Menonaktifkan login root melalui SSH Mendukung SSH versi 2 saja Menonaktifkan autentikasi kata sandi Melalui SSH Mengonfigurasi usia maksimum kata sandi Mengonfigurasi panjang minimum kata sandi Mengonfigurasi kompleksitas kata sandi Mengaktifkan ASLR Mengaktifkan DEP Mengonfigurasi izin untuk direktori sistem

Praktik terbaik keamanan untuk Amazon Inspector Classic

Gunakan aturan Amazon Inspector Classic untuk membantu menentukan apakah sistem Anda dikonfigurasi dengan aman.

penting

Saat ini, Anda dapat menyertakan dalam target penilaian instans EC2 yang menjalankan baik sistem operasi berbasis Linux ataupun berbasis Windows.

Selama menjalankan penilaian, aturan yang dijelaskan dalam bagian ini menghasilkan temuan hanya untuk instans EC2 yang menjalankan sistem operasi berbasis Linux. Aturan tidak menghasilkan temuan untuk instans EC2 yang menjalankan sistem operasi berbasis Windows.

Untuk informasi selengkapnya, lihat Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung.

Topik

Menonaktifkan login root melalui SSH
Mendukung SSH versi 2 saja
Menonaktifkan autentikasi kata sandi Melalui SSH
Mengonfigurasi usia maksimum kata sandi
Mengonfigurasi panjang minimum kata sandi
Mengonfigurasi kompleksitas kata sandi
Mengaktifkan ASLR
Mengaktifkan DEP
Mengonfigurasi izin untuk direktori sistem

Aturan ini membantu menentukan apakah daemon SSH dikonfigurasi untuk mengizinkan masuk ke instans EC2 Anda sebagai root.

Kepelikan: Medium
Temuan: Ada instans EC2 dalam target penilaian Anda yang dikonfigurasi untuk memungkinkan pengguna untuk masuk ke kredensial root melalui SSH. Hal ini meningkatkan kemungkinan serangan brute-force yang sukses.
Resolusi: Kami merekomendasikan Anda untuk mengonfigurasi instans EC2 Anda untuk mencegah login akun root melalui SSH. Alih-alih, masuklah sebagai pengguna non-root dan gunakan sudo untuk meningkatkan hak istimewa bila diperlukan. Untuk menonaktifkan login akun root SSH, atur PermitRootLogin ke no di file /etc/ssh/sshd_config, lalu mulai ulang sshd.

Mendukung SSH versi 2 saja

Aturan ini membantu menentukan apakah instans EC2 Anda dikonfigurasi untuk mendukung protokol SSH versi 1.

Kepelikan: Medium
Temuan: Instans EC2 dalam target penilaian Anda dikonfigurasi untuk mendukung SSH-1, yang berisi kekurangan desain inheren yang sangat mengurangi keamanannya.
Resolusi: Kami merekomendasikan Anda mengonfigurasi instans EC2 dalam target penilaian Anda untuk mendukung hanya SSH-2 dan yang lebih baru. Untuk OpenSSH, Anda bisa mencapainya dengan mengatur Protocol 2 di file /etc/ssh/sshd_config. Untuk informasi selengkapnya, lihat man sshd_config.

Menonaktifkan autentikasi kata sandi Melalui SSH

Aturan ini membantu menentukan apakah instans EC2 Anda dikonfigurasi untuk mendukung autentikasi kata sandi melalui protokol SSH.

Kepelikan: Medium
Temuan: Instans EC2 dalam target penilaian Anda dikonfigurasi untuk mendukung autentikasi kata sandi melalui SSH. Autentikasi kata sandi rentan terhadap serangan brute-force dan harus dinonaktifkan untuk mendukung autentikasi berbasis kunci jika memungkinkan.
Resolusi: Kami merekomendasikan Anda menonaktifkan autentikasi kata sandi melalui SSH pada instans EC2 Anda dan mengaktifkan dukungan untuk autentikasi berbasis kunci sebagai gantinya. Hal ini secara signifikan mengurangi kemungkinan serangan brute-force yang berhasil. Untuk informasi selengkapnya, lihathttps://aws.amazon.com/articles/1233/. Jika autentikasi kata sandi didukung, penting untuk membatasi akses ke server SSH ke alamat IP tepercaya.

Mengonfigurasi usia maksimum kata sandi

Aturan ini membantu menentukan apakah usia maksimum untuk kata sandi dikonfigurasi pada instans EC2 Anda.

Kepelikan: Medium
Temuan: Instans EC2 dalam target penilaian Anda tidak dikonfigurasi untuk usia maksimum untuk kata sandi.
Resolusi: Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi usia maksimum untuk kata sandi pada semua instans EC2 di target penilaian Anda. Hal ini mengharuskan pengguna untuk secara teratur mengubah kata sandi mereka dan mengurangi kemungkinan serangan menebak kata sandi yang sukses. Untuk memperbaiki masalah ini bagi pengguna yang sudah ada, gunakan perintah chage. Untuk mengonfigurasi usia maksimum untuk sandi untuk semua pengguna di masa mendatang, edit bidang PASS_MAX_DAYS di file /etc/login.defs.

Mengonfigurasi panjang minimum kata sandi

Aturan ini membantu menentukan apakah panjang minimum untuk kata sandi dikonfigurasi pada instans EC2 Anda.

Kepelikan

Medium

Temuan

Instans EC2 dalam target penilaian Anda tidak dikonfigurasi untuk panjang minimum untuk kata sandi.

Resolusi

Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi panjang minimum untuk kata sandi pada semua instans EC2 di target penilaian Anda. Mengatur panjang minimum kata sandi mengurangi risiko serangan menebak kata sandi yang sukses. Anda dapat melakukan ini dengan menggunakan opsi berikut dipwquality.confberkas: minlen. Untuk informasi selengkapnya, lihathttps://linux.die.net/man/5/pwquality.conf.

Jika pwquality.conf tidak tersedia pada instans Anda, Anda dapat mengatur opsi minlen menggunakan modul pam_cracklib.so. Untuk informasi selengkapnya, lihat man pam_cracklib.

Opsi minlen harus diatur ke 14 atau lebih besar.

Mengonfigurasi kompleksitas kata sandi

Aturan ini membantu menentukan apakah mekanisme kompleksitas kata sandi dikonfigurasi pada instans EC2 Anda.

Kepelikan

Medium

Temuan

Tidak ada mekanisme kompleksitas atau pembatasan kata sandi dikonfigurasi pada instans EC2 di target penilaian Anda. Hal ini memungkinkan pengguna untuk mengatur kata sandi sederhana, yang meningkatkan kemungkinan pengguna tidak sah mendapatkan akses dan menyalahgunakan akun.

Resolusi

Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi semua instans EC2 di target penilaian Anda untuk memerlukan tingkat kompleksitas sandi. Anda dapat melakukan ini dengan menggunakan opsi berikut di file pwquality.conf: lcredit, ucredit, dcredit, dan ocredit. Untuk informasi lebih lanjut, lihat https://linux.die.net/man/5/pwquality.conf .

Jika pwquality.conf tidak tersedia pada instans Anda, Anda dapat mengatur opsi lcredit, ucredit, dcredit, dan ocredit menggunakan modul pam_cracklib.so. Untuk informasi selengkapnya, lihat man pam_cracklib.

Nilai yang diharapkan untuk masing-masing pilihan ini kurang dari atau sama dengan -1, seperti yang ditunjukkan di bawah ini:

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

Selain itu,opsi remember harus diatur ke 12 atau lebih besar. Untuk informasi selengkapnya, lihat man pam_unix.

Mengaktifkan ASLR

Aturan ini membantu menentukan apakah pengacakan tata letak ruang alamat (ASLR) diaktifkan pada sistem operasi instans EC2 di target penilaian Anda.

Kepelikan: Medium
Temuan: Instans EC2 dalam target penilaian Anda tidak memiliki ASLR aktif.
Resolusi: Untuk meningkatkan keamanan target penilaian Anda, kami merekomendasikan Anda mengaktifkan ASLR pada sistem operasi dari semua instans EC2 di target Anda dengan menjalankan echo 2 | sudo tee /proc/sys/kernel/randomize_va_space.

Mengaktifkan DEP

Aturan ini membantu menentukan apakah Pencegahan Eksekusi Data (DEP) diaktifkan pada sistem operasi dari instans EC2 di target penilaian Anda.

catatan

Aturan ini tidak didukung untuk instans EC2 dengan prosesor ARM.

Kepelikan: Medium
Temuan: Instans EC2 dalam target penilaian Anda tidak memiliki DEP aktif.
Resolusi: Kami merekomendasikan agar Anda mengaktifkan DEP pada sistem operasi dari semua instans EC2 dalam target penilaian Anda. Mengaktifkan DEP melindungi instans Anda dari bahaya keamanan menggunakan teknik buffer-overflow.

Mengonfigurasi izin untuk direktori sistem

Aturan ini memeriksa izin pada direktori sistem yang berisi biner dan informasi konfigurasi sistem. Ia memeriksa bahwa hanya pengguna root (pengguna yang masuk menggunakan kredensial akun root) memiliki izin menulis untuk direktori ini.

Kepelikan: Tinggi
Temuan: Instans EC2 dalam target penilaian Anda berisi direktori sistem yang dapat ditulis oleh pengguna non-root.
Resolusi: Untuk meningkatkan keamanan target penilaian Anda dan untuk mencegah eskalasi hak istimewa oleh pengguna lokal jahat, konfigurasikan semua direktori sistem pada semua instans EC2 target Anda untuk dapat ditulis hanya oleh pengguna yang masuk dengan menggunakan kredensial akun root.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Patokan Pusat Keamanan Internet (CIS)

Templat penilaian Amazon Inspector Classic dan penilaian berjalan