Deaktivieren der Root-Anmeldung über SSH Nur SSH-Version 2 unterstützen Deaktivieren der Passwortauthentifizierung über SSH Konfigurieren des maximalen Passwortalters Konfigurieren der Passwortmindestlänge Konfigurieren der Passwortkomplexität Aktivieren von ASLR DEP aktivieren Konfigurieren von Berechtigungen für Systemverzeichnisse

Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/ und wählen Sie dann Amazon Inspector Classic im Navigationsbereich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in Amazon Inspector Classic

Mithilfe von Amazon Inspector Classic-Regeln können Sie leichter bestimmen, ob Systeme sicher konfiguriert sind.

Wichtig

Derzeit können Sie EC2-Instances in Ihre Bewertungsziele einbeziehen, die entweder Linux-basierte oder Windows-basierte Betriebssysteme ausführen.

Während eines Bewertungslaufs generieren die in diesem Abschnitt beschriebenen Regeln ErgebnissenurFür die EC2-Instances, auf denen Linux-basierte Betriebssysteme ausgeführt werden. Die Regeln generieren keine Ergebnisse für EC2-Instances, auf denen Windows-basierte Betriebssysteme ausgeführt werden.

Weitere Informationen finden Sie unter Regelpakete von Amazon Inspector Classic für unterstützte Betriebssysteme .

Themen

Deaktivieren der Root-Anmeldung über SSH
Nur SSH-Version 2 unterstützen
Deaktivieren der Passwortauthentifizierung über SSH
Konfigurieren des maximalen Passwortalters
Konfigurieren der Passwortmindestlänge
Konfigurieren der Passwortkomplexität
Aktivieren von ASLR
DEP aktivieren
Konfigurieren von Berechtigungen für Systemverzeichnisse

Diese Regel bestimmt, ob der SSH-Daemon so konfiguriert ist, dass er ein Einloggen in Ihre EC2-Instance als root erlaubt.

Schweregrad: Mittel
Ergebnis: Es gibt eine EC2-Instance in Ihrem Bewertungsziel, die so konfiguriert ist, dass Benutzer sich mit Root-Anmeldeinformationen über SSH anmelden können. Dies erhöht die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs.
Resolution (Auflösung): Wir empfehlen Ihnen, Ihre EC2-Instance zu konfigurieren, um Root-Account-Logins über SSH zu verhindern. Melden Sie sich stattdessen als Nicht-Root-Benutzer an und verwenden Sie sudo, um gegebenenfalls Berechtigungen auszuweiten. Um Anmeldungen am SSH-Root-Konto zu deaktivieren, stellen Sie PermitRootLogin in der Datei /etc/ssh/sshd_config auf no ein und starten Sie dann sshd neu.

Nur SSH-Version 2 unterstützen

Diese Regel hilft festzustellen, ob Ihre EC2-Instances konfiguriert sind, um SSH-Protokoll Version 1 zu unterstützen.

Schweregrad: Mittel
Ergebnis: Eine EC2-Instance in Ihrem Bewertungsziel ist konfiguriert, um SSH-1 zu unterstützen, die inhärente Designfehler enthält, die ihre Sicherheit stark reduzieren.
Resolution (Auflösung): Wir empfehlen Ihnen, EC2-Instances in Ihrem Bewertungsziel zu konfigurieren, um nur SSH-2 und höher zu unterstützen. Für OpenSSH können Sie dies erreichen, indem Sie Protocol 2 in der /etc/ssh/sshd_config-Datei festlegen. Weitere Informationen finden Sie unter man sshd_config .

Deaktivieren der Passwortauthentifizierung über SSH

Diese Regel hilft festzustellen, ob Ihre EC2-Instances konfiguriert sind, um die Passwortauthentifizierung über das SSH-Protokoll zu unterstützen.

Schweregrad: Mittel
Ergebnis: Eine EC2-Instance in Ihrem Bewertungsziel ist konfiguriert, um die Passwortauthentifizierung über SSH zu unterstützen. Die Passwortauthentifizierung ist anfällig für Brute-Force-Angriffe und sollte nach Möglichkeit für eine schlüsselbasierte Authentifizierung deaktiviert werden.
Resolution (Auflösung): Wir empfehlen Ihnen, die Kennwortauthentifizierung über SSH auf Ihren EC2-Instances zu deaktivieren und stattdessen die Unterstützung für die schlüsselbasierte Authentifizierung zu aktivieren. Dies reduziert die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs erheblich. Weitere Informationen finden Sie unter https://aws.amazon.com/articles/1233/. Wenn die Passwortauthentifizierung unterstützt wird, ist es wichtig, den Zugriff auf den SSH-Server auf vertrauenswürdige IP-Adressen zu beschränken.

Konfigurieren des maximalen Passwortalters

Diese Regel hilft festzustellen, ob das maximale Alter für Passwörter auf Ihren EC2-Instances konfiguriert ist.

Schweregrad: Mittel
Ergebnis: Eine EC2-Instance in Ihrem Bewertungsziel ist nicht für ein maximales Alter für Passwörter konfiguriert.
Resolution (Auflösung): Wenn Sie Passwörter verwenden, empfehlen wir Ihnen, ein maximales Alter für Passwörter auf allen EC2-Instances in Ihrem Bewertungsziel zu konfigurieren. Dies erfordert, dass Benutzer regelmäßig ihre Passwörter ändern und die Chancen auf einen erfolgreichen Passwort-Rate-Angriff reduzieren. Um dieses Problem für bestehende Benutzer zu beheben, verwenden Sie den chage-Befehl. Um ein maximales Alter für Passwörter für alle zukünftigen Benutzer zu konfigurieren, bearbeiten Sie das Feld PASS_MAX_DAYS in der Datei /etc/login.defs.

Konfigurieren der Passwortmindestlänge

Diese Regel hilft festzustellen, ob eine Mindestlänge für Passwörter auf Ihren EC2-Instances konfiguriert ist.

Schweregrad

Mittel

Ergebnis

Eine EC2-Instance in Ihrem Bewertungsziel ist nicht für eine Mindestlänge für Passwörter konfiguriert.

Resolution (Auflösung)

Wenn Sie Passwörter verwenden, empfehlen wir Ihnen, eine Mindestlänge für Passwörter auf allen EC2-Instances in Ihrem Bewertungsziel zu konfigurieren. Durch die Erzwingung einer minimalen Passwort-Länge verringert sich das Risiko eines erfolgreichen Passwort-Rate-Angriffs. Sie können dies tun, indem Sie die folgende Option im.pwquality.conffile: minlenaus. Weitere Informationen finden Sie unterhttps://linux.die.net/man/5/pwquality.confaus.

Wennpwquality.confist auf Ihrer Instance nicht verfügbar, können Sie dieminlenOption unter Verwendung despam_cracklib.soModul. Weitere Informationen finden Sie unter man pam_cracklib .

Dieminlen-Option sollte auf 14 oder höher eingestellt sein.

Konfigurieren der Passwortkomplexität

Diese Regel hilft festzustellen, ob ein Passwort-Komplexitätsmechanismus auf Ihren EC2-Instances konfiguriert ist.

Schweregrad

Mittel

Ergebnis

In Ihrem Bewertungsziel ist kein Passwort-Komplexitätsmechanismus oder -beschränkungen auf EC2-Instances konfiguriert. Dies ermöglicht es Benutzern, einfache Passwörter festzulegen, wodurch die Chancen erhöht werden, dass nicht autorisierte Benutzer Zugang erhalten und Konten missbrauchen.

Resolution (Auflösung)

Wenn Sie Passwörter verwenden, empfehlen wir Ihnen, alle EC2-Instances in Ihrem Bewertungsziel zu konfigurieren, um ein bestimmtes Maß an Passwort-Komplexität zu erfordern. Sie können dies mit den folgenden Optionen in der Datei pwquality.conf durchführen: lcredit, ucredit, dcredit und ocredit. Weitere Informationen finden Sie unter https://linux.die.net/man/5/pwquality.conf .

Wenn pwquality.conf auf Ihrer Instance nicht verfügbar ist, können Sie die Optionen lcredit, ucredit, dcredit und ocredit mithilfe des pam_cracklib.so-Moduls festlegen. Weitere Informationen finden Sie unter man pam_cracklib .

Der erwartete Wert für jede dieser Optionen ist kleiner oder gleich -1, wie unten gezeigt:

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

Darüber hinaus muss die Option remember auf 12 oder höher eingestellt sein. Weitere Informationen finden Sie unter man pam_unix .

Aktivieren von ASLR

Diese Regel hilft festzustellen, ob die Address Space Layout Randomization (ASLR) auf den Betriebssystemen der EC2-Instances in Ihrem Bewertungsziel aktiviert ist.

Schweregrad: Mittel
Ergebnis: Bei einer EC2-Instance in Ihrem Bewertungsziel ist ASLR nicht aktiviert.
Resolution (Auflösung): Um die Sicherheit Ihres Bewertungsziels zu verbessern, empfehlen wir Ihnen, ASLR auf den Betriebssystemen aller EC2-Instances in Ihrem Ziel zu aktivieren, indem Sie ausführenecho 2 | sudo tee /proc/sys/kernel/randomize_va_spaceaus.

DEP aktivieren

Diese Regel hilft festzustellen, ob Data Execution Prevention (DEP) auf den Betriebssystemen der EC2-Instances in Ihrem Bewertungsziel aktiviert ist.

Anmerkung

Diese Regel wird für EC2-Instanzen mit ARM-Prozessoren nicht unterstützt.

Schweregrad: Mittel
Ergebnis: Bei einer EC2-Instance in Ihrem Bewertungsziel ist DEP nicht aktiviert.
Resolution (Auflösung): Wir empfehlen Ihnen, DEP auf den Betriebssystemen aller EC2-Instances in Ihrem Bewertungsziel zu aktivieren. Die Aktivierung von DEP schützt Ihre Instances vor Sicherheitskompromissen mit Pufferüberlauftechniken.

Konfigurieren von Berechtigungen für Systemverzeichnisse

Diese Regelung überprüft Berechtigungen für Systemverzeichnisse, die Binärdateien und Systemkonfigurationsinformationen enthalten. Sie prüft, dass nur der Root-Benutzer (ein Benutzer, der sich mithilfe von Root-Konto-Anmeldeinformationen anmeldet) Schreibberechtigungen für diese Verzeichnisse erhält.

Schweregrad: Hoch
Ergebnis: Eine EC2-Instance in Ihrem Bewertungsziel enthält ein Systemverzeichnis, das von Nicht-Root-Benutzern beschreibbar ist.
Resolution (Auflösung): Um die Sicherheit Ihres Bewertungsziels zu verbessern und die Privilegien-Eskalation durch böswillige lokale Benutzer zu verhindern, konfigurieren Sie alle Systemverzeichnisse auf allen EC2-Instances in Ihrem Ziel nur von Benutzern, die sich mithilfe von Root-Account-Anmeldeinformationen anmelden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Center for Internet Security (CIS)-Benchmarks

Amazon Inspector Classic Bewertungsvorlagen und Bewertungsläufe