Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
Estándares de Seguridad Informática
AIX 5.x Versión 2
Estado: Versión 1
Página: 1 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
Contenido 1.1
Configuración de arranque del sistema ..........................................................................................4
1.1.1
Configuración Inicial del Sistema.............................................................................................4
1.1.1.1
Configuración de las opciones de red ..............................................................................4
1.1.1.2
Configuración del servicio TCB (Trusted Computing Base).............................................5
1.1.1.3
Configuración del sistema de NFS (Network File System) ..............................................6
1.1.1.4
Configuración del sistema de Comandos de Acceso Remoto Berkeley ..........................7
1.1.1.5
Configuración del sistema del Protocolo Post Office (POP) ............................................8
1.1.1.6
Configuración del sistema iFOR/LS .................................................................................8
1.1.1.7
Configuración del sistema X-Windows .............................................................................8
1.1.1.8
Configuración del sistema de prevención de negación del servicio.................................9
1.1.2
Anexos ...................................................................................................................................10
1.1.2.1
Consideraciones, Recomendaciones y / o Supuestos. ..................................................10
1.1.2.2
Guía de Auditoria............................................................................................................10
1.1.3
Controles del sistema ............................................................................................................13
1.1.3.1
Controles del sistema de Prevención de Negación del servicio.........................13
1.1.3.2
Registro de Actividades .............................................................................................13
1.1.3.3
Identificación y Autenticación de usuarios......................................................................17
1.1.3.4
Protección de recursos del sistema operativo ......................................................22
1.1.3.5
Protección de recursos de los usuarios ..................................................................23
1.1.3.6
Aviso de utilización del Negocio...............................................................................28
1.1.4
Anexos ...................................................................................................................................29
1.1.4.1
Consideraciones, Recomendaciones y / o Supuestos. ..................................................29
1.1.4.2
Guía de Auditoria............................................................................................................29
1.1.5
Estado: Versión 1
Network File System (NFS). ..................................................................................................37
Página: 2 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática 1.1.5.1 1.1.6
NFS - Proceso para exportar Datos Confidenciales sin autenticación exigente.
Anexos ...................................................................................................................................38
1.1.6.1
Consideraciones, Recomendaciones y / o Supuestos. ..................................................38
1.1.6.2
Guía de Auditoria............................................................................................................38
Estado: Versión 1
37
Página: 3 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
1.1 CONFIGURACIÓN DE ARRANQUE DEL SISTEMA 1.1.1 Configuración Inicial del Sistema. Tema:
1.1.1.1 Configuración de las opciones de red
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Como usuario root y desde la línea de comandos ejecute: /usr/sbin/no –o bcastinping=0 Bcastping
/usr/sbin/no –o directed_broadcast=0
directed_broadcast
/usr/sbin/no –o icmpaddressmask=0
icmpaddressmask ipforwarding ipsendredirects ip6srcrouteforward ipsrcrouteforward ipsrcrouterecv ipsrcroutesend
/usr/sbin/no –o ipforwarding=0 Para evitar ataques de negación de servicio provenientes de redes de difusión, scaneo de puertos y en general para evitar que el servidor responda a solicitudes motivadas por broadcast o direcciones ip ficticias o suplantadas, se deben deshabilitar estos parámetros
/usr/sbin/no –o ipsendredirects=0 /usr/sbin/no –o i ip6srcrouteforward=0 /usr/sbin/no –o ipsrcrouteforward=0 /usr/sbin/no –o ipsrcrouterecv =0 /usr/sbin/no –o ipsrcroutesend=0
nonlocsroute
/usr/sbin/no –o nonlocsroute=0
tcp_pmtu_discover
/usr/sbin/no –o tcp_pmtu_discover=0
udp_pmtu_discover
/usr/sbin/no –o udp_pmtu_discover=0 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net
Estado: Versión 1
Página: 4 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.1.1 Configuración de las opciones de red
Parámetro / Componente
clean_partial_conns
Valor o cambio a implantar
Para evitar que permanezcan conexiones incompletas provenientes de navegadores de puertos o probadores se debe habilitar este parámetro.
Procedimiento para su implantación
Como usuario root y desde la línea de comandos ejecute: /usr/sbin/no –o clean_partial_conns=1 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net Como usuario root y desde la línea de comandos ejecute:
Ipignoreredirects
Tema:
Para evitar que el servidor sea utilizado como puente para atacar otras máquinas o redes se debe habilitar este parámetro.
/usr/sbin/no –o ipignoreredirects=1 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net
1.1.1.2 Configuración del servicio TCB (Trusted Computing Base)
Parámetro / Componente
Servicio TCB
Valor o cambio a implantar
Para reforzar la seguridad de los archivos del sistema, el TCB debe ser habilitado en el kernel durante la instalación del sistema. TCB no se puede habilitar en un sistema ya instalado.
Procedimiento para su implantación
Ingresar al menú de instalación iniciando el servidor en modo servicio a través del CD No.1 de instalación Desde el menú seleccione la opción 4 Editar el archivo /etc/security/sysck.cfgy llenar cada stanza de acuerdo con las características propias de cada archivo a proteger. Las stanzas son las siguientes (no todas son obligatorias y dependen del archivo a chequear) :
Archivo /etc/security/sysck.cfg
Todo archivo que se desee proteger con TCB debe ser incluido en /etc/security/sysck.cfg, se recomiendan en general los que tienen propietario root y/ó bit SUID
acl Lista de control de acceso para el archivo class Grupo común bajo el cual se chequean los archivos de una misma clase checksum Suma de comprobación calculada por el comando sum -r group ID del grupo al cual pertenece el archivo links
Lista de enlaces duros al archivo (ver comando ln)
mode Modos SUID SVTX ó TCB para el archivo
Estado: Versión 1
Página: 5 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.1.2 Configuración del servicio TCB (Trusted Computing Base)
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
owner Es el usuario propietario del archivo size Es el tamaño del archivo program Nombre del programa utilizado para chequear el archivo symlinks Lista de enlaces simbólicos al archivo type Es el tipo de archivo que puede ser uno de los siguientes : FILE, DIRECTORY,FIFO,BLK_DEV,CHAR_DEV
Comando chtcb
Tema:
Para que los archivos incluidos dentro del archivo /etc/security/sysck.cfg queden habilitados en TCB es necesario activar el servicio TCB para cada archivo.
Como root se debe ejecutar chtcb on
1.1.1.3 Configuración del sistema de NFS (Network File System)
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Archivo /etc/exports
Si se utiliza (No es recomendado implementarlo), el archivo debe existir y contener los directorios y hosts a los cuales les da acceso
Acceso a filesystems locales a través de NFS.
No se podrá dar acceso al host local a filesystems locales a través de NFS.
En el archivo /etc/exports deben colocarse todos los filesystems exportados y los hosts que tienen acceso a los mismos sin incluir al host local.
Bases de datos de usuarios equivalentes en NFS.
Los equipos que acceden filesystems exportados por NFS deberán tener bases de datos de usuarios equivalentes.
Verificar con el administrador los usuarios en los equipos para confirmar que los usuarios tengan permisos equivalentes en las diferentes máquinas.
Opción root cuando se utiliza NFS.
No se podrá utilizar la opción root cuando se exporta un filesystem por NFS ya que
Verificar en el archivo /etc/exports que no aparezca la opción de root.
Estado: Versión 1
El contenido del archivo debe ser de la forma: /directorioexportado -access=host al cual se exporta
Página: 6 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.1.3 Configuración del sistema de NFS (Network File System)
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
otorgaría acceso total al filesystem.
Exportar el filesystem en modo seguro
Los directorios con permiso de escritura se deben exportar en modo seguro
Nota : Este punto requiere un servidor NIS y un sistema de criptografía con llaves públicas previamente habilitado responsable de la autenticación de cada usuario que accederá el filesystem. Como root ejecutar smitty mknfsexp y habilitar el campo : Use secure option
Nota : Este punto requiere un servidor NIS y un sistema de criptografía con llaves públicas y privadas previamente habilitado responsable de la autenticación de cada usuario que accederá el filesystem. El cliente nfs ejecuta el comando mount en modo seguro : Montaje del filesystem en modo seguro
Para acceder al filesystem nfs exportado en modo escritura el cliente debe montar el filesystem en modo seguro
mount -o secure servidor:/path /localdir donde servidor:/path es la referencia al servidor y al directorio exportado y /localdir es el directorio del cliente. Se utiliza el estándar DES para autenticar.
Tema:
1.1.1.4 Configuración del sistema de Comandos de Acceso Remoto Berkeley
Parámetro / Componente
Archivo /etc/hosts.equiv . Los servicios de comandos remotos son: -
rexec rshell rlogin
Estado: Versión 1
Valor o cambio a implantar
No debe ser utilizado como un mecanismo de control de acceso. Es recomendado no implementarlo. La definición de hosts confiables en el archivo /etc/hosts.equiv no está permitida
Procedimiento para su implantación
Si se habilitan estos comandos, debe existir el archivo /etc/hosts.equiv y el contenido del mismo debe ser de la forma: Host -user ó host user para negar o permitir acceso respectivamente. Deben eliminarse los + que permiten un acceso libre.
Página: 7 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.1.4 Configuración del sistema de Comandos de Acceso Remoto Berkeley
Parámetro / Componente
-
Valor o cambio a implantar
Procedimiento para su implantación
rusers
Archivos .rhosts
Tema:
Este archivo es recomendado no implementarlo. De ser necesario utilice el comando chmod 700 filename para restringir el uso
1.1.1.5 Configuración del sistema del Protocolo Post Office (POP)
Parámetro / Componente
Autenticación del usuario POP
Tema:
Los permisos del archivo pueden dar acceso solo al dueño del mismo. Los archivos .rhosts en los directorios home de los usuarios no están recomendados.
Valor o cambio a implantar
Por seguridad este protocolo debe deshabilitarse en AIX.
Procedimiento para su implantación
Este protocolo no permite autenticación y debe deshabilitarse a menos que el servidor sea un servidor de correo. Se debe editar el archivo /etc/services y comentariar (con un signo # al principio de la linea donde está el POP) el servicio.
1.1.1.6 Configuración del sistema iFOR/LS
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
En el archivo i4ls.ini verificar que se encuentren las siguientes líneas: Archivo /var/ifor/i4ls.ini
No debe permitir la administración remota.
DisableRemoteAdmin=yes DisableRemoteNdlAdmin=yes
Tema:
1.1.1.7 Configuración del sistema X-Windows
Parámetro / Componente
Control de acceso X-Server
Estado: Versión 1
Valor o cambio a implantar
No debe ser deshabilitado
Procedimiento para su implantación
En la línea de comando ejecutar: Xhost + hostname
Página: 8 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.1.8 Configuración del sistema de prevención de negación del servicio Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Servicios inseguros que deben ser deshabilitados
ECHO, CHARGEN, FINGER, DISCARD, SYSSTAT, DAYTIME, NETSTAT, WHO, RBOOTD, RSTAT, RWALL, RUSER, BOOTPS, REXD, PCNFS, SPRAYD, TFTP.
Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios colocar un signo #, con esto queda comentariada la línea y por lo cual queda deshabilitado el servicio.
Seguridad y contenido del archivo de configuración del servidor inetd
Los permisos del archivo deberán ser 644
Chmod 644 /etc/inetd.conf
Revelación de información sobre la identidad, versión y características del sistema
Los servicios telnet y sendmail generalmente cuentan con banners que informan la versión del servicio, la identidad del host, y hasta la versión del sistema operativo.
Se modifica en: /etc/security/login.cfg herald = “Login: “
Servicio SNMP
No es recomendado implementarlo. Si se utiliza, el archivo /etc/sendmail.cf no debe ser actualizado por usuarios generales.
Verificar con el comando ls -l que el archivo pertenezca al usuario root y no otorgue permisos de escritura a otros usuarios.
El subsistema UUCP
Deberá ser eliminado del sistema.
Verificar en el archivo /etc/inetd.conf que la linea del uucp esté comentariada (con un # al inicio de la linea).
Servicio de Telnet.
Es recomendable deshabilitarlo. En caso de ser necesario utilizarlo, sustituirlo por uno que provea encriptación de sesiones y un mecanismo de autenticación seguro como ssh.
Verificar en el archivo /etc/services que la linea del telnet esté comentariada (con un # al inicio de la linea).
Servicio FTP
Deberá inhabilitarse si no es utilizado.
Servicio de servidor DNS (named)
Deberá inhabilitarse si el host no es un servidor principal o secundario.
Verificar en el archivo /etc/services que la linea del ftp esté comentariada (con un # al inicio de la linea). Se verifica con: lssrc –s named Debe aparecer como inoperative
Comandos para hacer sniffing de la red
Estado: Versión 1
Se deberá restringir el uso de estos comandos.
Ejecutar el comando whereis tcpdump para saber donde se encuentra el archivo. Restringir los permisos del archivo para que pueda ser actualizado solo por root. chmod go-w archivo
Página: 9 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
1.1.2 Anexos 1.1.2.1 Consideraciones, Recomendaciones y / o Supuestos. •
El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.
•
La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.
1.1.2.2 Guía de Auditoria Fecha Revisión (D/M/A)
Nombre Auditor
Atributo del Sistema
Firma
Nombre Especialista Plataforma
Verificación
Cumple S/N
Firma
Comentarios
Bcastping directed_broadcast icmpaddressmask ipforwarding ipsendredirects ip6srcrouteforward ipsrcrouteforward
Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 0
ipsrcrouterecv ipsrcroutesend nonlocsroute tcp_pmtu_discover udp_pmtu_discover
Estado: Versión 1
Página: 10 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema
clean_partial_conns Ipignoreredirects
Verificación
Cumple S/N
Comentarios
Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 1 Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 1
Desde la línea de comandos ejecutar el comando tcbck -n ALL, el siguiente mensaje aparece si no está habilitado: Servicio TCB
Archivo /etc/security/sysck.cfg
3001-101 The Trusted Computing Base is not enabled on this machine.To enable the Trusted Computing Base, you must reinstall and set the 'Install Trusted Computing Base' option to YES. No checking is being performed. Para verificar que los archivos que usted requiere que estén protegidos con TCB desde el directorio /etc/security ejecutar grep –p nombrearchivo sysck.cfg Para chequear que un archivo es parte del TCB, desde el directorio donde se encuentra el archivo ejecute el comando:
Comando chtcb
ls –le nombrearchivo Al final de los permisos de archivo debe aparecer el caracter ‘+’ El archivo debe existir y contener los directorios y hosts a los cuales les da acceso. No debe incluir el host local y no debe contener el usuario root.
Archivo /etc/exports
El contenido del archivo debe ser de la forma: /directorioexportado access=host al que se exporta.
Archivo /etc/hosts.equiv Archivos .rhosts
Estado: Versión 1
Si existe, verificar la forma host -user o host user Los permisos del archivo pueden dar acceso solo al dueño del mismo.
Página: 11 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema
Protocolo POP
Archivo /var/ifor/i4ls.ini
Verificación
No debe permitir la administración remota. Verificar en el archivo lo siguiente: DisableRemoteAdmin=yes DisableRemoteNdlAdmin=yes No debe ser deshabilitado. Verificar con el comando xhosts
Servicio SNMP. El archivo /etc/Sendmail.cf no debe ser actualizado por usuarios generales.
Verificar con el comando ls -l que el archivo pertenezca al usuario root y no otorgue permisos de escritura a otros.
ECHO, CHARGEN, FINGER, DISCARD, SYSSTAT, DAYTIME, NETSTAT, WHO,RBOOTD,REXD,RPC.SPRAYD, TFTP Seguridad del /etc/inetd.conf Revelación de información sobre la identidad, versión y características del sistema Servicio SNMP
Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios debe existir un signo #, con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio. Verificar que los permisos sean 600 Verificar que no revele información en /etc/security/login.cfg herald = “Login: “ Verificar con el comando ls -l que el archivo pertenezca al usuario root .
El subsistema UUCP
Verificar que fue eliminado del sistema.
Servicios de Telnet y FTP Demonio y ppasswd. Debe ser deshabilitado debido a que los passwords son distribuidos a través de la red.
Verificar que esten inhabilitados.
Servidor de DNS (named) Comandos de Sniffing
Estado: Versión 1
Comentarios
Verificar que esté comentariada la línea del POP en este archivo.
Control de acceso X-Server
Servicios que deben ser deshabilitados en servidores de Internet:
Cumple S/N
Verificar con el comando lssrc -a que el y ppasswd aparezca inoperative. Verificar con SMIT TCPIP que esté deshabilitado si no es el server principal o secundario. Verificar que tcpdump tenga permisos 700
Página: 12 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema
Configuración de NIS o NIS+
Verificación
Cumple S/N
Comentarios
Verificar con nisls -l tabla cual es el dueño.
1.1.3 Controles del sistema Tema:
1.1.3.1 Controles del sistema de Prevención de Negación del servicio Atributo del Sistema
Servicios que deben ser deshabilitados si no son requeridos para soportar alguna aplicación.
Tema:
Requerimiento ECHO, CHARGEN, RSTAT, TFTP, RWALL, RUSER, DISCARD, DAYTIME, BOOTPS, FINGER, REXD, SPRAYD, PCNFSD
Procedimiento para su implantación Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios colocar un signo #, con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio.
1.1.3.2 Registro de Actividades Atributo del Sistema
Requerimiento
Procedimiento para su implantación
/usr/adm/wtmp
Debe existir el archivo.
Puede ser creado con el comando touch y colocarle permisos 664.
/usr/adm/sulog
Debe existir el archivo. Si se utiliza SUDO, el programa las registra a través del servidor syslogd en el archivo configurado
Puede ser creado con el comando touch. Debe tener permisos 600.
/etc/security/failedlogin
Registra todos los intentos fallidos de login. Debe existir el archivo.
Puede ser creado con el comando touch. Debe tener permisos 644.
Deben estar activos. Mecanismos de registro del sistema
Estado: Versión 1
El servidor de log es syslogd. Los procesos del sistema registran los eventos a través de este servidor. La configuración de este servidor se encuentra en /etc/syslog.conf.
Se utiliza: lssrc –s syslogd para verificar que esté activo
Página: 13 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.2 Registro de Actividades Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Se debe activar el subsistema de auditoria, previa elaboración de políticas. Se debe implementar una estrategia de auditaje del sistema, teniendo como base las guías contenidas en los documentos AIX 5L Version 51 System Management Concepts: Operating System and Devices Capítulo 3
Auditoría
http://publibn.boulder.ibm.com/doc_lin k/en_US/a_doc_lib/aixbman/admncon c/admnconctfrm.htm
Se debe configurar el archivo /etc/security/audit/config con los eventos que se indiquen en la elaboración de políticas de auditoria.
Criterios de auditaje AIX 5L Versión 5.1 System Management Guide: Operating System and Devices Capítulo 2 Configuración del sistema de auditaje
http://publibn.boulder.ibm.com/doc_link/en_U S/a_doc_lib/aixbman/baseadmn/baseadmntfr m.htm
Estado: Versión 1
Página: 14 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.2 Registro de Actividades Atributo del Sistema
Auditoria de los comandos sensitivos a la seguridad del sistema.
Auditoria del uso de las llamadas al sistema para la seguridad del sistema sensitivas.
Auditoria de usuarios administradores.
Backups de los registros de auditoria
Requerimiento
Se debe auditar : ♦ Cambio de atributos de objetos (chown, chmod, etc.) ♦ Acciones administrativas (mount, exportfs, etc.) ♦ Eventos de ingreso y egreso del sistema. ♦ Reinicio del sistema (shutdown) ♦ Compilación de programas (cc, pc, cob, etc.) Se debe auditar : ♦
setuidstime, settimeofday, sethostid, privgrp, setevent, swapon
♦
link, unlink, chdir, rename, chmod, chown, umask, fchown, fchmod, setacl, fsetacl
♦
setuid, setgid, setgroups, setresuid, setresgid, chroot
Se deben auditar : ♦
Administradores del sistema
♦
Operadores
♦ Administradores de base de datos Se deberá planificar dentro de los backups diarios del sistema la copia de resguardo de los registros de auditoria
Procedimiento para su implantación
Dentro del archivo /etc/security/audit/config se deben seleccionar al menos estos eventos para auditar.
Dentro del archivo /etc/security/audit/config se deben seleccionar al menos estos eventos para auditar.
Tener copia de los archivos .sh_history los cuales se encuentran en el directorio home de cada uno de los administradores . Auditar los comandos ejecutados por cada uno de los administradores, así como sus entradas y salidas del sistema.
Utilizar el crontab para programar los backups diarios.
Espacio para backups de auditoria
Se deberá reservar espacio suficiente para almacenar los registros de auditoria hasta que sean resguardados
El espacio necesario dependerá del número de eventos que se respalden y de la frecuencia con que se ejecuten.
Mecanismos de monitoreo de espacio en disco.
Se deberá contar con mecanismos de monitoreo del uso de espacio en disco
Se puede utilizar df -k dentro de un script programado. O a través de definición de Cuota por cada usuario.
Estado: Versión 1
Página: 15 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.2 Registro de Actividades Atributo del Sistema
Eventos relacionados con seguridad contabilizables / medibles : Adición de usuarios y modificación de sus atributos en la base de datos de usuarios Asignación / cambio de contraseñas en la base de datos de contraseñas. Adición / modificacion de grupos en la base de datos de grupos. Inicio y terminación de sesión de usuario Configuración de terminales tipo trusted Configuración de los métodos de autenticación Cambio de información relevante a la autenticación de usuarios Administración de los eventos sujetos a auditaje Encendido y apagado del mecanismo de auditaje Eventos relacionados con la administración general del sistema. Uso de privilegios Configuración de sistemas de archivos Configuración de dispositivos y HW Configuración del sistema (Definición de parámetros) Encendido y apagado del sistema Configuración de acceso remoto Violaciones potenciales a la seguridad Accesos no autorizados Fallas en los privilegios Errores y fallas en los dispositivos Alteración de la base de datos TCB si está instalada.
1
Requerimiento
Procedimiento para su implantación
Se debe utilizar la siguiente metodología . Ver ejemplo 1 detallado 1. Especificar los eventos relacionados con los objetos a auditar, los cuales se disparan de acuerdo con el tipo de acceso a un archivo de usuario o de sistema. Asociar el evento al objeto basado en el contenido de # vi /etc/security/audit/objects Si se desea añadir nuevos eventos, se deben seguir las políticas consignadas en : AIX 5L System Management Guide: Operating System and Devices capítulo 2 Se deben auditar las actividades relacionadas con los procesos críticos para el negocio. Esto por supuesto requiere un estudio minucioso de lo que realiza el proceso, a cuales objetos afecta dicho proceso y de quien(es) lo realizan.
2. Verificar o añadir el formato con que quedará consignado la ocurrencia del evento en el dispositivo de salida. vi /etc/security/audit/events 3. Agrupar el evento en su respectiva clase o grupo de eventos. Para los nuevos eventos se puede definir una nueva clase . # vi /etc/security/audit/config 4. Asignar el (los) usuario(s) que lanza el evento o la aplicacion. Este(os) sería(n) los usuarios a auditar. # chuser "auditclasses=clase" usuario 5. Configurar el modo en que correrá el subsistema de auditoría. binmode,streammode vi /etc/security/audit/config 6.Iniciar y gestionar la auditoría. Recoger y analizar la información de acuerdo con la información recogida en el paso 5.
Adjunto el documento How to: Configurar y poner a funcionar auditoria eventos en AIX por Alexander Zaretsky (revisado para V5L) con un ejemplo detallado
Estado: Versión 1
Página: 16 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema
Usuario root
Requerimiento
Procedimiento para su implantación
Debe tener un password asignado. El acceso a esta cuenta debe ser restringido a la consola física del servidor. El login directo solo es permitido vía FTP
Por Smit user entrar al usuario y cambiar el login remote a FALSE.
El usuario root deberá ser el único usuario con UID 0 del sistema. Usuario root único.
De ser necesario uno adicional deberá crearse un usuario diferente y colocar el id en cero pero en ningún caso se debe permitir que el password de root sea conocido por otros.
Flag de admin por defecto en el archivo /etc/security/user
Define el status administrativo de los usuarios.
El acceso del superusuario y otros usuarios privilegiados desde la red deberá estar restringido.
Para tener acceso a la cuenta del superusuario o de otros usuarios privilegiados se recomienda utilizar los comandos su o SUDO o desde cuentas de usuarios personalizadas en lugar de ingresar directamente con el login del usuario desde la red.
Passwords
Requerimiento
Utilizar el comando grep “:0:” /etc/passwd
Editar el archivo y colocar el flag de Admin en False.
En /etc/security/user root rlogin = false
Procedimiento para su implantación
Maxage
Máxima duración de un password. Debe ser 8 semanas
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Maxrepeats
Número de caracteres consecutivos repetidos. Valor=2
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido..
Minage
Mínima duración de un password. Valor=0
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Minalpha
Número mínimo de caracteres alfabéticos. Valor=2
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Estado: Versión 1
Página: 17 de 38
Con formato
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Mindiff
Número de caracteres no encontrados en el password anterior. Valor=1
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Minother
Número mínimo de caracteres no alfabeticos. Valor=1
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Minlen
Longitud mínima del password. Valor=6
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Histsize
Número de passwords previos que no pueden ser utilizados. Valor=8
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Loginretries
Número de intentos de acceso inválidos antes de bloquear la cuenta del usuario. Valor=3
Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.
Cuentas con UID duplicado
No deberán existir cuentas con UID duplicado
Verificar el archivo /etc/passwd
Inconsistencias entre las bases de usuarios.
Establecer los mecanismos de control necesariospara detectar y solucionar las inconsistencias entre las bases de usuarios.
Es necesario haber instalado el Trusted Computing Base al momento de la instalación del Sistema Operativo (AIX) de lo contrario no podrá hacer uso de los comandos: usrck, pwdck y grpck. Verificar que está instalado con el comando tcbck.
Cuentas guest o anónimos
No deben existir. Se debe borrar el usuario guest
Verificar con smit user
Estado: Versión 1
Página: 18 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema
Requerimiento
-
Deberán estar inhabilitadas. Las cuentas inhabilitadas son aquellas que tienen caracteres inválidos como password (ej.: ‘*’).
-
Deberán tener asignado un shell no funcional (como /bin/false) o un shell que genere un registro de los intentos de acceso (como noshell).
Cuentas creadas por defecto por el sistema
Procedimiento para su implantación
Crear cron.allow para los usuarios
Deberán tener el acceso a ftp inhabilitado mediante su inclusión en el archivo /etc/ftpusers. Deberá restringirse el uso de cron o at si no es necesario. -
Cuentas que ejecutan comandos en vez de shells
Todas las cuentas que ejecutan comandos en vez de shells deberán ser eliminadas o al menos inhabilitadas. Ejemplos de estas cuentas son ftp, backup, talk, etc.
Verificar con smit user
comando SU o similar
Debe estar restringido a los usuarios autorizados
Verificar con smit user
Estado: Versión 1
Página: 19 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Si se tienen cuentas especiales. Se deben realizar los siguientes controles sobre las cuentas: -
Cuentas especiales. Son aquellas que no pertenecen a una persona en particular.
Deberán tener inhabilitado el login directo desde la red. Solo se podrá acceder a dichas cuentas a través del comando SU o similar. Esto permite identificar qué usuario personalizado accedió a la cuenta de uso compartido.
-
Deberán tener inhabilitado el acceso a ftp mediante su inclusión en el archivo /etc./ftpusers.
-
Deberán tener el acceso restringido a cualquier otro servicio de red.
-
Deberán contar con un shell restringido que solo les permita ejecutar los comandos autorizados.
Verificar con smit user. También verificar en el archivo /etc/security/passwd donde el password .debe estar encriptado.
Demora entre intentos de login
Se deberá establecer una demora de 4 segundos entre intentos de acceso fallidos consecutivos en una terminal.
Verificar en el archivo :: /etc/security/login.cfg que esté reseñada la opción: logindelay = 4
Terminales remotas por las que no se logra acceso al sistema
Luego de un período prolongado deberán cerrarse. TIMEOUT=60
Se modifica el archivo /etc/profile colocando la linea export TMOUT = 60 Los permisos deben ser 555 y el dueño y grupo bin bin
Estado: Versión 1
Página: 20 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema
Usuarios inhabilitados
User ids que pueden tener passwords sin expiración
Requerimiento
Deberán contener un caracter inválido en lugar del password (ej: ‘*’) y definido un shell inválido (por ej: /bin/false) o algún shell sustituto que informe automáticamente el intento de acceso a la cuenta inhabilitada (por ejemplo: noshell). Los atributos login y rlogin del usuario están deshabilitados. Estos usuarios normalmente son utilizados por el sistema operativo únicamente.
Procedimiento para su implantación
Verificar en el archivo /etc/security/passwd que estos usuarios tengan como password * lo cual indica que están inhabilitados.
( * no hace login) Verificar en el /etc/security/user que los parámetros para el usuario están configurados de la siguiente forma: Login=false Rlogin=false
Protección de archivos de password
Requerimiento
Procedimiento para su implantación
/etc/passwd
Contiene userid, uid, gid. No debe contener passwords encriptados
Verificar en el archivo que la segunda columna no muestre los passwords explícitamente, en su lugar debe aparecer un asterisco o un caractér de admiración. Debe pertenecer a root.
Excepciones a las reglas de password
Requerimiento
Procedimiento para su implantación
Contraseñas de los usuarios
Deben ser controladas periódicamente usando una herramienta que detecte contraseñas débiles como crack.
Verificar con el administrador la utilización de esta herramienta.
Contraseñas encriptadas
Deben almacenarse en un archivo protegido como /etc/security/passwd
Debe existir el archivo /etc/security/passwd
/etc/ftpusers
Acceso FTP restringido. El ID del usuario debe existir en el archivo.
Verificar en el archivo /etc/ftpusers que existan los usuarios.
Estado: Versión 1
Página: 21 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.4 Protección de recursos del sistema operativo Atributo del Sistema
Requerimiento
Procedimiento para su implantación
/etc /bin
Recursos del sistema operativo. El dueño debe ser uno de los siguientes userids y groupids. Mirar tablas abajo
Revisar con el comando ls -l y si es necesario cambiar con el comando chown.
/.rhosts
No debe utilizarse, si se hace debe tener acceso de lectura y escritura solamente para root
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener permisos 600
/.netrc
No debe utilizarse, si se hace debe tener acceso de lectura y escritura solamente para root
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener permisos 600
/usr/sbin /usr/bin /usr/etc
Archivos de dispositivos del sistema.
Deben ser controlados periódicamente. Todos los archivos en el directorio /dev deberán ser archivos especiales.
Verificar: Find . ! –type c ! -type b ! -type d
/var/ifor/i4ls.ini
No debe ser escribible por usuarios generales
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod.
/etc/locks
Puede contener archivos escribibles por todos.
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod
/etc/security
Debe tener permisos con modo xx0
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod
/tmp
El Sticky bit debe ser configurado
Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener una t al final de los permisos.
Estado: Versión 1
Página: 22 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.4 Protección de recursos del sistema operativo Atributo del Sistema
Requerimiento
Firmas de los archivos críticos del sistema.
Procedimiento para su implantación
Se debe almacenar información de los archivos críticos del sistema (dueño, grupo, fechas de creación y modificación, tamaño, etc) y firmas digitales seguras del contenido (por ej. usando el algoritmo MD5).
Verificar con el administrador la utilización de esta herramienta.
Por ejemplo se podría implementar el programa Tripwire.
Userids root:0
Groupids
Nuucp:6
daemon:1 lpd:9 bin:2 sys:3 adm:4 uucp:5
imnadm (No tiene UID asignado) lpsec (No tiene UID asignado) ldap (No tiene UID asignado) lp (No tiene UID asignado)
system:0
mail:6
security:7
printq:9
bin:2
cron:8
sys:3
audit:10
adm:4
shutdown:21
uucp:5
ecs:28
imnadm (No tiene UID asignado) ipsec (No tiene UID asignado) ldap (No tiene UID asignado) lp (No tiene UID asignado)
Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
FTP Anónimo
No debe configurarse, si se hace el acceso ftp anónimo debe ser otorgado únicamente a directorios que contienen datos noclasificados en donde el almacenamiento de datos confidenciales es prohibido.
Verificar que no existan datos confidenciales en los directorios del FTP anónimo (directorios seleccionados por el administrador).
Estado: Versión 1
Página: 23 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Directorios de usuario
Los usuarios no deberán compartir directorios home con otros usuarios.
Verificar con usrck –p ALL
Archivos o directorios sin dueño o grupo válido.
No deben existir .
Se utiliza: find / -nouser (corregir si existen). Se les debe cambiar el dueño con el comando chown usuario.grupo archivo
Archivos con permisos de escritura para otros usuarios que no sean los dueños de los mismos.
No deben existir.
Verificar con ls –l que no aparezca w en los permisos de otros y grupo.
Directorios públicos
Deben tener restricciones adicionales para proteger los archivos almacenados en esos directorios.
Se utiliza: ls –ld /tmp /var/tmp Verificar una t al final. Verificar: Programas con permisos SETUID
Debe restringirse el uso a los usuarios privilegiados.
Directorio /
El directorio / deberá pertenecer al usuario root
Archivos de login globales
Los archivos de login globales deberán pertenecer a root y no deberán tener permisos de escritura para usuarios noroot.
Archivos de login de usuarios
Estado: Versión 1
Los archivos de login de usuarios que acceden a la línea de comandos deberán pertenecer al usuario y no deberán tener permisos de escritura para otros usuarios.
find / -perm –4000 ¡ -user root find / -perm –2000 ¡ -user root
ls -ld / cd /etc ls –l profile Permisos: rwx r - x r – x Chmod 700 para cada uno de los sig. Archivos: ~/.login ~/.profile ~/.kshrc ~/.cshrc
Página: 24 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Trusted Shells
Los usuarios que requieren acceder a la línea de comandos pero con un conjunto limitado de comandos deberán utilizar Trusted Shells
Habilitar el uso de Rsh en el archivo /etc/security/login.cfg y modificar la configuración de los usuarios que van a trabajar con este shell para que lo tengan como shell de inicio.
Cualquier programa ejecutado por root o por usuarios con UID 0, o que se encuentren dentro de los directorios incluidos en la variable PATH de los usuarios: Programas ejecutados por root
Compiladores y debbugers
Estado: Versión 1
Cualquier programa o script referenciado en los siguientes archivos del usuario root o cualquier usuario con UID 0, deberá cumplir los requerimientos detallados antes: 1
~/.login, ~/.profile y todo archivo de inicialización de login similar existente.
2
~/.exrc y cualquier archivo de inicialización de programas similar.
2.No deberá tener permisos de escritura para usuarios no-root
3
~/.logout y cualquier archivo de finalización de sesiones.
No deberá estar ubicado en un directorio donde algunos de los elementos del mismo tengan permisos de escritura para otro usuario que no sea root.
4
~/.forward.
5
registros del crontab y el at
6
Archivos en particiones NFS
7
/etc/rc* y cualquier archivo similar de arranque y apagado.
1.Deberá tener propiedad de root
En los equipos de producción no podrán existir compiladores ni debbugers habilitados
Verificar con lslpp -L que no aparezcan compiladores o debuggers.
Página: 25 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
Archivos existentes en el directorio /usr/spool/cron/crontabs. Deben cumplir con lo siguiente: -
Permisos de los archivos que contienen los procesos planificados
Mecanismo de registro de la ejecución de los procesos batch.
Estado: Versión 1
No podrán tener permiso de escritura, lectura y ejecución para el mundo ni para el grupo. El dueño de cada archivo debe ser el usuario al que pertenece el archivo (tener especial cuidado con el archivo del usuario root y de los demás usuarios con UID 0).
-
No podrán existir archivos que no pertezcan a algún usuario válido.
-
No podrán existir archivos que pertenezcan a usuarios NO habilitados para utilizar el cron.
Verificar con ls -l /usr/spool/cron/crontabs que los permisos sean 700
Verificar con ls –l que exista el archivo Debe estar implementado
/var/adm/cron/log
Página: 26 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
El subsistema cron tiene un mecanismo de restricción de los usuarios que están autorizados a utilizarlo. Se deberán seguir las siguientes recomendaciones: Ejecución de procesos batch por parte de los usuarios
Deberá existir el archivo cron.allow (o similar) y no deberá existir el archivo cron.deny (o similar).
Se deberán enunciar explícitamente en los archivos /etc./cron.allow y el /etc/at.allow aquellos usuarios que necesitan acceso al cron. Por defecto ningún usuario podrá utilizar el cron. Los permisos de estos archivos tiene que ser (rwx------). -
-
Se deberá utilizar alguna herramienta (Sudo) que genere registro de las actualizaciones del cron, y no el usuario root para la actualización del cron.
-
Las copias de resguardo de los archivos de cron no deberán almacenarse en el mismo directorio del spool del crontab. Deberá establecerse un directorio donde se guarden todas los registros históricos del cron (por ejemplo: /var/spool/cron/backup_crontabs).
Actualización de los procesos batch
-
Estado: Versión 1
Verificar con ls -l /etc/cron.allow y /etc/at.allow los permisos. Editar los archivos y verificar que los usuarios que se encuentran referenciados sean los que el administrador considere que deben tener acceso al cron y al at.
Verificar con el administrador la utilización de esta herramienta.
Se deberán registrar todos los cambios al cron del usuario root, usuarios privilegiados y usuarios del sistema.
Página: 27 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Tema:
1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema
Requerimiento
Procedimiento para su implantación
NFS
No debe configurarse. Si se habilita, en el archivo /etc/export. verificar que los directorios que contienen datos confidenciales no sean exportados
Editar el archivo y verificar que no existan directorios con información confidencial.
NIS
No debe configurarse. Si se habilitan, los mapas de NIS no deben ser usados para almacenar información confidencial, incluyendo passwords o credenciales de autenticación.
Verificar que los archivos no incluyan información confidencial. Los nombres de los archivos de mapas son elegidos por el administrador
NIS+
No debe habilitarse, si se hace, los mapas de NIS+ no deben contener datos confidenciales que puedan ser leidos por otros.
Con el comando chmod o-rwx nombremapa se retiran los permisos a otros.
Recursos de Usuarios
Home directory por defecto para los usuarios. Debe tener permisos 022 o 027 ( y 077 para usuarios que no poseen acceso a la línea de comandos)
O UMASK por defecto
Al crear un usuario verificar con ls -l los permisos de los archivos en el home directory del usuario recién creado.
Protección por defecto en la creación de usuarios
Tema:
1.1.3.6 Aviso de utilización del Negocio Atributo del Sistema Archivo /etc/motd
Estado: Versión 1
Requerimiento Archivo de inicio en el login. Debe existir.
Procedimiento para su implantación Verificar que exista y si es necesario editarlo y modificarlo.
Página: 28 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
1.1.4 Anexos 1.1.4.1 Consideraciones, Recomendaciones y / o Supuestos. •
El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.
•
La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.
1.1.4.2 Guía de Auditoria. Lista de parámetros y valores a verificar con el fin de establecer el nivel de implantación del estándar: Fecha Revisión (D/M/A)
Parámetro / Componente
Nombre Auditor
Firma
Valor requerido
Permisos para los directorios accesibles por FTP. Cada directorio puede permitir acceso de lectura o acceso de escritura a los usuarios anónimos pero no ambos a la vez.
Utilizar el comando ls -l para verificar los permisos de los directorios
Servicios que deben ser deshabilitados si no son requeridos para soportar alguna aplicación. ECHO, CHARGEN, RSTAT, TFTP, RWALL, RUSER, DISCARD, DAYTIME, BOOTPS, FINGER, REXD, SPRAYD, PCNFSD
Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios debe existir un signo # con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio.
Nombre Especialista Plataforma
Resultado
Firma
Observaciones / Comentarios / Recomendación
/usr/adm/wtmp /usr/adm/sulog
Utilizar el comando ls -l para verificar la existencia de los archivos.
/etc/security/failedlogin
Estado: Versión 1
Página: 29 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Valor requerido
Mecanismos de registro del sistema Usuario root. Debe tener un password asignado. El acceso a esta cuenta debe ser restringido a la consola física del servidor. El login directo solo es permitido vía FTP
Verificar con lssrc -s syslogd. Debe estar operativo
Flag de admin por defecto en el archivo /etc/security/user.
Editar el archivo y verificar el flag de Admin en False
Maxage
Máxima duración de un password. Valor= 26 semanas. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Maxrepeats
Número de caracteres consecutivos repetidos. Valor=2. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Resultado
Observaciones / Comentarios / Recomendación
Por Smit user verificar estos parámetros.
Mínima duración de un password. Valor=0 Minage
Minalpha
Estado: Versión 1
Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido. Número mínimo de caracteres alfabéticos. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Página: 30 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Valor requerido
Mindiff
Número de caracteres no encontrados en el password anterior. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Minother
Número mínimo de caracteres no alfabeticos. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Minlen
Longitud mínima del password. Valor=6. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Histsize
Número de passwords previos que no pueden ser utilizados. Valor=4. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Loginretries
Número de intentos de acceso inválidos antes de bloquear la cuenta del usuario. Valor=5. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.
Cuentas con UID Duplicado Inconsistencias entre bases de usuarios Cuentas guest o anonimos Cuentas creadas por el sistema Cuentas que ejecutan comandos en vez de shells
Estado: Versión 1
Resultado
Observaciones / Comentarios / Recomendación
Verificar en /etc/passwd que no existan Verificar con usrck, pwdck, grpck Verificar con smit user que no existan Verificar que no se les permita ejecutar cron y si no se utilizan deben ser inhabilitadas Deben ser inhabilitadas. Verificar con smit user.
Página: 31 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Comandos SU o similar
Cuentas especiales. Ej:Oracle, Informix, Dba, etc.
Demora entre intentos de login Terminales remotas por las que no se logra acceso al sistema Usuarios Inhabilitados
Estado: Versión 1
Valor requerido
Resultado
Observaciones / Comentarios / Recomendación
Verificar con smit user que usuarios no autorizados no puedan ejecutar SU Verificar en /etc/security/passwd : -
Deberán tener inabilitado el login directo desde la red. Solo se podrá acceder a dichas cuentas a través del comando SU o similar. Esto permite identificar qué usuario personalizado accedió a la cuenta de uso compartido.
-
Deberán tener inhabilitado el acceso a ftp mediante su inclusión en el archivo /etc./ftpusers.
-
Deberán tener el acceso restringido a cualquier otro servicio de red.
-
Deberán contar con un shell restringido que solo les permita ejecutar los comandos autorizados
Verificar: /etc/security/login.cfg logindelay = 4 Verificar /etc/profile export TMOUT = 60 ( - r – x r – x r – x = 555 bin bin) Verificar en /etc/security/passwd que contengan *
Página: 32 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Valor requerido
/etc/passwd
Verificar en el archivo que la segunda columna no muestre los passwords explícitamente, en su lugar debe aparecer un asterisco o un caractér de admiración. Debe pertenecer a root.
contraseñas encriptadas
Verificar la existencia de /etc/security/passwd
/etc/ftpusers
Verificar la existencia si utilizan ftp
Resultado
Observaciones / Comentarios / Recomendación
/etc /bin /usr/sbin /usr/bin
Recursos del sistema operativo. El dueño debe ser uno de los siguientes userids y groupids. Mirar tablas abajo. Revisar con el comando ls -l
/usr/etc /.rhosts
Acceso de lectura y escritura solamente para root. Revisar con el comando ls -l.
/.netrc
Acceso de lectura y escritura solamente para root. Revisar con el comando ls -l
/var/ifor/i4ls.ini
No debe ser escribible por usuarios generales. Revisar con el comando ls -l
/etc/locks
Puede contener archivos escribibles por todos. Revisar con el comando ls -l
/etc/security
Debe tener permisos con modo xx0. Revisar con el comando ls -l
/tmp
El Sticky bit debe ser configurado. Revisar con el comando ls -l Userids
Estado: Versión 1
Groupids
Página: 33 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Userids root:0
nuucp:6
Groupids system:0
mail:6
imnadm (No tiene UID asignado)
daemon:1 lpd:9
security:7
printq:9
ipsec (No tiene UID asignado)
bin:2
imnadm (No tiene UID asignado)
bin:2
cron:8
ldap (No tiene UID asignado)
sys:3
lpsec (No tiene UID asignado)
sys:3
audit:10
lp (No tiene UID asignado)
adm:4
ldap (No tiene UID asignado)
adm:4
shutdown:21
uucp:5
lp (No tiene UID asignado)
uucp:5
ecs:28
(Continuación guía de auditoria..) Parámetro / Componente Password de Consola
Valor requerido Debe estar activa, al iniciar el sistema, Debe quedar bloqueada toda la pantalla y por inactividad se debe activar en 6 m.
FTP Anónimo
El acceso ftp anónimo debe ser otorgado únicamente a directorios que contienen datos no-clasificados en donde el almacenamiento de datos confidenciales es prohibido.
Directorios de usuario
Verificar que no existan datos confidenciales en los directorios del FTP anónimo.
Archivos o directorios sin dueño o grupo válido.
Verificar con Find / -nouser
Resultado
Observaciones / Comentarios / Recomendación
Ls –ld /tmp Directorios publicos
/var/tmp Verificar una t al final. Verificar:
Programas con permisos SETUID
find / -perm –4000 ¡ -user root find / -perm –2000 ¡ -user root
Estado: Versión 1
Página: 34 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Archivos con permisos SUID o SGID a root Directorio /
TFTP
Archivos de login globales
Archivos de login de usuarios
Valor requerido
Resultado
Observaciones / Comentarios / Recomendación
Deben tener permisos 510 Ls -ld /, verificar que el dueño sea root El acceso tftp debe ser otorgado únicamente a directorios que contienen datos no-clasificados en donde el almacenamiento de datos confidenciales es prohibido ls –l /etcprofile Permisos: rwx r - x r – x ~/.login ,~/.profile,~/.kshrc, ~/.cshrc Deben tener permisos 700
Trusted Shells
Estado: Versión 1
Verificar con el administrador la utilización.
Página: 35 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Valor requerido
Resultado
Observaciones / Comentarios / Recomendación
Los archivos : 1
~/.login, ~/.profile y todo archivo de inicialización de login similar existente.
2
~/.exrc y cualquier archivo de inicialización de programas similar.
3
~/.logout y cualquier archivo de finalización de sesiones.
4
~/.forward.
5
registros del crontab y el at
6
Archivos en particiones NFS
Programas ejecutados por root
/etc/rc* y cualquier archivo similar de arranque y apagado. Deben tener permisos go-w Verificar que no esten instalados con Lslpp -L 7
Compiladores y debbugers Permisos de los archivos que contienen los procesos planificados
Verificar con ls -l /usr/spool/cron/crontabs que los permisos sean 700
Mecanismo de registro de la ejecución de los procesos batch.
Verificar en
Ejecución de procesos batch por parte de los usuarios
Verificar con ls -l /etc/cron.allow y /etc/at.allow
NFS
Archivo /etc/export. Los directorios que contienen datos confidenciales no deben ser exportados
Estado: Versión 1
/var/adm/cron/log (ver con cat) que esté implementado
Página: 36 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente
Valor requerido
Resultado
NIS
Mapas de NIS. No deben ser usados para almacenar información confidencial, incluyendo passwords o credenciales de autenticación.
NIS+
Mapas de NIS+. Si contienen datos confidenciales no se debe otorgar acceso a “otros”.
Recursos de Usuarios O UMASK por defecto Archivo /etc/motd
Observaciones / Comentarios / Recomendación
Home directory por defecto para los usuarios. Debe tener permisos X00 ó x77. Verificar al crear un usuario. Verificar con ls -l la existencia del archivo.
1.1.5 Network File System (NFS). Tema:
1.1.5.1 NFS - Proceso para exportar Datos Confidenciales sin autenticación exigente. Atributo del Sistema
Los directorios que contienen archivos confidenciales no pueden ser exportados por NFS sin la opción segura.
Estado: Versión 1
Requerimiento
La opción hosts esta especificada en /etc/exports para todos los directorios que podrían contener archivos confidenciales. Todos los servidores ejecutan pcnfsd si algún servidor OS/2 esta especificado en la opción hosts en /etc/exports.
Procedimiento para su implantación Verificar el archivo /etc/exports. Los sistemas de archivos externos deberán ser montados con las siguientes opciones:
1 Nosuid 2 Nodev Read-only (solo se aceptará la opción lectura escritura en casos particulares y debidamente justificados y autorizados)
Página: 37 de 38
Grupo AVAL e IBM Confidencial - © IBM Corporation
Proyecto de Infraestructura de Seguridad Informática
1.1.6 Anexos 1.1.6.1 Consideraciones, Recomendaciones y / o Supuestos. •
El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.
•
La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.
1.1.6.2 Guía de Auditoria. Lista de parámetros y valores a verificar con el fin de establecer el nivel de implantación del estándar: Fecha Revisión (D/M/A)
Parámetro / Componente
Los directorios que contienen archivos confidenciales no pueden ser exportados por NFS sin la opción segura.
Estado: Versión 1
Nombre Auditor
Valor requerido
Firma
Resultado
Nombre Especialista Plataforma
Observaciones / Comentarios / Recomendación
Firma
Evidencia
La opción hosts esta especificada en /etc/exports para todos los directorios que podrían contener archivos confidenciales. Todos los servidores ejecutan pcnfsd si algún servidor OS/2 esta especificado en la opción hosts en /etc/exports..
Página: 38 de 38