Disabilita l'accesso root tramite SSH Supporta solo SSH versione 2 Disabilita autenticazione password tramite SSH Configura età massima della password Configura lunghezza minima della password Configura complessità della password Enable ASLR Enable DEP Configura le autorizzazioni per le directory del sistema

Questa è la guida per l'utente di Amazon Inspector Classic. Per informazioni sul nuovo Amazon Inspector, consulta la Amazon Inspector User Guide. Per accedere alla console Amazon Inspector Classic, apri la console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/, quindi scegli Amazon Inspector Classic nel pannello di navigazione.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Amazon Inspector Classic

Le regole di Amazon Inspector Classic consentono di stabilire se i sistemi sono configurati in modo sicuro.

Importante

Puoi attualmente includere le istanze EC2 incluse nelle istanze di valutazione le istanze in esecuzione nei sistemi operativi basati su Linux o Windows.

Durante un'esecuzione di valutazioni, le regole descritte in questa sezione generano risultati.soloper le istanze EC2 in esecuzione nei sistemi operativi basati su Linux. Queste regole non generano risultati per le istanze EC2 in esecuzione nei sistemi operativi basati su Windows.

Per ulteriori informazioni, consultare Pacchetti di regole di Amazon Inspector Classic per i sistemi operativi supportati.

Argomenti

Disabilita l'accesso root tramite SSH
Supporta solo SSH versione 2
Disabilita autenticazione password tramite SSH
Configura età massima della password
Configura lunghezza minima della password
Configura complessità della password
Enable ASLR
Enable DEP
Configura le autorizzazioni per le directory del sistema

Questa regola consente di determinare se il daemon SSH è configurato in modo da consentire l'accesso all'istanza EC2 come root.

Gravità: Medio
Risultato: Nel target di valutazione è presente un'istanza EC2 configurata in modo da consentire agli utenti di accedere con le credenziali root tramite SSH. Questo scenario aumenta la probabilità di un attacco di forza bruta riuscito.
Resolution (Risoluzione): Ti consigliamo di configurare l'istanza EC2 in modo che vengano impediti gli accessi di account root tramite SSH. Esegui invece l'accesso come utente non root e usa sudo per eseguire l'escalation dei privilegi quando necessario. Per disabilitare gli accessi di account root tramite SSH, imposta PermitRootLogin su no nel file /etc/ssh/sshd_config, quindi riavvia sshd.

Supporta solo SSH versione 2

Questa regola consente di determinare se le istanze EC2 sono configurate per supportare il protocollo SSH versione 1.

Gravità: Medio
Risultato: Un'istanza EC2 nel target di valutazione è configurata per supportare SSH-1. Questo protocollo contiene errori di progettazione intrinseci che riducono notevolmente il livello di sicurezza.
Resolution (Risoluzione): Ti consigliamo di configurare le istanze EC2 incluse nel target di valutazione per il supporto solo di SSH-2 e versioni successive. Per ottenere questo risultato in OpenSSH, puoi impostare Protocol 2 nel file /etc/ssh/sshd_config. Per ulteriori informazioni, consultare man sshd_config.

Disabilita autenticazione password tramite SSH

Questa regola consente di determinare se le istanze EC2 sono configurate per supportare l'autenticazione tramite password con il protocollo SSH.

Gravità: Medio
Risultato: Un'istanza EC2 nel target di valutazione è configurata per supportare l'autenticazione tramite password con il protocollo SSH. L'autenticazione tramite password è soggetta ad attacchi di forza bruta e deve essere disabilitata e sostituita dall'autenticazione basata su chiave, laddove possibile.
Resolution (Risoluzione): Ti consigliamo di disabilitare l'autenticazione tramite password con il protocollo SSH sulle istanze EC2 e di abilitare invece il supporto dell'autenticazione basata su chiave. Ciò consente di ridurre sensibilmente la probabilità di un attacco di forza bruta riuscito. Per ulteriori informazioni, consulta l'argomento all'indirizzo https://aws.amazon.com/articles/1233/. Se è supportata l'autenticazione tramite password, è importante consentire l'accesso al server SSH solo agli indirizzi IP affidabili.

Configura età massima della password

Questa regola consente di determinare se nelle istanze EC2 è configurata la durata massima per le password.

Gravità: Medio
Risultato: Un'istanza EC2 nel target di valutazione non è configurata una durata massima per le password.
Resolution (Risoluzione): Se utilizzi le password, ti consigliamo di configurare una durata massima per le password su tutte le istanze EC2 incluse nel target di valutazione. Questo scenario prevede che gli utenti modifichino regolarmente la propria password in modo da ridurre la probabilità di un attacco basato sul tentativo di indovinare la password. Per risolvere questo problema per gli utenti esistenti, usa il comando chage. Per configurare la durata massima per le password per tutti gli utenti futuri, modifica il campo PASS_MAX_DAYS nel file /etc/login.defs.

Configura lunghezza minima della password

Questa regola consente di determinare se nelle istanze EC2 è configurata una lunghezza minima per le password.

Gravità

Medio

Risultato

Un'istanza EC2 nel target di valutazione non è configurata una lunghezza minima per le password.

Resolution (Risoluzione)

Se utilizzi le password, ti consigliamo di configurare una lunghezza minima per le password su tutte le istanze EC2 incluse nel target di valutazione. L'applicazione di una lunghezza minima delle password riduce il rischio di un attacco basato sul tentativo di indovinare la password. A questo scopo, utilizza la seguente opzione nelpwquality.conffile: minlen. Per ulteriori informazioni, consultahttps://linux.die.net/man/5/pwquality.conf.

Sepwquality.confnon è disponibile nell'istanza, puoi impostare laminlenopzione utilizzando ilpam_cracklib.soModulo. Per ulteriori informazioni, consultare man pam_cracklib.

LaminlenL'opzione deve essere impostata su 14 o superiore.

Configura complessità della password

Questa regola consente di determinare se nelle istanze EC2 è configurato un meccanismo di gestione della complessità delle password.

Gravità

Medio

Risultato

Nessuna limitazione o nessun meccanismo di gestione della complessità delle password è configurato nelle istanze EC2 incluse nel target di valutazione. Ciò consente agli utenti di impostare password poco complesse, aumentando la probabilità di accessi non autorizzati e usi impropri degli account da parte di utenti non autorizzati.

Resolution (Risoluzione)

Se utilizzi le password, ti consigliamo di configurare tutte le istanze EC2 incluse nel target di valutazione in modo che venga richiesto un determinato livello di complessità delle password. A questo scopo, puoi utilizzare le opzioni seguenti nel file pwquality.conf: lcredit, ucredit, dcredit e ocredit. Per ulteriori informazioni consulta https://linux.die.net/man/5/pwquality.conf.

Se pwquality.conf non è disponibile nell'istanza, puoi impostare le opzioni lcredit, ucredit, dcredit e ocredit usando il modulo pam_cracklib.so. Per ulteriori informazioni, consultare man pam_cracklib.

Il valore atteso per ciascuna di queste opzioni è inferiore o uguale a -1, come illustrato di seguito:

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

Inoltre, l'opzione remember deve essere impostata su 12 o su un valore superiore. Per ulteriori informazioni, consultare man pam_unix.

Enable ASLR

Questa regola consente di determinare se è abilitato lo standard ASLR (Address Space Layout Randomization) per i sistemi operativi delle istanze EC2 incluse nel target di valutazione.

Gravità: Medio
Risultato: Un'istanza EC2 nel target di valutazione lo standard ASLR non è abilitato.
Resolution (Risoluzione): Per migliorare la sicurezza del target di valutazione, ti consigliamo di abilitare lo standard ASLR sui sistemi operativi di tutte le istanze EC2 incluse nel target eseguendoecho 2 | sudo tee /proc/sys/kernel/randomize_va_space.

Enable DEP

Questa regola consente di determinare se è abilitato lo standard Protezione esecuzione programmi per i sistemi operativi delle istanze EC2 incluse nel target di valutazione.

Nota

Questa regola non è supportata per le istanze EC2 con processori ARM.

Gravità: Medio
Risultato: Un'istanza EC2 nel target di valutazione la funzionalità Protezione esecuzione programmi non è abilitata.
Resolution (Risoluzione): Ti consigliamo di abilitare la funzionalità Protezione esecuzione programmi sui sistemi operativi di tutte le istanze EC2 incluse nel target di valutazione. L'abilitazione della funzionalità Protezione esecuzione programmi consente di proteggere le istanze da possibili problemi di sicurezza mediante tecniche di overflow del buffer.

Configura le autorizzazioni per le directory del sistema

Questa regola verifica le autorizzazioni delle directory di sistema che contengono file binari e informazioni sulla configurazione del sistema. Controlla che solo l'utente root (un utente che effettua l'accesso utilizzando le credenziali dell'account root) disponga delle autorizzazioni di scrittura per tali directory.

Gravità: Elevate
Risultato: Un'istanza EC2 nel target di valutazione include una directory di sistema in cui gli utenti non root possono scrivere.
Resolution (Risoluzione): Per migliorare la sicurezza del target di valutazione ed evitare l'escalation dei privilegi da parte di utenti locali malintenzionati, configura tutte le directory di sistema in tutte le istanze EC2 incluse nel target in modo che la scrittura sia consentita solo agli utenti che accedono con le credenziali dell'account root.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Center for Internet Security (CIS) Benchmarks

Modelli di valutazione ed esecuzioni di valutazione di Amazon Inspector Classic