Amazon Inspector のセキュリティのベストプラクティス - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector のセキュリティのベストプラクティス

システムが安全に設定されているかどうかを判断するには、Amazon Inspector ルールを使用してください。

重要

現時点では、Linux ベースまたは Windows ベースのオペレーティングシステムを実行している EC2 インスタンスを評価ターゲットに含めることができます。

評価の実行中に、このセクションで説明するルールによって結果が生成されます。のみLinux ベースのオペレーティングシステムを実行している EC2 インスタンスの。このルールは、Windows ベースのオペレーティングシステムを実行している EC2 インスタンスの結果を生成しません。

詳細については、「サポートされているオペレーティングシステム用の Amazon Inspector ルールパッケージ」を参照してください。

SSH 経由の root ログインを無効化する

このルールは、SSH デーモンが EC2 インスタンスへのログインを許可するように設定されているかどうかを判断するのに役立ちます。ルート

重要度

ミディアム

検索

ユーザーが root 認証情報を使用して SSH 経由でログインすることを許可するように設定された評価ターゲットの EC2 インスタンスがあります。これにより、ブルートフォース攻撃が成功する確率が高まります。

解像度

SSH 経由の root アカウントを禁止するように EC2 インスタンスを設定することをお勧めします。代わりに、非 root ユーザーとしてログインして sudo を使用し、必要に応じて権限を昇格させます。SSH の root アカウントログインを無効化するには、PermitRootLogin/etc/ssh/sshd_config ファイルの no に設定し、次に sshd を再起動します。

SSH バージョン 2 のみをサポート

このルールは、EC2 インスタンスが SSH プロトコルバージョン 1 をサポートするように設定されているかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスは、セキュリティを大幅に低下させる先細的な設計上の欠陥を持つ SSH-1 をサポートするように設定されています。

解像度

SSH-2 以降のみをサポートするように評価ターゲットの EC2 インスタンスを設定することをお勧めします。OpenSSH では、Protocol 2/etc/ssh/sshd_config ファイルに設定することでこれを実現できます。詳細については、「」を参照してください。man sshd_config

SSH 経由のパスワード認証を無効化する

このルールは、EC2 インスタンスが SSH プロトコル経由のパスワード認証をサポートするように設定されているかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスは、SSH 経由のパスワード認証をサポートするように設定されています。認証は、パスワードのブルートフォース攻撃重視で、キーに認証を決定した可能な限り無効必要があります。

解像度

EC2 インスタンスで SSH 経由のパスワード認証を無効化し、代わりにキーベース認証のサポートを有効にします。これにより、ブルートフォース攻撃の成功率が大幅に下がります。詳細については、https://aws.amazon.com/articles/1233/ を参照してください。パスワード認証がサポートされている場合、信頼済み IP アドレスへの SSH サーバーへのアクセスを制限することが重要です。

パスワードの有効期限を設定する

このルールは、EC2 インスタンスでパスワードの有効期限が設定されているかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスは、パスワードの有効期限が設定されていません。

解像度

パスワードを使用する場合、評価ターゲットのすべての EC2 インスタンスでパスワードの有効期限を設定することをお勧めします。このためには、ユーザーはパスワードを定期的に変更する必要がありますが、パスワード予測攻撃が成功する確率が低下します。既存のユーザーでこの問題を解決するには、chage コマンドを使用します。以降のすべてのユーザーでパスワードの有効期限を設定するには、/etc/login.defs ファイルの PASS_MAX_DAYS フィールドを編集します。

パスワードの最小文字数を設定する

このルールは、EC2 インスタンスでパスワードの最小文字数が設定されているかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスは、パスワードの最小文字数が設定されていません。

解像度

パスワードを使用する場合、評価ターゲットのすべての EC2 インスタンスでパスワードの最小文字数を設定することをお勧めします。パスワードの最小文字数を設定することで、パスワード予測攻撃が成功する確率が低下します。これを行うには、次のオプションを使用します。pwquality.conffile: minlen。詳細については、「」を参照してください。https://linux.die.net/man/5/pwquality.conf

もしpwquality.confが使用できない場合は、[] のように設定する必要があります。minlenオプションを使用してpam_cracklib.soモジュール。詳細については、「」を参照してください。man pam_cracklib

-minlenオプションを 14 以上に設定する必要があります。

パスワードの複雑さを設定する

このルールは、EC2 インスタンスでパスワードの複雑さ要件が設定されているかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスで、パスワードの複雑さ要件または制限が設定されていません。これにより、ユーザーは簡単なパスワードを設定できるため、不正なユーザーがアクセスしたりアカウントを悪用したりする可能性が高まります。

解像度

パスワードを使用している場合は、評価ターゲットのすべての EC2 インスタンスでパスワードの複雑性のレベルを要求するように設定することをお勧めします。これを行うには、次のオプションを使用します。pwquality.conffile: lcreditucreditdcredit, およびocredit。詳細については、https://linux.die.net/man/5/pwquality.conf を参照してください。

もしpwquality.confが使用できない場合は、[] のように設定する必要があります。lcreditucreditdcredit, およびocreditオプションを使用して、pam_cracklib.soモジュール。詳細については、「」を参照してください。man pam_cracklib

次のように、これらの各オプションの期待値は-1 以下です。

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

さらに、remember オプションを 12 以上に設定する必要があります。詳細については、「」を参照してください。man pam_unix

ASLR の有効化

このルールは、評価ターゲット内の EC2 インスタンスのオペレーティングシステムでアドレス空間配置のランダム化 (ASLR) が有効であるかどうかを判断するのに役立ちます。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスで ASLR は有効になっていません。

解像度

評価ターゲットのセキュリティを向上させるため、を実行して評価ターゲット内のすべての EC2 インスタンスのオペレーティングシステムで ASLR を有効にすることをお勧めします。echo 2 | sudo tee /proc/sys/kernel/randomize_va_space

DEP の有効化

このルールは、評価ターゲット内の EC2 インスタンスのオペレーティングシステムでデータ実行防止 (DEP) が有効であるかどうかを判断するのに役立ちます。

注記

このルールは、ARM プロセッサを搭載した EC2 インスタンスではサポートされません。

重要度

ミディアム

検索

評価ターゲット内の EC2 インスタンスで DEP は有効になっていません。

解像度

評価ターゲットのすべての EC2 インスタンスのオペレーティングシステムで DEP を有効にすることをお勧めします。DEP を有効にすることで、バッファオーバーフロー技術を使用してセキュリティ侵害からインスタンスを保護できます。

システムディレクトリに対するアクセス許可の設定

このルールは、バイナリとシステム設定情報を含むシステムディレクトリに対する権限をチェックします。root ユーザー (root アカウントの認証情報を使用してログインしたユーザー) のみがこれらのディレクトリに対する書き込み権限を持っていることを確認します。

重要度

検索

評価ターゲット内の EC2 インスタンスには、非 root ユーザーが書き込み可能なシステムディレクトリが含まれています。

解像度

評価ターゲットのセキュリティを向上させ、悪意のあるローカルユーザーによる特権エスカレーションを防ぐため、ターゲット内のすべての EC2 インスタンスのシステムディレクトリを root アカウントの認証情報を使用してログインするユーザー以外が書き込みできないように設定します。