Amazon Inspector Classic のセキュリティのベストプラクティス

[Medium] (中)

ユーザーが root 認証情報を使用して SSH 経由でログインすることを許可するように設定された評価ターゲットに EC2 インスタンスがあります。これにより、ブルートフォース攻撃が成功する確率が高まります。

SSH 経由の root アカウントのログインを禁止するように EC2 インスタンスを設定することをお勧めします。代わりに、非 root ユーザーとしてログインして sudo を使用し、必要に応じて権限を昇格させます。SSH の root アカウントログインを無効化するには、PermitRootLogin を /etc/ssh/sshd_config ファイルの no に設定し、次に sshd を再起動します。

[Medium] (中)

評価ターゲットの EC2 インスタンスが、セキュリティを大幅に低下させる先天的な設計上の欠陥を持つ SSH-1 をサポートするように設定されています。

SSH-2 以降のみをサポートするように評価ターゲットの EC2 インスタンスを設定することをお勧めします。OpenSSH では、Protocol 2 を /etc/ssh/sshd_config ファイルに設定することでこれを実現できます。詳細については、「man sshd_config」を参照してください。

[Medium] (中)

評価ターゲットの EC2 インスタンスが、SSH 経由のパスワード認証をサポートするように設定されています。認証は、パスワードのブルートフォース攻撃重視で、キーに認証を決定した可能な限り無効必要があります。

EC2 インスタンスで SSH 経由のパスワード認証を無効化し、代わりにキーベース認証のサポートを有効にします。これにより、ブルートフォース攻撃の成功率が大幅に下がります。詳細については、https://aws.amazon.com/articles/1233/ を参照してください。パスワード認証がサポートされている場合、信頼済み IP アドレスへの SSH サーバーへのアクセスを制限することが重要です。

[Medium] (中)

評価ターゲットの EC2 インスタンスで、パスワードの有効期限が設定されていません。

パスワードを使用する場合、評価ターゲットのすべての EC2 インスタンスでパスワードの有効期限を設定することをお勧めします。このためには、ユーザーはパスワードを定期的に変更する必要がありますが、パスワード予測攻撃が成功する確率が低下します。既存のユーザーでこの問題を解決するには、chage コマンドを使用します。以降のすべてのユーザーでパスワードの有効期限を設定するには、/etc/login.defs ファイルの PASS_MAX_DAYS フィールドを編集します。

[Medium] (中)

評価ターゲットの EC2 インスタンスで、パスワードの最小文字数が設定されていません。

パスワードを使用する場合、評価ターゲットのすべての EC2 インスタンスでパスワードの最小文字数を設定することをお勧めします。パスワードの最小文字数を設定することで、パスワード予測攻撃が成功する確率が低下します。そのためには、pwquality.conf ファイルの以下のオプションを使用します: minlen。詳細については、https://linux.die.net/man/5/pwquality.conf を参照してください。

インスタンスで pwquality.conf が使用できない場合は、pam_cracklib.so モジュールを使用して、minlen オプションを設定します。詳細については、「man pam_cracklib」を参照してください。

minlen オプションを 14 以上に設定する必要があります。

[Medium] (中)

評価ターゲットの EC2 インスタンスで、パスワードの複雑さメカニズムまたは制限が設定されていません。これにより、ユーザーは簡単なパスワードを設定できるため、不正なユーザーがアクセスしたりアカウントを悪用したりする可能性が高まります。

パスワードを使用している場合は、評価ターゲットのすべての EC2 インスタンスでパスワードの複雑性のレベルを要求するように設定することをお勧めします。そのためには、pwquality.conf ファイルの以下のオプションを使用します: lcredit、ucredit、dcredit、および ocredit。詳細については、https://linux.die.net/man/5/pwquality.conf を参照してください。

pwquality.conf が使用できない場合は、pam_cracklib.so モジュールを使用して、lcredit、ucredit、dcredit、および ocredit オプションを設定します。詳細については、「man pam_cracklib」を参照してください。

以下に示すように、これらの各オプションの期待値は -1 以下です。

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

さらに、remember オプションを 12 以上に設定する必要があります。詳細については、「man pam_unix」を参照してください。

[Medium] (中)

評価ターゲット内の EC2 インスタンスで ASLR は有効になっていません。

評価ターゲットのセキュリティを向上させるため、echo 2 | sudo tee /proc/sys/kernel/randomize_va_space を実行してターゲット内のすべての EC2 インスタンスのオペレーティング システムで ASLR を有効にすることをお勧めします。

[Medium] (中)

評価ターゲット内の EC2 インスタンスで DEP は有効になっていません。

評価ターゲット内のすべての EC2 インスタンスのオペレーティングシステムで DEP を有効にすることをお勧めします。DEP を有効にすることで、バッファオーバーフロー技術を使用してセキュリティ侵害からインスタンスを保護できます。

高い

評価ターゲット内の EC2 インスタンスに、非 root ユーザーが書き込み可能なシステムディレクトリが含まれています。

評価ターゲットのセキュリティを向上させ、悪意のあるローカルユーザーによる特権エスカレーションを防ぐため、ターゲット内のすべての EC2 インスタンスのシステムディレクトリを root アカウントの認証情報を使用してログインするユーザー以外が書き込みできないように設定します。