Servicios

Web hosting
Ver »
Páginas Web
Ver »
Soporte UNIX
Ver »
UNIX TIPS
Ver »

UNIX SECURITY BASELINE

Estándar (Descripción) Riesgo
A3-1 (Validar que se esté usando el archivo de contraseña "Shadow".)   Alto  
A3-2 (Todas las cuentas deben tener una contraseña.)  Alto 
A3-3 (Las contraseñas deben contener caracteres alfanuméricos.)  Alto 
A3-4 (Las contraseñas deben estar conformadas por al menos 8 caracteres.)  Alto 
A3-5 (Las contraseñas no deben ser fáciles de adivinar.)  Alto 
A13 (Cualquier cuenta con privilegios de super-usuario debe ser usada únicamente por quienes la
requieren para llevar a cabo sus funciones.) 
Alto 
D1-3 (Validar que inetd sea iniciado en modo trace)  Alto 
D1-4 (Validar que la auditoria  a nivel C2 se encuentre habilitada.)  Alto 
I2-1 (Revisar que exista el archivo /etc/ftpusers, así como su contenido.)  Alto 
I2-2 (Validar que no exista un servicio de FTP Anónimo.)  Alto 
A5-1 (Las contraseñas de todos los usuarios deben ser cambiadas después de 90 días.)  Medio 
A5-2 (Debe definirse un periodo mínimo de cambio de contraseñas de 1 dia.)  Medio 
A6 (Una contraseña debe ser cifrada, enmascarada o suprimida en un monitor, medio de almacenamiento o documento.)  Medio 
A7 (Las cuentas deben ser deshabilitadasdespués de 6 intentos fallidos y consecutivos de acceso.)  Medio 
A8-1 (Deben revisarse las cuentas que han estado inactivas por más de 90 días consecutivos para validar si aún se necesitan.)  Medio 
A8-3 (Validar que las cuentas que no se han usado nunca en el servidor pueden ser eliminadas si no se requieren.)  Medio 
A8-4 (Revisar las cuentas que no han cambiado su contraseña en más de 90 días.)  Medio 
A8-5 (Revisar el estado de las contraseña de las cuentas que no tiene definidos parámetros de expiración.)  Medio 
A9 (Todos los sistemas deben mostrar un mensaje de advertencia de uso cuyo contenido sea previamente autorizado.)  Medio 
A12 (Las cuentas instaladas por default en el sistema deben ser deshabilitadas o su contraseña debe ser cambiada inmediatamente después de la instalación del sistema operativo.)  Medio 
A12-2 (Debe cambiarse el valor por default de las cadenas de community de SNMP.)  Medio 
A15 (Revisar las cuentas que han sido creadas desde el último periodo de revisión.)  Medio 
A16 (Revisar las cuentas que ha cambiado desde el último periodo de revisión.)  Medio 
A17 (Revisar los grupos que ha sido creados desde el último periodo de revisión.)  Medio 
A18 (Revisar los grupos que han cambiado desde el último periodo de revisión.)  Medio 
A20 (Revisar que los usuarios estén usando únicamente los shells autorizados en el sistema.)  Medio 
A21 (Validar que los usuarios tengan definido un directorio HOME y que sean propietarios del mismo (existen ciertas condiciones donde las cuentas aplicativas no son propietarias de su propio directorio HOME.)  Medio 
B5 (Deben definirse y restringirse los programas o procesos (como el crontab de root)que operan en un estado privilegiado o de supervisor.)  Medio 
B7 (El archivo /etc/mnttab no debe tener permisos de escritura para todos los usuarios.)  Medio 
D1-1 (Deben generarse rastros de auditoria para rastrear las actividades del sistema.)  Medio 
E1-1 (La máscara de creación de archivos de la cuenta root debe tener un valor de 022 o mejor.)  Medio 
E1-2 (La máscara de creación de archivos de los usuarios del sistema debe tener un valor de 022 o mejor.)  Medio 
F1 (Validar que los archivos del sistema estén protegidos de los usuarios y grupos, a menos que se trate de usuarios o grupos privilegiados.)  Medio 
F1-1 (Validar que no existan directorios con permiso de escritura para todos los usuartio sin Sticky Bit.)  Medio 
G1-1 (Validar que exista un número apropiado de archivos con SUID.)  Medio 
G1-2 (Validar que exista un número apropiado de archivos con SGID.)  Medio 
G2 (Validar que los archivos de dispositivos únicamente se encuentren el el directorio /dev.)  Medio 
I1-1 (Validar que no existan usuarios de confianza en el sistema.)  Medio 
I1-2 (No deben existir archivos .netrc en el sistema.)  Medio 
I1-3 (Validar que no existan servidores de confianza en el sistema.)  Medio 
I1-4 (Validar que no existan líneas de rhost en el archivo /etc/pam.conf.)  Medio 
I3 (La configuración de NFS para los directorios exportados debe ser segura.)  Medio 
I4 (Todos los servicios o aplicaciones que no se utilicen en el sistema deben ser deshabilitados.)  Medio 
K1 (Debe revisarse el nivel de parches del sistema y comprarlo con el más reciente que se ha liberado y que ha sido aprobado.)  Medio 
L1 (Validar que el uusario root sólo puede conectarse desde la consola del sistema.)  Medio 
L2-1 (Deben deshabilitarse todos los protocolos obsoetos o que no se usan en el sistema operativo y debe justificarse el uso de protocolos de red vulnerables (aquéllos que no usan cifrado para proteger las cuentas o contraseñas).)  Medio 
L2-2 (Validar que el servidor no se comporte como un router.)  Medio 
L2-3 (Validar que estén definidas las opciones de privacidad de Sendmail.)  Medio 
L2-4 (Validar que los números de secuencia de TCP/IP sequence estén definidos apropiadamente.)  Medio 
M1 (Validar que únicamente los usuarios autorizados pueden usar las utilerias at y batch.)  Medio 
M2 (Validar que únicamente lo usuarios autorizados pueden crear archivos de crontab.)  Medio 
M3 (Revisar que las tareas incluidas en los archivos de crontab sean válidas.)  Medio 
A2-1 (Todos los usernames y UIDs deben ser únicos.)  Bajo 
A2-2 (Debe asociarse un nombre y una descripción a cada usuario.)  Bajo 
A22 (Cualquier sesión que esté inactiva por más de 30 minutos debe solicitar reautenticación para iniciarla nuevamente.)  Bajo 
B2 (Todos los archivos de datos, bibliotecas y recursos del sistema deben tener asignado un propietario y grupo válidos.)  Bajo 
Desviaciones que requieren ser revisadas manualmente  
Estándar (Descripción)  Riesgo 
A3-6 (Los usuarios no deben usar sus contraseñas anteriores cuando eligen una nueva.)  Alto 
A3-7 (Las contraseñas no deben contener más de 2 caracteres repetidos.)  Alto 
A14 (Deben seguirse procedimientos documentados para el uso de cuetas de emergencia.)  Alto 
D1-2 (Validar que los archivos sudo.log y sulog existan y estén siendo actualizados.)  Alto 
D3 (Las cuentas con privilegios de super-usuario deben ser monitoreadas.)  Alto 
D4 (Debe monitorearse el uso de cuentas temporales y de emergencia.)  Alto 
A4 (El sistema debe obligar a un usuario nuevo a que cambie su contraseña la primera vez que se conecte al mismo.)  Medio 
A8-2 (Las cuentas que han estado deshabilitadas por más de 90 dias deben ser eliminadas del sistema.)  Medio 
B3 (There should be a documented request and authorization procedure for access to data and system resources.)  Medio 
B4 (El acceso de un usuario debe ser revisado y actualizado apropiadamente cuando los empleados renuncian o son despedidos.)  Medio 
D2 (Los informes de registros y violaciones deben ser monitoreados y revisados apropiadamente para validar que no se realicen cambios no autorizados.)  Medio 
H1 (Debe existir un proceso para la investigación proactiva de avisos de seguridad de proveedores y/o terceros.)  Medio 
J1 (Revisar los archivos de dispositivo nuevos o que han cambiado y que se encuentran fuera del directorio /dev.)  Medio 
N1 (Deben estar disponibles los respaldos de directorios, particiones y volúmenes de software.)  Medio 
N2 (Los procesos de respaldo del sistema deben ejecutar reintentos consecutivos para respaldar los archivos que se encuentran en uso en el momento del respaldo y permitir la verificación de la integridad del respaldo.)  Medio 
N3 (Los procesos de respaldo del sistema deben proveer la capacidad de ejecutar respaldos automáticos desatendidos.)  Medio 
A1 (Deben seguirse procesos documentados para obtener una cuenta para usar el sistema.)  Bajo 
B1 (Los roles y las responsabilidades de la administración de sistemas y de seguridad deben ser exclusivos y deben estar documentados.)  Bajo 

Regresar


Random TIPS

CHANGE OWNERSHIP BY USER

You can change the ownership of all files owned by a specific user to a different specific user by simply running ...
find /export/home -user -exec chown {} \;
Obviously you would place the current owner/new owner in place of the
<> listed in the command above ...

free counters