Prácticas de seguridad recomendadas en Amazon Inspector Classic - Amazon Inspector Classic
Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH)Support SSH Version 2 Only (Permitir solo SSH Versión 2)Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña con SSH)Configure Password Maximum Age (Configurar la edad máxima de la contraseña)Configure Password Minimum Length (Configurar la longitud mínima de la contraseña)Configure Password Complexity (Configurar la complejidad de la contraseña)Enable ASLR (Activar ASLR)Enable DEP (Activar DEP)Configurar permisos para directorios del sistema (Configure Permissions for System Directories)

Esta es la guía del usuario de Amazon Inspector Classic. Para obtener más información acerca de Amazon Inspector, consulte la Guía del usuario de Amazon Inspector. Para acceder a la consola de Amazon Inspector Classic, abra la consola de Amazon Inspector en y https://console.aws.amazon.com/inspector/, a continuación, seleccione Amazon Inspector Classic en el panel de navegación.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas de seguridad recomendadas en Amazon Inspector Classic

Describe cómo utilizar las reglas de Amazon Inspector Classic para ayudar a determinar si sus sistemas están configurados de forma segura.

importante

Actualmente, puede incluir en sus objetivos de evaluación instancias de EC2 con sistemas operativos basados en Linux o Windows.

Durante una ejecución de evaluación, las reglas que se describen en esta sección generan resultados únicamente para las instancias de EC2 con sistemas operativos basados en Linux. Las reglas no generan resultados para las instancias de EC2 con sistemas operativos basados en Windows.

Para obtener más información, consulte Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles.

Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH)

Esta regla ayuda a determinar si el daemon SSH está configurado para permitir iniciar sesión en la instancia EC2 como usuario raíz (root).

Gravedad

Medio

Hallazgo

En el objetivo de evaluación hay una instancia de EC2 configurada para permitir a los usuarios iniciar sesión con credenciales raíz por SSH. Esto aumenta la probabilidad de que se produzca un ataque de fuerza efectivo.

Resolución

Le recomendamos que configure la instancia de EC2 para evitar que se inicie sesión con cuentas raíz por SSH. En lugar, inicie sesión como usuario no raíz y utilice sudo para escalar privilegios cuando sea necesario. Para desactivar los inicios de sesión con cuentas raíz mediante SSH, defina PermitRootLogin en no en el archivo /etc/ssh/sshd_config y, a continuación, reinicie sshd.

Support SSH Version 2 Only (Permitir solo SSH Versión 2)

Esta regla ayuda a determinar si las instancias EC2 están configuradas para permitir el protocolo SSH versión 1.

Gravedad

Medio

Hallazgo

Una instancia de EC2 del objetivo de evaluación está configurada para permitir SSH-1, un protocolo que contiene defectos de diseño inherentes que reducen su seguridad en gran medida.

Resolución

Le recomendamos que configure las instancias de EC2 del objetivo de evaluación para que permitan únicamente el uso de SSH 2 y versiones posteriores. Para OpenSSH, puede conseguirlo estableciendo Protocol 2 en el archivo /etc/ssh/sshd_config. Para obtener más información, consulte man sshd_config.

Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña con SSH)

Esta regla ayuda a determinar si sus instancias de EC2 se configuran para permitir la autenticación con contraseña mediante el protocolo SSH.

Gravedad

Medio

Hallazgo

Una instancia de EC2 de su objetivo de evaluación está configurada para permitir la autenticación con contraseña mediante SSH. La autenticación con contraseña es susceptible de recibir ataques de fuerza bruta y debe ser desactivada, siempre que sea posible, y reemplazada por la autenticación con clave.

Resolución

Le recomendamos que deshabilite la autenticación con contraseña mediante SSH en sus instancias EC2 y que habilite la autenticación con clave en su lugar. Esto reduce significativamente la probabilidad de que se produzcan ataques de fuerza bruta efectivos. Para obtener más información, consulte https://aws.amazon.com/articles/1233/. Si se permite la autenticación con contraseña, es importante restringir el acceso al servidor SSH solo a direcciones IP de confianza.

Configure Password Maximum Age (Configurar la edad máxima de la contraseña)

Esta regla ayuda a determinar si ha configurado una antigüedad máxima para las contraseñas en sus instancias de EC2.

Gravedad

Medio

Hallazgo

Una instancia de EC2 de su objetivo de evaluación no tiene configurada una antigüedad máxima para las contraseñas.

Resolución

Si utiliza contraseñas, le recomendamos que configure una antigüedad máxima para ellas en todas las instancias de EC2 de su objetivo de evaluación. Esto requiere que los usuarios cambien habitualmente sus contraseñas y reduce las posibilidades de que se produzca un ataque de averiguación de contraseña. Para solucionar este problema para los usuarios existentes, utilice el comando chage. Para configurar una edad máxima para las contraseñas para todos los usuarios futuros, edite el campo PASS_MAX_DAYS del archivo /etc/login.defs.

Configure Password Minimum Length (Configurar la longitud mínima de la contraseña)

Esta regla ayuda a determinar si ha configurado una longitud mínima para las contraseñas en sus instancias de EC2.

Gravedad

Medio

Hallazgo

Una instancia de EC2 de su objetivo de evaluación no tiene configurada una longitud mínima para las contraseñas.

Resolución

Si utiliza contraseñas le recomendamos que configure una longitud mínima para las ellas en todas las instancias de EC2 en su objetivo de evaluación. Al establecer una longitud mínima para las contraseñas, se reduce el riesgo de un ataque efectivo por averiguación de contraseñas. Puede hacerlo utilizando la opción en el pwquality.conf archivo.minlen Para obtener más información, consulte https://linux.die.net/man/5/pwquality.conf.

Si pwquality.conf no está disponible en la instancia, puede configurar la opción minlen en el módulo pam_cracklib.so. Para obtener más información, consulte man pam_cracklib.

La opción minlen debe establecerse en 14 o más.

Configure Password Complexity (Configurar la complejidad de la contraseña)

Esta regla ayuda a determinar si se ha configurado un mecanismo de complejidad de contraseñas en las instancias de EC2.

Gravedad

Medio

Hallazgo

No hay ningún mecanismo ni restricciones de complejidad de las contraseñas en las instancias de EC2 de su objetivo de evaluación. Esto permite a los usuarios establecer contraseñas sencillas, que aumentan las oportunidades de que los usuarios no autorizados tengan acceso a las cuentas y las usen de forma irregular.

Resolución

Si está usando contraseñas, le recomendamos que configure todas las instancias de EC2 de su objetivo de evaluación para exigir un nivel de complejidad determinado en las contraseñas. Puede hacerlo utilizando las siguientes opciones en el archivo pwquality.conf: lcredit, ucredit, dcredit y ocredit. Para obtener más información, consulte https://linux.die.net/man/5/pwquality.conf.

Si pwquality.conf no está disponible en la instancia, puede configurar las opciones lcredit, ucredit, dcredit y ocredit utilizando el módulo pam_cracklib.so. Para obtener más información, consulte man pam_cracklib.

El valor esperado para cada una de estas opciones es menor o igual a −1, como se indica a continuación:

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

Además, la opción remember debe establecerse en 12 o un valor superior. Para obtener más información, consulte man pam_unix.

Enable ASLR (Activar ASLR)

Esta regla ayuda a determinar si la asignación al azar de diseño del espacio de direcciones (ASLR) está habilitada en los sistemas operativos de las instancias de EC2 de un objetivo de evaluación.

Gravedad

Medio

Hallazgo

Una de las instancias de EC2 de su objetivo de evaluación no tiene activada la ASLR.

Resolución

Para mejorar la seguridad del objetivo de evaluación, le recomendamos que habilite la ASLR en los sistemas operativos de todas las instancias de EC2 del objetivo de evaluación ejecutando echo 2 | sudo tee /proc/sys/kernel/randomize_va_space.

Enable DEP (Activar DEP)

Esta regla ayuda a determinar si la prevención de ejecución de datos (DEP) está habilitada en los sistemas operativos de las instancias de EC2 de su objetivo de evaluación.

nota

Esta regla no es compatible para instancias de EC2 con procesadores ARM.

Gravedad

Medio

Hallazgo

Una de las instancias de su objetivo de evaluación no tiene activada la DEP.

Resolución

Le recomendamos que habilite la DEP en los sistemas operativos de todas las instancias de EC2 de su objetivo de evaluación. Si habilita la DEP protegerá sus instancias ante los riesgos de seguridad mediante técnicas de desbordamiento del búfer.

Configurar permisos para directorios del sistema (Configure Permissions for System Directories)

Esta regla comprueba los permisos de los directorios del sistema que contienen archivos binarios e información de configuración del sistema. Comprueba que solo el usuario raíz (un usuario que inicia sesión utilizando credenciales de cuenta raíz) tenga permisos de escritura para dichos directorios.

Gravedad

Alta

Hallazgo

Una instancia EC2 en su objetivo de evaluación contiene un directorio del sistema en el que pueden escribir usuarios no raíz.

Resolución

Para mejorar la seguridad de su objetivo de evaluación y para evitar el aumento de privilegios por parte de usuarios locales malintencionados, configure todos los directorios del sistema en todas las instancias de EC2 para que solo puedan escribir en ellos los usuarios que inicien sesión con credenciales de cuenta raíz.