Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información detallada sobre las pruebas comparativas de seguridad de CIS para Red Hat Enterprise Linux, incluidas las pruebas comparativas admitidas, las reglas no coincidentes y los parámetros configurables en todas las versiones compatibles.
Pruebas comparativas admitidas
| Versión de Red Hat Enterprise Linux | Título del banco de pruebas |
|---|---|
| Red Hat Enterprise Linux 10 | CIS Red Hat Enterprise Linux 10 Benchmark 1.0.1 Nivel 1 + Nivel 2 - Servidor |
| Red Hat Enterprise Linux 8 | CIS Red Hat Enterprise Linux 8 Benchmark 3.0.0 Nivel 1 + Nivel 2 - Servidor |
| Red Hat Enterprise Linux 8 | CIS Red Hat Enterprise Linux 8 Benchmark 4.0.0 Nivel 1 + Nivel 2 - Servidor |
| Red Hat Enterprise Linux 9 | CIS Red Hat Enterprise Linux 9 Benchmark 2.0.0 Nivel 1 + Nivel 2 - Servidor |
CIS Red Hat Enterprise Linux 10 Benchmark 1.0.1 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Asegura que el perfil activo de authselect incluya módulos PAM
- Asegúrese de que solo hay un sistema de registro en uso
- Asegurarse de que el modo de herramientas de auditoría está configurado
- Asegúrese de que el propietario de las herramientas de auditoría está configurado
- Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado
- Asegurarse de que los archivos y directorios grabables por cualquiera están protegidos
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegúrese de que /tmp es tmpfs o una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que /dev/shm es tmpfs o una partición independiente | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegúrese de que el acceso a la configuración del cargador de arranque está configurado | directory | /boot/grub2 |
| filePattern | * | |
| mask | 0177 | |
| group | root | |
| owner | root | |
| Asegúrate de que el ProcessSizeMax de systemd-coredump esté configurado | procesTamañoMaxValor | 0 |
| Asegurarse de que el almacenamiento de systemd-coredump esté configurado | storageValue | ninguno |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | Avahi | |
| Asegúrate de que no se usen servicios web de cabina | unidadNombreCockpitService | Cabina.servicio |
| expectedUnitFileState | enabled | |
| unidadNombreEnclavo de Cabina | cockpit.socket | |
| expectedActiveState | activo | |
| packageName | Cabina-WS | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameKeaDhcp4Service | kea-DHCP4.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameKeaDhcp6Service | kea-dhcp6.service | |
| unitNameKeaDhcpDdnsService | kea-dhcp-ddns.service | |
| packageName | kea | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | atar | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | unidadNombreDovecotService | dovecot.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| packageNameDovecot | Dovecot | |
| unitNameCyrusImapdService | cyrus-imapd.service | |
| paqueteNombreCyrusImapd | Cyrus-imapd | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | NFS-utils | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitNameRsyncdService | rsyncd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRsyncdSocket | rsyncd.socket | |
| packageName | rsync-daemon | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | smb.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | Net-SNMP | |
| Asegúrate de que los servicios de servidor telnet no estén en uso | unitName | telnet.socket |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | telnet-server | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitNameTftpService | tftp.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreTftpSocket | tftp.socket | |
| packageName | TFTP-server | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unitNameHttpdService | httpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreHttpdSocket | httpd.socket | |
| paqueteNombreHttpd | httpd | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que la sincronización de hora está en uso | packageName | chrony |
| Asegúrese de que el acceso a /etc/crontab está configurado | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.hourly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.daily está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.weekly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.monthly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.yearly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.d está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a crontab está configurado | owner | root |
| group | root|crontab | |
| Asegúrese de que el acceso a [especifique aquí] está configurado | nombrefileEtcAtAllow | /etc/at.allow |
| mask | 0137 | |
| owner | root | |
| group | root|daemon | |
| nombreEtcAtDeny | /etc/at.deny | |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegúrese de que el acceso a /etc/ssh/sshd_config esté configurado | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerEsperadoValorT | /[^ \t]+ |
| bannerDePermiteValoresNinguno | ninguno | |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientealivecountmaxThreshold | 0 |
| clientaliveintervalThreshold | 0 | |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeThresholdValue60 | 60 |
| logingracetimeThresholdValue0 | 0 | |
| Asegúrese de que sshd LogLevel está configurado | loglevelExpectedValue | verbose,info |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesThreshold | 4 |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsExpectValue | 10:30:60 |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsThreshold | 10 |
| Asegurarse de que la expiración de la contraseña está configurada | maxDays | 365 |
| minDays | 1 | |
| Asegúrese de que se configuran días mínimos de contraseña | minDays | 1 |
| Asegúrese de que los días de advertencia de expiración de contraseña están configurados | warnDays | 7 |
| Asegúrese de que el algoritmo hash de contraseña seguro está configurado | hashAlgorithm | YESCRYPT |
| AlgoritmoDehash fallback | SHA512 | |
| Asegúrese de que ForwardToSyslog esté deshabilitado en journald | forwardToSyslogValue | no |
| Asegúrese de que la compresión en diario está configurada | compressValue | Sí |
| Asegúrese de que el almacenamiento en diario está configurado | storageValue | persistente |
| Asegurarse de que journald está configurado para enviar registros a rsyslog | forwardToSyslogValue | Sí |
| Asegúrese de que esté configurado el modo de los archivos de configuración de auditoría | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| mask | 0137 | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario de los archivos de configuración de auditoría está configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| owner | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario del grupo de archivos de configuración de auditoría esté configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| group | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegurarse de que el modo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario de las herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el acceso a /etc/passwd está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/passwd- está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/group está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/group- está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shadow está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shadow- está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/gshadow está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/gshadow- está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shells está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/security/opasswd está configurado | mask | 0177 |
| owner | root | |
| group | root |
CIS Red Hat Enterprise Linux 8 Benchmark 3.0.0 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config
- Asegúrese de que sshd LoginGraceTime está configurado
- Asegurarse de que SSH MaxStartups está configurado
- Asegúrate de que los archivos de configuración de auditoría sean propiedad de la raíz
- Asegurarse de que los archivos de configuración de auditoría pertenezcan a la raíz del grupo
- Asegúrate de que los permisos en /etc/opasswd estén configurados
Reglas no implementadas
- Asegúrese de que solo los grupos autorizados tengan la propiedad de los archivos de registro de auditoría
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegurarse de que /tmp es una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que /dev/shm es una partición independiente | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegurarse de que los retrocesos del volcado de memoria principal están deshabilitados | processSizeMaxRegex | 0 |
| Asegurarse de que el almacenamiento de volcado de memoria principal está deshabilitado | storageRegex | ninguno |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegurarse de que la sincronización de hora está en uso | packageName | chrony |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | Avahi | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameDhcpdService | dhcpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameDhcpd6Service | dhcpd6.service | |
| packageName | DHCP-server | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | atar | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | smb.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios de servidor FTP no estén en uso | serviceName | vsftpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | vsftpd | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | unidadNombreDovecotService | dovecot.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| packageNameDovecot | Dovecot | |
| unitNameCyrusImapdService | cyrus-imapd.service | |
| paqueteNombreCyrusImapd | Cyrus-imapd | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | NFS-utils | |
| Asegúrate de que los servicios de servidor nis no estén en uso | unitName | ypserv.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | ypserv | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitNameRsyncdService | rsyncd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRsyncdSocket | rsyncd.socket | |
| packageName | rsync-daemon | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | Net-SNMP | |
| Asegúrate de que los servicios de servidor telnet no estén en uso | unitName | telnet.socket |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | telnet-server | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitNameTftpService | tftp.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreTftpSocket | tftp.socket | |
| packageName | TFTP-server | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unitNameHttpdService | httpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreHttpdSocket | httpd.socket | |
| paqueteNombreHttpd | httpd | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrate de que los servicios xinetd no estén en uso | unitName | xinetd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | xinetd | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegurarse de que están configurados los permisos en/etc/crontab | mask | 0177 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.hourly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.daily están configurados | packageName | cron |
| alternativePackageName | cronie | |
| mask | 0077 | |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.weekly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.monthly están configurados | alternativePackageName | cronie |
| mask | 0077 | |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.d están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que crontab está restringido a los usuarios autorizados | nombreEtcCronDeny | /etc/cron.deny |
| owner | root | |
| group | root | |
| mask | 0137 | |
| nombrefileEtcCronAllow | /etc/cron.allow | |
| Asegurarse de que at está restringido a los usuarios autorizados | mask | 0137 |
| owner | root | |
| group | root|daemon | |
| Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config | Máscara de archivo | 0077 |
| owner | root | |
| group | root | |
| colección Máscara | 0177 | |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerValor | [^ \t]+ |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientalivecountmaxValue | [1-9][0-9]*m? |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeValue | ([1-9]|[1-5][0-9]|60|1m) |
| Asegúrese de que sshd LogLevel está configurado | loglevelValue | (INFORMACIÓN VERBOSA) |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesValue | [0-4] |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsValue | ([1-9]|10) |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsValue | (10|[1-9]):(30|[ 1-2][0-9]|[1-9]):(60|[ 1-5][0-9]|[1-9]) |
| Asegurarse de que la contraseña expira en un plazo máximo de 365 días | maxDays | 365 |
| Asegúrese de que los días de advertencia de expiración de contraseñas sean 7 o más | warnDays | 7 |
| Asegurarse de que journald está configurado para enviar registros a rsyslog | forwardToSyslogRegex | Sí |
| Asegúrate de que los archivos de configuración de auditoría sean 640 o más restrictivos | directory | /etc/auditoría/ |
| filePattern | ^.*. (reglas de conf|) | |
| mask | 0137 | |
| Asegúrate de que los archivos de configuración de auditoría sean propiedad de la raíz | directory | /etc/auditoría/ |
| filePattern | ^.*. (reglas de conf|) | |
| Asegurarse de que los archivos de configuración de auditoría pertenezcan a la raíz del grupo | directory | /etc/auditoría/ |
| filePattern | ^.*. (reglas de conf|) | |
| group | root | |
| Asegúrate de que las herramientas de auditoría sean 755 o más restrictivas | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrate de que las herramientas de auditoría sean propiedad de la raíz | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrate de que las herramientas de auditoría pertenezcan a la raíz del grupo | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegurarse de que los permisos de /etc/passwd están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/passwd- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow- están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/gshadow están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/gshadow- están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que los permisos en /etc/shells están configurados | mask | 0133 |
| owner | root | |
| group | root |
CIS Red Hat Enterprise Linux 8 Benchmark 4.0.0 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Asegúrate de que el módulo kernel firewire-core no esté disponible
- Asegurarse de que la opción nosuid está establecida en la partición /tmp
- Asegurarse de que chrony está configurado
- Asegúrese de que los cifrados sshd están configurados
- Asegurarse de que se usan mecanismos criptográficos para proteger la integridad de las herramientas de auditoría
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegúrese de que /tmp es tmpfs o una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrate de que /dev/shm sea tmpfs | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegúrate de que el ProcessSizeMax de systemd-coredump esté configurado | procesTamañoMaxValor | 0 |
| Asegurarse de que el almacenamiento de systemd-coredump esté configurado | storageValue | ninguno |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | Avahi | |
| Asegúrate de que no se usen servicios web de cabina | unidadNombreCockpitService | Cabina.servicio |
| expectedUnitFileState | enabled | |
| unidadNombreEnclavo de Cabina | cockpit.socket | |
| expectedActiveState | activo | |
| packageName | Cabina-WS | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameDhcpdService | dhcpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameDhcpd6Service | dhcpd6.service | |
| packageName | DHCP-server | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | atar | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor FTP no estén en uso | serviceName | vsftpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | vsftpd | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | unidadNombreDovecotService | dovecot.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| packageNameDovecot | Dovecot | |
| unitNameCyrusImapdService | cyrus-imapd.service | |
| paqueteNombreCyrusImapd | Cyrus-imapd | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | NFS-utils | |
| Asegúrate de que los servicios de servidor nis no estén en uso | unitName | ypserv.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | ypserv | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitNameRsyncdService | rsyncd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRsyncdSocket | rsyncd.socket | |
| packageName | rsync-daemon | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | smb.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | Net-SNMP | |
| Asegúrate de que los servicios de servidor telnet no estén en uso | unitName | telnet.socket |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | telnet-server | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitNameTftpService | tftp.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreTftpSocket | tftp.socket | |
| packageName | TFTP-server | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unitNameHttpdService | httpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreHttpdSocket | httpd.socket | |
| paqueteNombreHttpd | httpd | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrate de que los servicios xinetd no estén en uso | unitName | xinetd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | xinetd | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que la sincronización de hora está en uso | packageName | chrony |
| Asegúrese de que el acceso a /etc/crontab está configurado | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.hourly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.daily está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.weekly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.monthly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.yearly está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/cron.d está configurado | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a crontab está configurado | owner | root |
| group | root|crontab | |
| Asegúrese de que el acceso a [especifique aquí] está configurado | nombrefileEtcAtAllow | /etc/at.allow |
| mask | 0137 | |
| owner | root | |
| group | root|daemon | |
| nombreEtcAtDeny | /etc/at.deny | |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegúrese de que el acceso a /etc/ssh/sshd_config esté configurado | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrate de que el acceso a /etc/sysconfig/sshd esté configurado | filename | /etc/sysconfig/sshd |
| mask | 0137 | |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerEsperadoValorT | /[^ \t]+ |
| bannerDePermiteValoresNinguno | ninguno | |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientealivecountmaxThreshold | 0 |
| clientaliveintervalThreshold | 0 | |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeThresholdValue60 | 60 |
| logingracetimeThresholdValue0 | 0 | |
| Asegúrese de que sshd LogLevel está configurado | loglevelExpectedValue | verbose,info |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesThreshold | 4 |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsThreshold | 10 |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsExpectValue | 10:30:60 |
| Asegurarse de que la expiración de la contraseña está configurada | maxDays | 365 |
| minDays | 1 | |
| Asegúrese de que se configuran días mínimos de contraseña | minDays | 1 |
| Asegúrese de que los días de advertencia de expiración de contraseña están configurados | warnDays | 7 |
| Asegúrese de que el algoritmo hash de contraseña seguro está configurado | hashAlgorithm | YESCRYPT |
| AlgoritmoDehash fallback | SHA512 | |
| Asegúrese de que ForwardToSyslog esté deshabilitado en journald | forwardToSyslogValue | no |
| Asegúrese de que el almacenamiento en diario está configurado | storageValue | persistente |
| Asegúrese de que la compresión en diario está configurada | compressValue | Sí |
| Asegurarse de que journald está configurado para enviar registros a rsyslog | forwardToSyslogValue | Sí |
| Asegúrese de que esté configurado el modo de los archivos de configuración de auditoría | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| mask | 0137 | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario de los archivos de configuración de auditoría está configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| owner | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario del grupo de archivos de configuración de auditoría esté configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| group | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegurarse de que el modo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario de las herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el acceso a /etc/passwd está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/passwd- está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/group está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/group- está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shadow está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shadow- está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/gshadow está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/gshadow- está configurado | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/shells está configurado | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que el acceso a /etc/security/opasswd está configurado | mask | 0177 |
| owner | root | |
| group | root |
CIS Red Hat Enterprise Linux 9 Benchmark 2.0.0 Nivel 1 + Nivel 2 - Servidor
Reglas no coincidedas
Nota:
Las reglas no coincidentes son las que, en algunas circunstancias, la evaluación podría diferir de CIS-CAT® Pro Assessmentor; normalmente, nuestra implementación aplica criterios más estrictos.
- Asegurarse de que IgnoreRhosts de SSH está habilitado
- Asegúrese de que sshd LogLevel está configurado
- Asegúrese de que sshd MaxSessions está configurado
- Asegurarse de que PermitEmptyPasswords de SSH está deshabilitado
- Asegúrese de que SSH PermitUserEnvironment está deshabilitado
- Asegúrese de que usePAM sshd está habilitado
- Asegúrese de que solo hay un sistema de registro en uso
Parámetros configurables
| Rule | Parámetro | Valor predeterminado |
|---|---|---|
| Asegurarse de que /tmp es una partición independiente | mountPoint | /tmp |
| Asegurarse de que la opción nodev está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /tmp | mountPoint | /tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que /dev/shm es una partición independiente | mountPoint | /dev/shm |
| Asegurarse de que la opción nodev está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | nodev | |
| Asegurarse de que la opción nosuid está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | Nosuid | |
| Asegurarse de que la opción noexec está establecida en la partición /dev/shm | mountPoint | /dev/shm |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /home | mountPoint | /hogar |
| Asegúrese de que la opción nodev está establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /home | mountPoint | /hogar |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var | mountPoint | /var |
| Asegúrese de que la opción nodev está establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid esté establecida en la partición /var | mountPoint | /var |
| requiredMountOptions | Nosuid | |
| Asegúrese de que existe una partición independiente para /var/tmp | mountPoint | /var/tmp |
| Asegúrese de que la opción nodev está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/tmp | mountPoint | /var/tmp |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log | mountPoint | /var/log |
| Asegúrese de que la opción nodev esté establecida en la partición /var/log. | mountPoint | /var/log |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec esté establecida en la partición /var/log | mountPoint | /var/log |
| requiredMountOptions | noexec | |
| Asegúrese de que existe una partición independiente para /var/log/audit | mountPoint | /var/log/audit |
| Asegúrese de que la opción nodev está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | nodev | |
| Asegúrese de que la opción nosuid está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | Nosuid | |
| Asegúrese de que la opción noexec está establecida en la partición /var/log/audit | mountPoint | /var/log/audit |
| requiredMountOptions | noexec | |
| Asegurarse de que los retrocesos del volcado de memoria principal están deshabilitados | processSizeMaxRegex | 0 |
| Asegurarse de que el almacenamiento de volcado de memoria principal está deshabilitado | storageRegex | ninguno |
| Asegúrese de que el acceso a /etc/issue está configurado | filename | /etc/issue |
| mask | 0133 | |
| owner | root | |
| group | root | |
| Asegúrate de que los servicios de autofs no estén en uso | unitName | autofs.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | AUTOFS | |
| Asegúrate de que los servicios de daemon de Avahi no estén en uso | unitNameAvahiDaemonService | avahi-daemon.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreAvahiDaemonSocket | avahi-daemon.socket | |
| packageName | Avahi | |
| Asegurarse de que los servicios del servidor DHCP no estén en uso | unitNameDhcpdService | dhcpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unitNameDhcpd6Service | dhcpd6.service | |
| packageName | DHCP-server | |
| Asegúrese de que los servicios del servidor DNS no están en uso | serviceName | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | atar | |
| Asegúrate de que los servicios de dnsmasq no estén en uso | unitName | dnsmasq.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | dnsmasq | |
| Asegurarse de que los servicios de servidor de archivos samba no estén en uso | unitName | smb.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | samba | |
| Asegurarse de que los servicios de servidor FTP no estén en uso | serviceName | vsftpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | vsftpd | |
| Asegurarse de que los servicios de servidor de acceso a mensajes no estén en uso | unidadNombreDovecotService | dovecot.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreDovecotSocket | dovecot.socket | |
| packageNameDovecot | Dovecot | |
| unitNameCyrusImapdService | cyrus-imapd.service | |
| paqueteNombreCyrusImapd | Cyrus-imapd | |
| Asegurarse de que los servicios del sistema de archivos de red no estén en uso | unitName | nfs-server.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | NFS-utils | |
| Asegúrate de que los servicios de servidor nis no estén en uso | unitName | ypserv.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | ypserv | |
| Asegúrate de que los servicios de servidor de impresión no estén en uso | unidadNombreCupsService | tazas.servicio |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreCupsSocket | cups.socket | |
| packageName | Copas | |
| Asegúrate de que los servicios rpcbind no estén en uso | unitNameRpcbindService | rpcbind.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRpcbindSocket | rpcbind.socket | |
| packageName | rpcbind | |
| Asegúrate de que los servicios rsync no estén en uso | unitNameRsyncdService | rsyncd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreRsyncdSocket | rsyncd.socket | |
| packageName | rsync-daemon | |
| Asegurarse de que los servicios snmp no estén en uso | unitName | snmpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | Net-SNMP | |
| Asegúrate de que los servicios de servidor telnet no estén en uso | unitName | telnet.socket |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | telnet-server | |
| Asegurarse de que los servicios de servidor TFTP no estén en uso | unitNameTftpService | tftp.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| unidadNombreTftpSocket | tftp.socket | |
| packageName | TFTP-server | |
| Asegúrate de que los servicios de servidor proxy web no estén en uso | unitName | squid.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | calamar | |
| Asegúrate de que los servicios de servidor web no estén en uso | unitNameHttpdService | httpd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| NombreHttpdSocket | httpd.socket | |
| paqueteNombreHttpd | httpd | |
| unitNameNginxService | nginx.service | |
| packageNameNginx | nginx | |
| Asegúrate de que los servicios xinetd no estén en uso | unitName | xinetd.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | xinetd | |
| Asegúrese de que el cliente telnet no está instalado | packageName | telnet |
| Asegurarse de que la sincronización de hora está en uso | packageName | chrony |
| Asegurarse de que están configurados los permisos en/etc/crontab | mask | 0177 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.hourly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.daily están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| packageName | cron | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.weekly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos en /etc/cron.monthly están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| alternativePackageName | cronie | |
| Asegurarse de que los permisos en /etc/cron.d están configurados | mask | 0077 |
| owner | root | |
| group | root | |
| Asegúrese de que crontab está restringido a los usuarios autorizados | nombreEtcCronDeny | /etc/cron.deny |
| mask | 0137 | |
| owner | root | |
| group | root | |
| nombrefileEtcCronAllow | /etc/cron.allow | |
| Asegurarse de que at está restringido a los usuarios autorizados | mask | 0137 |
| owner | root | |
| group | root|daemon | |
| Asegurarse de que los servicios bluetooth no están en uso | unitName | bluetooth.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | activo | |
| packageName | bluez | |
| Asegurarse de que están configurados los permisos en /etc/ssh/sshd_config | mask | 0177 |
| owner | root | |
| group | root | |
| Asegúrese de que los cifrados sshd están configurados | cifradosValoresDisallowed. | 3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, arcfour, arcfour128, arcfour256, blowfish-cbc, cast128-cbc,[email protected] |
| Asegúrese de que se ha configurado sshd KexAlgorithms | kexalgoritmosDisallowedValues | Diffie-Hellman-Group1-sha1,Diffie-Hellman-Group14-sha1,Diffie-Hellman-Group-Exchange-sha1 |
| Asegúrese de que los MAC sshd están configurados | macsDisallowedValues | hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-sha1-96,[email protected],[email protected],[email protected],[email protected],[email protected],,[email protected]@openssh.com |
| Asegúrese de que el acceso sshd está configurado | allowUsersValuePattern | [^ \t]+ |
| allowGroupsValuePattern | [^ \t]+ | |
| neyUsersValuePattern | [^ \t]+ | |
| neyGroupsValuePattern | [^ \t]+ | |
| Asegúrese de que sshd Banner está configurado | bannerValor | /[^ \t]+ |
| Asegúrese de que clientAliveInterval y ClientAliveCountMax están configurados | clientalivecountmaxValue | [1-9][0-9]*m? |
| clientaliveintervalValue | [1-9][0-9]*m? | |
| Asegúrese de que sshd LoginGraceTime está configurado | logingracetimeValue | \b([1-9]|[ 1-5][0-9]|60)\b |
| Asegúrese de que sshd LogLevel está configurado | loglevelValue | (VERBOSO|INFO)\b |
| Asegúrese de que sshd MaxAuthTries está configurado | maxauthtriesValue | [0-4]\b |
| Asegurarse de que SSH MaxStartups está configurado | maxstartupsValue | (10\|[1-9])[^ \t](30\|[1-2][0-9]\|[1-9])[^ \t](60\|[1-5][0-9]\|[1-9])\b |
| Asegúrese de que sshd MaxSessions está configurado | maxsessionsValue | ([1-9]|10)\b |
| Asegurarse de que la expiración de la contraseña está configurada | maxDays | 365 |
| minDays | 1 | |
| Asegúrese de que se configuran días mínimos de contraseña | minDays | 1 |
| Asegúrese de que los días de advertencia de expiración de contraseña están configurados | warnDays | 7 |
| Asegúrese de que el algoritmo hash de contraseña seguro está configurado | hashAlgorithm | YESCRYPT |
| AlgoritmoDehash fallback | SHA512 | |
| Asegúrese de que ForwardToSyslog esté deshabilitado en journald | forwardToSyslogRegex | no |
| Asegúrese de que la compresión en diario está configurada | compressRegex | Sí |
| Asegúrese de que el almacenamiento en diario está configurado | storageRegex | persistente |
| Asegurarse de que journald está configurado para enviar registros a rsyslog | forwardToSyslogRegex | Sí |
| Asegúrese de que esté configurado el modo de los archivos de configuración de auditoría | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| mask | 0137 | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario de los archivos de configuración de auditoría está configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| owner | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegúrese de que el propietario del grupo de archivos de configuración de auditoría esté configurado | directory | /etc/auditoría/ |
| filePatternConf | *.conf | |
| group | root | |
| RulesDePatrón de Archivo | *.reglas | |
| Asegurarse de que el modo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| mask | 0022 | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario de las herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| owner | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegúrese de que el propietario del grupo de herramientas de auditoría está configurado | filenameSbinAuditctl | /sbin/auditctl |
| group | root | |
| filenameSbinAureport | /sbin/aureport | |
| filenameSbinAusearch | /sbin/ausearch | |
| nombre de archivo SbinAutrace | /sbin/autrace | |
| filenameSbinAuditd | /sbin/audited | |
| nombre de archivoSbinAugenrules | /sbin/augurrules | |
| Asegurarse de que los permisos de /etc/passwd están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/passwd- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/group- están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/shadow- están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/gshadow están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegurarse de que los permisos de /etc/gshadow- están configurados | mask | 0777 |
| owner | root | |
| group | root | |
| Asegúrese de que los permisos en /etc/shells están configurados | mask | 0133 |
| owner | root | |
| group | root | |
| Asegúrese de que los permisos en /etc/security/opasswd están configurados | mask | 0177 |
| owner | root | |
| group | root |