Amazon Inspector診断結果の脆弱性対応

Amazon Inspector診断結果の脆弱性対応

1.1.1.1 Ensure mounting of cramfs filesystems is disabled

1.1.1.1 Ensure mounting of cramfs filesystems is disabled

対応

コマンドを実行します。

1.1.1.2 Ensure mounting of hfs filesystems is disabled

1.1.1.2 Ensure mounting of hfs filesystems is disabled

対応

コマンドを実行します。

1.1.1.3 Ensure mounting of hfsplus filesystems is disabled

1.1.1.3 Ensure mounting of hfsplus filesystems is disabled

対応

viで/etc/modprobe.d/hfsplus.confを開きます。

1行追加します。

コマンドを実行します。

1.1.1.4 Ensure mounting of squashfs filesystems is disabled

1.1.1.4 Ensure mounting of squashfs filesystems is disabled

対応

viで/etc/modprobe.d/squashfs.confを開きます。

1行追加します。

コマンドを実行します。

1.1.1.5 Ensure mounting of udf filesystems is disabled

1.1.1.5 Ensure mounting of udf filesystems is disabled

対応

コマンドを実行します。

1.3.1 Ensure AIDE is installed

1.3.1 Ensure AIDE is installed

aideをインストールします。

aideを初期化します。

1.3.2 Ensure filesystem integrity is regularly checked

1.3.2 Ensure filesystem integrity is regularly checked

コマンドを実行します。

1行追加します。

1.5.1 Ensure core dumps are restricted

1.5.1 Ensure core dumps are restricted

対応

viで/etc/security/limits.confを開きます。

1行追加します。

viで/etc/sysctl.confを開きます。

1行追加します。

1.5.2 Ensure address space layout randomization (ASLR) is enabled

1.5.2 Ensure address space layout randomization (ASLR) is enabled

対応

viで/etc/sysctl.confを開きます。

以下1行追加します。

コマンドを実行します。

CVE-2021-3655

3.4.2 Ensure SCTP is disabled

対応

コマンドを実行し再起動します。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3655

CVE-2020-8285

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.

対応

コマンドを実行します。

5.2.19 Ensure SSH warning banner is configured

5.2.19 Ensure SSH warning banner is configured

対応

sshログイン時のバナーを表示します。viでsshd_configを開きます。

以下1行追加します。

リスタートします。

1.6.1.2 Ensure the SELinux state is enforcing

1.6.1.2 Ensure the SELinux state is enforcing

対応

viで/etc/selinux/configを開きます。

以下1行追加します。

再起動します。

sestatusコマンドで確認し、enabledになっていればOKです。

1.6.1.3 Ensure SELinux policy is configured

1.6.1.3 Ensure SELinux policy is configured

対応

viで/etc/selinux/configを開きます。

以下1行追加します。

5.1.4 Ensure permissions on /etc/cron.daily are configured

5.1.4 Ensure permissions on /etc/cron.daily are configured

対応

以下コマンドを実行します。

4.2.1.3 Ensure rsyslog default file permissions configured

4.2.1.3 Ensure rsyslog default file permissions configured

対応

viで/etc/rsyslog.confを開きます。

以下1行追加します。

4.2.4 Ensure permissions on all logfiles are configured

4.2.4 Ensure permissions on all logfiles are configured

対応

コマンドを実行します。

5.1.5 Ensure permissions on /etc/cron.weekly are configured

5.1.5 Ensure permissions on /etc/cron.weekly are configured

対応

以下コマンドを実行します。

5.2.10 Ensure SSH root login is disabled

5.2.10 Ensure SSH root login is disabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

Disable root login over SSH

Disable root login over SSH

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

3.4.3 Ensure RDS is disabled

3.4.3 Ensure RDS is disabled

対応

コマンドを実行します。

5.2.8 Ensure SSH IgnoreRhosts is enabled

5.2.8 Ensure SSH IgnoreRhosts is enabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.1.3 Ensure permissions on /etc/cron.hourly are configured

5.1.3 Ensure permissions on /etc/cron.hourly are configured

対応

以下コマンドを実行します。

5.1.2 Ensure permissions on /etc/crontab are configured

5.1.2 Ensure permissions on /etc/crontab are configured

対応

以下コマンドを実行します。

5.1.7 Ensure permissions on /etc/cron.d are configured

5.1.7 Ensure permissions on /etc/cron.d are configured

対応

以下コマンドを実行します。

CVE-2021-35477

In the Linux kernel through 5.13.7, an unprivileged BPF program can obtain sensitive information from kernel memory via a Speculative Store Bypass side-channel attack because a certain preempting store operation does not necessarily occur before a store operation that has an attacker-controlled value.

CVE-2021-3655

A vulnerability was found in the Linux kernel in versions before v5.14-rc1. Missing size validations on inbound SCTP packets may allow the kernel to read uninitialized memory.

CVE-2021-22543

An issue was discovered in Linux: KVM through Improper handling of VM_IO|VM_PFNMAP vmas in KVM can bypass RO checks and can lead to pages being freed while still accessible by the VMM and guest. This allows users with the ability to start and control a VM to read/write random pages of memory and can result in local privilege escalation.

CVE-2021-34556

In the Linux kernel through 5.13.7, an unprivileged BPF program can obtain sensitive information from kernel memory via a Speculative Store Bypass side-channel attack because the protection mechanism neglects the possibility of uninitialized memory locations on the BPF stack.

対応

kernelのバージョンを確認します。

以下コマンドを実行してkernelのアップデートをします。

再起動して最新のカーネルになっている確認します。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35477

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3655

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22543

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34556

4.1.1.3 Ensure audit logs are not automatically deleted

4.1.1.3 Ensure audit logs are not automatically deleted

対応

viでauditd.confを開きます。

以下1行変更します。

リスタートします。

4.1.1.2 Ensure system is disabled when audit logs are full

4.1.1.2 Ensure system is disabled when audit logs are full

対応

viでauditd.confを開きます。

以下3行変更します。

リスタートします。

5.2.12 Ensure SSH PermitUserEnvironment is disabled

5.2.12 Ensure SSH PermitUserEnvironment is disabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.3.1 Ensure password creation requirements are configured

5.3.1 Ensure password creation requirements are configured

対応

viで/etc/pam.d/password-authを開きます。

1行変更します。

viで/etc/pam.d/system-authを開きます。

1行変更します。

viで/etc/security/pwquality.confを開きます。

5行追加します。

5.3.3 Ensure password reuse is limited

5.3.3 Ensure password reuse is limited

対応

viで/etc/pam.d/password-authを開きます。

以下1行変更します。

viでを開きます。

以下1行変更します。

5.1.6 Ensure permissions on /etc/cron.monthly are configured

5.1.6 Ensure permissions on /etc/cron.monthly are configured

対応

コマンドを実行します。

5.1.8 Ensure at/cron is restricted to authorized users

5.1.8 Ensure at/cron is restricted to authorized users

対応

/etc/cron.denyとrm /etc/at.denyを削除します。/etc/cron.allowと/etc/at.allowを作成し、chmodとchownを実行します。

3.4.1 Ensure DCCP is disabled

3.4.1 Ensure DCCP is disabled

対応

コマンドを実行します。

3.6 Disable IPv6

3.6 Disable IPv6

対応

viで/etc/default/grubを開きます。

1行追加します。

コマンドを実行します。

4.1.3 Ensure auditing for processes that start prior to auditd is enabled

4.1.3 Ensure auditing for processes that start prior to auditd is enabled

対応

viで/etc/default/grubを開きます。

以下のように修正します。「 audit=1」を追加しています。

コマンドを実行します。

4.1.18 Ensure the audit configuration is immutable

4.1.18 Ensure the audit configuration is immutable

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルの末尾に以下1行を追加します。

リスタートします。

3.4.4 Ensure TIPC is disabled

3.4.4 Ensure TIPC is disabled

対応

コマンドを実行します。

5.2.9 Ensure SSH HostbasedAuthentication is disabled

5.2.9 Ensure SSH HostbasedAuthentication is disabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.2.7 Ensure SSH MaxAuthTries is set to 4 or less

5.2.7 Ensure SSH MaxAuthTries is set to 4 or less

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.2.4 Ensure SSH Protocol is set to 2

5.2.4 Ensure SSH Protocol is set to 2

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.4.1.1 Ensure password expiration is 365 days or less

5.4.1.1 Ensure password expiration is 365 days or less

対応

viで/etc/login.defsを開きます。

以下1行追加します。

5.4.1.2 Ensure minimum days between password changes is 7 or more

5.4.1.2 Ensure minimum days between password changes is 7 or more

対応

viで/etc/login.defsを開きます。

以下1行変更します。

5.2.6 Ensure SSH X11 forwarding is disabled

5.2.6 Ensure SSH X11 forwarding is disabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

5.4.1.4 Ensure inactive password lock is 30 days or less

5.4.1.4 Ensure inactive password lock is 30 days or less

対応

コマンドを実行します。

5.2.11 Ensure SSH PermitEmptyPasswords is disabled

5.2.11 Ensure SSH PermitEmptyPasswords is disabled

対応

viでsshd_configを開きます。

以下1行追加します。

リスタートします。

3.1.2 Ensure packet redirect sending is disabled

3.1.2 Ensure packet redirect sending is disabled

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.8 Ensure TCP SYN Cookies is enabled

3.2.8 Ensure TCP SYN Cookies is enabled

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.9 Ensure IPv6 router advertisements are not accepted

3.2.9 Ensure IPv6 router advertisements are not accepted

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.1.1 Ensure IP forwarding is disabled

3.1.1 Ensure IP forwarding is disabled

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.1 Ensure source routed packets are not accepted

3.2.1 Ensure source routed packets are not accepted

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.2 Ensure ICMP redirects are not accepted

3.2.2 Ensure ICMP redirects are not accepted

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.3 Ensure secure ICMP redirects are not accepted

3.2.3 Ensure secure ICMP redirects are not accepted

対応

viで/etc/sysctl.confを開きます。

以下2行を追加します。

コマンドを実行します。

3.2.4 Ensure suspicious packets are logged

3.2.4 Ensure suspicious packets are logged

対応

viで/etc/sysctl.confを開きます。

以下2行追加します。

コマンドを実行します。

3.2.5 Ensure broadcast ICMP requests are ignored

3.2.5 Ensure broadcast ICMP requests are ignored

対応

viで/etc/sysctl.confを開きます。

以下1行追加します。

コマンドを実行します。

3.2.6 Ensure bogus ICMP responses are ignored

3.2.6 Ensure bogus ICMP responses are ignored

対応

viで/etc/sysctl.confを開きます。

以下1行追加します。

コマンドを実行します。

3.2.7 Ensure Reverse Path Filtering is enabled

3.2.7 Ensure Reverse Path Filtering is enabled

対応

viで/etc/sysctl.confを開きます。

以下1行追加します。

コマンドを実行します。

3.3.3 Ensure /etc/hosts.deny is configured

3.3.3 Ensure /etc/hosts.deny is configured

対応

5.2.18 Ensure SSH access is limited

5.2.18 Ensure SSH access is limited

対応

viでsshd_configを開きます。

AllowUsers,AllowGroups,DenyUsers,DenyGroupsいずれか一つ以上設定します。

リスタートします。

1.7.1.2 Ensure local login warning banner is configured properly

1.7.1.2 Ensure local login warning banner is configured properly

対応

Linuxログイン時にバナー表示させるために/etc/issueに何かメッセージを入力します。

コマンドを実行します。

1.7.1.3 Ensure remote login warning banner is configured properly

1.7.1.3 Ensure remote login warning banner is configured properly

対応

Linuxログイン時にバナー表示させるために/etc/issueに何かメッセージを入力します。

コマンドを実行します。

4.1.16 Ensure system administrator actions (sudolog) are collected

4.1.16 Ensure system administrator actions (sudolog) are collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下1行を追加します。

リスタートします。

4.1.7 Ensure events that modify the system’s Mandatory Access Controls are collected

4.1.7 Ensure events that modify the system’s Mandatory Access Controls are collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

4.1.8 Ensure login and logout events are collected

4.1.8 Ensure login and logout events are collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

4.1.7 Ensure events that modify the system’s Mandatory Access Controls are collected

4.1.7 Ensure events that modify the system’s Mandatory Access Controls are collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

4.1.9 Ensure session initiation information is collected

4.1.9 Ensure session initiation information is collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下3行を追加します。

リスタートします。

4.1.15 Ensure changes to system administration scope (sudoers) is collected

4.1.15 Ensure changes to system administration scope (sudoers) is collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

4.1.4 Ensure events that modify date and time information are collected

4.1.4 Ensure events that modify date and time information are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下5行を追加します。

リスタートします。

4.1.5 Ensure events that modify user/group information are collected

4.1.5 Ensure events that modify user/group information are collected

対応

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下5行を追加します。

リスタートします。

4.1.6 Ensure events that modify the system’s network environment are collected

4.1.6 Ensure events that modify the system’s network environment are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下7行を追加します。

リスタートします。

4.1.10 Ensure discretionary access control permission modification events are collected

4.1.10 Ensure discretionary access control permission modification events are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下6行を追加します。

リスタートします。

4.1.17 Ensure kernel module loading and unloading is collected

4.1.17 Ensure kernel module loading and unloading is collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下4行を追加します。

リスタートします。

4.1.11 Ensure unsuccessful unauthorized file access attempts are collected

4.1.11 Ensure unsuccessful unauthorized file access attempts are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下4行を追加します。

リスタートします。

4.1.14 Ensure file deletion events by users are collected

4.1.14 Ensure file deletion events by users are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

4.1.13 Ensure successful file system mounts are collected

4.1.13 Ensure successful file system mounts are collected

対応(64bit)

viで/etc/audit/rules.d/audit.rulesを開きます。

ファイルに以下2行を追加します。

リスタートします。

5.2.5 Ensure SSH LogLevel is appropriate

5.2.5 Ensure SSH LogLevel is appropriate

対応

viでsshd_configを開きます。

以下1行変更します。

リスタートします。

5.2.13 Ensure only strong ciphers are used

5.2.13 Ensure only strong ciphers are used

対応

viでsshd_configを開きます。

以下1行追加します。暗号化アルゴリズムはカンマ区切りで指定します。

リスタートします。

5.2.14 Ensure only strong MAC algorithms are used

5.2.14 Ensure only strong MAC algorithms are used

対応

viでsshd_configを開きます。

以下1行追加します。暗号化アルゴリズムはカンマ区切りで指定します。

リスタートします。

5.2.15 Ensure that strong Key Exchange algorithms are used

5.2.15 Ensure that strong Key Exchange algorithms are used

対応

viでsshd_configを開きます。

以下1行追加します。キーアルゴリズムはカンマ区切りで指定します。

リスタートします。

5.2.16 Ensure SSH Idle Timeout Interval is configured

5.2.16 Ensure SSH Idle Timeout Interval is configured

対応

viでsshd_configを開きます。

以下2行変更します。

リスタートします。

5.2.17 Ensure SSH LoginGraceTime is set to one minute or less

5.2.17 Ensure SSH LoginGraceTime is set to one minute or less

対応

viでsshd_configを開きます。

以下1行変更します。

リスタートします。

※Inspectorの実行方法は「AWS EC2にはInspector導入して脆弱性を検知する」を参照ください。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA