Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información detallada sobre las pruebas comparativas de seguridad de CIS para Debian Linux, incluidas las pruebas comparativas admitidas, las reglas no coincidentes y los parámetros configurables en todas las versiones compatibles.
Pruebas comparativas admitidas
| Versión de Debian para Linux | Título del banco de pruebas |
|---|---|
| Debian Linux 11 | CIS Debian Linux 11 Benchmark 2.0.0 Nivel 1 + Nivel 2 - Servidor |
| Debian Linux 12 | CIS Debian Linux 12 Benchmark 1.1.0 Nivel 1 + Nivel 2 - Servidor |
CIS Debian Linux 11 Benchmark 2.0.0 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Ninguno
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegurarse de que /tmp es una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que /dev/shm es una partición independiente | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegúrese de que el acceso a la configuración del cargador de arranque está configurado | filename | /bota/grub/grub.cfg |
| mask | 0177 | |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | avahi-daemon | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameIscDhcpServerService | isc-dhcp-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameIscDhcpServer6Service | isc-dhcp-server6.service | |
| packageName | isc-dhcp-server | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bind9 | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor FTP no estén en uso | serviceName | vsftpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | vsftpd | |
| Asegúrate de que los servicios de servidor ldap no estén en uso | unitName | slapd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | slapd | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | packageNameDovecotImapd | Dovecot-imapd |
| paqueteNombreDovecotPop3d | dovecot-pop3d | |
| unidadNombreDovecotService | dovecot.service | |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | nfs-kernel-server | |
| Asegúrate de que los servicios de servidor nis no estén en uso | unitName | ypserv.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | ypserv | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitName | rsync.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | rsync | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | SMBD.Service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | SNMPD | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitName | tftpd-hpa.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | TFTPD-HPA | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unidadNombreApache2Servicio | apache2.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreApache2Socket | apache2.socket | |
| packageNameApache2 | apache2 | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrate de que los servicios xinetd no estén en uso | unitName | xinetd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | xinetd | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que están configurados los permisos en/etc/crontab | mask | 0177 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.hourly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.daily están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| packageName | cron | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.weekly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.monthly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.d están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que crontab está restringido a los usuarios autorizados | nombreEtcCronDeny | /etc/cron.deny |
| mask | 0137 | |
| owner | root | |
| group | root | |
| nombrefileEtcCronAllow | /etc/cron.allow | |
| Asegurarse de que at está restringido a los usuarios autorizados | mask | 0137 |
| owner | root | |
| group | root|daemon | |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerValor | /[^ \t]+ |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientalivecountmaxValue | [1-9][0-9]*m? |
| clientaliveintervalValue | [1-9][0-9]*m? | |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeValue | \b([1-9]|[ 1-5][0-9]|60)\b |
| Asegúrese de que sshd LogLevel está configurado | loglevelValue | (VERBOSO|INFO)\b |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesValue | [0-4]\b |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsValue | ([1-9]|10)\b |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsValue | (10\|[1-9])[^ \t](30\|[1-2][0-9]\|[1-9])[^ \t](60\|[1-5][0-9]\|[1-9])\b |
| Asegurarse de que la expiración de la contraseña está configurada | maxDays | 365 |
| minDays | 1 | |
| Asegúrate de que la edad mínima de la contraseña esté configurada | minDays | 1 |
| Asegúrese de que los días de advertencia de expiración de contraseña están configurados | warnDays | 7 |
| Asegúrese de que el algoritmo hash de contraseña seguro está configurado | hashAlgorithm | YESCRYPT |
| AlgoritmoDehash fallback | SHA512 | |
| Asegúrese de que ForwardToSyslog esté deshabilitado en journald | forwardToSyslogRegex | Sí |
| Asegúrese de que el almacenamiento en diario está configurado | storageRegex | persistente |
| Asegúrese de que la compresión en diario está configurada | compressRegex | Sí |
| Asegúrese de que esté configurado el modo de los archivos de configuración de auditoría | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| mask | 0137 | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario de los archivos de configuración de auditoría está configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| owner | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario del grupo de archivos de configuración de auditoría esté configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| group | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegurarse de que el modo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario de las herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegurarse de que los permisos de /etc/passwd están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/passwd- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow están configurados | mask | 0137 |
| owner | root | |
| group | root|shadow | |
| Asegurarse de que los permisos de /etc/shadow- están configurados | mask | 0137 |
| owner | root | |
| group | root|shadow | |
| Asegurarse de que los permisos de /etc/gshadow están configurados | mask | 0137 |
| owner | root | |
| group | shadow|root | |
| Asegurarse de que los permisos de /etc/gshadow- están configurados | mask | 0137 |
| owner | root | |
| group | shadow|root | |
| Asegúrese de que los permisos en /etc/shells están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que los permisos en /etc/security/opasswd están configurados | mask | 0177 |
| owner | root | |
| group | root |
CIS Debian Linux 12 Benchmark 1.1.0 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Asegúrese de que solo hay un sistema de registro en uso
- Asegurarse de que se usan mecanismos criptográficos para proteger la integridad de las herramientas de auditoría
- Asegurarse de que los archivos y directorios grabables por cualquiera están protegidos
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegurarse de que /tmp es una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que /dev/shm es una partición independiente | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegúrese de que el acceso a la configuración del cargador de arranque está configurado | filename | /bota/grub/grub.cfg |
| mask | 0177 | |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | avahi-daemon | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameIscDhcpServerService | isc-dhcp-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameIscDhcpServer6Service | isc-dhcp-server6.service | |
| packageName | isc-dhcp-server | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bind9 | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor FTP no estén en uso | serviceName | vsftpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | vsftpd | |
| Asegúrate de que los servicios de servidor ldap no estén en uso | unitName | slapd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | slapd | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | packageNameDovecotImapd | Dovecot-imapd |
| paqueteNombreDovecotPop3d | dovecot-pop3d | |
| unidadNombreDovecotService | dovecot.service | |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | nfs-kernel-server | |
| Asegúrate de que los servicios de servidor nis no estén en uso | unitName | ypserv.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | ypserv | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitName | rsync.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | rsync | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | SMBD.Service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | SNMPD | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitName | tftpd-hpa.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | TFTPD-HPA | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unidadNombreApache2Servicio | apache2.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreApache2Socket | apache2.socket | |
| packageNameApache2 | apache2 | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrate de que los servicios xinetd no estén en uso | unitName | xinetd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | xinetd | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que están configurados los permisos en/etc/crontab | mask | 0177 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.hourly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.daily están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| packageName | cron | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.weekly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.monthly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.d están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que crontab está restringido a los usuarios autorizados | nombrefileEtcCronAllow | /etc/cron.allow |
| owner | root | |
| group | root|crontab | |
| nombreEtcCronDeny | /etc/cron.deny | |
| Asegurarse de que at está restringido a los usuarios autorizados | mask | 0137 |
| owner | root | |
| group | root|daemon | |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerEsperadoValorT | /[^ \t]+ |
| bannerDePermiteValoresNinguno | ninguno | |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientealivecountmaxThreshold | 0 |
| clientaliveintervalThreshold | 0 | |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeThresholdValue60 | 60 |
| logingracetimeThresholdValue0 | 0 | |
| Asegúrese de que sshd LogLevel está configurado | loglevelExpectedValue | verbose,info |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesThreshold | 4 |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsThreshold | 10 |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsExpectValue | 10:30:60 |
| Asegurarse de que la expiración de la contraseña está configurada | maxDays | 365 |
| minDays | 1 | |
| Asegúrese de que se configuran días mínimos de contraseña | minDays | 1 |
| Asegúrese de que los días de advertencia de expiración de contraseña están configurados | warnDays | 7 |
| Asegúrese de que el algoritmo hash de contraseña seguro está configurado | hashAlgorithm | YESCRYPT |
| AlgoritmoDehash fallback | SHA512 | |
| Asegúrese de que ForwardToSyslog esté deshabilitado en journald | forwardToSyslogRegex | no |
| Asegúrese de que la compresión en diario está configurada | compressRegex | Sí |
| Asegúrese de que el almacenamiento en diario está configurado | storageRegex | persistente |
| Asegurarse de que journald está configurado para enviar registros a rsyslog | forwardToSyslogRegex | Sí |
| Asegúrese de que esté configurado el modo de los archivos de configuración de auditoría | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| mask | 0137 | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario de los archivos de configuración de auditoría está configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| owner | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario del grupo de archivos de configuración de auditoría esté configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| group | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegurarse de que el modo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario de las herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegurarse de que los permisos de /etc/passwd están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/passwd- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow están configurados | mask | 0137 |
| owner | root | |
| group | root|shadow | |
| Asegurarse de que los permisos de /etc/shadow- están configurados | mask | 0137 |
| owner | root | |
| group | root|shadow | |
| Asegurarse de que los permisos de /etc/gshadow están configurados | mask | 0137 |
| owner | root | |
| group | shadow|root | |
| Asegurarse de que los permisos de /etc/gshadow- están configurados | mask | 0137 |
| owner | root | |
| group | shadow|root | |
| Asegúrese de que los permisos en /etc/shells están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que los permisos en /etc/security/opasswd están configurados | mask | 0177 |
| owner | root | |
| group | root |