Bonnes pratiques de sécurité pour Amazon Inspector Classic

Moyenne

Votre objectif d'évaluation comprend une instance EC2 qui est configurée pour autoriser les utilisateurs à se connecter à l'aide des informations d'identification du compte racine via SSH. Cela augmente la probabilité d'une attaque en force réussie.

Nous vous recommandons de configurer votre instance EC2 pour empêcher les connexions de compte racine via SSH. Il est préférable de vous connecter en tant qu'utilisateur non-racine et d'utiliser sudo pour augmenter les privilèges si nécessaire. Pour désactiver les connexions de compte racine via SSH, réglez PermitRootLogin sur no dans le fichier /etc/ssh/sshd_config, puis redémarrez sshd.

Moyenne

Votre objectif d'évaluation comprend une instance EC2 qui est configurée pour prendre en charge SSH-1, qui comporte des défauts de conception inhérents réduisant considérablement sa sécurité.

Nous vous recommandons de configurer les instances EC2 de votre objectif d'évaluation pour qu'elles prennent en charge uniquement SSH-2 et ses versions ultérieures. Pour OpenSSH, vous pouvez aboutir à cela en définissant Protocol 2 dans le fichier /etc/ssh/sshd_config. Pour plus d'informations, consultez man sshd_config.

Moyenne

Votre objectif d'évaluation comprend une instance EC2 qui est configurée pour prendre en charge l'authentification par mot de passe via SSH. L'authentification par mot de passe est susceptible de faire l'objet d'attaques en force et doit donc être désactivée au profit de l'authentification basée sur des clés dans la mesure du possible.

Nous vous recommandons de désactiver l'authentification par mot de passe via SSH dans vos instances EC2 et d'activer la prise en charge de l'authentification basée sur des clés à la place. Cela réduit considérablement la probabilité d'une attaque en force réussie. Pour plus d'informations, consultez https://aws.amazon.com/articles/1233/. Si l'authentification par mot de passe est prise en charge, il est important de limiter l'accès au serveur SSH aux adresses IP autorisées.

Moyenne

Votre objectif d'évaluation comprend une instance EC2 pour laquelle l'âge maximal des mots de passe n'est pas configuré.

Si vous utilisez des mots de passe, nous vous recommandons de configurer l'âge maximal des mots de passe pour toutes les instances EC2 de votre objectif d'évaluation. Cela impose aux utilisateurs de modifier régulièrement leurs mots de passe et cela réduit les risques d'attaque réussie de découverte du mot de passe. Afin de résoudre ce problème pour les utilisateurs existants, utilisez la commande chage. Afin de configurer l'âge maximal des mots de passe pour tous les futurs utilisateurs, modifiez le champ PASS_MAX_DAYS du fichier /etc/login.defs.

Moyenne

Votre objectif d'évaluation comprend une instance EC2 pour laquelle la longueur minimale des mots de passe n'est pas configurée.

Si vous utilisez des mots de passe, nous vous recommandons de configurer la longueur minimale des mots de passe pour toutes les instances EC2 de votre objectif d'évaluation. L'application d'une longueur minimale des mots de passe réduit le risque d'attaque réussie de découverte du mot de passe. Pour ce faire, utilisez l'option suivante du.pwquality.confdans le fichier: minlen. Pour plus d'informations, consultez.https://linux.die.net/man/5/pwquality.conf.

Sipwquality.confn'est pas disponible sur votre instance, vous pouvez définir la valeur du.minlenà l'aide de l'optionpam_cracklib.somodule. Pour plus d'informations, consultez man pam_cracklib.

LeminlenCette option doit être définie sur 14 ou plus.

Moyenne

Aucun mécanisme de complexité des mots de passe ni aucune restriction n'est configuré pour les instances EC2 de votre objectif d'évaluation. Cela permet aux utilisateurs de définir des mots de passe simples, ce qui augmente les risques que des utilisateurs non autorisés accèdent aux comptes et les utilisent à mauvais escient.

Si vous utilisez des mots de passe, nous vous recommandons de configurer toutes les instances EC2 de votre objectif d'évaluation pour qu'elles exigent un certain niveau de complexité des mots de passe. Pour ce faire, vous pouvez utiliser les options suivantes dans le fichier pwquality.conf : lcredit, ucredit, dcredit et ocredit. Pour plus d'informations, consultez https://linux.die.net/man/5/pwquality.conf.

Si pwquality.conf n'est pas disponible sur votre instance, vous pouvez définir les options lcredit, ucredit, dcredit et ocredit à l'aide du module pam_cracklib.so. Pour plus d'informations, consultez man pam_cracklib.

La valeur attendue pour chacune de ces options est inférieure ou égale à -1, comme indiqué ci-dessous :

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

De plus, l'option remember doit être définie sur 12 ou plus. Pour plus d'informations, consultez man pam_unix.

Moyenne

L'ASLR n'est pas activée pour une instance EC2 de votre objectif d'évaluation.

Pour améliorer la sécurité de votre objectif d'évaluation, nous vous recommandons d'activer l'ASLR sur les systèmes d'exploitation de toutes les instances EC2 de votre objectif en exécutant la commandeecho 2 | sudo tee /proc/sys/kernel/randomize_va_space.

Moyenne

La DEP n'est pas activée pour une instance EC2 de votre objectif d'évaluation.

Nous vous recommandons d'activer la DEP sur les systèmes d'exploitation de toutes les instances EC2 de votre objectif d'évaluation. L'activation de la DEP protège vos instances contre les risques de sécurité à l'aide des techniques de dépassement de mémoire tampon.

Élevée

Une instance EC2 de votre objectif d'évaluation contient un répertoire système qui est accessible en écriture par les utilisateurs non-racine.

Afin d'améliorer la sécurité de votre objectif d'évaluation et d'empêcher l'escalade des privilèges par des utilisateurs locaux malveillants, configurez tous les répertoires système de toutes les instances EC2 de votre cible de telle manière qu'ils ne soient accessibles en écriture que par les utilisateurs qui se connectent à l'aide des informations d'identification du compte racine.