| Estándar (Descripción) | Riesgo |
| A3-1 (Validar que se esté usando el archivo de contraseña "Shadow".) | Alto |
| A3-2 (Todas las cuentas deben tener una contraseña.) | Alto |
| A3-3 (Las contraseñas deben contener caracteres alfanuméricos.) | Alto |
| A3-4 (Las contraseñas deben estar conformadas por al menos 8 caracteres.) | Alto |
| A3-5 (Las contraseñas no deben ser fáciles de adivinar.) | Alto |
| A13 (Cualquier cuenta con privilegios de super-usuario
debe ser usada únicamente por quienes la requieren para llevar a cabo sus funciones.) |
Alto |
| D1-3 (Validar que inetd sea iniciado en modo trace) | Alto |
| D1-4 (Validar que la auditoria a nivel C2 se encuentre habilitada.) | Alto |
| I2-1 (Revisar que exista el archivo /etc/ftpusers, así como su contenido.) | Alto |
| I2-2 (Validar que no exista un servicio de FTP Anónimo.) | Alto |
| A5-1 (Las contraseñas de todos los usuarios deben ser cambiadas después de 90 días.) | Medio |
| A5-2 (Debe definirse un periodo mínimo de cambio de contraseñas de 1 dia.) | Medio |
| A6 (Una contraseña debe ser cifrada, enmascarada o suprimida en un monitor, medio de almacenamiento o documento.) | Medio |
| A7 (Las cuentas deben ser deshabilitadasdespués de 6 intentos fallidos y consecutivos de acceso.) | Medio |
| A8-1 (Deben revisarse las cuentas que han estado inactivas por más de 90 días consecutivos para validar si aún se necesitan.) | Medio |
| A8-3 (Validar que las cuentas que no se han usado nunca en el servidor pueden ser eliminadas si no se requieren.) | Medio |
| A8-4 (Revisar las cuentas que no han cambiado su contraseña en más de 90 días.) | Medio |
| A8-5 (Revisar el estado de las contraseña de las cuentas que no tiene definidos parámetros de expiración.) | Medio |
| A9 (Todos los sistemas deben mostrar un mensaje de advertencia de uso cuyo contenido sea previamente autorizado.) | Medio |
| A12 (Las cuentas instaladas por default en el sistema deben ser deshabilitadas o su contraseña debe ser cambiada inmediatamente después de la instalación del sistema operativo.) | Medio |
| A12-2 (Debe cambiarse el valor por default de las cadenas de community de SNMP.) | Medio |
| A15 (Revisar las cuentas que han sido creadas desde el último periodo de revisión.) | Medio |
| A16 (Revisar las cuentas que ha cambiado desde el último periodo de revisión.) | Medio |
| A17 (Revisar los grupos que ha sido creados desde el último periodo de revisión.) | Medio |
| A18 (Revisar los grupos que han cambiado desde el último periodo de revisión.) | Medio |
| A20 (Revisar que los usuarios estén usando únicamente los shells autorizados en el sistema.) | Medio |
| A21 (Validar que los usuarios tengan definido un directorio HOME y que sean propietarios del mismo (existen ciertas condiciones donde las cuentas aplicativas no son propietarias de su propio directorio HOME.) | Medio |
| B5 (Deben definirse y restringirse los programas o procesos (como el crontab de root)que operan en un estado privilegiado o de supervisor.) | Medio |
| B7 (El archivo /etc/mnttab no debe tener permisos de escritura para todos los usuarios.) | Medio |
| D1-1 (Deben generarse rastros de auditoria para rastrear las actividades del sistema.) | Medio |
| E1-1 (La máscara de creación de archivos de la cuenta root debe tener un valor de 022 o mejor.) | Medio |
| E1-2 (La máscara de creación de archivos de los usuarios del sistema debe tener un valor de 022 o mejor.) | Medio |
| F1 (Validar que los archivos del sistema estén protegidos de los usuarios y grupos, a menos que se trate de usuarios o grupos privilegiados.) | Medio |
| F1-1 (Validar que no existan directorios con permiso de escritura para todos los usuartio sin Sticky Bit.) | Medio |
| G1-1 (Validar que exista un número apropiado de archivos con SUID.) | Medio |
| G1-2 (Validar que exista un número apropiado de archivos con SGID.) | Medio |
| G2 (Validar que los archivos de dispositivos únicamente se encuentren el el directorio /dev.) | Medio |
| I1-1 (Validar que no existan usuarios de confianza en el sistema.) | Medio |
| I1-2 (No deben existir archivos .netrc en el sistema.) | Medio |
| I1-3 (Validar que no existan servidores de confianza en el sistema.) | Medio |
| I1-4 (Validar que no existan líneas de rhost en el archivo /etc/pam.conf.) | Medio |
| I3 (La configuración de NFS para los directorios exportados debe ser segura.) | Medio |
| I4 (Todos los servicios o aplicaciones que no se utilicen en el sistema deben ser deshabilitados.) | Medio |
| K1 (Debe revisarse el nivel de parches del sistema y comprarlo con el más reciente que se ha liberado y que ha sido aprobado.) | Medio |
| L1 (Validar que el uusario root sólo puede conectarse desde la consola del sistema.) | Medio |
| L2-1 (Deben deshabilitarse todos los protocolos obsoetos o que no se usan en el sistema operativo y debe justificarse el uso de protocolos de red vulnerables (aquéllos que no usan cifrado para proteger las cuentas o contraseñas).) | Medio |
| L2-2 (Validar que el servidor no se comporte como un router.) | Medio |
| L2-3 (Validar que estén definidas las opciones de privacidad de Sendmail.) | Medio |
| L2-4 (Validar que los números de secuencia de TCP/IP sequence estén definidos apropiadamente.) | Medio |
| M1 (Validar que únicamente los usuarios autorizados pueden usar las utilerias at y batch.) | Medio |
| M2 (Validar que únicamente lo usuarios autorizados pueden crear archivos de crontab.) | Medio |
| M3 (Revisar que las tareas incluidas en los archivos de crontab sean válidas.) | Medio |
| A2-1 (Todos los usernames y UIDs deben ser únicos.) | Bajo |
| A2-2 (Debe asociarse un nombre y una descripción a cada usuario.) | Bajo |
| A22 (Cualquier sesión que esté inactiva por más de 30 minutos debe solicitar reautenticación para iniciarla nuevamente.) | Bajo |
| B2 (Todos los archivos de datos, bibliotecas y recursos del sistema deben tener asignado un propietario y grupo válidos.) | Bajo |
| Desviaciones
que requieren ser revisadas manualmente |
|
| Estándar (Descripción) | Riesgo |
| A3-6 (Los usuarios no deben usar sus contraseñas anteriores cuando eligen una nueva.) | Alto |
| A3-7 (Las contraseñas no deben contener más de 2 caracteres repetidos.) | Alto |
| A14 (Deben seguirse procedimientos documentados para el uso de cuetas de emergencia.) | Alto |
| D1-2 (Validar que los archivos sudo.log y sulog existan y estén siendo actualizados.) | Alto |
| D3 (Las cuentas con privilegios de super-usuario deben ser monitoreadas.) | Alto |
| D4 (Debe monitorearse el uso de cuentas temporales y de emergencia.) | Alto |
| A4 (El sistema debe obligar a un usuario nuevo a que cambie su contraseña la primera vez que se conecte al mismo.) | Medio |
| A8-2 (Las cuentas que han estado deshabilitadas por más de 90 dias deben ser eliminadas del sistema.) | Medio |
| B3 (There should be a documented request and authorization procedure for access to data and system resources.) | Medio |
| B4 (El acceso de un usuario debe ser revisado y actualizado apropiadamente cuando los empleados renuncian o son despedidos.) | Medio |
| D2 (Los informes de registros y violaciones deben ser monitoreados y revisados apropiadamente para validar que no se realicen cambios no autorizados.) | Medio |
| H1 (Debe existir un proceso para la investigación proactiva de avisos de seguridad de proveedores y/o terceros.) | Medio |
| J1 (Revisar los archivos de dispositivo nuevos o que han cambiado y que se encuentran fuera del directorio /dev.) | Medio |
| N1 (Deben estar disponibles los respaldos de directorios, particiones y volúmenes de software.) | Medio |
| N2 (Los procesos de respaldo del sistema deben ejecutar reintentos consecutivos para respaldar los archivos que se encuentran en uso en el momento del respaldo y permitir la verificación de la integridad del respaldo.) | Medio |
| N3 (Los procesos de respaldo del sistema deben proveer la capacidad de ejecutar respaldos automáticos desatendidos.) | Medio |
| A1 (Deben seguirse procesos documentados para obtener una cuenta para usar el sistema.) | Bajo |
| B1 (Los roles y las responsabilidades de la administración de sistemas y de seguridad deben ser exclusivos y deben estar documentados.) | Bajo |
CONVERT OpenSSH KEY TO SSH2 KEY
Run the OpenSSH version of ssh-keygen on your OpenSSH public key to convert it into the format needed by SSH2 on the remote machine.
This must be done on the system running OpenSSH.
#ssh-keygen -e -f ~/.ssh/id_dsa.pub > ~/.ssh/id_dsa_ssh2.pub
CONVERT SSH2 KEY TO OpenSSH KEY
Run the OpenSSH version of ssh-keygen on your ssh2 public key to convert it into the format needed by OpenSSH.
This needs to be done on the system running OpenSSH.
#ssh-keygen -i -f ~/.ssh/id_dsa_1024_a.pub > ~/.ssh/id_dsa_1024_a_openssh.pub
