Desabilitar o login raiz pelo SSH Suporte somente ao SSH versão 2 Desabilitar a autenticação de senha por SSH Configurar a duração máxima da senha Configurar o tamanho mínimo da senha Configurar a complexidade da senha Habilitar ASLR Habilitar DEP Configurar permissões para os diretórios do sistema

Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ e escolha Amazon Inspector Classic no painel de navegação.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de segurança para o Amazon Inspector Classic

Use as regras do Amazon Inspector Classic para ajudar a determinar se os seus sistemas estão configurados de forma segura.

Importante

Atualmente, você pode incluir em seus destinos de avaliação as instâncias do EC2 que executam sistemas operacionais baseados em Linux ou Windows.

Durante uma execução de avaliação, as regras descritas nesta seção geram descobertas somente para as instâncias do EC2 que estão executando um sistema operacional Linux. As regras não geram descobertas para instâncias do EC2 que estão executando um sistema operacional Windows.

Para obter mais informações, consulte Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis.

Tópicos

Desabilitar o login raiz pelo SSH
Suporte somente ao SSH versão 2
Desabilitar a autenticação de senha por SSH
Configurar a duração máxima da senha
Configurar o tamanho mínimo da senha
Configurar a complexidade da senha
Habilitar ASLR
Habilitar DEP
Configurar permissões para os diretórios do sistema

Essa regra ajuda a determinar se o daemon do SSH está configurado para permitir o login na instância do EC2 como raiz.

Gravidade: Médio
Descoberta: Há uma instância do EC2 em seu destino de avaliação que está configurada para permitir que os usuários façam login com credenciais raiz via SSH. Isso aumenta a probabilidade de sucesso de um ataque de força bruta.
Resolução: Recomendamos que você configure sua instância do EC2 para evitar logins na conta raiz via SSH. Em vez disso, faça login como um usuário não raiz e use o sudo para aumentar privilégios quando necessário. Para desabilitar os logins na conta raiz via SSH, defina PermitRootLogin como no no arquivo /etc/ssh/sshd_config e reinicie sshd.

Suporte somente ao SSH versão 2

Essa regra ajuda a determinar se as instâncias EC2 estão configuradas para oferecer suporte à versão 1 do protocolo SSH.

Gravidade: Médio
Descoberta: Uma instância do EC2 em seu destino de avaliação que está configurada para oferecer suporte ao SSH-1, que contém falhas de projeto inerentes que reduzem significativamente a segurança.
Resolução: Recomendamos que você configure as instâncias do EC2 no destino de avaliação para oferecer suporte somente ao SSH-2 e posterior. Para o OpenSSH, você pode fazer isso, definindo Protocol 2 no arquivo /etc/ssh/sshd_config. Para obter mais informações, consulte man sshd_config.

Desabilitar a autenticação de senha por SSH

Essa regra ajuda a determinar se as instâncias do EC2 estão configuradas para oferecer suporte à autenticação de senha via protocolo SSH.

Gravidade: Médio
Descoberta: Uma instância do EC2 em seu destino de avaliação está configurada para oferecer suporte à autenticação de senha via SSH. A autenticação de senhas é suscetível a ataques de força bruta e deve ser desativada em favor da autenticação baseada em chave sempre que possível.
Resolução: Recomendamos que você desative a autenticação de senha via SSH nas instâncias do EC2 e ative o suporte à autenticação baseada em chave em seu lugar. Isso reduz significativamente a probabilidade de sucesso de um ataque de força bruta. Para obter mais informações, consulte https://aws.amazon.com/articles/1233/. Se a autenticação de senha tiver suporte, é importante restringir o acesso ao servidor SSH a endereços IP confiáveis.

Configurar a duração máxima da senha

Essa regra ajuda a determinar se a duração máxima das senhas está configurada nas instâncias do EC2.

Gravidade: Médio
Descoberta: Uma instância do EC2 em seu destino de avaliação não está configurada para a duração máxima das senhas.
Resolução: Se estiver usando senhas, recomendamos que você configure uma duração máxima para elas em todas as instâncias do EC2 em seu destino de avaliação. Isso requer que os usuários alterem as senhas regularmente e reduz as chances de sucesso de um ataque para adivinhá-las. Para corrigir o problema para usuários existentes, use o comando chage. Para configurar a duração máxima das senhas para todos os usuários, edite o campo PASS_MAX_DAYS no arquivo /etc/login.defs.

Configurar o tamanho mínimo da senha

Essa regra ajuda a determinar se o tamanho mínimo das senhas está configurado nas instâncias do EC2.

Gravidade

Médio

Descoberta

Uma instância do EC2 em sseu destino de avaliação não está configurada para o tamanho mínimo das senhas.

Resolução

Se estiver usando senhas, recomendamos que você configure um tamanho mínimo para as senhas em todas as instâncias do EC2 em seu destino de avaliação. Impor um tamanho mínimo de senha reduz o risco de sucesso de um ataque para adivinhá-las. Você pode fazer isso usando as opções a seguir no pwquality.conf arquivo: minlen. Para mais informações, consulte https://linux.die.net/man/5/pwquality.conf.

Se pwquality.conf não estiver disponível na instância, você pode definir a opção minlen usando o módulo pam_cracklib.so. Para obter mais informações, consulte man pam_cracklib.

A opção minlen deve ser definida como 14 ou maior.

Configurar a complexidade da senha

Essa regra ajuda a determinar se um mecanismo de complexidade de senha está configurado nas instâncias do EC2.

Gravidade

Médio

Descoberta

Nenhum mecanismo de complexidade de senha ou de restrição está configurado nas instâncias do EC2 em seu destino de avaliação. Isso permite que os usuários definam senhas simples, o que aumenta as chances de usuários não autorizados obterem acesso às contas e usá-las indevidamente.

Resolução

Se estiver usando senhas, recomendamos que você configure todas as instâncias do EC2 no seu destino de avaliação para exigir um nível de complexidade de senha. Você pode fazer isso usando as opções a seguir no arquivo pwquality.conf: lcredit, ucredit, dcredit e ocredit. Para mais informações, consulte https://linux.die.net/man/5/pwquality.conf .

Se pwquality.conf não estiver disponível na instância, você pode definir as opções lcredit, ucredit, dcredit e ocredit usando o módulo pam_cracklib.so. Para obter mais informações, consulte man pam_cracklib.

O valor esperado para cada uma dessas opções é menor ou igual a -1, conforme mostrado abaixo:

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

Além disso, a opção remember deve ser definida como 12 ou superior. Para obter mais informações, consulte man pam_unix.

Habilitar ASLR

Esta regra ajuda a determinar se a randomização de layout do espaço de endereço (ASLR) está habilitada nos sistemas operacionais das instâncias do EC2 no seu destino de avaliação.

Gravidade: Médio
Descoberta: Uma instância do EC2 em seu destino de avaliação não tem ASLR ativada.
Resolução: Para melhorar a segurança do destino de avaliação, recomendamos que você habilite a ASLR nos sistemas operacionais de todas as instâncias EC2 na meta, executando echo 2 | sudo tee /proc/sys/kernel/randomize_va_space.

Habilitar DEP

Esta regra ajuda a determinar se a Prevenção de Execução de Dados (DEP) está habilitada nos sistemas operacionais das instâncias do EC2 no seu destino de avaliação.

nota

Essa regra não é compatível com instâncias do EC2 com processadores ARM.

Gravidade: Médio
Descoberta: Uma instância do EC2 em sseu destino de avaliação não tem a DEP ativada.
Resolução: Recomendamos que você ative a DEP nos sistemas operacionais de todas as instâncias do EC2 em seu destino de avaliação. Habilitar a DEP protege as instâncias contra comprometimentos de segurança usando técnicas de estouro de buffer.

Configurar permissões para os diretórios do sistema

Essa regra verifica as permissões nos diretórios do sistema que contêm binários e informações de configuração do sistema. Ele verifica que somente o usuário raiz (o usuário que faz login usando as credenciais da conta raiz) tenha permissões de gravação para esses diretórios.

Gravidade: Alto
Descoberta: Uma instância do EC2 em seu destino de avaliação contém um diretório do sistema de destino que é gravável por usuários não raiz.
Resolução: Para melhorar a segurança do seu destino de avaliação e evitar o escalonamento de privilégios por usuários locais mal-intencionados, configure todos os diretórios do sistema em todas as instâncias do EC2 no seu destino para serem graváveis apenas por usuários que fazem login usando credenciais de conta raiz.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referências de segurança da CIS (Center for Internet Security)

Modelos de avaliação e execuções de avaliação do Amazon Inspector Classic