CIS_RHEL_5.0-5.1_Benchmark_v1.1.2_0001

8/3/2019 CIS_RHEL_5.0-5.1_Benchmark_v1.1.2_0001

1/144

Configurao de Segurana Benchmark Para

Red Hat Enterprise Linux 5Version 1.1.2

June 2009

Copyright 2001-2009, The Center for Internet Securityhttp://cisecurity.org

[email protected]
http://cisecurity.org/mailto:[email protected]:[email protected]://cisecurity.org/


2/144

CIS Red Hat Enterprise Linux Benchmark, v1.1.2 (2009/06/17)

Terms of Use AgreementBackground.

CIS fornece benchmarks, marcando ferramentas, software, dados, informaes,sugestes, idias, e outros servios e materiais do site da SIC ou em outro lugar("Produtos") como um servio pblico aos usurios de Internet no mundo inteiro.Recomendaes contidas nos produtos ("Recomendaes") resultam de um processo de

consenso que envolve muitos especialistas em segurana e geralmente so de naturezagenrica. As recomendaes destinam-se a fornecer informaes teis s organizaesno intuito de avaliar ou melhorar a segurana das suas redes, sistemas e dispositivos. Ouso adequado das recomendaes exige uma anlise cuidadosa e de adequao snecessidades especficas do usurio. As recomendaes no so de forma algumapretende ser uma "soluo rpida" para as necessidades de algum da segurana dainformao.

No representaes, garantias e convnios.

CIS no faz representaes, garantias ou compromissos que assumam a (i) o efeito

positivo ou negativo dos produtos ou as recomendaes sobre a operao ou asegurana de qualquer rede particular, o sistema de computadores, dispositivo de rede,software, hardware, ou qualquer componente do qualquer dos anteriores, ou (ii) apreciso, confiabilidade, oportunidade ou integridade de qualquer produto ourecomendao. O CIS fornecer os produtos e as recomendaes "como est" e "comodisponvel" sem representaes, garantias ou compromissos de qualquer espcie.

acordos de utilizao.

Ao utilizar os produtos e / ou as recomendaes, eu e / ou a minha organizao("ns") concorda e reconhece que:

Sem rede, sistema, dispositivo, hardware, software ou componente podeser totalmente segura; Estamos usando os produtos e as recomendaesapenas na nossa prpria conta e risco;

Ns no estamos compensando CIS para assumir todas as responsabilidadesassociadas com o uso dos Produtos ou recomendaes, at mesmo os riscos queresultam da negligncia da CEI ou falha na execuo;

Temos a responsabilidade de avaliar os riscos e benefcios dos produtos erecomendaes para ns e para adaptar os produtos e as recomendaes s nossascircunstncias e requisitos especficos;

Nem a SIC, nem qualquer parte da CEI (definido abaixo) tem alguma responsabilidadepara fazer as correes, atualizaes ou correes de bugs ou para nos informar se eleescolhe a opo nica a faz-lo, e nem CIS, nem qualquer parte da CEI tenha ou venhaa ter qualquer responsabilidade para ns por qualquer motivo (seja com base emcontrato, prejuzo, responsabilidade estrita ou qualquer outro) por quaisquer danos

1 | P age


3/144


Concesso de direitos limitados.

CIS concede a cada usurio os seguintes direitos, mas somente enquanto o usurio estem conformidade com todos os termos destas Condies de Uso aprovada:

Exceto na medida em que pode ter recebido autorizao adicional ao abrigo de um

acordo escrito com o CIS, cada usurio pode baixar, instalar e usar cada um dos produtosem um nico computador;

Cada usurio pode imprimir uma ou mais cpias de qualquer produto ou qualquercomponente de um produto que esteja em um. Txt,. Pdf,. Doc,. Mcw ou formato. Rtf,desde que todos os exemplares so impressos em pleno e so mantidos intacto,incluindo, sem limitao, o texto dos Termos de Uso aprovada na sua totalidade.

Reteno dos direitos de propriedade intelectual; limitaes na distribuio.

Os Produtos so protegidos por direitos autorais e outras leis de propriedade intelectual e

por tratados internacionais. Ns reconhecemos e concordamos que no esto a adquirir aqualquer ttulo de direitos de propriedade intelectual dos produtos e que o ttulo completoe todos os direitos de propriedade sobre os produtos continuaro a ser propriedadeexclusiva das Partes da CEI ou CEI. reservas CIS todos os direitos no expressamenteconcedidos a usurios na seo anterior, intitulado "Concesso de direitos limitados."Sujeito ao pargrafo intitulado "Regras especiais" (que inclui uma renncia, concedido aalgumas categorias de membros da CEI, de certas limitaes no presente nmero ), e,exceto pelo que pode ter acordado em um acordo escrito com o CIS, que concorda queno ir (i) descompilar, desmontar, fazer engenharia reversa, ou tentar derivar o cdigo-fonte para qualquer produto de software que no esteja em a forma de cdigo-fonte, (ii)distribuir, redistribuir, sublicenciar onerar, vender, alugar, arrendar, emprestar, outransferir, ou explorar direitos de qualquer produto ou qualquer componente de umproduto, (iii) publicar qualquer produto ou qualquer componente de um produto emqualquer site, boletim, servidor ftp, newsgroup , ou mecanismo similar ou dispositivo, semconsiderar se tal mecanismo ou dispositivo interno ou externo, (iv) remover ou alterarmarca, logotipo, direito autoral ou outros avisos proprietrios, legendas, smbolos ou rtulosde qualquer produto ou qualquer componente de um produto (v) remover estes termosacordados de Utilizao, ou alterar estes Termos de Uso aprovada tal como consta,qualquer produto ou qualquer componente de um produto, (vi) usar qualquer produtoou qualquer componente de um produto com quaisquer trabalhos derivados baseadosdiretamente em um produto ou qualquer componente de um produto; (vii) a utilizao dequalquer produto ou qualquer componente de um produto com outros produtos ouaplicaes que esto directa e especificamente dependentes de produto ou qualquercomponente para qualquer parte de sua funcionalidade, ou (viii) representar oureivindicar um determinado nvel de cumprimento de um CIS Benchmark, marcandoferramenta ou outro produto. Ns no vamos facilitar ou ajuda de outros indivduos ouentidades em qualquer das atividades listadas neste pargrafo.

Ns concorda em indenizar, defender e CIS e todos os seus diretores, conselheiros, scios,colaboradores, funcionrios, autores, programadores, agentes, afiliadas, licenciadores,informao e prestadores de servios, fornecedores de software, fornecedores de hardware,

1 | P age


4/144


Special rule

CIS criou e de tempos em tempos cria regras especiais para os seus membros e para outraspessoas e organizaes com as quais CIS tem uma relao contratual estabelecida por escrito.Essas regras especiais substituiro e anularo estas Condies de Utilizao aprovada no que

diz respeito aos usurios que estejam abrangidos pelo regime especial. CIS concede a cadaCEI Consultoria de Segurana ou do fornecedor de software e de cada membro da CEIOrganizacional User-Membro, mas apenas enquanto tal Membro permanece em boa situaocom o CIS e cumpre com todos os termos destas Condies de Uso aprovada, o direito dedistribuir o Produtos e Recomendaes dentro da organizao do prprio Estado-tal, seja pormeio manual ou eletrnico. Cada um desses membros reconhece e concorda que aprecedente concesso est sujeita aos termos do acordo de tal Membro de adeso com a CEIe pode, portanto, ser modificado ou extinto por CIS a qualquer momento.

Escolha da lei; jurisdio; loca

Ns reconhece e concorda que estes Termos de Uso aprovada sero regidos e interpretados deacordo com as leis do Estado de Maryland, que qualquer ao em direito ou de equidadedecorrente ou relacionada a estes Termos de Uso aprovada deve ser apresentado apenas nostribunais localizados no Estado de Maryland, que consente e se submete jurisdio pessoaldesses tribunais para as finalidades de processo de tal ao. Se qualquer um destes Termos deUso aprovada ser considerada ilegal, nula ou, por qualquer razo inaplicvel, ento taiscondies ser considerada como independente e no prejudica a validade e exeqibilidade dequaisquer disposies remanescentes. Ns reconhecemos e concordamos que temos lidoestes Termos de Uso aprovada em sua totalidade, compreend-las e concorda em ficarvinculado por eles em todos os aspectos .

1 | P age


5/144


2 | P age


6/144


Table of Contents

1 CIS RED HAT ENTERPRISE LINUX 5 BENCHMARK ............................... 13

Introduction .............................................................................................................. 13Applying CIS Benchmark Recommendations .............................................................. 13Precedence of Benchmark-Compliance Audit .............................................................. 14Partitioning Considerations ......................................................................................... 14

Example Partition Table .............................................................................................. 16Software Package Removal ......................................................................................... 16Backup Key Files ....................................................................................................... 16Executing Actions ...................................................................................................... 17A Root Shell Environment Is Required ......................................................................... 18Software Package Installation ..................................................................................... 19Vulnerabilities ........................................................................................................... 20SELinux..................................................................................................................... 20About Bastille ........................................................................................................... 21Reboot Required ....................................................................................................... 21Housekeeping, Prepatory To Accomplishing The Remainder Of The Benchmark: ..........21

2 PATCHES, PACKAGES AND INITIAL LOCKDOWN .................................. 232.1 Apply Latest OS Patches ....................................................................................... 232.2 Validate The System Before Making Changes ........................................................ 242.3 Configure SSH ..................................................................................................... 242.4 Enable System Accounting .................................................................................... 27

3 MINIMIZE XINETD NETWORK SERVICES ............................................. 29

3.1 Disable Standard Services ..................................................................................... 293.1t - Table of xinetd services (generally, usage of these are deprecated) ................... 293.2 Configure TCP Wrappers and Firewall to Limit Access ............................................ 313.3 Only Enable telnet If Absolutely Necessary ............................................................ 333.4 Only Enable FTP, If Absolutely Necessary .............................................................. 34

3.5 Only Enable rlogin/rsh/rcp, If Absolutely Necessary ................................................ 353.6 Only Enable TFTP Server, If Absolutely Necessary .................................................. 36

4 MINIMIZE BOOT SERVICES ............................................................... 37

4t Table of RHEL5 inetd/boot Services ......................................................................... 374.1 Set Daemon umask .............................................................................................. 414.2 Disable xinetd, If Possible ...................................................................................... 414.3 Ensure sendmail is only listening to the localhost, If Possible ................................. 424.4 Disable GUI Login, If Possible ................................................................................. 434.5 Disable X Font Server, If Possible .......................................................................... 444.6 Disable Standard Boot Services ............................................................................ 444.7 Only Enable SMB (Windows File Sharing) Processes, If Absolutely Necessary ..........48

4.8 Only Enable NFS Server Processes, If Absolutely Necessary ................................... 484.9 Only Enable NFS Client Processes, If Absolutely Necessary ..................................... 494.10 Only Enable NIS Client Processes, If Absolutely Necessary .................................... 494.11 Only Enable NIS Server Processes, If Absolutely Necessary .................................. 494.12 Only Enable RPC Portmap Process, If Absolutely Necessary ................................. 504.13 Only Enable netfs Script, If Absolutely Necessary ................................................ 504.14 Only Enable Printer Daemon Processes, If Absolutely Necessary .......................... 50

4.15 Only Enable Web Server Processes, If Absolutely Necessary ................................ 51

1 | Page


7/144


4.16 Only Enable SNMP Processes, If Absolutely Necessary ......................................... 524.17 Only Enable DNS Server Process, If Absolutely Necessary .................................... 524.18 Only Enable SQL Server Processes, If Absolutely Necessary ................................. 534.19 Only Enable Squid Cache Server, If Absolutely Necessary .................................... 534.20 Only Enable Kudzu Hardware Detection, If Absolutely Necessary ......................... 544.21 Only Enable cyrus-imapd, If Absolutely Necessary ............................................... 544.22 Only Enable dovecot, If Absolutely Necessary ...................................................... 55

5 SYSTEM NETWORK PARAMETER TUNING ........................................... 575.1 Network Parameter Modifications .......................................................................... 575.2 Additional Network Parameter Modifications ......................................................... 59

6 LOGGING ..................................................................................... 61

6.1 Capture Messages Sent To syslog AUTHPRIV Facility ............................................. 616.2 Turn On Additional Logging For FTP Daemon ......................................................... 626.3 Confirm Permissions On System Log Files .............................................................. 626.4 Configure syslogd to Send Logs to a Remote LogHost ............................................ 66

7 FILE AND DIRECTORY PERMISSIONS/ACCESS ..................................... 67

7.1 Add 'nodev' Option To Appropriate Partitions In /etc/fstab ...................................... 67

7.2 Add 'nosuid' and 'nodev' Option For Removable Media In /etc/fstab ........................ 677.3 Disable User-Mounted Removable File Systems ..................................................... 697.4 Verify passwd, shadow, and group File Permissions ............................................... 707.5 Ensure World-Writable Directories Have Their Sticky Bit Set ................................... 707.6 Find Unauthorized World-Writable Files ................................................................ 717.7 Find Unauthorized SUID/SGID System Executables ................................................ 717.8 Find All Unowned Directories and Files .................................................................. 747.9 Disable USB Devices ............................................................................................. 75

8 SYSTEM ACCESS, AUTHENTICATION, AND AUTHORIZATION ................. 77

8.1 Remove .rhosts Support In PAM Configuration Files ............................................... 778.2 Create ftpusers Files ............................................................................................. 77

8.3 Prevent X Server From Listening On Port 6000/tcp ................................................ 788.4 Restrict at/cron To Authorized Users ...................................................................... 798.5 Restrict Permissions On crontab Files .................................................................... 808.6 Restrict Root Logins To System Console ................................................................ 808.7 Set GRUB Password .............................................................................................. 828.8 Require Authentication For Single-User Mode ......................................................... 828.9 Restrict NFS Client Requests To Privileged Ports .................................................... 838.10 Only Enable syslog To Accept Messages, If Absolutely Necessary ........................ 84

9 USER ACCOUNTS AND ENVIRONMENT ............................................... 85

9.1 Block Login of System Accounts ............................................................................ 859.2 Verify That There Are No Accounts With Empty Password Fields ............................. 85

9.3 Set Account Expiration Parameters On Active Accounts ......................................... 869.4 Verify No Legacy '+' Entries Exist In passwd, shadow, And group Files ..................879.5 No '.' or Group/World-Writable Directory In Root's $PATH ....................................... 879.6 User Home Directories Should Be Mode 0750 or More Restrictive ........................... 889.7 No User Dot-Files Should Be World-Writable ........................................................... 899.8 Remove User .netrc Files ....................................................................................... 89

9.9 Set Default umask For Users ................................................................................. 909.10 Disable Core Dumps ........................................................................................... 919.11 Limit Access To The Root Account From su ......................................................... 92

3 | Page


8/144


10 WARNING BANNERS .................................................................... 97

10.1 Create Warnings For Network And Physical Access Services ................................ 9710.2 Create Warnings For GUI-Based Logins ............................................................... 9910.3 Create "authorized only" Banners For vsftpd, proftpd, If Applicable ................... 100

11 MISC ODDS AND ENDS ............................................................... 101

11.1 Configure and enable the auditd and sysstat services, if possible ................... 101

11.2 Verify no duplicate userIDs exist ....................................................................... 10511.3 Force permissions on root's home directory to be 0700 ..................................... 10511.4 Utilize PAM to Enforce UserID password complexity ........................................... 10611.5 Ensure perms on man and doc pages prevent modification by unprivileged users.............................................................................................................................. 10711.6 Reboot ............................................................................................................ 107

12 ANTI-VIRUS CONSIDERATION ........................................................ 109

13 REMOVE CIS BENCHMARK HARDENING BACKUP FILES ..................... 111

APPENDIX A: ADDITIONAL SECURITY NOTES ....................................... 113

SN.1 Create Symlinks For Dangerous Files ............................................................. 113

SN.2 Change Default Greeting String For sendmail .................................................... 113SN.3 Enable TCP SYN Cookie Protection .................................................................... 114SN.4 Additional GRUB Security ................................................................................. 114SN.5 Evaluate Packages Associated With Startup Scripts ........................................ 115SN.6 Evaluate Every Installed Package ..................................................................... 115SN.7 Install and Configure sudo ................................................................................ 116SN.8 Lockout Accounts After 3 Failures ................................................................... 117SN.9 Additional Network Parameter Tunings ............................................................. 118SN.10 Remove All Compilers and Assemblers ............................................................ 119SN.11 Verify That No Unauthorized/Duplicate UID 0 Accounts Exists .......................... 119

APPENDIX B: FILE BACKUP SCRIPT .................................................... 121

APPENDIX C: BENCHMARK CHANGE HISTORY ..................................... 125APPENDIX D: REFERENCES .............................................................. 129

5 | Page


9/144


PGINA EM BRANCO

2 | Page


10/144


ResumoEste documento, a configurao de segurana de Referncia do Red HatEnterprise Linux 5, fornece a orientao para o estabelecimento de umapostura de configurao segura do Red Hat Enterprise Linux verses 5,0-5,1execuo em plataformas x86.

Este benchmark foi desenvolvido e testado no Red Hat Enterprise Linux (RHEL)verso 5.0 e 5.1 (a verso inicial ea primeira atualizao). provvel que otrabalho para posterior distribuio Red Hat Enterprise Linux e outros sistemasda Red Hat, Fedora, CentOS e derivados. A ferramenta de pontuao no podemexecutar ou pode produzir resultados imprecisos em sistemas no-RHEL. O CISBenchmark RHEL5 tem sido testada e verificada no Intel / AMD 32.Especificamente, no foram aprovados contra a Intel 64 bits, Itanium e as vriasarquiteturas IBM.

Para obter a ltima verso deste guia, visite http://cisecurity.org. Se voc tiverdvidas, comentrios ou identificaram formas de melhorar este manual, por favor

escreva-nos para [email protected].

Esta edio do RHEL5 CIS Benchmark consiste em correes para linguagem econtedo, bem como as recomendaes de correo do Center for InternetSecurity comunidade. No introduzir novos contedos, mas melhora e corrige oque foi publicado anteriormente.

Consenso de OrientaoEste guia foi criado utilizando um processo de reviso de consenso formado porvoluntrios e contrato de especialistas no assunto. participantes do Consenso de

oferecer uma perspectiva a partir de um conjunto diversificado de origens,incluindo consultoria, desenvolvimento de software, auditoria e conformidade, ainvestigao sobre segurana, operaes, administrao e jurdica.

Pblico-AlvoEste documento destinado a administradores de sistemas e aplicaes,especialistas em segurana, auditores, help desk e pessoal de implementaoda plataforma, que pretende desenvolver, implantar, avaliar e integrarsolues seguras que o Red Hat Enterprise Linux 5.

1 | Page


11/144


Agradecimentos

As seguintes pessoas contriburam grandemente para a criao desteguia:

AuthorJoe Wulf, ProSync Technology Group

Contributors and ReviewersJohn BanghartMichael Boelen { Contributed to v1.1.1 }Giacomo G. BrussinoKeith BuckRon ColvinRalf DurkeeDean FarringtonBlake Frantz { Contributed to v1.1.1 }David Gendel

Andrew Gilmore { & contributed to v1.1.1 }Steve Grubb { & contributed to v1.1.1 }Richard HolbertJames B. Horwath

David A. KennelJoel KirchRodney McKeeRobert Miller { Contributed to v1.1.1 }Adam Montville { Contributed to v1.1.1 }Keith D. Schincke { Contributed to v1.1.1 }Dave ShacklefordStephen John Smoogen { Contributed to v1.1.1 }Nguyen Thi Xuan Thu { Contributed to v1.1.1 }George ToftJohn Traenky { Contributed to v1.1.1 }Trevor VaughanZack Yang

Convenes TipogrficasAs seguintes convenes tipogrficas so utilizadas neste guia:Conveno SignificadoStylized Monospace font Usado para blocos de cdigo, comando e exemplosde script.

O texto deve ser interpretado exatamentecomo apresentados.

textos em itlico definido em colchetes denotam umavarivel de necessidade de substituio por um valor real.Italic fontUtilizado para designar o ttulo de um livro, artigo ou outra publicao.

Note Informaes adicionais ou ressalvas

Nveis de ConfiguraoEsta seo define os nveis de configurao que esto associadoscom cada recomendao de referncia. Nveis de Configurao

representam nveis crescentes de garantia de segurana.-Nvel I configuraes Benchmark / aesrecomendaes de Nvel I de Referncia destinam-se a:

ser prtico e prudente; proporcionar uma prestao de segurana clara e no negativamente inibir a utilidade da tecnologia alm dos meios aceitveis

1 | P age


12/144


Level-II Benchmark configuraes / aes-Nvel II Benchmark apresentam recomendaes de uma ou mais das seguintescaractersticas :

se destinam a ambientes ou casos de uso, onde a segurana primordial atua como medida de defesa em profundidade podem afectar negativamente a inibir a utilidade ou o desempenho datecnologia

Scoring EstadoEsta seo define o status de pontuao utilizado neste documento. O estado depontuao indica se o cumprimento da recomendao dada perceptvel deforma automatizada.

ScorableA plataforma de conformidade com a recomendao pode ser determinado

atravs de meios automticos.Not ScorableA plataforma de conformidade com a recomendao dada no pode serdeterminado atravs de meios automticos.

2 | Page


13/144


PGINA EM BRANCO

2 | Page


14/144


1 CIS Red Hat Enterprise Linux 5

Benchmark Introduo

Red Hat Enterprise Linux verso 5 (RHEL5) a nova verso de classe de servidor da Red Hat, Inc, queestabiliza o SELinux, foi avaliado em critrios comuns EAL4 + e traz mais estabilidade e robustez aonvel da empresa com este SO. fortalecimento de segurana continua a ser um elemento vital para aabordagem de defesa em profundidade para todos os elementos de computao dentro da empresa .. OCenter for Internet Security orgulhosamente traz as ltimas consenso sobre a segurana alcanadaendurecimento recomendaes neste Benchmark e uma ferramenta de acompanhamento de pontuao.

O contedo e inteno deste Benchmark conduzir voc, leitor para ser mais informadas no que dizrespeito s aes necessrias para o fortalecimento e garantia sistemas Red Hat Enterprise Linux. Novai dar no de segurana de informao e orientao endurecimento apenas por uma questo de osfornecer. Alguns princpios bsicos de uma determinada funo pode ser tocado em cima, mas isso geralmente para a importncia que fornece diretamente para as aes de segurana de proteo na mo.

Por favor, aproveite esta edio do Center for Internet Security Benchmark para endurecer o Red Hat

Enterprise Linux verso 5.

Aplicando CIS Benchmark RecomendaesPergunta 1:Depois de aplicar todas as recomendaes do Benchmark (e due diligence), o meu sistema "seguro"?

A resposta a esta pergunta depende do que se entende por "seguro". Se voc for perguntar se a seguir oBenchmark elimina todas as vulnerabilidades de segurana conhecidas e torna este sistemacompletamente invulnerveis ao acesso no autorizado, ento a resposta tem que ser um rotundo"no".

No entanto, cuidadosamente, seguindo as etapas de um resultado CIS Benchmark em um sistemaque tem uma superfcie de ataque menor do que uma instalao padro do sistema operacionalfornecido.

Na altura deste marco de referncia da escrita, o Center for Internet Security processo de construo deconsenso resultou em um ncleo slido de recomendaes de segurana. Essas pores com umaorientao especfica, caso contrrio, vulnervel, do Red Hat Enterprise Linux para sistema operacional deendurecimento. O processo de descoberta da vulnerabilidade continua sem cessar. Assim, provvel quemais existe, at agora.Cada dia, muitos sistemas esto comprometidos (e mais tarde usado para atacar outros sistemas), porque osadministradores dessas mquinas no exerceu mesmo "mnimo o devido cuidado" ao instalar e configurar osistema: os patches no esto actualizados, servios perigosos permaneam instalados , muito menos saiucorrendo, embora as vulnerabilidades foram publicados, etc ..Conformidade com o benchmark, o administrador do sistema tem executado um processo regular debackup (que suporta a recuperao de desastres), levaram o sistema atualizado com patches (sistema atual)e realizou as recomendaes Benchmark (feito o endurecimento) - E - Continuar a acompanharactivamente / gerenci-lo, fiz o melhor possvel a partir de uma perspectiva de fortalecimento de seguranaCEI.

1 | Page


15/144

CIS Red Hat Enterprise Linux Benchmark, v1.3.2 (2009/06/17)1 Original question/answer from online CIS Members forum, dated 2006/08/30

Ao realizar o cumprimento Benchmark, CIS recomenda um log de ser mantida. Esta poderia ser umatrilha de papel de notas sobre as aces realizadas e resultados ao longo do caminho. Outra opo seriauma janela de terminal (ou janelas) com um grande nmero de deslocamento da histria para trs,onde todas as aes so realizadas e os erros so visveis. Alm disso, o comando de script umaalternativa muito til, muito .

Precedncia de Auditoria de Conformidade do ndice de refernciaUma auditoria Benchmark um mtodo para verificar se um item foi assegurado. A precedncia aseguir foi usado no desenvolvimento deste Referencial, que vai orientar a implementador s na suaaplicao, e demonstrar como uma ferramenta de pontuao / avaliao deve pontuao / avaliao deum sistema que est sendo revisto com base nessa orientao . Determinar se um servio aplicvel ou a aplicao est instalada. Quando ...

True - Processo de auditoria pertinente / cheques, mesmo se o servio app / desabilitadoFalse - Todos os outros controlos relacionados passar automaticamente (no um erro para o servio

no existir) Servios e aplicaes requerem apenas endurecimento se instaladoTodos de auditoria / controlo prosseguir em ordem seqencial, a partir do topo do documento para ofundo

Para qualquer recomendao especfica CIS Benchmark onde esta prioridade deve ser cancelado,como ser claramente definido para o cheque. Isso pode afetar a execuo das aes de proteo, etambm ir gui-exatamente como uma ferramenta de pontuao avaliar o sistema. Issoproporciona estabilidade e coerncia em toda a rede, no mbito dos sistemas individuais, e paraaqueles que o aplicam.

Particionamento Consideraes

Antes de instalar o sistema operacional RHEL5, abrangente plano fora do espao em disco disponvelpara prever um regime de separao de segurana de esprito que integra preocupaes de segurana emisso vital necessidades de aplicao. Assim, se uma partio corrompida ou total, o sistema irgeralmente permanecem operacional, flexvel e resistente a danos ou perda de dados.

Nota: Nem a configurao do particionamento, nem a aplicao das quotas, ser marcado devido suacomplexidade e diversidade inerentes, embora ainda em conformidade com a inteno desteBenchmark.

A estratgia geral aplicar os conceitos de segurana de particionamento do OS no incio daconstruo do sistema e as atividades de instalao de tal maneira que as opes de montagempodem ser aplicadas para proteger a mquina --- como opes noexec para / tmp e / home, etc ..Red Hat no recomenda colocar as coisas (ou seja, parties, diretrios e arquivos) em locais forado padro, uma vez que o SELinux j tem uma noo bem definida de onde as coisas pertencem

(caso contrrio, execute semanage para ajustar o contedo do arquivo, embora a sua a sua prpriarisco).

CIS recomenda seguir a orientao de particionamento de segurana de esprito, uma vez que protege esegmentos de vrias partes da funcionalidade do sistema operacional. Essa compartimentao apresentadiversas vantagens, dentre elas a proteo de qualquer um deles tornar-se completa no prejudiquem osoutros. - "/" (Barra), a partio root necessria, o topo da estrutura de rvore de arquivos Unix e deveser estabelecido como sua prpria partio .

3 | Page


16/144


- "/boot "; partio necessria; atribudas no primeiro disco fsico o BIOS vai olhar para a inicializaoe / ou start-up.

- "/home "; presume-se que os sistemas tero usurios no-root, se no por outra razo seno a de servircomo local para administradores de sistema de login como se, em seguida, alternar os usurios de raiz,

a fim de control-lo.

-"/tmp "; fornece um recipiente de segurana para armazenamento temporrio.- "/var "; recipiente para a segurana do aplicativo, e os logs de auditoria.

- "/var/log/audit "; prefervel ter os dados de auditoria armazenado em sua prpria partio, paraque auditd ir calcular corretamente quando a partio est fora do espao. Por exemplo, qualquerusurio pode contrrio loop o programa logger em um script e encher / var com mensagens para osyslogd.

- " "; fornece a memria virtual adicional para complementar a memria fsica. preferncia fortepara ser aplicado como uma partio (desempenho) um arquivo de vice, embora ambos no

funcionam. - ... Outros, parties adicionais podem ser adicionados, e empresas, como requisitossite / misso o exigirem. Estes incluem / opt, / usr e outros dados de parties de uso local.

/home deve ser sua prpria partio distinta como um repositrio para armazenamento local deadministrao e / ou os arquivos do usurio da empresa. CIS Benchmark RHEL5 sees 2.3 e 8.6 (pelomenos) se as proibies so baseadas em segurana contra logins remotos. A questo subjacente quequalquer lugar que um usurio pode escrever deve estar em uma partio separada do / bin, / sbin e / usr.Caso contrrio, um meliante pode potencialmente hardlink contra qualquer setuid instalado e / ou aplicaosetgid / utilidade. Se (quando) for encontrado um exploit, embora o administrador do sistema pode atualizaro pacote afetado (s), o referido hardlink proporcionaria um vetor de compromisso, uma vez que uma cpiaprivada que ainda permanecem, e com todas as bandeiras de acesso de modo intacto. Alm disso, com a /home em uma partio prpria, opes de montagem podem / devem ser empregados para limitar aspermisses e apoiar a implementao de cotas.

Note: Para limitar ainda mais os inconvenientes causados por encher / home, considerar a

implementao de cotas de usurio e grupo em, pelo menos, o sistema de arquivos / home (ouseja, aqueles servidores que so repositrios para os usurios e seus diretrios de origem). Cotasir limitar a quantidade de um nico usurio (ou grupo nico) pode armazenar em um sistemadado. Aplicao das quotas tambm no um item de injrias quantificveis.

Geralmente, as parties podem estar todos dentro primria e / ou parties estendidas, sem alavancagemLogical Volume Management (LVM), embora CIS incentiva fortemente LVMs dar robustez maior odisco e gerenciamento de partio.

Recomendar a al terar manualmente o diretrio /var/ tmp deve ser um link simblico para / tmp. Isto irprevenir hardlinks s bases de dados e executveis, possivelmente em / var em algum lugar. Isso feitocom:rm -rf /var/tmpln -s /tmp /var/tmp

Equilibrado pela orientao dada acima, o CIS Benchmark recomenda o particionamento do sistemade disco semelhante ao que encontrado na tabela a seguir. Esta exposio pressupe uma unidadede 72GB modesto (a sua configurao pode ser mais robusto). Alm disso, este pressupe o padrode 32MB, extenses fsicas.

3 | Page


17/144


Example Partition Table{df -h} OriginalFilesystem Size Allot. Used Avail Use% Mounted on/dev/mapper/VolGroup00-LogVol00 15G (15360) 1.8G 13G 13% //dev/sda1 114M (118) 12M 97M 11% /boottmpfs 302M 0 302M 0% /dev/shm/dev/mapper/VolGroup00-LogVol01 3.9G (4096) 137M 3.6G 4% /home/dev/mapper/VolGroup00-LogVol02 12G (12800) 159M 11G 2% /tmp/dev/mapper/VolGroup00-LogVol03 7.8G (8192) 176M 7.2G 3% /var/dev/mapper/VolGroup00-LogVol04 16G (16384) 173M 15G 2% /var/log/audit

4G (4095)

Note: A coluna "original Allot" mostra os tamanhos de particionamento inserido durante a instalao dosistema. Alm disso, esta configurao, deixe um 32GB aproximados alocado, no prazo LVM.

Mais informaes esto disponveis a partir de sites on-line:http://www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Deployment Guide-en-US/ch-disk-quotas.htmlhttp://h20331.www2.hp.com/enterprise/downloads/RHEL5-CC-EAL4-HP-Configuration-Guide.pdfhttp://www.ibm.com/developerworks/library/os-ltc-security/index.html?ca=drs-

Pacote de Remoo de SoftwareTem ocorrido um debate considervel sobre a distribuio de pacotes de software no usados.Algumas pessoas acham que, enquanto o software no est sendo utilizado, deixando-instalado noapresenta nenhum risco significativo. Outros acham que o software no utilizado apresenta um outrovetor de ataque e aumenta o esforo de manuteno para os administradores. Esse Benchmarkactualmente no faz nenhuma recomendao para a remoo de software utilizadas especficos. Essebenchmark incentivar uma saudvel reviso dos pacotes instalados, com nfase no sentido daeliminao daqueles que no so claramente necessrias para suportar aplicaes de misso.

Note: Quando o software vulnervel est presente em um sistema, que a vulnerabilidade pode serexplorada por um atacante local, eo leitor aconselhado a considerar o esforo ou a

remoo ou a sua manuteno e os riscos de segurana da mesma. Por exemplo, um serviopode ser utilizada, com deficincia (via chkconfig) --- ainda que tambm pode terexecutveis SUID / SGID ou scripts que possam ser utilizados por um meliante de ataques.Esse Benchmark recomenda avaliar cuidadosamente que pacotes so instalados e removercomo muitos dos conhecidos no tm uma influncia sobre a funcionalidade do sistema demisso. Sempre que possvel, avaliar a tcnica de minimizao de um sistema delaboratrio. Os comandos rpm facultar o acesso documentao interna de pacotesinstalados.

Backup Key FilesAntes de executar as etapas deste Benchmark em um sistema de produo fortemente recomendado

que os administradores fazer cpias de backup dos arquivos de configurao crtica que pode seralterado tambm por vrios itens Benchmark. Se este passo no realizado, o site pode no terestratgia para trs fora razovel para reverter as modificaes do sistema feita em decorrncia dopresente documento. O script de proteo crtica arquivo. previsto no Anexo B deste documento serautomaticamente backup de todos os arquivos que podem ser modificados atravs da realizao deaces de referncia abaixo.

2 | Page
http://www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Deploymenthttp://h20331.www2.hp.com/enterprise/downloads/RHEL5-CC-EAL4-HP-Configuration-Guide.pdfhttp://www.ibm.com/developerworks/library/os-ltc-security/index.html?ca=drs-http://www.ibm.com/developerworks/library/os-ltc-security/index.html?ca=drs-http://www.redhat.com/docs/manuals/enterprise/RHEL-5-manual/Deploymenthttp://h20331.www2.hp.com/enterprise/downloads/RHEL5-CC-EAL4-HP-Configuration-Guide.pdfhttp://www.ibm.com/developerworks/library/os-ltc-security/index.html?ca=drs-


18/144


Note: Uma cpia executvel do script de backup tambm fornecido com o arquivo contendo a versoPDF do documento ea ferramenta CIS pontuao. Supondo que o administrador est no diretrio onde oarquivo foi descompactado, o comando para executar o script de backup seria:

./do-backup.sh

Um dos subprodutos do script do backup.sh um script de restaurao dinmica especfica do sistema: "/root / cis / fazer restore.sh", que gerado com base nos resultados do script do-backup.sh.

Para reverter as alteraes feitas como voc aplicou esse Benchmark, executar fazer restore.sh com umareinicializao subseqente, e todas as alteraes sero recuou. Desde instalaes de Linux no so todosidnticos, a fazer script restore.sh criado com base nos arquivos que realmente existiu na poca dobackup.sh foi executado, para incluir a preservao das suas permisses originais.

Uma vez que os itens de referncia foram planejadas para um determinado sistema, aconselhveltestar completamente em um laboratrio de duplicar o processo de backup e restaurao e operao dosistema resultante.

Muitos dos scriptlets neste Benchmark fornecer comparaes diff contra arquivos conservados antes doscriptlet foi executado (que o pressuposto, anyway). Arquivos e, em alguns casos os diretrios, so

duplicados pelo script do-backup.sh onde ele acrescenta um "-PRECIS" bocado de texto at o final donome.

Note: Ao fazer alteraes manualmente a qualquer um dos arquivos que foram preservados por fazerbackup.sh, essas alteraes sero perdidas quando do-restore.sh executado. Seria prudente paraapagar (ou salvar uma cpia offline de) o script fazer-restore.sh (e especfico para o sistema veio)uma vez que todas as mudanas tenham sido validados para evitar inadvertidamente, desfazendoas alteraes. O recomendado CIS Benchmark script de backup genrico, o script derestaurao gerado dinamicamente e nico.

Executing ActionsAs aes listadas neste documento so escritas com o pressuposto de que eles sero executados naordem apresentada e, especialmente, devem ser avaliados em um teste / laboratrio sistema representaum sistema como a produo de primeira. Algumas aes podem precisar ser modificadas se a ordem mudada, como todas as possibilidades e combinaes no podem ser antecipados nem exaustivamentetestados. Reparao foi escrito para que o scriptlets podem ser copiados diretamente a partir destedocumento em uma janela do shell de root com um "cut-and-paste" de operao.

possvel que alguns dos "chkconfig" aces, que ativar ou desativar servios, gerar a mensagem:"Erro ao ler informaes sobre o servio : Nenhum tal lima ou diretrio "Essas mensagens sonormais e no so motivo para alarme - eles simplesmente indicar que o programa ou servio que estsendo referenciado no foi instalado na mquina sendo temperado como o Red Hat Enterprise Linux

instalado permite uma grande dose de.. flexibilidade no qual o software escolhido para ser instalado(bem como a resoluo dos bastidores de dependncias), essas mensagens ocorrem em pocas aorealizar algumas tarefas cumprimento Benchmark, e so normais.

1 | Page
http://do-backup.sh/http://do-backup.sh/


19/144


20/144


Coloque este texto como primeira linha no arquivo / root /myscript.sh:#!/bin/bash

Cole os comandos para executar a partir do Benchmark para o arquivo (garantir o scriptlet inteiro para assees aplicveis so copiados intactas). Um mtodo para fazer isso seria ter o valor de referncia de arquivoPDF aberto em uma janela, com uma janela xterm aberta ao lado. Em seguida, basta recortar e colar seesde script do Benchmark diretamente no teste / desenvolvimento / sistema de laboratrio. Para as linhas de

script que termina em uma barra invertida (""), certifique-se que o ltimo caractere na linha dentro doscript. A alimentao de linha deve ser imediatamente segui-lo, sem espaos ou tabs.

Note: Ao colar a partir do Windows ou um Macintosh, tenha cuidado para garantir que o arquivo finaltem um estilo Unix de quebra de linha, ou seja, um nico LF (Line Feed, ASCII 0x10). Arquivoseditados no Windows geralmente tm um CR (Carriage Return, 0x13), seguido de LF (LineFeed, 0x15). Isso causa erros estranhos, incluindo scripts shell que no funcionam, o tpico"Comando no encontrado" erro ocorre porque parece que o script Unix pediu um shell de "# /bin/bash M!", No "#! / bin / bash ".

Para evitar que isso acontea, execute o seguinte:tr -d "\015" < /root/ myscript.sh > /root/ myscriptNEW.sh

mv /root/ myscriptNEW.sh /root/myscript.sh

{Outra alternativa seria a utilizao de "unix2dos", verifique a pgina doman} Uma vez que o script foi salvo, torn-lo executvel com:chmod 0700 /root/ myscript.sh

Se for necessrio, garantir a propriedade de raiz:chown root:root /root/ myscript.sh

Finalmente, embora benfica ao usar o shell bash (ele no obrigatrio) unalias os comandos cp e mv,como alguns comandos Unix durante o endurecimento Benchmark ir sobrescrever arquivos, e pode sersolicitado vrias vezes sobre a substituio destes arquivos:unalias mv cp

Pacote de Instalao de SoftwareAo longo do RHEL5 CIS Benchmark, um SysAdmin encontrar discusses e recomendaes parapermitir scripts de pacotes individuais de software de inicializao usando o comando chkconfig. Issopressupe que o SysAdmin j instalou o referido pacote rpm (s) e, em seguida, apenas se eles so vitaispara satisfazer a misso do sistema particular. CIS recomenda contra a instalao de pacotes frvola ousoftware no crtica necessria para a misso que o sistema serve. CIS recomenda especificamentenenhum pacote ser instalado em sistemas de misso crtica para a convenincia.

Durante o cumprimento Benchmark endurecimento, deve deixar o comando chkconfig, verificar se o

software instalado realmente necessrio (polticas locais e os requisitos da misso sistema geralmenteditam isso) e instalados. Para testar se um *pacote* necessrio, execute:rpm -e --test

Para consultar informaes em um * nomedopacote*, execute:rpm -qi

No h mapeamento direto de um RHEL para * nomedopacote, embora para qualquerservio instalado , Informaes sobre esse *pacote* pode ser obtido pela execuo:

2 | P age
http://myscript.sh/http://myscriptnew.sh/http://myscriptnew.sh/http://myscript.sh/http://myscript.sh/http://myscript.sh/http://myscript.sh/http://myscriptnew.sh/http://myscriptnew.sh/http://myscript.sh/http://myscript.sh/http://myscript.sh/


21/144


rpm -qif /etc/rd.d/init.d/

O comando chkconfig habilita ou desabilita a inicializao do servio na prxima reinicializao,enquanto o comando de servio afeta um servio durante a atual instncia.

Note: Embora chkconfig e servios so complementares na funo, que empregam nicas opes e

argumentos no gerenciamento de servios. Para obter informaes adicionais, examine suas pginas mam.Alm disso, a Red Hat Guia de Implementao fornece instrues sobre os recursos de gerenciamento depacotes, que " encontrada em: http://www.redhat.com/docs/manuals/enterprise

VulnerabilitiesTodo servio instalado no OS RHEL5 tem o potencial de ser um ponto de entrada ilegal em um sistemase (quando?) Que uma vulnerabilidade encontrada. por isso que CIS Benchmarks recomendaespecificamente que todos os servios desnecessrios ser desativados ou removidos, embora no possaser atualmente nenhuma maneira clara de explor-los, e nunca houve um problema com o servio nopassado (uma grama de preveno). Ao permitir um servio desnecessrio continuar a funcionar, existemriscos adicionais de uma vulnerabilidade de ser descoberto e / ou explorada nesse servio no futuro.

O fato de que voc no sabe como explorar um servio ou funcionalidade particular, um argumentoinvlido para saber se ele , ou ser, de fato, vulnervel.

Tomando esta atitude mais um passo ... O pensamento cuidadoso e da considerao deve ser dada aplicao da CIS Benchmarks entre os diversos regimes empregado em qualquer determinadaempresa. Considere o papel do sistema, o nmero de administradores e / ou usurios acessando eprocessos automatizados a nele operar. Menos servios devem ser instalados, muito menos deexecuo, em sistemas de acesso directo Internet. Ao contrrio de sistemas fisicamente isolado emum ambiente de laboratrio de teste que logicamente e fisicamente isolada.

Sempre que possvel, instalar e manter sistemas de consistncia lgica, empregar um nvel adequado de

gerenciamento de configurao, aproveitar a tecnologia de backup estvel, etc O ponto aqui que este valorde referncia focada em endurecimento RHEL slido, embora seja o fim a responsabilidade aos usurios oequilbrio o nvel adequado de endurecimento em toda a empresa com o papel e funo.

SELinuxRed Hat Enterprise Linux 5 faz SELinux disponvel durante a instalao. CIS recomenda para habilitaressa durante a instalao do sistema, especificamente selecionar "Modo de fazer valer" como padro.Esta definio fundamental para o endurecimento do sistema global, dado que emprega os perfis deproteco existentes integrados nesta verso e ativa-los para a proteo dinmica durante a operao dosistema. Mais uma vez, testar isso em um ambiente de laboratrio recomendado em combinao com

aplicaes de misso para validar a funcionalidade esperada.Com este lanamento inicial do Benchmark RHEL5, isto , na medida do SELinux vai ser coberto. CEItem planos para desenvolver e lanar uma atualizao anexo a esta Benchmark RHEL5 que abordaSELinux em grande pormenor. A preocupao que para este Benchmark muitos dos scriptlets criarnovas verses dos arquivos de configurao e, em seguida, mov-los para o local onde o original tinhasido. Muitos desses arquivos tm contextos especficos SELinux que so destrudas pela execuo doscriptlet endurecimento.

3 | P a g e
http://www.redhat.com/docs/manuals/enterprisehttp://www.redhat.com/docs/manuals/enterprise


22/144


- Uma rea a ser includa nesta seco futuro est a tratar da restaurao do contexto SELinux paraos arquivos deste Benchmark modifica. O scriptlet a seguir ilustra o ponto, embora no sejaempiricamente incorporados ao longo do Benchmark.

if [ -x /sbin/restorecon ]; thenrestorecon -v ${file}

fi

Sobre BastilleAs edies anteriores deste CIS Benchmark recomendado, fez uso do e / ou complementado com umsistema temperado Bastille por Jay Beale. Bastille um mtodo (no revisado, nem aprovado pela RedHat) e endurecimento de automatizar algumas aes para o sistema operacional. Esta edio do RHEL5CIS Benchmark centra-se exclusivamente sobre o pedido baseado no consenso padronizadas defortalecimento de segurana para o sistema operacional sem referncia a Bastilha.

Reinicializao NecessriaReiniciando o sistema necessria aps a concluso de todas as aes especificadas no Benchmark, afim de completar a re-configurao do sistema. Em muitos casos, as alteraes feitas nas etapas a seguir

no tero efeito at que a reinicializao executada. Se as atualizaes do sistema operacionalsubstanciais so realizadas aps a carga inicial de OS, o administrador do sistema pode ter que reiniciarmais de uma vez. Verifique o ponto SELinux acima e reiniciar a seo (a 11,8) para informaesadicionais sobre relabeling e reconfigurao necessria para apoiar contextos de segurana SELinuxquando o SELinux est instalado e utilizado.

Limpeza, preparatrio para realizar o restante do Benchmark:Por uma questo de coerncia (e segurana), o uso deste Benchmark pressupe um subdiretrio / tmp criado e com permisses de segurana para prender temporariamente os ficheiros de trabalho emandamento. Este diretrio temporrio deve ser removido no final do processo de endurecimentoBenchmark conformes. estabelecido o seguinte (usando o comando mktemp para evitar condies de

corrida inseguro):tmpcis=`mktemp -d -t cis.XXXXXXXXXX`chown root:root $tmpcischmod 0700 $tmpcis

1 | P age


23/144


PGINA EM BRANCO

2 | P age


24/144


2 Patches, pacotes e bloqueio

inicial

2.1 ltimas Aplicar Patches OS

Description:Desenvolver um procedimento padro para manter-se atualizado com correes de segurana fundamental para a segurana ea confiabilidade do sistema. Vendedores questo atualizaes do sistemaoperacional quando eles se tornam conscientes das vulnerabilidades de segurana e outros problemas defuncionalidade graves, mas cabe aos seus clientes para baixar e instalar estes patches.

Quando a Red Hat publica uma atualizao, eles incluem-lo com os procedimentos para a atualizaodos pacotes. Isso geralmente implica baixar os RPMs novo da Red Hat, e torn-los disponveis para osservidores individuais. Empresas fazem esses pacotes disponveis em um servidor Red Hat satlite, umcompartilhamento NFS, um servidor de FTP interno annimo / servidor HTTP, ou um repositrio yum- a empresa pode seguir esta prtica ou fazer algo inteiramente original / diferente.

A Red Hat oferece download do patch automatizado ea instalao do Internet, atravs do Red Hatyum. Em vez de um local existente Padro da empresa, considere instalar o yum e us-lo em umaprogramao regular, e sempre que a Red Hat anuncia uma vulnerabilidade. Para RHEL5,atualizaes via internet, exigem uma subscrio de suporte vlido.

Se a empresa local tem vrios servidores, considere instalar um Red Hat Satellite Server Update quelocalmente pode ser usado no lugar do Red Hat s servidores yum Internet - as atualizaes seromais rpidos, o uso da banda e muito menos do ISP, e reduzir o carga nos servidores da Red Hat.Quando o yum usada localmente, ele deve ser usado em um servidor de laboratrio e os patchesvalidados ea regresso sistema testado antes de ir viver / sistemas de produo.

Alguns RPMs pode podem ser instalado s antes dos outros. Para a maior parte, RPM entende e resolvedependncias durante a fase de construo do sistema. Red Hat cria instrues especficas para casosespeciais, como a substituio do kernel ou da glibc biblioteca geral C. Examine a lista de atualizaes paraverificar se algum destes casos.

Existe algum risco de usar um non-patched, non-hardened Mquina de fazer download dos patches,que se trata de um sistema de conexo com vulnerabilidades de segurana no resolvido em uma redeconectado Internet, o que no est em conformidade com Melhores Prticas da Indstria. Por favor,considere cuidadosamente essas questes.

Tambm importante observar que as aplicaes de misso funcionar corretamente depois de remendar.Apesar de problemas em manchas so bastante raros no Red Hat Enterprise Linux, geralmenterecomendado que qualquer patch ser implantado em um sistema de produo no-primeiro teste. Depoisque ele passe no teste, depois aplic-lo ao sistema de produo (s).

O Center for Internet Security e Red Hat especificamente incentiva os proprietrios do sistema, namedida do possvel, para atualizar / migrar sistemas para a ltima verso do sistema operacional.Ele ir conter todos os pacotes de fuso / atualizado.

2 | P age


25/144


Correo:Atualizar este sistema por procedimentos de atualizao local da empresa. Isso pode ser feitomanualmente, executando o seguinte comando quando o sistema est conectado Internet (ou yumrepo local):yum update

Outra forte recomendao seria a de simplesmente habilitar o servio yum-updatesd :service yum-updatesd start

chkconfig yum-updatesd on

procedimentos complementares e / ou separados podem ser necessrias para corrigir / atualizar osistema a partir de um servidor Red Hat local por satlite, ou algum outro mtodo que funcional parao ambiente do sistema est dentro

Status Classificao: No injrias quantificveis

2.2 Validar o sistema antes de fazer alteraesDescription:Assegurar que o sistema est funcionando corretamente antes de fazer uma mudana um sistema deadministrao prudente melhores prticas e poupar horas de agravamento. Aplicando esse desempenhopara um sistema que j tem problemas de resoluo de problemas torna muito difcil e pode indicarincorretamente o valor de referncia a culpa.Examine o sistema e logs de aplicativ os (que se encontra dentro de /var/ log). Palavras-chave

para procurar incluem, mas no esto limitados o crit,alert,error,warn .

Estes so os termos de procura, deve o sistema ou um aplicativo us-los, e muitos fazem. Este

um bom lugar para comear.

Correo:

cd /var/logegrep -i "(crit|alert|error|warn) " * | less

Resolver todas as questes antes de

continuar.

Scoring Status : Not Scorable

2.3 Configure SSHDescrio:OpenSSH uma distribuio gratuita do popular padro da indstria protocolos SSH, que se tornou aimplementao de melhores prticas para comunicaes seguras em distribuies Linux. Para obter maisinformaes sobre o OpenSSH, veja http://www.openssh.org .As configuraes nesta seo garantir padres de segurana para ambos o cliente ssh eo servidor SSH.Especificamente, ambos o cliente ssh eo servidor sshd est configurado para usar somente o protocoloSSH 2, de longa data srias vulnerabilidades de segurana foram encontrados no primeiro protocoloSSH. Isso pode causar problemas de compatibilidade com sites ainda utilizam o protocolo SSH 1

3 | P age
http://www.openssh.org/http://www.openssh.org/


26/144


vulnerveis, esses sites devem se esforar para configurar todos os sistemas de utilizar apenas oprotocolo SSH 2 e rapidamente migrar do protocolo SSH 1 .

O script abaixo endurecimento dividido em alteraes aplicveis para o cliente usar para SSH (oprimeiro) e depois o servidor SSH Daemon (SSH). A futura edio do Benchmark vai separar estesdois itens em separado. As opes de SSH que esto endurecidos aqui, so feitas de modo a explicaras suas vrias opes. Por favor, leia as pginas man, uma riqueza de recursos da Internet, e refernciaa AN, conforme identificados no Apndice D.

Some of the entries below duplicate defaults as installed natively by RHEL5. Since these are deemedcritical to protecting system security, they are spelled out here as acceptable default behavior.

Client SSH (ssh config ):- Host ; Inicia uma seo, assim como vrias sees pode existir. Isso indica uma especificao de

host, identificando o host ou hosts as seguintes opes so aplicveis quando se inicia acomunicao SSH.

- Protocol ; A verso mais antiga do protocolo 1 (um) tem importantes vulnerabilidades conhecidase exploits disponveis, portanto no para ser usado. "2" (dois) uma verso mais recente doprotocolo SSH e mais robusto e seguro de usar. Enquanto a verso 1 carece de um mecanismo

forte para garantir a segurana da conexo de comunicao.- Port; Um padro de '22' is recomendado e o padro. Outra porta se pode afirmar aqui e permissvel. No entanto, isso requer uma configurao adicional no ambiente de produo, que estalm do escopo deste Benchmark. Faa isso com cautela.- PubkeyAuthentication ; Public Key Authentication mais forte que a autenticao de senha. Aativao desta (definido como sim) o padro recomendado. Ele exige a criao e troca de pblico eprivado pares de chaves.

Esta entrada agora subordinada a uma questo de nvel de referncia II e no mais umaexigncia . Note: O nativo ssh_config no pode j ter esta includo no arquivo, por padro.

Server SSH (sshd config ):

- Port; mesmo acima .- Protocol ; mesmo que acima.- LogLevel ; Numerosos nveis de log so fornecidos para registrar detalhes cada vez maior de sesses

SSH. Note-se que "DEBUG" no especificamente recomendado que no estritamente paradepurao de comunicao SSH. "INFO" o nvel bsico que ir gravar s de login de usurios SSH."Verbose" ir gravar a atividade de login e logout e o nvel de recomendao mnima Benchmark,embora os nveis mais elevados so aceitveis, dependendo da poltica local / sistema.

- PermitRootLogin ; A resposta segura para isso no. Por padro, os usurios devem acessar osistema com seus prprios privilgios no userID, e quer utilizar o sudo ou o su para root paraexecutar funes administrativas. A preferncia existe, para o sudo.

- RhostsRSAAuthentication ; Esta focado em um protocolo, e deve ser definida para no.- HostbasedAuthentication ; Protocolo n 2 de base e deve ser definida como no. Se fosse ativado,

ele seria menos seguro que o pblico e de uso da chave privada.- IgnoreRhosts ; Ser definido como yes e, portanto, negar o uso de autenticao baseada em host

insegura via arquivos. Rhost.- PasswordAuthentication ; Ser fixada para no negar o uso inseguro de sen has a partir do arquivo /

etc /passwd para usurios autorizados, assim, alavancar a nfase em chaves pblicas / privadas.Esta entrada agora subordinada a uma questo de nvel de referncia II e no mais umaexigncia .

- PermitEmptyPasswords ; Ser configurado para no impedir userids com senhas em branco emque este sistema seja acessado remotamente .

4 | P age


27/144


- Banner ; Sero utilizados, apontando para /etc/issue.net , para fornecer todos os usurios SSH comuma mensagem de autorizao para uso .

Nota: Exibio de um banner autorizao para uso adicionado sshd_config arquivo - esteprocesso de endurecimento vai criar esse banner mais tarde e discutido em detalhe na seco10. Se for decidido optar por no aplicar uma bandeira notific ao, remover a referncia ao

/etc/issue de sshd_config manualmente. Por favor, leia a seo da pgina do homem sobre o usolegal e os benefcios de bandeiras antes de decidir remov-lo.

Pelo menos um non-root user conta deve existir no sistema, para evitar o acesso / conectividadeproblemas uma vez que esta seco do benchmark aplicado e, especialmente, se a gesto /endurecimento-lo remotamente via SSH. No mnimo, o processo seria um dos seguintes:- Para adicionar uma conta de usurio (que ser utilizado para su para acesso administrativo root):useradd

- Estabelecer a senha para o userID, garantindo que compatvel com as regras de complexidade desenha:passwd

- Em seguida, incluir este userID de membros do grupo wheel para que eles possam trocar de usurio(su) para root:usermod -G wheel

Correo:SSH_CONFIG='/etc/ssh/ssh_config'SSHD_CONFIG='/etc/ssh/sshd_config'if [ -e $SSH_CONFIG ]; then

echo "Securing $SSH_CONFIG"grep -v ""Host \*" /etc/ssh/ssh_config-preCIS | grep -v "# Protocol 2,1" \

> $tmpcis/ssh_config.tmpawk '/"#.* Host / { print "Host *"; print "Protocol 2"; next };

/"#.*Port / { print "Port 22"; next };

{ print }' $tmpcis/ssh_config.tmp \> $tmpcis/ssh_config.tmp2

if [ "`egrep -l "Protocol $tmpcis/ssh_config.tmp2`" == "" ]; thenecho 'Protocol 2' >> $tmpcis/ssh_config.tmp2

fi/bin/cp -pf $tmpcis/ssh_config.tmp2 $SSH_CONFIGchown root:root $SSH_CONFIG chmod 0644$SSH_CONFIG echo "diff $SSH_CONFIG-preCIS$SSH_CONFIG"

diff $SSH_CONFIG-preCIS $SSH_CONFIG

elseecho "OK - No $SSH_CONFIG to secure."

fi

if [ -e $SSHD_CONFIG ]; thenecho "Securing $SSHD_CONFIG"# Had to put the " no" in for the RhostsRSAAuthentication source pattern #match, as otherwise the change was taking place twice so the file ended #up with TWO records like that. The " no" pattern made the one unique.# That 2nd record was a combination of comments in the default original file.# Some lines ARE duplicated in the original config file, one is commented# out, the next one isn't.# Also, the spacing below is a little off so lines fit on the page.awk '/"#.*Port / { print "Port 22"; next };

5 | P age
http://issue.net/http://issue.net/http://issue.net/


28/144

CIS Red Hat Enterprise Linux Benchmark, v1.1.2 (2009/06/17)/"#.*Protocol / { print "Protocol 2"; next };/"#.*LogLevel / { print "LogLevel VERBOSE"; next };/"#PermitRootLogin / { print "PermitRootLogin no"; next };

/"#RhostsRSAAuthentication no / { print "RhostsRSAAuthentication no"; next };/"#HostbasedAuthentication / { print "HostbasedAuthentication no"; next };

6 | P age


29/144

CIS Red Hat Enterprise Linux Benchmark, v1.1.2 (2009/06/17)/^#.*IgnoreRhosts / { print "IgnoreRhosts yes"; next };

/^#.*PermitEmptyPasswords / { print "PermitEmptyPasswords no"; next };/^#.*Banner / { print "Banner /etc/ issue.net "; next };

{ print }' /etc/ssh/sshd_config-preCIS \

> $SSHD_CONFIGchown root:root $SSHD_CONFIG chmod 0600$SSHD_CONFIG echo "diff $SSHD_CONFIG-preCIS $SSHD_CONFIG"

diff $SSHD_CONFIG-preCIS $SSHD_CONFIG

elseecho "OK - No $SSHD_CONFIG to secure."

fi

chmod -R 0400 $tmpcis/*unset SSH_CONFIG SSHD_CONFIG CONFIGITEM

Scoring Status : Scorable

2.4 Sistema de Contabilidade HabilitarDescription:sistema de contabilidade um processo opcional que rene dados do sistema de referncia (CPU

utilizao do disco, I / O, etc) a cada 10 minutos, por padro. Os dados podem ser acessados com ocomando sar, ou revendo o relat rio noturno arquivos chamado /var/ log/sa/ sar *. Uma vez que umalinha de base normal para o sistema foi criado, com monitorizao frequente - a atividade noautorizada (crackers de senhas e outros trabalhos da CPU e atividade fora das horas normais de uso)pode ser detectada devido a partidas a partir da curva normal de desempenho do sistema.

Compreensivelmente sistema de contabilidade oferece benefcios a administradores de sistema no que dizrespeito funcionalidade do sistema, o desempenho, a utilizao, etc .. como uma atividade demonitoramento (preveno ou seja, no). Um administrador de sistema ir us-lo para manter o controlesobre o quo bem um sistema est funcionando, e / ou rever a histria como uma parte normal de suarotina. Quando ocorrem anormalidades aqui, pode ser uma mudana compreensvel, ou um out-of-bandindicador de que alguma atividade maliciosa tenha tido lugar. Portanto, esta funo pode no suportar aauditoria normal (ou seja, auditd) suplant-lo.

Nota: Por padro, esses dados so arquivados por apenas uma semana antes de ser removidoautomaticamente pelo cron job regular noturno. Os administradores podem desejar,independentemente de arquivo /var/log/ sa em uma base regular para preservar os dados porlongos perodos.

altamente recomendvel para iniciar uma poltica regular e processo para utilizar e analisar osdados de contabilidade do sistema para monitorar a atividade do sistema e impedir ocomprometimento.

Correo:

Instale sysstat pacote.yum install sysstat

As ferramentas fornecidas incluem sar e

iostat.


2 | P a g e
http://issue.net/http://issue.net/


30/144


31/144


PGINA EM BRANCO

5 | P age


32/144


3 Minimizar xinetd servios

de rede 3.1 Desabilitar servios

Standard

Description:

No Linux , inetd esta ultrapassado e deve ser substituido por xinetd como padro networksuperserver.xinetd j no instalado automaticamente, porm est disponvel para instalao a partir da mdia original.rpcbind, por exemplo , pode executar sem precisar xinetd. Red Hat Enterprise Linux continua a Red Hat atradio de ter xinetd disponvel para alguns dos servios ultrapassada e obsoleta, embora est chegando aoponto de ser substitudo. O CIS Benchmarks recomendar interromper o seu uso o mais rapidamentepossvel.

Nota: Nem todos esses servios so precrios, nem algumas delas prontas alternativas seguras .

3.1t - Tabela de servios xinetd (em geral, o uso destes foramreprovados)

// table current as of RHEL5.2 // {2009/03/17} Default State CIS Benchmark

xinetd Service Name (from Red Hat) Recommendation

1 amanda off off

2 amandaidx off off

3 amidxtape off off

4 auth off off

5 chargen-dgram off off

6 chargen-stream off off

7 cvs off off

8 daytime-dgram off off

9 daytime-stream off off

10 discard-dgram off off

11 discard-stream off off

12 echo-dgram off off

13 echo-stream off off

14 eklogin off off

15 ekrb5-telnet off off

16 gssftp off off

17 klogin off off

18 krb5-telnet off off

19 kshell off off

20 ktalk off off

21 ntalk off off

22 rexec off off 23 rlogin off off

24 rsh off off

25 rsync off off

26 talk off off

27 tcpmux-server off off

28 telnet off off

29 tftp off off

30 time-dgram off off

31 time-stream off off

1 | P age


33/144


32 uucp off off

2 | P age


34/144


Descrio (continuao):O estoque inetd e xinetd configuraes ter comeado melhor e melhor com cada verso principal nosltimos anos. Em 1999, na poca do Red Hat 5.2 (isso foi muito antes RHEL 5.2), as distribuiesoferecidos muitos servios que eram raramente usados ou para as quais existem alternativas maisseguras. Aps ativar o SSH, possvel acabar com todos os servios xinetd-based, j que o SSH forneceum mecanismo seguro de login e um meio de transferir arquivos de e para o sistema. O endurecimentoabaixo ir desativar todos os servios padro normalmente habilitado na configurao do Red Hat xinetd.

Ao executar esses comandos, um ou mais erros como este pode ser exibida:error reading information on service xxx: No such file or directory

Isto perfeitamente aceitvel, pois tudo isso significa o software para que o servio no foi instalado.O restante das aes nesta seo do ao administrador a opo de reativar a determinados servios. Aoinvs de desativar e depois reativar esses servios, administradores experientes pode querersimplesmente desabilitar somente os servios que eles conhecem so desnecessrias para os seussistemas. Um tamanho no serve a todos --- portanto, nem todos os servios devem ter a mesmaconfigurao em todos os sistemas em qualquer determinada empresa. Se houver qualquer dvida, melhor para tudo o que desativar, em seguida, reabilitar um a um os servios necessrios baseada nafuno do servidor.

Correo:for SERVICE in \

amanda \chargen \chargen-udp \cups \cups-lpd \daytime \daytime-udp \echo \echo-udp \eklogin \ekrb5-telnet \finger \gssftp \imap \imaps \ipop2 \ipop3 \klogin \krb5-telnet \

kshell \ktalk \ntalk \rexec \rlogin \rsh \

rsync \talk \tcpmux-server \telnet \tftp \time-dgram \time-stream \uucp;

3 | P age


35/144

CIS Red Hat Enterprise Linux Benchmark, v1.4.2 (2009/06/17)if [ -e /etc/xinetd.d/$SERVICE ]; then

echo "Disabling SERVICE($SERVICE) - `ls -la /etc/xinetd.d/$SERVICE`."chkconfig ${SERVICE} off

elseecho "OK. SERVICE doesn't exist on this system ($SERVICE)."

fi

done


3.2 Configurar o TCP Wrappers e Firewall para limitar o acesso

Descrio:Question:Existe uma razo para permitir acesso ilimitado rede a este servidor ?Se a resposta a esta pergunta no, ento, realizar a correo. TCP Wrappers e Host-Based Firewallsso apresentados juntos, como eles so semelhantes e complementares em termos de funcionalidade.

TCP WrappersAo limitar o acesso ao servidor, a exposio a ameaas de ataques em sistemas remotos reduzida. Para

os servidores conectados Internet que prestam servio a toda a Internet, limitando o acesso no podefazer sentido. servidores de intranet, servidores de acesso limitado, e estaes de trabalho devem limitar oacesso a redes apenas autorizado. Para mostrar que os servios so compilados com o suporte atcpwrappers includos, faa o seguinte:egrep libwrap /sbin/* /usr/sbin/* | sort

Muitos daemons (SSH por exemplo) so compilados com suporte TCP Wrapper built-in, por isso use/etc/hosts.allow e/etc/hosts.deny para limitar o acesso SSH para os sistemas. O daemonportmap tambm usa o TCP wrappers e h uma nota especfica para este efeito no padro TCP wrappersarquivos de configurao.

Nota: importante estar ciente de que o TCP wrappers olha hosts.allow primeiro , em seguida,hosts.deny ,e controles de acesso baseado no primeiro jogo. Omitir entradas hosts.allow enegar acesso a ALL em hosts.deny ,Resultar em todos os acessos sendo bloqueado para todosos clientes da rede.

Firewalls baseados em hostHost-based firewalls ( tambm conhecido como firewalls pessoais) Tm os seguintes benefcios:Proteo de sistemas comprometidos da rede local;Defesa em profundidade, onde o invasor precisa superar tanto o firewall nas fronteiras e de firewallbaseado em host para atacar um sistema, extremamente fino controle atento sobre o que os sistemaspodem ou no acessar o sistema. O Center for Internet Security recomenda a instalao de um firewallbaseado em host em estaes de trabalho, e sugere que os utilizadores finais considerar a instalao em

servidores tambm.As estaes de trabalho so definidos como sistemas Red Hat Linux, que no oferecem servios a qualquerrede externa ou sistema. Por exemplo, uma estao de trabalho que est executando o Apache e servindode contedo para o segmento de rede local no uma estao de trabalho.

firewalls baseados em host esto disponveis no iptables (instalado por padro) ou atravs de outrasofertas comerciais. O Center for Internet Security no faz recomendaes para um fornecedor ou atmesmo uma configurao de firewall especficas, como firewalls so muito complexas . Livros inteirosforam escritos sobre iptables e so fora do mbito do presente Referencial. O padro do Red Hat

4 | P a g e


36/144


configurao do iptables apropriada para estaes de trabalho e um bom ponto de partida para osservidores. O Center for Internet Security no recomendamos o uso de uma ferramenta (grfica ou baseadaem texto) para configurar o firewall iptables, como configurao de regra de manual extremamentesuscetvel a erros e voc pode acabar com uma falsa sensao de segurana e ter um sistema menos seguro .A ferramenta padro do sistema para configurar o firewall iptables-base system-config-securitylevel . Esta simples ferramenta permite ao administrador gerenciar (licena ou negar) asligaes via alguns servios. Por padro, o SSH o nico servio habilitado, quando esta utilizada.

Veja os seguintes recursos iptables:Web-Based:Linux Design Tool Firewall -http://linux-firewall-tools.com/linux/firewall/index.html

Package-Based:FireHOL - http://firehol.sourceforge.netFirewall Builder - http://sourceforge.net/projects/fwbuilderGuardDog - http://www.simonzone.com/software/guarddog

Note: Incluso de uma ferramenta desta lista no um endosso ou recomendao por parte daCenter for Internet Security.

Correo:

Note: Positivamente garantir o acesso remoto ao sistema permitido, antes de configurar e implementarregra deny-access . Complete ambas as partes desta seo .

TCP WrappersPara permitir o acesso das redes autorizadas, consulte o man page hosts.allow e introduzir o servio ea rede em /etc/hosts.allow . No mnimo, permitir o trfego de localhost . O script a seguir criar umaamostra hosts.allow arquivo que ir permitir o acesso s redes conectado localmente. Adapte este deforma a limitar o trfego para apenas o que apropriado para a rede.

printf "ALL: localhost" >> /etc/hosts.allowfor I in `ifconfig | grep "inet addr" | cut -f2 -d: | cut -f1-3 -d"." \

| grep -v ^127 | sort -n

do

echo "Adding (, $I) to /etc/hosts.allow."printf ", $I." >> /etc/hosts.allow;

doneecho >> /etc/hosts.allowchown root:root /etc/hosts.allow chmod 0644/etc/hosts.allow echo "diff /etc/hosts.allow-preCIS /etc/hosts.allow"

diff /etc/hosts.allow-preCIS /etc/hosts.allow

Nota: O roteiro acima assume uma mscara de 255.255.255.0 . Se o sistema est sendo trabalhadodentro de um contexto de rede diferente, em seguida, ajuste /etc/hosts.allow para o ambiente.

Note: O script acima ignora redes IPv6. endurecimento adicional necessrio para qualquer sistema ourede, que exige o IPv6. A orientao SNAC da NSA (Referncia G, no Anexo D) tem umaexcelente cobertura do IPv6 protees para RHEL5. O IPv6 ativado por padro no RHEL5. Paradesativar o IPv6 , adicionar "install ipv6 /bin/true " no arquivo

5 | P a g e
http://linux-firewall-tools.com/linux/firewall/index.htmlhttp://firehol.sourceforge.net/http://sourceforge.net/projects/fwbuilderhttp://www.simonzone.com/software/guarddoghttp://linux-firewall-tools.com/linux/firewall/index.htmlhttp://firehol.sourceforge.net/http://sourceforge.net/projects/fwbuilderhttp://www.simonzone.com/software/guarddog


37/144


"/etc/modprobe.d/blacklist , j que ir evitar que o mdulo ipv6 de carregamento .

A seguir, um roteiro alternativo para chegar s redes correto para o arquivo hosts.allow :for I in `route -n | tail -n +3 | sed -e 's/ */ /g'| cut -f1,3 -d ' ' \

--output-delimiter=/ | grep -vE " ^(0|169)" | sort -n`; doprintf ", $I" >> /etc/hosts.allow;

doneecho >> /etc/hosts.allow

chown root:root /etc/hosts.allow chmod 0644/etc/hosts.allow echo "diff /etc/hosts.allow-preCIS /etc/hosts.allow"

diff /etc/hosts.allow-preCIS /etc/hosts.allow

Negar acesso a este servidor de todas as redes:xyz="`tail -1 /etc/hosts.deny`" if[ "$xyz" != "ALL: ALL" ]; then

# Only make the change onceecho "ALL: ALL" >> /etc/hosts.deny

fichown root:root /etc/hosts.denychmod 0644 /etc/hosts.deny

echo "diff /etc/hosts.deny-preCIS /etc/hosts.deny"diff /etc/hosts.deny-preCIS /etc/hosts.deny

Reveja o resultado no arquivo /etc/hosts.allow para garantir que ele atenda s necessidades deaplicaes de misso. Teste a configurao, o login remotamente.

Recomenda-se ainda personalizar / endurecer a configurao do sistema, embora isso no est aindaincludo na pontuao. Por exemplo, se a exigncia para garantir que apenas um endereo IP192.168.50.4, pode acessar o SSH no servidor em 192.168.50.2, siga o exemplo abaixo.Alterar /etc/hosts.allow a partir de :ALL: localhost, 192.168.50.2/255.255.255.0

para:sshd : 192.168.50.4ALL EXCEPT sshd: localhost, 192.168.50.4/255.255.255.255

Uma maior personalizao do TCP Wrappers est alm do escopo deste

Benchmark. Scoring Status : Scorable

3.3 S Habilitar telnet Se for absolutamente necessrio

Description:Pergunta:

Existe uma razo de misso crtica que requer que os usurios acessem o sistema via telnet, ao invsdo protocolo SSH mais seguro?Se a resposta a esta pergunta sim, em seguida, executar a reparao.

6 | P a g e


38/144


telnet utiliza um protocolo de rede sem criptografia, o que significa que os dados da sesso de login(como senhas e todos os outros dados transmitidos durante a sesso) pode ser roubado por espies narede, e tambm que a sesso pode ser seqestrado por estranhos para ganhar acesso ao sistema remoto.

Os utilitrios disponveis gratuitamente SSH que vm com o Red Hat Enterprise Linux ( vejahttp://www.openssh.com ) fornecer os logins de rede criptografadas e deve ser utilizado .

Para auxiliar na migrao para o SSH, que um cliente SSH livremente d isponvel para o Windowschamado putty , que est disponvel a partir de Simon Tatham (vejahttp://www.chiark.greenend.org.uk/~sgtatham/putty) .Alm disso, existem inmeras vivel de fonte abertae comercialmente suportada clientes SSH tambm - verificar se a empresa local j tem uma empresacliente SSH.

Algumas empresas esto usando telnet sobre SSL, entretanto, a soluo mais simples e mais normal usar o SSH. Configurando telnet sobre SSL est alm do alcance de um nvel de referncia 1 e no serabordada aqui.

Entende-se que as grandes empresas profundamente enraizada na utilizao telnet , pode demorar umesforo considervel na migrao de telnet para ssh , assim telnet poder ter de ser activado.Quando ela pode ser desativada, basta executar chkconfig telnet off para deslig-lo novamente.

Esta pontuao Benchmark telnet como um fracasso, quando

ele est ativo

. Correo:

chkconfig telnet on


3.4 S Ativar FTP, se for absolutamente necessrioDescrio:Question:

A mquina um servidor de FTP, ou h uma razo de misso crtica por que os dados devem sertransferidos para e deste sistema atravs de um servidor FTP, ao invs de sftp ou scp?

Se a resposta a esta pergunta sim, em seguida, executar a reparao.

Note: Red Hat mudou de distribuio wu-ftpd para vsftpd RHEL2.1 aps foi liberado. Por razes desegurana, bem como a coerncia com as futuras verses do Red Hat, considere a substituio wu-ftpd

com vsftpd.vsftpd est disponvel no Red Hat Enterprise Linux e distribuio de mdia o padro,totalmente suportado ftp daemon para RHEL5.

Gosto telnet , o ftp protocolo no criptografado, o que significa as senhas e outros dados transmitidosdurante a sesso pode ser capturado por sniffing da rede, e que o ftp sesso propriamente dita pode serseqestrado por um invasor externo. Annimo ftp servidores so comuns para a prestao de descargarpida e fcil de arquivos disponveis publicamente, no entanto o acesso annimo deve ser configuradopara no permitir upload de arquivos para o ftp server. ftp servidores tambm so comumente usadospara os servidores da Web, mas deve ser substitudo por sftp, se possvel. ftp / sftp acesso deve ser

7 | P a g e
http://www.openssh.com/http://www.chiark.greenend.org.uk/~sgtatham/putty)http://www.openssh.com/http://www.chiark.greenend.org.uk/~sgtatham/putty)


39/144


enjaulado para incluir o documento raiz do site ou a parte do site que o indivduo responsvel. Claro, oacesso ao

os arquivos de configurao do sistema e arquivos de outros web deve ser excluda do ambiente dechroot. Isto especialmente importante se houver vrios sites.

SSH oferece dois diferentes mecanismos de transferncia de ficheiros encriptados - scp e sftp - De que

deve ser usado em vez do vanilla ftp client. Mesmo se ftp necessrio, considere exigir que osusurios no-annima sobre o sistema para transferir arquivos via SSH protocolos baseados. Para maisinformaes sobre a restrio ftp acesso ao sistema, consulte a seo 8.2 abaixo.

Note: Qualquer diretrio gravvel por um servidor de ftp annimo deve ter sua prpria partio. Issoajuda a evitar um servidor ftp de encher um disco rgido usado por outros servios.

Para auxiliar na migrao de distncia ftp , h uma srie de scp livremente disponveis e cliente de SFTPpara Windows, como o FileZilla em http://sourceforge.net/projects/filezilla e WinSCP disponvel apartir de http://winscp.sourceforge.net/eng/index.php que prev uma interface grfica para a massa, epscp, que uma parte do pacote mencionado anteriormente putty.

Algumas empresas esto usando o ftp sobre SSL, entretanto, a soluo mais simples e mais normal usar sftp. Configurando ftp sobre SSL, bem como demonstrar como utilizar sftp, est alm do escopo deum um nvel de referncia e no ser abordada aqui.

Correo:chkconfig --levels 35 vsftpd on


3.5 S Habilitar rlogin / rcp / rsh, se absolutamente necessrio

Description:

Os r-comandos sofrem do mesmo seqestro e cheirando questes como telnet e FTP, e alm dissotem uma srie de deficincias conhecidas em seu sistema de autenticao. SSH foi concebido para serum substituto para estes protocolos. Dada a ampla disponibilidade de implementaes livres SSH,parece improvvel que h sempre um caso em que essas ferramentas no podem ser substitudos comSSH (novamente, consultehttp://www.openssh.com ).

Se estes protocolos so deixados ativado, por favor consulte tambm a seo 8.1 paraconfiguraes adicionais de segurana.

Correo:Pergunta:Existe uma razo de misso crtica porque rlogin / rcp / rsh deve ser utilizado ao invs do ssh maisseguro / scp? Se a resposta a esta pergunta sim, em seguida, executar a reparao.chkconfig login onchkconfig rlogin onchkconfig rsh onchkconfig shell on


8 | P a g e
http://sourceforge.net/projects/filezillahttp://winscp.sourceforge.net/eng/index.phphttp://www.openssh.com/http://sourceforge.net/projects/filezillahttp://winscp.sourceforge.net/eng/index.phphttp://www.openssh.com/


40/144

3.6 S Habilitar Servidor TFTP, se for absolutamente necessrioDescrio:TFTP normalmente utilizado para o arranque pela rede de estaes de trabalho sem disco, terminaisX e outros dispositivos similares. Roteadores e outros dispositivos de rede pode copiar dados deconfigurao para sistemas remotos via TFTP para backup. No entanto, a menos que este sistema necessrio em um desses papis, o melhor deixar o servio TFTP com deficincia.

Nota: O software servidor de TFTP no instalado por padro no Red Hat Enterprise Linux. Deveser seleccionados manualmente para a instalao de us-lo. Aps instal-lo, execute as aes abaixo.

Correo:Pergunta:Este sistema um servidor de boot ou existe algum outro motivo de misso crtica porque os dadosdevem ser transferidos de e para este sistema via TFTP?Uma possibilidade um sistema utilizado para servir OS constri atravs da rede, atravs do RedHat pxeboot e anaconda / kickstart. Nesse caso, o servio tftp necessrio para carregar o PXEinicial da imagem de boot atravs da rede.

Se a resposta a esta pergunta sim, em seguida, executar a reparao.chkconfig tftp onif [ -e "/tftpboot" I ; then

chown -R root:root /tftpbootchmod -R 0744 /tftpboot

elsemkdir -m 0744 /tftpboot && chown root:root /tftpboot

fi



9 | P a g e


41/144

4 Minimize servios de boot

A tabela a seguir ilustra cada um dos servios potencialmente disponveis, de forma n ativa, dentroRHEL5. As primeiras nove (9) colunas descrevem o servio, pelo nome e o estado padro por nvel deexecuo, conforme distribudo pela Red Hat. As prximas duas linhas mostram o CIS Benchmarkrecomendao para os nveis de execuo 3 e 5, os modos multi-usurio para o modo texto e ambientegrfico, respectivamente. Esta tabela de contas de servios disponveis nativamente atravs da liberao

de 5,1 --- e est sujeita a alteraes em futuras edies, distribudo pela Red Hat. Os servios sorecomendados para ser um dos trs estados: "ON" (ou seja, fornece uma funo essencial), "OFF" (ouseja, recom

Date post:	06-Apr-2018
Category:	Documents
Upload:	claudemir-de-almeida-rosa
View:	214 times
Download:	0 times

CIS_RHEL_5.0-5.1_Benchmark_v1.1.2_0001

Documents