | Описание: файлы журнала могут неограниченно увеличиваться в размерах, занимая в итоге все дисковое пространство | Установите пакет logrotate и убедитесь, что существует и активна запись logrotate в cron (chmod 755 /etc/cron.daily/logrotate; chown root:root /etc/cron.daily/logrotate). |
| Служба rlogin должна быть отключена. (69) |
Убедитесь, что служба rlogin отключена | Описание: злоумышленник может получить доступ, обходя строгие требования проверки подлинности. | Удалите службу inetd. |
| Отключите службу inetd, если она не требуется. (inetd) (70.1) |
Убедитесь, что inetd не установлен (CIS: L1 - Server - 2.1.10) — правила службы и пакета в сочетании | Описание: злоумышленник может воспользоваться уязвимостью в службе inetd, чтобы получить доступ к системе. | Удалите службу inetd: yum remove inetd (RHEL/CentOS) или apt remove inetd (Debian/Ubuntu) |
| Отключите xinetd, если эта служба не требуется. (xinetd) (70.2) |
Убедитесь, что xinetd не установлен (CIS: L1 - Server - 2.1.10) — правила службы и пакета в сочетании | Описание: злоумышленник может воспользоваться уязвимостью в службе xinetd, чтобы получить доступ к системе. | Удалите службу xinetd: yum remove xinetd (RHEL/CentOS) или apt remove xinetd (Debian/Ubuntu) |
| Устанавливайте inetd, только если это допускается и требуется для вашего дистрибутива. Защитите ее в соответствии с текущими стандартами безопасности. (если требуется) (71.1) |
Убедитесь, что inetd не установлен (CIS: L1 - Server - 2.1.10) — правила службы и пакета в сочетании | Описание: злоумышленник может воспользоваться уязвимостью в службе inetd, чтобы получить доступ к системе. | Удалите службу inetd: yum remove inetd (RHEL/CentOS) или apt remove inetd (Debian/Ubuntu) |
| Устанавливайте xinetd, только если это допускается и требуется для вашего дистрибутива. Защитите ее в соответствии с текущими стандартами безопасности. (если требуется) (71.2) |
Убедитесь, что xinetd не установлен (CIS: L1 - Server - 2.1.10) — правила службы и пакета в сочетании | Описание: злоумышленник может воспользоваться уязвимостью в службе xinetd, чтобы получить доступ к системе. | Удалите службу xinetd: yum remove xinetd (RHEL/CentOS) или apt remove xinetd (Debian/Ubuntu) |
| Служба telnet должна быть отключена. (72) |
Убедитесь, что служба telnet отключена (CIS: L1 - Server - 2.1.8) | Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы telnet. | Удалите или закомментируйте запись telnet в файле "/etc/inetd.conf". |
| Все пакеты telnetd должны быть удалены. (73) |
Убедитесь, что все пакеты telnetd удаляются | Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы telnet. | Удалите все установленные пакеты telnetd. |
| Служба rcp/rsh должна быть отключена. (74) |
Убедитесь, что служба rcp/rsh отключена | Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы. | Удалите или закомментируйте запись оболочки в файле "/etc/inetd.conf". |
| Пакет rsh-server должен быть удален. (77) |
Убедитесь, что пакет rsh-server удален (CIS: L1 — Сервер — 2.1.6) | Описание: злоумышленник может перехватывать или прослушивать незашифрованные сеансы rsh. | Удалите пакет rsh-server: yum remove rsh-server (RHEL/CentOS) или apt remove rsh-server (Debian/Ubuntu) |
| Служба ypbind должна быть отключена. (78) |
Убедитесь, что служба ypbind отключена, и пакет nis не установлен — правила службы и пакета в сочетании | Описание: злоумышленник может получить конфиденциальную информацию из службы ypbind. | Удалите пакет nis: yum remove nis (RHEL/CentOS) или apt remove nis (Debian/Ubuntu) |
| Пакет nis должен быть удален. (79) |
Убедитесь, что служба ypbind отключена, и пакет nis не установлен — правила службы и пакета в сочетании | Описание: злоумышленник может получить конфиденциальную информацию из службы NIS. | Удалите пакет nis: yum remove nis (RHEL/CentOS) или apt remove nis (Debian/Ubuntu) |
| Служба tftp должна быть отключена. (80) |
Убедитесь, что служба tftp отключена (CIS: L1 - Server - 2.1.9) | Описание: злоумышленник может перехватить или прослушать незашифрованный сеанс. | Удалите запись tftp из файла "/etc/inetd.conf". |
| Пакет tftpd должен быть удален. (81) |
Убедитесь, что пакет tftpd не установлен (CIS: L1 - Server - 2.1.9) | Описание: злоумышленник может перехватить или прослушать незашифрованный сеанс. | Удалите пакет tftpd: yum remove tftpd (RHEL/CentOS) или apt remove tftpd (Debian/Ubuntu) |
| Пакет readahead-fedora должен быть удален. (82) |
Убедитесь, что пакет readahead-fedora не установлен | Описание: этот пакет не создает существенных уязвимостей, но и не приносит заметной пользы. | Удалите пакет readahead-fedora: yum remove readahead-fedora (RHEL/CentOS) или apt remove readahead-fedora (Debian/Ubuntu) |
| Служба bluetooth/hidd должна быть отключена. (84) |
Убедитесь, что пакет Bluetooth не установлен | Описание: злоумышленник может перехватывать или модифицировать данные, передаваемые путем беспроводной связи. | Удалите пакет Bluetooth: yum remove bluetooth (RHEL/CentOS) или apt remove bluetooth (Debian/Ubuntu) |
| Служба isdn должна быть отключена. (86) |
Убедитесь, что служба isdn отключена, и пакет isdnutils-base не установлен — правила службы и пакета вместе | Описание: злоумышленник может использовать модем для получения несанкционированного доступа. | Удалите базовый пакет isdnutils: yum remove isdnutils-base (RHEL/CentOS) или apt remove isdnutils-base (Debian/Ubuntu) |
| Пакет isdnutils-base должен быть удален. (87) |
Убедитесь, что служба isdn отключена, и пакет isdnutils-base не установлен — правила службы и пакета вместе | Описание: злоумышленник может использовать модем для получения несанкционированного доступа. | Удалите базовый пакет isdnutils: yum remove isdnutils-base (RHEL/CentOS) или apt remove isdnutils-base (Debian/Ubuntu) |
| Служба kdump должна быть отключена. (88) |
Убедитесь, что служба kdump отключена, и пакет kdump-tools не установлен | Описание: злоумышленник может анализировать данные о предыдущем сбое системы для получения конфиденциальной информации. | Удалите пакет kdump-tools: yum remove kdump-tools (RHEL/CentOS) или apt remove kdump-tools (Debian/Ubuntu) |
| Сеть Zeroconf должна быть отключена. (89) |
Убедитесь, что сеть zeroconf отключена | Описание: злоумышленник может использовать эту возможность для сбора сведений о сетевых системах или перехвата запросов DNS из-за ошибок в модели доверия. | RHEL/CentOS: добавьте NOZEROCONF=yes/etc/sysconfig/networkв . Debian/Ubuntu: удаление ipv4ll записей из /etc/network/interfaces |
| Служба crond должна быть включена. (90) |
Убедитесь, что служба cron включена (CIS: L1 - Server - 5.1.1) | Описание: cron требуется для выполнения задач планового обслуживания почти во всех существующих системах. | Установите пакет cron: yum install cron (RHEL/CentOS) или apt install cron (Debian/Ubuntu) и включите службу. |
| Для файла /etc/anacrontab должны быть установлены владелец root, группа root и разрешения 600. (91) |
Убедитесь, что настроены разрешения файла на /etc/anacrontab | Описание: злоумышленник может изменять этот файл, чтобы помешать выполнению запланированных задач или выполнять вредоносные задачи. | Задайте права владения и разрешения: chown root:root /etc/anacrontab && chmod 600 /etc/anacrontab |
| Убедитесь, что для /etc/cron.d настроены разрешения. (93) |
Убедитесь, что разрешения на /etc/cron.d настроены (CIS: L1 - Server - 5.1.7) | Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте права владения и разрешения: chown root:root /etc/cron.d && chmod 700 /etc/cron.d |
| Убедитесь, что для /etc/cron.daily настроены разрешения. (94) |
Убедитесь, что разрешения на /etc/cron.daily настроены (CIS: L1 - Server - 5.1.4) | Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте права владения и разрешения: chown root:root /etc/cron.daily && chmod 700 /etc/cron.daily |
| Убедитесь, что для /etc/cron.hourly настроены разрешения. (95) |
Убедитесь, что разрешения на /etc/cron.hourly настроены (CIS: L1 - Server - 5.1.3) | Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте права владения и разрешения: chown root:root /etc/cron.hourly && chmod 700 /etc/cron.hourly |
| Убедитесь, что для /etc/cron.monthly настроены разрешения. (96) |
Убедитесь, что разрешения на /etc/cron.monthly настроены (CIS: L1 - Server - 5.1.6) | Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте права владения и разрешения: chown root:root /etc/cron.monthly && chmod 700 /etc/cron.monthly |
| Убедитесь, что для /etc/cron.weekly настроены разрешения. (97) |
Убедитесь, что разрешения на /etc/cron.weekly настроены (CIS: L1 - Server - 5.1.5) | Описание: если предоставить доступ для записи к этому каталогу для непривилегированных пользователей, они смогут без авторизации получать более высокий уровень привилегий. Если предоставить доступ на чтение к этому каталогу, непривилегированный пользователь может узнать, как получить более высокий уровень привилегий или обойти элементы управления аудитом. | Задайте права владения и разрешения: chown root:root /etc/cron.weekly && chmod 700 /etc/cron.weekly |
| Убедитесь, что доступ к at/cron есть только у полномочных пользователей. (98) |
Убедитесь, что at/cron ограничен авторизованными пользователями (CIS: L1 - Server - 5.1.8) | Описание: во многих системах только системный администратор имеет полномочия планировать задания cron. Эта политика реализуется с применением файла cron.allow для управления тем, кто может выполнять задания cron. Проще управлять списком разрешений, чем списком запретов. Есть риск, что вы забудете добавить в файлы запрета новый идентификатор, когда добавляете его в систему. |
Создание /etc/cron.allow и /etc/at.allow использование авторизованных пользователей, удаление и удаление /etc/cron.deny/etc/at.deny |
| Чтобы обеспечить соответствие рекомендациям, необходимо настроить протокол SSH и управлять им. — '/etc/ssh/sshd_config Protocol = 2' (106.1) |
Убедитесь, что протокол SSH настроен (CIS: L1 - Server - 5.2.4) | Описание: злоумышленник может использовать изъяны в более ранней версии протокола SSH для получения доступа. |
Protocol 2 Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Чтобы обеспечить соответствие рекомендациям, необходимо настроить протокол SSH и управлять им. — '/etc/ssh/sshd_config IgnoreRhosts = да' (106.3) |
Убедитесь, что SSH IgnoreRhosts настроен (CIS: L1 - Server - 5.2.8) | Описание: злоумышленник может использовать изъяны в протоколе Rhosts для получения доступа. |
IgnoreRhosts yes Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Убедитесь, что для параметра SSH LogLevel задано значение INFO. (106.5) |
Убедитесь, что SSH LogLevel настроен (CIS: L1 — Сервер — 5.2.5) | Описание: протокол SSH предоставляет несколько уровней ведения журнала с различной детализацией.
DEBUG В частности, не рекомендуется, кроме строгой отладки связи SSH, так как он предоставляет так много данных, что трудно определить важную информацию о безопасности.
INFO уровень — это базовый уровень, который записывает только действия входа пользователей SSH. Во многих ситуациях, таких как реагирование на инциденты, важно определить, когда конкретный пользователь был активным в системе. Запись о выходе может исключить тех пользователей, которые были отключены, что поможет сократить область поиска. |
Измените файл /etc/ssh/sshd_config, чтобы задать параметр следующим образом: LogLevel INFO |
| Проверка, что для SSH MaxAuthTries задано значение 6 или меньше (106.7) |
Убедитесь, что SSH MaxAuthTries настроен (CIS: L1 - Server - 5.2.7) | Описание: если задать для параметра MaxAuthTries небольшое значение, то риск успешных атак методом подбора на сервер SSH будет минимальным. Хотя рекомендуемое значение параметра — 4, задайте это число на основе политики сайта. |
Убедитесь, что для SSH MaxAuthTries задано значение 6 или меньше. Измените файл /etc/ssh/sshd_config, чтобы задать параметр следующим образом: MaxAuthTries 6 |
| Обеспечение ограниченного доступа по протоколу SSH (106.11) |
Убедитесь, что разрешенные пользователи для доступа по протоколу SSH настроены (CIS: L1 - Server - 5.2.18) | Описание: определение того, какие пользователи могут удаленно обращаться к системе через протокол SSH, обеспечит доступ к системе только полномочным пользователям. | Убедитесь, что доступ по протоколу SSH ограничен. Измените файл /etc/ssh/sshd_config, чтобы задать один или несколько параметров следующим образом: AllowUsers AllowGroups DenyUsers DenyGroups |
| Эмуляция команды rsh через сервер SSH должна быть отключена. — '/etc/ssh/sshd_config RhostsRSAAuthentication = no' (107) |
N/A | Описание: злоумышленник может использовать изъяны в протоколе Rhosts для получения доступа. |
RhostsRSAAuthentication no Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Необходимо отключить проверку подлинности на основе узла SSH. — '/etc/ssh/sshd_config HostbasedAuthentication = no' (108) |
Убедитесь, что настроено SSH HostBasedAuthentication (CIS: L1 - Server - 5.2.9) | Описание. Злоумышленник может использовать проверку подлинности на основе узла для получения доступа от скомпрометированного узла. |
HostbasedAuthentication no Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Необходимо отключить вход в корневой каталог по протоколу SSH. - '/etc/ssh/sshd_config PermitRootLogin = нет' (109) |
Убедитесь, что SSH PermitRootLogin настроен (CIS: L1 - Server - 5.2.10) | Описание: злоумышленник может взломать пароль root методом подбора или скрыть свой журнал команд, войдя в систему непосредственно в качестве пользователя root. |
PermitRootLogin no Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Удаленные подключения из учетных записей с пустыми паролями должны быть отключены. - '/etc/ssh/sshd_config PermitEmptyPasswords = нет' (110) |
Убедитесь, что SSH PermitEmptyPasswords настроен (CIS: L1 - Server - 5.2.11) | Описание: злоумышленник может получить доступ с помощью подбора пароля. |
PermitEmptyPasswords no Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Проверка настройки интервала тайм-аута простоя SSH (110.1) |
Убедитесь, что настроен SSH ClientAliveCountMax | Описание: отсутствие значения времени ожидания, связанного с подключением, может привести к несанкционированному доступу пользователя к сеансу SSH другого пользователя. Установка значения времени ожидания по крайней мере снижает риск этого. Хотя рекомендуемое значение — 300 секунд (5 минут), установите значение времени ожидания на основе политики сайта. Рекомендованное значение для ClientAliveCountMax — 0. В этом случае сеанс клиента будет завершен через 5 минут бездействия, и сообщения проверки активности не будут отправляться. |
Измените файл /etc/ssh/sshd_config, чтобы задать параметры в соответствии с политикой. |
| Проверка, что для LoginGraceTime SSH задано значение одна минута или меньше (110.2) |
Убедитесь, что SSH LoginGraceTime настроен (CIS: L1 - Server - 5.2.17) | Описание: если задать для параметра LoginGraceTime небольшое значение, то риск успешных атак методом подбора на сервер SSH будет минимальным. Кроме того, будет ограничено количество одновременных подключений без проверки подлинности. Хотя рекомендуемое значение параметра — 60 секунд (1 минута), задайте его значение на основе политики сайта. |
LoginGraceTime 60 Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Проверка использования только утвержденных алгоритмов MAC (110.3) |
Убедитесь, что используются только утвержденные алгоритмы MAC (CIS: L1 - Server - 5.2.14) | Описание: алгоритмы MD5 и 96-разрядные MAC считаются ненадежными и показали повышенную уязвимость к атакам с переходом на использование более ранней версии SSH. Ненадежные алгоритмы по-прежнему вызывают большое беспокойство, так как создают уязвимости, которые можно использовать с применением больших вычислительных мощностей. Злоумышленник, взламывающий алгоритм, может воспользоваться преимуществом положения MiTM, чтобы расшифровать туннель SSH и перехватить учетные данные и сведения. | Добавление утвержденных MACs в /etc/ssh/sshd_config: MACs hmac-sha2-512,hmac-sha2-256 и перезапустите службу sshd |
| Убедитесь, что предупреждающий баннер удаленного входа в систему настроен правильно. (111) |
Убедитесь, что баннер предупреждения об удаленном входе правильно настроен (CIS: L1 - Server - 1.7.1.3) | Описание: предупреждающие сообщения информируют пользователей, входящих в систему, об их юридическом статусе в этой системе. В них должны быть указаны имя организации, владеющей системой, и любые применяемые политики мониторинга. Отображение сведений о версиях ОС и исправлениях в баннерах при входе имеет побочный эффект: злоумышленники получают подробные сведения о системе и могут использовать эксплойты, ориентированные на конкретные уязвимости. Полномочные пользователи могут легко получить эти сведения, выполнив команду uname -a после входа в систему. |
Удаление последовательностей экранирования сведений о системе (\m, \r, \s) \vиз /etc/issue.net и замены соответствующим текстом предупреждения |
| Убедитесь, что предупреждающий баннер локального входа в систему настроен правильно. (111.1) |
Убедитесь, что баннер предупреждения о локальном входе правильно настроен (CIS: L1 - Server - 1.7.1.2) | Описание: предупреждающие сообщения информируют пользователей, входящих в систему, об их юридическом статусе в этой системе. В них должны быть указаны имя организации, владеющей системой, и любые применяемые политики мониторинга. Отображение сведений о версиях ОС и исправлениях в баннерах при входе имеет побочный эффект: злоумышленники получают подробные сведения о системе и могут использовать эксплойты, ориентированные на конкретные уязвимости. Полномочные пользователи могут легко получить эти сведения, выполнив команду uname -a после входа в систему. |
Удаление последовательностей экранирования сведений о системе (\m, \r, \s) \vиз /etc/issue и замены соответствующим текстом предупреждения |
| Баннер предупреждения SSH должен быть включен. - '/etc/ssh/sshd_config Баннер = /etc/issue.net' (111.2) |
Убедитесь, что баннер предупреждения SSH настроен (CIS: L1 - Server - 5.2.19) | Описание: пользователи не будут предупреждены о наблюдении за их действиями в системе. |
Banner /etc/issue.net Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Пользователям не разрешено задавать параметры среды для SSH. (112) |
Убедитесь, что настроен SSH PermitUserEnvironment (CIS: L1 - Server - 5.2.12) | Описание: злоумышленник может обойти некоторые ограничения доступа по протоколу SSH. | Удалите строку "PermitUserEnvironment yes" из файла /etc/ssh/sshd_config. |
| Для SSH следует использовать соответствующие шифры (Шифры aes128-ctr,aes192-ctr,aes256-ctr) (113) |
Убедитесь, что для SSH (CIS: L1 - Server - 5.2.13) используются соответствующие шифры. | Описание: злоумышленник может скомпрометировать ненадежно защищенное SSH-подключение. |
Ciphers aes128-ctr,aes192-ctr,aes256-ctr Добавление /etc/ssh/sshd_config и перезапуск службы sshd |
| Служба avahi-daemon должна быть отключена. (114) |
Убедитесь, что служба avahi-daemon отключена (CIS: L1 - Server - 2.2.3) | Описание: злоумышленник может воспользоваться уязвимостью в управляющей программе avahi, чтобы получить доступ к системе. | Отключите службу avahi-daemon: systemctl disable avahi-daemon (systemd) или chkconfig avahi-daemon off (sysv) |
| Служба cups должна быть отключена. (115) |
Убедитесь, что служба кубков отключена (CIS: L1 — Сервер — 2.2.4) | Описание: злоумышленник может использовать ошибку в службе cups для повышения привилегий. | Отключите службу кубков: systemctl disable cups (systemd) или chkconfig cups off (sysv) |
| Служба isc-dhcpd должна быть отключена. (116) |
Убедитесь, что пакет isc-dhcp-server не установлен (CIS: L1 - Server - 2.2.5) — правила службы и пакета в сочетании | Описание: злоумышленник может использовать dhcpd для предоставления клиентам неверной информации, которая препятствует нормальной работе. | Удалите пакет isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) или apt remove isc-dhcp-server (Debian/Ubuntu) |
| Пакет isc-dhcp-server должен быть удален. (117) |
Убедитесь, что пакет isc-dhcp-server не установлен (CIS: L1 - Server - 2.2.5) — правила службы и пакета в сочетании | Описание: злоумышленник может использовать dhcpd для предоставления клиентам неверной информации, которая препятствует нормальной работе. | Удалите пакет isc-dhcp-server: yum remove dhcp-server (RHEL/CentOS) или apt remove isc-dhcp-server (Debian/Ubuntu) |
| Пакет sendmail должен быть удален. (120) |
Убедитесь, что пакет sendmail не установлен | Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Удалите пакет sendmail: yum remove sendmail (RHEL/CentOS) или apt remove sendmail (Debian/Ubuntu) |
| Пакет postfix должен быть удален. (121) |
Убедитесь, что пакет postfix не установлен | Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Удалите пакет postfix: yum remove postfix (RHEL/CentOS) или apt remove postfix (Debian/Ubuntu) |
| Ожидание передачи данных в сети postfix должно быть отключено, насколько это возможно. (122) |
Убедитесь, что прослушивание сети постфикса отключено | Описание: злоумышленник может использовать эту систему для отправки сообщений электронной почты с вредоносным содержимым другим пользователям. | Добавьте строку "inet_interfaces localhost" в файл "/etc/postfix/main.cf". |
| Служба ldap должна быть отключена. (124) |
Убедитесь, что служба ldap отключена, и пакет sldapd не установлен (CIS: L1 - Server - 2.2.6) | Описание: злоумышленник может управлять службой LDAP в узле, чтобы передавать ложные данные клиентам LDAP. | Удалите пощечину пакета: yum remove openldap-servers (RHEL/CentOS) или apt remove slapd (Debian/Ubuntu) |
| Служба rpcgssd должна быть отключена. (126) |
Убедитесь, что служба rpcgssd отключена | Описание: злоумышленник может использовать ошибку в rpcgssd/nfs для получения доступа к системе. | Отключите службу rpcgssd: systemctl disable rpc-gssd (systemd) или chkconfig rpc-gssd off (sysv) |
| Служба rpcidmapd должна быть отключена. (127) |
Убедитесь, что служба rpcidmapd отключена | Описание: злоумышленник может использовать ошибку в idmapd/nfs для получения доступа к системе. | Отключите службу rpcidmapd: systemctl disable rpc-idmapd (systemd) или chkconfig rpc-idmapd off (sysv) |
| Служба portmap должна быть отключена. (129.1) |
Убедитесь, что служба карты портов отключена | Описание: злоумышленник может использовать ошибку в portmap для получения доступа к системе. | Отключите службу rpcbind: systemctl disable rpcbind (systemd) или chkconfig rpcbind off (sysv) |
| Служба NFS (сетевой файловой системы) должна быть отключена. (129.2) |
Убедитесь, что служба сетевой файловой системы (NFS) отключена (CIS: L1 - Server - 2.2.7 — частично) | Описание. Злоумышленник может использовать NFS для подключения к общим папкам, выполнения и копирования файлов. | Отключите службу nfs: systemctl disable nfs-server (systemd) или chkconfig nfs off (sysv) |
| Служба rpcsvcgssd должна быть отключена. (130) |
Убедитесь, что служба rpcsvcgssd отключена | Описание: злоумышленник может использовать ошибку в rpcsvcgssd для получения доступа к системе. | Удалите строку "NEED_SVCGSSD = yes" из файла /etc/inetd.conf. |
| Служба named должна быть отключена. (131) |
Убедитесь, что именованная служба отключена, и пакет bind9 не установлен (CIS: L1 - Server - 2.2.8) — правила службы и пакета в сочетании | Описание: злоумышленник может использовать службу DNS для предоставления клиентам фиктивных данных. | Удалите пакет привязки: yum remove bind (RHEL/CentOS) или apt remove bind9 (Debian/Ubuntu) |
| Пакет bind должен быть удален. (132) |
Убедитесь, что именованная служба отключена, и пакет bind9 не установлен (CIS: L1 - Server - 2.2.8) — правила службы и пакета в сочетании | Описание: злоумышленник может использовать службу DNS для предоставления клиентам фиктивных данных. | Удалите пакет привязки: yum remove bind (RHEL/CentOS) или apt remove bind9 (Debian/Ubuntu) |
| Служба dovecot должна быть отключена. (137) |
Убедитесь, что служба dovecot отключена, и пакет dovecot-core не установлен — правила службы и пакета в сочетании | Описание: система может использоваться как сервер IMAP/POP3. | Удалите пакет dovecot: yum remove dovecot (RHEL/CentOS) или apt remove dovecot-core (Debian/Ubuntu) |
| Пакет dovecot должен быть удален. (138) |
Убедитесь, что служба dovecot отключена, и пакет dovecot-core не установлен — правила службы и пакета в сочетании | Описание: система может использоваться как сервер IMAP/POP3. | Удалите пакет dovecot: yum remove dovecot (RHEL/CentOS) или apt remove dovecot-core (Debian/Ubuntu) |
Убедитесь, что в файле /etc/passwd нет устаревших записей +.(156.1) |
Убедитесь, что устаревшие записи и записи не существуют в /etc/passwd (CIS: L1 - Server - 6.2.2). | Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/passwd, которые начинаются с "+:". |
Убедитесь, что в файле /etc/shadow нет устаревших записей +.(156.2) |
Убедитесь, что устаревшие записи не существуют в /etc/shadow (CIS: L1 - Server - 6.2.3) | Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/shadow, которые начинаются с "+:". |
Убедитесь, что в файле /etc/group нет устаревших записей +.(156.3) |
Убедитесь, что устаревшие записи и записи не существуют в /etc/group (CIS: L1 - Server - 6.2.4) | Описание: злоумышленник может получить доступ к системе, используя имя пользователя "+" без пароля. | Удалите все записи в/etc/group, которые начинаются с "+:". |
| Убедитесь, что срок действия пароля не превышает 365 дней. (157.1) |
Убедитесь, что срок действия пароля настроен (CIS: L1 — сервер — 5.4.1.1) | Описание: снижение максимального срока действия пароля уменьшает период, в течение которого злоумышленник может использовать скомпрометированные учетные данные или взломать учетные данные методом подбора через Интернет. | Задать PASS_MAX_DAYS 365 в /etc/login.defs |
| Убедитесь, что предупреждения об истечении срока действия пароля выдаются за семь или более дней. (157.2) |
Убедитесь, что дни предупреждения о истечении срока действия пароля настроены (CIS: L1 — сервер — 5.4.1.3) | Описание: заблаговременное предупреждение о том, что срок действия пароля скоро истечет, дает пользователю время придумать надежный пароль. Пользователи, которых эта необходимость застает врасплох, могут выбрать простой пароль или записать его там, где он может быть легко обнаружен. | Задать PASS_WARN_AGE 7 в /etc/login.defs |
| Убедитесь, что повторное использование пароля ограничено. (157.5) |
Убедитесь, что повторное использование паролей ограничено (CIS: L1 — Сервер — 5.3.3) | Описание. Принудительное использование пользователей последних пяти паролей делает его менее вероятным, что злоумышленник сможет угадать пароль. | Добавление remember=5 в модуль пароля PAM в /etc/pam.d/common-password |
| Убедитесь, что используется алгоритм хэширования паролей SHA-512. (157.11) |
Убедитесь, что алгоритм хэширования паролей — SHA-512 (CIS: L1 - Server - 5.3.4) | Описание: алгоритм SHA-512 обеспечивает намного более надежное хэширование, чем MD5. Это гарантирует дополнительную защиту системы, так как при таком подходе злоумышленнику сложнее подобрать пароли. Примечание. Эти изменения применяются только к учетным записям, настроенным в локальной системе. | Задайте для алгоритма хэширования паролей значение sha512. Многие дистрибутивы предоставляют средства для обновления конфигурации PAM. Дополнительные сведения см. в документации. Если таких средств нет, измените соответствующий файл конфигурации /etc/pam.d/, добавив или изменив в нем строки pam_unix.so, чтобы включить SHA512: password sufficient pam_unix.so sha512 |
| Убедитесь, что между изменениями пароля проходит не менее семи дней. (157.12) |
Убедитесь, что минимальные дни между изменениями паролей настроены (CIS: L1 — Сервер — 5.4.1.2) | Описание: ограничение частоты смены пароля не дает пользователям многократно изменять пароль для обхода запрета на повторное использование паролей. |
PASS_MIN_DAYS 7 Настройка /etc/login.defs и запуск chage --mindays 7 <username> для существующих пользователей |
| Убедитесь, что для всех пользователей дата последнего изменения находится в прошлом. (157.14) |
Убедитесь, что неактивный период блокировки паролей настроен (CIS: L1 — Сервер — 5.4.1.4). | Описание: если для пользователя дата изменения пароля находится в будущем, не будут применяться сроки, установленные для истечения срока действия пароля. | Убедитесь, что блокировка пароля при неактивности выполняется через 30 дней или менее. Чтобы задать стандартный период в 30 дней для отключения пароля при отсутствии активности, выполните следующую команду: # useradd -D -f 30. Измените параметры для всех пользователей, для которых используется пароль, чтобы они содержали строку: # chage --inactive 30 . |
| Убедитесь, что системные учетные записи не предоставляют права входа в систему. (157.15) |
Убедитесь, что все системные учетные записи не входят в систему (CIS: L1 — Сервер — 5.4.2) | Описание. Важно убедиться, что учетные записи, которые не используются обычными пользователями, не используются для предоставления интерактивной оболочки. По умолчанию Ubuntu задает для этих учетных записей поле пароля недопустимой строкой, но также рекомендуется задать /usr/sbin/nologinполе оболочки в файле пароля. Это предотвратит потенциальное использование учетной записи для выполнения любых команд. |
Настройте оболочку /sbin/nologin для всех учетных записей, возвращаемых скриптом аудита. |
| Убедитесь, что для учетной записи root указана группа по умолчанию с идентификатором GID 0. (157.16) |
Убедитесь, что группа по умолчанию для корневой учетной записи — GID 0 (CIS: L1 — Сервер — 5.4.3) | Описание. Использование GID 0 для root учетной записи помогает предотвратить rootслучайное получение доступа к файлам, не привилегированным пользователям. |
Чтобы задать для пользователя root группу по умолчанию с идентификатором GID 0, выполните следующую команду: # usermod -g 0 root |
| Убедитесь, что root является единственной учетной записью с идентификатором UID 0. (157.18) |
Убедитесь, что корневой каталог — единственная учетная запись UID 0 (CIS: L1 — Сервер — 6.2.5) | Описание. Этот доступ должен быть ограничен только учетной записью по умолчанию root и только из системной консоли. Административный доступ должен осуществляться через непривилегированную учетную запись и утвержденный для этого механизм. |
Удалите всех пользователей с UID root, кроме 0, или назначьте им новый UID, если это необходимо. |
| Удалите ненужные учетные записи. (159) |
Убедитесь, что ненужные учетные записи удалены | Описание: для соответствия требованиям. | Удалите ненужные учетные записи. |
| Убедитесь, что включена служба auditd. (162) |
Убедитесь, что установлен аудит пакета | Описание: при сборе системных событий системные администраторы получают сведения, позволяющие выявлять несанкционированный доступ к системе. | Установите пакет аудита (systemctl enable auditd). |
| Запустите службу AuditD. (163) |
Убедитесь, что проверенная служба запущена | Описание: при сборе системных событий системные администраторы получают сведения, позволяющие выявлять несанкционированный доступ к системе. | Запустите службу AuditD (systemctl started auditd). |
| Убедитесь, что сервер SNMP не включен. (179) |
Убедитесь, что сервер SNMP не включен (CIS: L1 — сервер 2.2.14) | Описание: сервер SNMP может выполнять обмен данными по протоколу SNMP версии 1, который передает данные в незашифрованном виде и не требует проверки подлинности для выполнения команд. Если это не обязательно, рекомендуется использовать службу SNMP. Если протокол SNMP является обязательным для сервера, по меньшей мере запретите протокол SNMP версии 1. | Выполните одну из следующих команд, чтобы отключить snmpd: # chkconfig snmpd off, # systemctl disable snmpd, # update-rc.d snmpd disable. |
| Убедитесь, что служба rsync не включена. (181) |
Убедитесь, что служба rsync не включена (CIS: L1 — Сервер — 2.2.16) | Описание: служба rsyncd представляет угрозу безопасности, так как использует незашифрованные протоколы для обмена данными. |
Отключите службу rsync: systemctl disable rsyncd (systemd) или chkconfig rsyncd off (sysv) |
| Убедитесь, что сервер NIS не включен. (182) |
Убедитесь, что сервер NIS не включен (CIS: L1 - Server - 2.2.17) | Описание: сервер NIS изначально является ненадежной системой с уязвимостями к атакам типа "отказ в обслуживании" и переполнениям буфера, а также использует плохие методы проверки подлинности для запросов к картам NIS. Сейчас NIS повсеместно заменяется другими протоколами, например протоколом LDAP (Lightweight Directory Access Protocol). Рекомендуется отключить службу и использовать более безопасные службы. | Выполните одну из следующих команд, чтобы отключить ypserv: # chkconfig ypserv off, # systemctl disable ypserv, # update-rc.d ypserv disable. |
| Убедитесь, что не установлен клиент rsh. (183) |
Убедитесь, что клиент rsh не установлен (CIS: L1 — Сервер — 2.3.2) | Описание: эти устаревшие клиенты подвергают безопасность множеству угроз и заменены более защищенным пакетом SSH. Даже если сервер удален, рекомендуется убедиться, что клиенты также удаляются, чтобы запретить пользователям непреднамеренно пытаться использовать эти команды и, следовательно, предоставлять свои учетные данные. Обратите внимание, что удаление rsh пакета удаляет клиенты для rsh, rcp а также rlogin. |
Удалите rsh с помощью соответствующего диспетчера пакетов: yum remove rsh (RHEL/CentOS), apt remove rsh (Debian/Ubuntu) или zypper remove rsh (SUSE) |
| Отключите SMB версии 1 в Samba. (185) |
Убедитесь, что SMB V1 с Samba отключен (CIS: L1 - Server - 2.2.12) | Описание: SMB версии 1 имеет хорошо известные и критические уязвимости, а также не шифрует данные при передаче. Если оно должно использоваться по бизнес-причинам, настоятельно рекомендуется предпринять дополнительные шаги для устранения рисков, присущих этому протоколу. | Добавление min protocol = SMB2 в [global] раздел и /etc/samba/smb.conf перезапуск службы smbd |
Примечание.
Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и в других национальных облаках.
Следующие шаги
Дополнительные статьи о политике Azure и гостевой конфигурации:
- Сведения о гостевой конфигурации службы "Политика Azure".
- Обзор соответствия нормативным требованиям.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправить несоответствующие ресурсы с помощью новой функции автоматического исправления Azure-osconfigLimited Public Preview.