Aviso de fin de soporte: el 20 de mayo de 2026, AWS finalizará el soporte para Amazon Inspector Classic. Después del 20 de mayo de 2026, ya no podrá acceder a la consola de Amazon Inspector Classic ni a los recursos de Amazon Inspector Classic. Amazon Inspector Classic ya no está disponible para cuentas nuevas y cuentas que no hayan completado una evaluación en los últimos 6 meses. Para todas las demás cuentas, el acceso seguirá siendo válido hasta el 20 de mayo de 2026, tras lo cual ya no podrá acceder a la consola Amazon Inspector Classic ni a los recursos de Amazon Inspector Classic. Para obtener más información, consulte el [fin del soporte de Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html). Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Reglas y paquetes de reglas de Amazon Inspector Classic Puede usar Amazon Inspector Classic para evaluar sus objetivos de evaluación (conjuntos de recursos de AWS) y detectar posibles problemas de seguridad y vulnerabilidades. Amazon Inspector Classic compara el comportamiento y la configuración de seguridad de los objetivos de evaluación con relación a los *paquetes de reglas de seguridad* seleccionados. En el contexto de Amazon Inspector Classic, una *regla* es un control de seguridad que Amazon Inspector Classic realiza durante la ejecución de evaluación. En Amazon Inspector Classic, las reglas se agrupan en diferentes *paquetes de reglas* en función de su categoría, gravedad o precio. Esto le ofrece opciones para elegir el tipo de análisis que puede realizar. Por ejemplo, Amazon Inspector Classic cuenta con una gran cantidad de reglas que puede usar para evaluar sus aplicaciones. Sin embargo, es posible que desee incluir un subconjunto menor de las reglas disponibles para acotar un ámbito especialmente preocupante o para descubrir problemas de seguridad específicos. Puede que las empresas con departamentos de TI grandes deseen determinar si su aplicación está expuesta a amenazas de seguridad. Otras podrían desear centrarse solo en aquellos problemas con un nivel de gravedad **Alto**. + [Niveles de gravedad de las reglas de Amazon Inspector Classic](#SeverityLevels) + [Paquetes de reglas en Amazon Inspector Classic](#InspectorRulePackages) ## Niveles de gravedad de las reglas de Amazon Inspector Classic Cada regla de Amazon Inspector Classic tiene un nivel de gravedad asignado. Así se reduce la necesidad de dar prioridad a una regla sobre otra durante el análisis. También puede ayudarle a determinar su respuesta cuando una regla destaca un posible problema. Los niveles **High**, **Medium** y **Low** indican un problema de seguridad que puede poner en riesgo la confidencialidad, integridad y disponibilidad de la información en su objetivo de evaluación. Los niveles se distinguen según la probabilidad de que el problema dé lugar a un compromiso y la urgencia de solucionarlo. El nivel **Informational** destaca simplemente un detalle de la configuración de seguridad de su objetivo de evaluación. Estas son las formas recomendadas de responder a los problemas en función de su gravedad: + **Alta**: los problemas de gravedad alta son extremadamente urgentes. Amazon Inspector Classic le recomienda que trate este problema de seguridad como una emergencia y que implemente una solución inmediatamente. + **Media**: los problemas de gravedad media son urgentes. Amazon Inspector Classic que solucione este problema lo antes posible, por ejemplo, durante la siguiente actualización de servicio. + **Baja**: los problemas de gravedad baja son poco urgentes. Amazon Inspector Classic que solucione este problema como parte de una de sus futuras actualizaciones de servicio. + **Informativa**: estos problemas son meramente informativos. En función de sus objetivos empresariales y organizativos, puede limitarse a tener en cuenta esta información o usarla para mejorar la seguridad de su objetivo de evaluación. ## Paquetes de reglas en Amazon Inspector Classic Una evaluación de Amazon Inspector puede utilizar cualquier combinación de los siguientes paquetes de reglas: **Evaluaciones de red:** + [Accesibilidad de red](inspector_network-reachability.md) **Evaluaciones de host:** + [Vulnerabilidades y exposiciones comunes](inspector_cves.md) + [Referencias del Center for Internet Security (CIS, Centro para la seguridad de Internet)](inspector_cis.md) + [Prácticas de seguridad recomendadas en Amazon Inspector Classic](inspector_security-best-practices.md) # Accesibilidad de red Las reglas del paquete de accesibilidad de red analizan las configuraciones de red para buscar detectar de seguridad en las instancias de EC2. Los hallazgos que genera Amazon Inspector también ofrecen asesoramiento sobre la restricción del acceso que no es seguro. El paquete de reglas de accesibilidad de la red utiliza la última tecnología de la iniciativa AWS [Provable Security](https://aws.amazon.com/security/provable-security/). Los hallazgos generados por estas reglas muestran si se puede acceder a los puertos desde Internet mediante una gateway de Internet (incluidas las instancias situadas detrás de balanceadores de carga de aplicaciones o balanceadores de carga clásicos), una interconexión con VPC o una VPN a través de una gateway virtual. Estos hallazgos también destacan las configuraciones de red que permiten un acceso potencialmente malicioso, como los grupos de seguridad mal administrados ACLs IGWs, etc. Estas reglas ayudan a automatizar la monitorización de las redes de AWS e identificar dónde podría haber problemas de configuración con el acceso de red a las instancias de EC2. Al incluir este paquete en la ejecución de la evaluación, puede implementar comprobaciones de seguridad de la red detalladas sin tener que instalar escáneres ni enviar paquetes, que son complejos y costosos de mantener, especialmente en las conexiones de emparejamiento de VPC y. VPNs **importante** No es necesario un agente de Amazon Inspector Classic para evaluar su instancia de EC2 con este paquete de reglas. Sin embargo, un agente instalado puede proporcionar información acerca de la presencia de cualquier proceso que escuche en los puertos. No instale un agente en un sistema operativo que no sea compatible con Amazon Inspector Classic. Si hay un agente presente en una instancia que ejecuta un sistema operativo no compatible, el paquete de reglas de accesibilidad de red no funcionará en esa instancia. Para obtener más información, consulte [Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles](inspector_rule-packages_across_os.md). ## Configuraciones analizadas Las reglas de accesibilidad de red analizan la configuración de las siguientes entidades en busca de vulnerabilidades: + [Instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) + [Equilibrador de carga de aplicación](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb) + [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) + [Elastic Load Balancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html) + [Interfaces de redes elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) + [Puertas de enlace a Internet () IGWs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) + [Listas de control de acceso a la red () ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) + [Tablas de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) + [Grupos de seguridad (SGs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) + [Subredes](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [Nubes privadas virtuales (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [Puertas de enlace privadas virtuales () VGWs](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg) + [Interconexiones de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ## Rutas de accesibilidad Las reglas de accesibilidad de red comprueban las siguientes rutas de accesibilidad, que corresponden a las formas en que se puede acceder a los puertos desde fuera de la VPC: + **`Internet`**: gateways de Internet (incluidos balanceadores de carga de aplicaciones y balanceadores de carga clásicos) + **`PeeredVPC`**: interconexiones de VPC + **`VGW`**: gateways privadas virtuales ## Tipos de hallazgos Una evaluación que incluye el paquete de reglas de accesibilidad de red puede devolver los siguientes tipos de hallazgos para cada ruta de accesibilidad: + [`RecognizedPort`](#inspector_network-reachability-types-1) + [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2) + [`NetworkExposure`](#inspector_network-reachability-types-3) ### `RecognizedPort` Un puerto que se suele utilizar para un servicio conocido es accesible. Si existe un agente en la instancia de EC2 de destino, el resultado generado también indicará si hay un proceso de escucha activo en el puerto. Los hallazgos de este tipo reciben una gravedad en función de cómo afecta a la seguridad del servicio conocido: + **`RecognizedPortWithListener`**: se puede acceder externamente a un puerto reconocido desde la Internet pública a través de un componente de red específico, y un proceso está escuchando en el puerto. + **`RecognizedPortNoListener`**: se puede acceder externamente a un puerto desde la Internet pública a través de un componente de red específico y no hay procesos que lo escuchen en el puerto. + **`RecognizedPortNoAgent`**: se puede acceder externamente a un puerto desde la Internet pública a través de un componente de red específico. La presencia de un proceso que escucha en el puerto no se pueden determinar sin necesidad de instalar un agente en la instancia de destino. En la siguiente tabla, se muestra una lista de los puertos reconocidos: | Servicio | Puertos TCP | Puertos UDP | | --- | --- | --- | | SMB | 445 | 445 | | NetBIOS | 137, 139 | 137, 138 | | LDAP | 389 | 389 | | LDAP sobre TLS | 636 | | | LDAP catálogo global | 3268 | | | LDAP catálogo global sobre TLS | 3269 | | | NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | | Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | | RPC | 111, 135, 530 | 111, 135, 530 | | WINS | 1512, 42 | 1512, 42 | | DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | | Syslog | 601 | 514 | | Servicios de impresión | 515 | | | Telnet | 23 | 23 | | FTP | 21 | 21 | | SSH | 22 | 22 | | RDP | 3389 | 3389 | | MongoDB | 27017, 27018, 27019, 28017 | | | SQL Server | 1433 | 1434 | | MySQL | 3306 | | | PostgreSQL | 5432 | | | Oracle | 1521, 1630 | | | Elasticsearch | 9300, 9200 | | | HTTP | 80 | 80 | | HTTPS | 443 | 443 | ### `UnrecogizedPortWithListener` Un puerto que no aparece en la lista de la tabla anterior es accesible y tiene un proceso de escucha activo en él. Dado que los resultados de este tipo muestran información acerca de los procesos de escucha, solo se pueden generar cuando hay un agente de Amazon Inspector instalado en la instancia de EC2 de destino. A los hallazgos de este tipo se les asigna una gravedad **Low (Baja)**. ### `NetworkExposure` Los resultados de este tipo muestran información agregada sobre los puertos a los que se puede acceder en la instancia de EC2. Para cada combinación de interfaces de red elásticas y grupos de seguridad en la instancia de EC2, estos resultados muestran el conjunto de rangos de puertos TCP y UDP accesibles. Los hallazgos de este tipo tienen una gravedad de **Informational (Informativa)**. # Vulnerabilidades y exposiciones comunes Las reglas de este paquete ayudan a verificar si las EC2 instancias de sus objetivos de evaluación están expuestas a vulnerabilidades y exposiciones comunes (CVEs). Los ataques pueden aprovecharse de las vulnerabilidades no parcheadas y poner en riesgo la confidencialidad, integridad o disponibilidad de su servicio o sus datos. El sistema de CVE proporciona un método de referencia para las vulnerabilidades y exposiciones de seguridad de la información conocidas. Para obtener más información, consulte [https://cve.mitre.org/](https://cve.mitre.org/). Si una CVE en concreto aparece en un *resultado* creado por una evaluación de Amazon Inspector Classic, puede buscar el identificador de la CVE (por ejemplo, **CVE-2009-0021**) en [https://cve.mitre.org/](https://cve.mitre.org/). Los resultados de la búsqueda pueden proporcionar información detallada sobre esta CVE, su gravedad y cómo mitigarla. Para el paquete de reglas de vulnerabilidades y exposiciones comunes (CVE), Amazon Inspector ha mapeado la puntuación base CVSS y los niveles de gravedad de ALAS proporcionados: | | | **Gravedad de Amazon Inspector** | **Puntuación base CVSS** | **Gravedad de ALAS (si CVSS no tiene puntuación)** | | --- |--- |--- | | Alto | >= 5 | Crítico o importante | | Medio | < 5 and >Crítico o importante ----sep----= 2.1 | Medio | | Bajo | < 2.1 and >= 2.1 —septiembre----= 0.8 | Bajo | | Informativo | < 0.8 | N/A | Las reglas incluidas en este paquete le ayudan a evaluar si sus EC2 instancias están expuestas a CVEs las siguientes listas regionales: + [EE.UU. Este (Norte de Virginia)](https://s3.us-east-1.amazonaws.com/rules-engine.us-east-1/CVEList.txt) + [EE.UU. Este (Ohio)](https://s3.us-east-2.amazonaws.com/rules-engine.us-east-2/CVEList.txt) + [EE.UU. Oeste (Norte de California)](https://s3.us-west-1.amazonaws.com/rules-engine.us-west-1/CVEList.txt) + [EE.UU. Oeste (Oregón)](https://s3.us-west-2.amazonaws.com/rules-engine.us-west-2/CVEList.txt) + [UE (Irlanda)](https://s3.eu-west-1.amazonaws.com/rules-engine.eu-west-1/CVEList.txt) + [UE (Fráncfort)](https://s3.eu-central-1.amazonaws.com/rules-engine.eu-central-1/CVEList.txt) + [UE (Londres)](https://s3.eu-west-2.amazonaws.com/rules-engine.eu-west-2/CVEList.txt) + [UE (Estocolmo)](https://s3.eu-north-1.amazonaws.com/rules-engine.eu-north-1/CVEList.txt) + [Asia Pacífico (Tokio)](https://s3.ap-northeast-1.amazonaws.com/rules-engine.ap-northeast-1/CVEList.txt) + [Asia Pacífico (Seúl)](https://s3.ap-northeast-2.amazonaws.com/rules-engine.ap-northeast-2/CVEList.txt) + [Asia-Pacífico (Mumbai)](https://s3.ap-south-1.amazonaws.com/rules-engine.ap-south-1/CVEList.txt) + [Asia Pacífico (Sídney)](https://s3.ap-southeast-2.amazonaws.com/rules-engine.ap-southeast-2/CVEList.txt) + [AWS GovCloud West (EE. UU.)](https://s3.us-gov-west-1.amazonaws.com/rules-engine.us-gov-west-1/CVEList.txt) + [AWS GovCloud East (EE. UU.)](https://s3.us-gov-east-1.amazonaws.com/rules-engine.us-gov-east-1/CVEList.txt) El paquete de reglas del CVE se actualiza periódicamente; esta lista incluye las CVEs que se incluyen en las evaluaciones que se realizan al mismo tiempo que se recupera la lista. Para obtener más información, consulte [Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles](inspector_rule-packages_across_os.md). # Referencias del Center for Internet Security (CIS, Centro para la seguridad de Internet) El programa CIS Security Benchmarks proporciona las mejores prácticas de la industria bien definidas, imparciales y basadas en el consenso para ayudar a las organizaciones a evaluar y mejorar su seguridad. AWS es una empresa miembro de CIS Security Benchmarks. Para obtener una lista de certificaciones de Amazon Inspector Classic, consulte la página [Amazon Web Services en el sitio web del CIS](https://benchmarks.cisecurity.org/membership/certified/amazon/). En la actualidad, Amazon Inspector Classic cuenta con los siguientes paquetes de reglas certificados por el CIS para ayudar a establecer configuraciones seguras en los siguientes sistemas operativos: **Amazon Linux** + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 1` + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 2` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 1` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 2` + `CIS Benchmark for Amazon Linux 2014.09-2015.03 v1.1.0 Level 1` **CentOS Linux** + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Red Hat Enterprise Linux** + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2. Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Ubuntu** + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Workstation` **Windows** + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Next Generation Windows Security Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Member Server Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Member Server Profile)` Si una determinada referencia del CIS aparece en un resultado generado por una ejecución de evaluación de Amazon Inspector Classic, puede descargar una descripción detallada de la referencia en PDF en [https://benchmarks.cisecurity.org/](https://benchmarks.cisecurity.org/) (registro obligatorio y gratuito). El documento de referencia proporciona información detallada acerca de esta referencia del CIS, su gravedad y cómo mitigarla. Para obtener más información, consulte [Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles](inspector_rule-packages_across_os.md). # Prácticas de seguridad recomendadas en Amazon Inspector Classic Describe cómo utilizar las reglas de Amazon Inspector Classic para ayudar a determinar si sus sistemas están configurados de forma segura. **importante** Actualmente, puede incluir en sus objetivos de evaluación instancias de EC2 con sistemas operativos basados en Linux o Windows. Durante una ejecución de evaluación, las reglas que se describen en esta sección generan resultados **únicamente** para las instancias de EC2 con sistemas operativos basados en Linux. Las reglas no generan resultados para las instancias de EC2 con sistemas operativos basados en Windows. Para obtener más información, consulte [Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles](inspector_rule-packages_across_os.md). **Topics** + [Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH)](#disable-root-login-over-SSH) + [Support SSH Version 2 Only (Permitir solo SSH Versión 2)](#support-ssh-v2-only) + [Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña con SSH)](#disable-password-authentication-over-ssh) + [Configure Password Maximum Age (Configurar la edad máxima de la contraseña)](#password-maximum-age) + [Configure Password Minimum Length (Configurar la longitud mínima de la contraseña)](#password-minimum-length) + [Configure Password Complexity (Configurar la complejidad de la contraseña)](#password-complexity) + [Enable ASLR (Activar ASLR)](#ASLR) + [Enable DEP (Activar DEP)](#DEP-OS) + [Configurar permisos para directorios del sistema (Configure Permissions for System Directories)](#permissions-for-system-directories) ## Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH) Esta regla ayuda a determinar si el daemon SSH está configurado para permitir iniciar sesión en la instancia EC2 como [usuario raíz (root)](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html). **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** En el objetivo de evaluación hay una instancia de EC2 configurada para permitir a los usuarios iniciar sesión con credenciales raíz por SSH. Esto aumenta la probabilidad de que se produzca un ataque de fuerza efectivo. **Resolución** Le recomendamos que configure la instancia de EC2 para evitar que se inicie sesión con cuentas raíz por SSH. En lugar, inicie sesión como usuario no raíz y utilice `sudo` para escalar privilegios cuando sea necesario. Para desactivar los inicios de sesión con cuentas raíz mediante SSH, defina `PermitRootLogin` en `no` en el archivo `/etc/ssh/sshd_config` y, a continuación, reinicie `sshd`. ## Support SSH Version 2 Only (Permitir solo SSH Versión 2) Esta regla ayuda a determinar si las instancias EC2 están configuradas para permitir el protocolo SSH versión 1. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una instancia de EC2 del objetivo de evaluación está configurada para permitir SSH-1, un protocolo que contiene defectos de diseño inherentes que reducen su seguridad en gran medida. **Resolución** Le recomendamos que configure las instancias de EC2 del objetivo de evaluación para que permitan únicamente el uso de SSH 2 y versiones posteriores. Para OpenSSH, puede conseguirlo estableciendo `Protocol 2` en el archivo `/etc/ssh/sshd_config`. Para obtener más información, consulte `man sshd_config`. ## Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña con SSH) Esta regla ayuda a determinar si sus instancias de EC2 se configuran para permitir la autenticación con contraseña mediante el protocolo SSH. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una instancia de EC2 de su objetivo de evaluación está configurada para permitir la autenticación con contraseña mediante SSH. La autenticación con contraseña es susceptible de recibir ataques de fuerza bruta y debe ser desactivada, siempre que sea posible, y reemplazada por la autenticación con clave. **Resolución** Le recomendamos que deshabilite la autenticación con contraseña mediante SSH en sus instancias EC2 y que habilite la autenticación con clave en su lugar. Esto reduce significativamente la probabilidad de que se produzcan ataques de fuerza bruta efectivos. Para obtener más información, consulte [https://aws.amazon.com/articles/1233/](https://aws.amazon.com/articles/1233/). Si se permite la autenticación con contraseña, es importante restringir el acceso al servidor SSH solo a direcciones IP de confianza. ## Configure Password Maximum Age (Configurar la edad máxima de la contraseña) Esta regla ayuda a determinar si ha configurado una antigüedad máxima para las contraseñas en sus instancias de EC2. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una instancia de EC2 de su objetivo de evaluación no tiene configurada una antigüedad máxima para las contraseñas. **Resolución** Si utiliza contraseñas, le recomendamos que configure una antigüedad máxima para ellas en todas las instancias de EC2 de su objetivo de evaluación. Esto requiere que los usuarios cambien habitualmente sus contraseñas y reduce las posibilidades de que se produzca un ataque de averiguación de contraseña. Para solucionar este problema para los usuarios existentes, utilice el comando **chage**. Para configurar una edad máxima para las contraseñas para todos los usuarios futuros, edite el campo `PASS_MAX_DAYS` del archivo `/etc/login.defs`. ## Configure Password Minimum Length (Configurar la longitud mínima de la contraseña) Esta regla ayuda a determinar si ha configurado una longitud mínima para las contraseñas en sus instancias de EC2. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una instancia de EC2 de su objetivo de evaluación no tiene configurada una longitud mínima para las contraseñas. **Resolución** Si utiliza contraseñas le recomendamos que configure una longitud mínima para las ellas en todas las instancias de EC2 en su objetivo de evaluación. Al establecer una longitud mínima para las contraseñas, se reduce el riesgo de un ataque efectivo por averiguación de contraseñas. Puede hacerlo utilizando la opción en el `pwquality.conf` archivo.`minlen` [Para obtener más información, consulte https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf). Si `pwquality.conf` no está disponible en la instancia, puede configurar la opción `minlen` en el módulo `pam_cracklib.so`. Para obtener más información, consulte [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib). La opción `minlen` debe establecerse en 14 o más. ## Configure Password Complexity (Configurar la complejidad de la contraseña) Esta regla ayuda a determinar si se ha configurado un mecanismo de complejidad de contraseñas en las instancias de EC2. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** No hay ningún mecanismo ni restricciones de complejidad de las contraseñas en las instancias de EC2 de su objetivo de evaluación. Esto permite a los usuarios establecer contraseñas sencillas, que aumentan las oportunidades de que los usuarios no autorizados tengan acceso a las cuentas y las usen de forma irregular. **Resolución** Si está usando contraseñas, le recomendamos que configure todas las instancias de EC2 de su objetivo de evaluación para exigir un nivel de complejidad determinado en las contraseñas. Puede hacerlo utilizando las siguientes opciones en el archivo `pwquality.conf`: `lcredit`, `ucredit`, `dcredit` y `ocredit`. [Para obtener más información, consulte https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf). Si `pwquality.conf` no está disponible en la instancia, puede configurar las opciones `lcredit`, `ucredit`, `dcredit` y `ocredit` utilizando el módulo `pam_cracklib.so`. Para obtener más información, consulte [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib). El valor esperado para cada una de estas opciones es menor o igual a −1, como se indica a continuación: `lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1` Además, la opción `remember` debe establecerse en 12 o un valor superior. Para obtener más información, consulte [https://linux.die.net/man/8/pam_unix](https://linux.die.net/man/8/pam_unix). ## Enable ASLR (Activar ASLR) Esta regla ayuda a determinar si la asignación al azar de diseño del espacio de direcciones (ASLR) está habilitada en los sistemas operativos de las instancias de EC2 de un objetivo de evaluación. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una de las instancias de EC2 de su objetivo de evaluación no tiene activada la ASLR. **Resolución** Para mejorar la seguridad del objetivo de evaluación, le recomendamos que habilite la ASLR en los sistemas operativos de todas las instancias de EC2 del objetivo de evaluación ejecutando **echo 2 \$1 sudo tee /proc/sys/kernel/randomize\$1va\$1space**. ## Enable DEP (Activar DEP) Esta regla ayuda a determinar si la prevención de ejecución de datos (DEP) está habilitada en los sistemas operativos de las instancias de EC2 de su objetivo de evaluación. **nota** Esta regla no es compatible para instancias de EC2 con procesadores ARM. **Gravedad** [Medio](inspector_rule-packages.md#SeverityLevels) **Resultado** Una de las instancias de su objetivo de evaluación no tiene activada la DEP. **Resolución** Le recomendamos que habilite la DEP en los sistemas operativos de todas las instancias de EC2 de su objetivo de evaluación. Si habilita la DEP protegerá sus instancias ante los riesgos de seguridad mediante técnicas de desbordamiento del búfer. ## Configurar permisos para directorios del sistema (Configure Permissions for System Directories) Esta regla comprueba los permisos de los directorios del sistema que contienen archivos binarios e información de configuración del sistema. Comprueba que solo el usuario raíz (un usuario que inicia sesión utilizando credenciales de cuenta raíz) tenga permisos de escritura para dichos directorios. **Gravedad** [Alta](inspector_rule-packages.md#SeverityLevels) **Resultado** Una instancia EC2 en su objetivo de evaluación contiene un directorio del sistema en el que pueden escribir usuarios no raíz. **Resolución** Para mejorar la seguridad de su objetivo de evaluación y para evitar el aumento de privilegios por parte de usuarios locales malintencionados, configure todos los directorios del sistema en todas las instancias de EC2 para que solo puedan escribir en ellos los usuarios que inicien sesión con credenciales de cuenta raíz.