Estándar (Descripción) | Riesgo |
A3-1 (Validar que se esté usando el archivo de contraseña "Shadow".) | Alto |
A3-2 (Todas las cuentas deben tener una contraseña.) | Alto |
A3-3 (Las contraseñas deben contener caracteres alfanuméricos.) | Alto |
A3-4 (Las contraseñas deben estar conformadas por al menos 8 caracteres.) | Alto |
A3-5 (Las contraseñas no deben ser fáciles de adivinar.) | Alto |
A13 (Cualquier cuenta con privilegios de super-usuario
debe ser usada únicamente por quienes la requieren para llevar a cabo sus funciones.) |
Alto |
D1-3 (Validar que inetd sea iniciado en modo trace) | Alto |
D1-4 (Validar que la auditoria a nivel C2 se encuentre habilitada.) | Alto |
I2-1 (Revisar que exista el archivo /etc/ftpusers, así como su contenido.) | Alto |
I2-2 (Validar que no exista un servicio de FTP Anónimo.) | Alto |
A5-1 (Las contraseñas de todos los usuarios deben ser cambiadas después de 90 días.) | Medio |
A5-2 (Debe definirse un periodo mínimo de cambio de contraseñas de 1 dia.) | Medio |
A6 (Una contraseña debe ser cifrada, enmascarada o suprimida en un monitor, medio de almacenamiento o documento.) | Medio |
A7 (Las cuentas deben ser deshabilitadasdespués de 6 intentos fallidos y consecutivos de acceso.) | Medio |
A8-1 (Deben revisarse las cuentas que han estado inactivas por más de 90 días consecutivos para validar si aún se necesitan.) | Medio |
A8-3 (Validar que las cuentas que no se han usado nunca en el servidor pueden ser eliminadas si no se requieren.) | Medio |
A8-4 (Revisar las cuentas que no han cambiado su contraseña en más de 90 días.) | Medio |
A8-5 (Revisar el estado de las contraseña de las cuentas que no tiene definidos parámetros de expiración.) | Medio |
A9 (Todos los sistemas deben mostrar un mensaje de advertencia de uso cuyo contenido sea previamente autorizado.) | Medio |
A12 (Las cuentas instaladas por default en el sistema deben ser deshabilitadas o su contraseña debe ser cambiada inmediatamente después de la instalación del sistema operativo.) | Medio |
A12-2 (Debe cambiarse el valor por default de las cadenas de community de SNMP.) | Medio |
A15 (Revisar las cuentas que han sido creadas desde el último periodo de revisión.) | Medio |
A16 (Revisar las cuentas que ha cambiado desde el último periodo de revisión.) | Medio |
A17 (Revisar los grupos que ha sido creados desde el último periodo de revisión.) | Medio |
A18 (Revisar los grupos que han cambiado desde el último periodo de revisión.) | Medio |
A20 (Revisar que los usuarios estén usando únicamente los shells autorizados en el sistema.) | Medio |
A21 (Validar que los usuarios tengan definido un directorio HOME y que sean propietarios del mismo (existen ciertas condiciones donde las cuentas aplicativas no son propietarias de su propio directorio HOME.) | Medio |
B5 (Deben definirse y restringirse los programas o procesos (como el crontab de root)que operan en un estado privilegiado o de supervisor.) | Medio |
B7 (El archivo /etc/mnttab no debe tener permisos de escritura para todos los usuarios.) | Medio |
D1-1 (Deben generarse rastros de auditoria para rastrear las actividades del sistema.) | Medio |
E1-1 (La máscara de creación de archivos de la cuenta root debe tener un valor de 022 o mejor.) | Medio |
E1-2 (La máscara de creación de archivos de los usuarios del sistema debe tener un valor de 022 o mejor.) | Medio |
F1 (Validar que los archivos del sistema estén protegidos de los usuarios y grupos, a menos que se trate de usuarios o grupos privilegiados.) | Medio |
F1-1 (Validar que no existan directorios con permiso de escritura para todos los usuartio sin Sticky Bit.) | Medio |
G1-1 (Validar que exista un número apropiado de archivos con SUID.) | Medio |
G1-2 (Validar que exista un número apropiado de archivos con SGID.) | Medio |
G2 (Validar que los archivos de dispositivos únicamente se encuentren el el directorio /dev.) | Medio |
I1-1 (Validar que no existan usuarios de confianza en el sistema.) | Medio |
I1-2 (No deben existir archivos .netrc en el sistema.) | Medio |
I1-3 (Validar que no existan servidores de confianza en el sistema.) | Medio |
I1-4 (Validar que no existan líneas de rhost en el archivo /etc/pam.conf.) | Medio |
I3 (La configuración de NFS para los directorios exportados debe ser segura.) | Medio |
I4 (Todos los servicios o aplicaciones que no se utilicen en el sistema deben ser deshabilitados.) | Medio |
K1 (Debe revisarse el nivel de parches del sistema y comprarlo con el más reciente que se ha liberado y que ha sido aprobado.) | Medio |
L1 (Validar que el uusario root sólo puede conectarse desde la consola del sistema.) | Medio |
L2-1 (Deben deshabilitarse todos los protocolos obsoetos o que no se usan en el sistema operativo y debe justificarse el uso de protocolos de red vulnerables (aquéllos que no usan cifrado para proteger las cuentas o contraseñas).) | Medio |
L2-2 (Validar que el servidor no se comporte como un router.) | Medio |
L2-3 (Validar que estén definidas las opciones de privacidad de Sendmail.) | Medio |
L2-4 (Validar que los números de secuencia de TCP/IP sequence estén definidos apropiadamente.) | Medio |
M1 (Validar que únicamente los usuarios autorizados pueden usar las utilerias at y batch.) | Medio |
M2 (Validar que únicamente lo usuarios autorizados pueden crear archivos de crontab.) | Medio |
M3 (Revisar que las tareas incluidas en los archivos de crontab sean válidas.) | Medio |
A2-1 (Todos los usernames y UIDs deben ser únicos.) | Bajo |
A2-2 (Debe asociarse un nombre y una descripción a cada usuario.) | Bajo |
A22 (Cualquier sesión que esté inactiva por más de 30 minutos debe solicitar reautenticación para iniciarla nuevamente.) | Bajo |
B2 (Todos los archivos de datos, bibliotecas y recursos del sistema deben tener asignado un propietario y grupo válidos.) | Bajo |
Desviaciones
que requieren ser revisadas manualmente |
|
Estándar (Descripción) | Riesgo |
A3-6 (Los usuarios no deben usar sus contraseñas anteriores cuando eligen una nueva.) | Alto |
A3-7 (Las contraseñas no deben contener más de 2 caracteres repetidos.) | Alto |
A14 (Deben seguirse procedimientos documentados para el uso de cuetas de emergencia.) | Alto |
D1-2 (Validar que los archivos sudo.log y sulog existan y estén siendo actualizados.) | Alto |
D3 (Las cuentas con privilegios de super-usuario deben ser monitoreadas.) | Alto |
D4 (Debe monitorearse el uso de cuentas temporales y de emergencia.) | Alto |
A4 (El sistema debe obligar a un usuario nuevo a que cambie su contraseña la primera vez que se conecte al mismo.) | Medio |
A8-2 (Las cuentas que han estado deshabilitadas por más de 90 dias deben ser eliminadas del sistema.) | Medio |
B3 (There should be a documented request and authorization procedure for access to data and system resources.) | Medio |
B4 (El acceso de un usuario debe ser revisado y actualizado apropiadamente cuando los empleados renuncian o son despedidos.) | Medio |
D2 (Los informes de registros y violaciones deben ser monitoreados y revisados apropiadamente para validar que no se realicen cambios no autorizados.) | Medio |
H1 (Debe existir un proceso para la investigación proactiva de avisos de seguridad de proveedores y/o terceros.) | Medio |
J1 (Revisar los archivos de dispositivo nuevos o que han cambiado y que se encuentran fuera del directorio /dev.) | Medio |
N1 (Deben estar disponibles los respaldos de directorios, particiones y volúmenes de software.) | Medio |
N2 (Los procesos de respaldo del sistema deben ejecutar reintentos consecutivos para respaldar los archivos que se encuentran en uso en el momento del respaldo y permitir la verificación de la integridad del respaldo.) | Medio |
N3 (Los procesos de respaldo del sistema deben proveer la capacidad de ejecutar respaldos automáticos desatendidos.) | Medio |
A1 (Deben seguirse procesos documentados para obtener una cuenta para usar el sistema.) | Bajo |
B1 (Los roles y las responsabilidades de la administración de sistemas y de seguridad deben ser exclusivos y deben estar documentados.) | Bajo |