Aviso de fim do suporte: Em 20 de maio de 2026, o suporte para o Amazon Inspector Classic AWS será encerrado. Depois de 20 de maio de 2026, você não poderá mais acessar o console do Amazon Inspector Classic ou os recursos do Amazon Inspector Classic. O Amazon Inspector Classic não está mais disponível para novas contas e contas que não concluíram uma avaliação nos últimos 6 meses. Para todas as outras contas, o acesso permanecerá válido até 20 de maio de 2026, após o qual você não poderá mais acessar o console do Amazon Inspector Classic ou os recursos do Amazon Inspector Classic. Para obter mais informações, consulte [Fim do suporte do Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Pacotes de regras e regras do Amazon Inspector Classic
Você pode usar o Amazon Inspector Classic para avaliar seus destinos de avaliação (coleções de recursos da AWS) para encontrar possíveis problemas de segurança e vulnerabilidades. O Amazon Inspector Classic compara o comportamento e a configuração de segurança dos destinos de avaliação a *pacotes de regras* de segurança selecionados. No contexto do Amazon Inspector Classic, uma *regra* é uma verificação de segurança que o Amazon Inspector Classic executa durante uma execução de avaliação.
No Amazon Inspector Classic, as regras são agrupadas em *pacotes de regras* distintos por categoria, gravidade ou definição de preço. Esse recurso oferece opções para os tipos de análises que você pode executar. Por exemplo, o Amazon Inspector Classic oferece um grande número de regras que você pode usar para avaliar seus aplicativos. Mas você pode querer incluir um pequeno subconjunto das regras disponíveis para concentrar-se em uma área específica que causa preocupação ou para descobrir problemas de segurança específicos. Empresas com grandes departamentos de TI podem querer determinar se o seu aplicativo está exposto a qualquer ameaça de segurança. Outras podem querer se concentrar somente nos problemas com nível de gravidade **Alto**.
+ [Níveis de gravidade para regras no Amazon Inspector Classic](#SeverityLevels)
+ [Pacotes de regras no Amazon Inspector Classic](#InspectorRulePackages)
## Níveis de gravidade para regras no Amazon Inspector Classic
Cada regra do Amazon Inspector Classic tem um nível de gravidade atribuído. Isso reduz a necessidade de priorizar uma regra sobre outra nas suas análises. Isso também pode ajudar você a determinar sua resposta quando uma regra destaca um potencial problema.
Os níveis **Alto**, **Médio** e **Baixo** indicam um problema de segurança que pode resultar no comprometimento da confidencialidade, integridade e disponibilidade das informações no destino de avaliação. Os níveis são diferenciados pela probabilidade de o problema resultar em um comprometimento e pela urgência em corrigi-lo.
O nível **Informativo** simplesmente destaca detalhes das configurações de segurança do destino de avaliação.
Aqui estão as formas recomendadas de responder aos problemas com base em sua gravidade:
+ **Alto** — Problemas de alta gravidade são extremamente urgentes. O Amazon Inspector Classic recomenda que você trate esse problema de segurança como uma emergência e implemente uma correção imediata.
+ **Média** — Problemas de média gravidade são um tanto urgentes. O Amazon Inspector Classic recomenda que você corrija esse problema na próxima oportunidade possível, por exemplo, durante a próxima atualização de serviço.
+ **Baixo** — Problemas de baixa gravidade são menos urgentes. O Amazon Inspector Classic recomenda que você corrija esse problema como parte de uma de suas futuras atualizações de serviço.
+ **Informativo** — Esses problemas são puramente informativos. Com base nos objetivos da empresa e da organização, você pode simplesmente anotar essas informações ou usá-las para melhorar a segurança do destino de avaliação.
## Pacotes de regras no Amazon Inspector Classic
Uma avaliação do Amazon Inspector pode usar qualquer combinação dos seguintes pacotes de regras:
**Avaliações de rede:**
+ [Acessibilidade de rede](inspector_network-reachability.md)
**Avaliações de host:**
+ [Vulnerabilidades e exposições comuns](inspector_cves.md)
+ [Referências de segurança da CIS (Center for Internet Security)](inspector_cis.md)
+ [Práticas recomendadas de segurança para o Amazon Inspector Classic](inspector_security-best-practices.md)
# Acessibilidade de rede
As regras no pacote de regras de acessibilidade de rede analisam suas configurações de rede para encontrar vulnerabilidades de segurança de suas instâncias do EC2. As descobertas que o Amazon Inspector gera também fornecem orientações sobre como restringir o acesso que não é seguro.
O pacote de regras de acessibilidade de rede usa a tecnologia mais recente da iniciativa AWS [Provable Security](https://aws.amazon.com/security/provable-security/).
As descobertas geradas por essas regras mostram se as portas podem ser acessadas pela Internet por meio de um gateway de Internet (incluindo instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento de VPC ou uma VPN por meio de um gateway virtual. Essas descobertas também destacam configurações de rede que permitem acesso potencialmente malicioso, como grupos de segurança mal gerenciados, ACLs IGWs, e assim por diante.
Essas regras ajudam a automatizar o monitoramento de suas redes da AWS e a identificar onde o acesso à rede para sua instância do EC2 pode estar configurado incorretamente. Ao incluir esse pacote em sua execução de avaliação, você pode implementar verificações detalhadas de segurança de rede sem precisar instalar scanners e enviar pacotes, que são complexos e caros de manter, especialmente em conexões de emparelhamento de VPC e. VPNs
**Importante**
Um agente Amazon Inspector Classic não é necessário para avaliar suas instâncias do EC2 com esse pacote de regras. No entanto, um agente instalado pode fornecer informações sobre a presença de todos os processos de escuta nas portas. Não instale um agente em um sistema operacional incompatível com o Amazon Inspector Classic. Se um agente estiver presente em uma instância que executa um sistema operacional incompatível, o pacote de regras de acessibilidade de rede não funcionará nessa instância.
Para obter mais informações, consulte [Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis](inspector_rule-packages_across_os.md).
## Configurações analisadas
Regras de Acessibilidade de rede analisam a configuração das seguintes entidades de vulnerabilidades:
+ [Instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [Application Load Balancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb)
+ [Conexão direta](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html)
+ [Interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [Gateways de Internet () IGWs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [Listas de controle de acesso à rede (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [Grupos de segurança (SGs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [Sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Nuvens privadas virtuais (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Gateways privados virtuais () VGWs](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [Conexões de emparelhamento da VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
## Rotas de acessibilidade
Regras de acessibilidade de rede verificam as seguintes rotas de acessibilidade, que corresponde às formas nas quais suas portas podem ser acessadas de fora de sua VPC:
+ **`Internet`** - Gateways da Internet (incluindo Application Load Balancers e Classic Load Balancers)
+ **`PeeredVPC`** - Conexões de emparelhamento de VPC
+ **`VGW`** - Gateways privados virtuais
## Tipos de descoberta
Uma avaliação que inclui pacote de regras de Acessibilidade de rede pode retornar os seguintes tipos de descobertas para cada rota de acessibilidade:
+ [`RecognizedPort`](#inspector_network-reachability-types-1)
+ [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2)
+ [`NetworkExposure`](#inspector_network-reachability-types-3)
### `RecognizedPort`
Uma porta que normalmente é usada para um serviço é acessível. Se um agente estiver presente na instância do EC2 de destino, a descoberta gerada também indicará se há um processo de escuta ativo na porta. Descobertas desse tipo recebem uma gravidade com base no impacto de segurança do serviço conhecido:
+ **`RecognizedPortWithListener`** – Uma porta reconhecida é alcançada externamente da Internet pública por meio de um componente de rede específico, e um processo está escutando na porta.
+ **`RecognizedPortNoListener`** – Uma porta é acessível externamente da Internet pública por meio de um componente de rede específico, e não há processos escutando na porta.
+ **`RecognizedPortNoAgent`** – Uma porta é externamente acessível pela Internet pública por meio de um componente de rede específico. A presença de um processo de escuta na porta não pode ser determinada sem instalar um agente na instância de destino.
A tabela a seguir mostra uma lista de portas reconhecidas:
| Serviço | Portas TCP | Portas UDP |
| --- | --- | --- |
| SMB | 445 | 445 |
| NetBIOS | 137, 139 | 137, 138 |
| LDAP | 389 | 389 |
| LDAP por TLS | 636 | |
| LDAP de catálogo global | 3268 | |
| LDAP de catálogo global sobre TLS | 3269 | |
| NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 |
| Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 |
| RPC | 111, 135, 530 | 111, 135, 530 |
| WINS | 1512, 42 | 1512, 42 |
| DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 |
| Syslog | 601 | 514 |
| Serviços de impressão | 515 | |
| Telnet | 23 | 23 |
| FTP | 21 | 21 |
| SSH | 22 | 22 |
| RDP | 3389 | 3389 |
| MongoDB | 27017, 27018, 27019, 28017 | |
| SQL Server | 1433 | 1434 |
| MySQL | 3306 | |
| PostgreSQL | 5432 | |
| Oracle | 1521, 1630 | |
| Elasticsearch | 9300, 9200 | |
| HTTP | 80 | 80 |
| HTTPS | 443 | 443 |
### `UnrecogizedPortWithListener`
Uma porta que não esteja listada na tabela anterior deve ser acessível e ter um processo de escuta ativo. Como as descobertas desse tipo mostram informações sobre processos de escuta, elas só podem ser geradas quando um agente do Amazon Inspector está instalado na instância do EC2 de destino. As descobertas deste tipo são determinadas como de gravidade **Baixa**.
### `NetworkExposure`
As descobertas desse tipo mostram informações agregadas nas portas que estão disponíveis em sua instância do EC2. Para cada combinação de interfaces de rede elástica e grupos de segurança em uma instância do EC2, essas descobertas mostram o conjunto acessível de intervalos de portas TCP e UDP. As descobertas deste tipo tem a gravidade de **Informação**.
# Vulnerabilidades e exposições comuns
As regras neste pacote ajudam a verificar se as EC2 instâncias em suas metas de avaliação estão expostas a vulnerabilidades e exposições comuns (). CVEs Os ataques podem explorar vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade de seu serviço ou de seus dados. O sistema CVE fornece um método de referência a informações conhecidas publicamente sobre vulnerabilidades e exposições de segurança. Para obter mais informações, consulte [https://cve.mitre.org/](https://cve.mitre.org/).
Se uma determinada CVE for exibida em uma *descoberta* produzida por uma avaliação do Amazon Inspector Classic, você poderá pesquisar em [https://cve.mitre.org/](https://cve.mitre.org/) o ID do CVE (por exemplo, **CVE-2009-0021**). Os resultados da pesquisa podem fornecer informações detalhadas sobre o CVE, sua severidade e como remediá-lo.
Para o pacote de regras Common Vulnerabilities & Exploits (CVE), o Amazon Inspector mapeou a pontuação básica do CVSS e os níveis de gravidade do ALAS fornecidos:
|
|
| **Gravidade do Amazon Inspector** | **Pontuação básica do CVSS** | **Gravidade do ALAS (se o CVSS não for pontuado)** |
| --- |--- |--- |
| Alto | >= 5 | Crítico ou importante |
| Médio | < 5 and >= 2,1 | Médio |
| Baixo | < 2.1 and >= 0,8 | Baixo |
| Informativo | < 0,8 | N/D |
As regras incluídas neste pacote ajudam você a avaliar se suas EC2 instâncias estão expostas às CVEs seguintes listas regionais:
+ [Leste dos EUA (Norte da Virgínia)](https://s3.us-east-1.amazonaws.com/rules-engine.us-east-1/CVEList.txt)
+ [Leste dos EUA (Ohio)](https://s3.us-east-2.amazonaws.com/rules-engine.us-east-2/CVEList.txt)
+ [Oeste dos EUA (Norte da Califórnia)](https://s3.us-west-1.amazonaws.com/rules-engine.us-west-1/CVEList.txt)
+ [Oeste dos EUA (Oregon)](https://s3.us-west-2.amazonaws.com/rules-engine.us-west-2/CVEList.txt)
+ [UE (Irlanda)](https://s3.eu-west-1.amazonaws.com/rules-engine.eu-west-1/CVEList.txt)
+ [UE (Frankfurt)](https://s3.eu-central-1.amazonaws.com/rules-engine.eu-central-1/CVEList.txt)
+ [UE (Londres)](https://s3.eu-west-2.amazonaws.com/rules-engine.eu-west-2/CVEList.txt)
+ [UE (Estocolmo)](https://s3.eu-north-1.amazonaws.com/rules-engine.eu-north-1/CVEList.txt)
+ [Ásia-Pacífico (Tóquio)](https://s3.ap-northeast-1.amazonaws.com/rules-engine.ap-northeast-1/CVEList.txt)
+ [Ásia-Pacífico (Seul)](https://s3.ap-northeast-2.amazonaws.com/rules-engine.ap-northeast-2/CVEList.txt)
+ [Ásia Pacífico (Mumbai)](https://s3.ap-south-1.amazonaws.com/rules-engine.ap-south-1/CVEList.txt)
+ [Ásia-Pacífico (Sydney)](https://s3.ap-southeast-2.amazonaws.com/rules-engine.ap-southeast-2/CVEList.txt)
+ [AWS GovCloud West (EUA)](https://s3.us-gov-west-1.amazonaws.com/rules-engine.us-gov-west-1/CVEList.txt)
+ [AWS GovCloud Leste (EUA)](https://s3.us-gov-east-1.amazonaws.com/rules-engine.us-gov-east-1/CVEList.txt)
O pacote de regras do CVE é atualizado regularmente; essa lista inclui as CVEs que estão incluídas nas execuções de avaliações que ocorrem ao mesmo tempo em que essa lista é recuperada.
Para obter mais informações, consulte [Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis](inspector_rule-packages_across_os.md).
# Referências de segurança da CIS (Center for Internet Security)
O programa CIS Security Benchmarks fornece as melhores práticas do setor bem definidas, imparciais e baseadas em consenso para ajudar as organizações a avaliar e melhorar sua segurança. AWS é uma empresa membro do CIS Security Benchmarks. Para obter uma lista de certificações do Amazon Inspector Classic, consulte a página da [Amazon Web Services no site da CIS](https://benchmarks.cisecurity.org/membership/certified/amazon/).
No momento, o Amazon Inspector Classic oferece os seguintes pacotes de regras com certificação CIS para ajudar a estabelecer posturas de configuração seguras para os seguintes sistemas operacionais:
**Amazon Linux**
+ `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 1`
+ `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 2`
+ `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 1`
+ `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 2`
+ `CIS Benchmark for Amazon Linux 2014.09-2015.03 v1.1.0 Level 1`
**CentOS Linux**
+ `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Server`
+ `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Server`
+ `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Workstation`
+ `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Workstation`
+ `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Server`
+ `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Server`
+ `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Workstation`
+ `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Workstation`
**Red Hat Enterprise Linux**
+ `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Server`
+ `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Server`
+ `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Workstation`
+ `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Workstation`
+ `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 1 Server`
+ `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Server`
+ `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2. Level 1 Workstation`
+ `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Workstation`
**Ubuntu**
+ `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Server`
+ `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Server`
+ `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Workstation`
+ `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Workstation`
+ `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Server`
+ `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Server`
+ `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Workstation`
+ `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Workstation`
+ `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Server`
+ `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Server`
+ `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Workstation`
+ `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Workstation`
**Windows**
+ `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Member Server Profile)`
+ `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Member Server Profile)`
+ `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Domain Controller Profile)`
+ `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Domain Controller Profile)`
+ `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Next Generation Windows Security Profile)`
+ `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Domain Controller Profile)`
+ `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Domain Controller Profile)`
+ `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Member Server Profile)`
+ `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Member Server Profile)`
+ `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Member Server Profile)`
+ `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Member Server Profile)`
+ `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Domain Controller Profile)`
+ `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Domain Controller Profile)`
+ `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Domain Controller Profile)`
+ `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Member Server Profile)`
Se determinada referência da CIS for exibida em uma descoberta produzida por uma execução de avaliação do Amazon Inspector Classic, você poderá fazer download de um PDF com a descrição detalhada da referência em [https://benchmarks.cisecurity.org/](https://benchmarks.cisecurity.org/) (é necessário fazer o registro gratuito). O documento de referência da CIS fornece informações detalhadas sobre ela, sua severidade e como remediá-la.
Para obter mais informações, consulte [Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis](inspector_rule-packages_across_os.md).
# Práticas recomendadas de segurança para o Amazon Inspector Classic
Use as regras do Amazon Inspector Classic para ajudar a determinar se os seus sistemas estão configurados de forma segura.
**Importante**
Atualmente, você pode incluir em seus destinos de avaliação as instâncias do EC2 que executam sistemas operacionais baseados em Linux ou Windows.
Durante uma execução de avaliação, as regras descritas nesta seção geram descobertas **somente** para as instâncias do EC2 que estão executando um sistema operacional Linux. As regras não geram descobertas para instâncias do EC2 que estão executando um sistema operacional Windows.
Para obter mais informações, consulte [Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis](inspector_rule-packages_across_os.md).
**Topics**
+ [Desabilitar o login raiz pelo SSH](#disable-root-login-over-SSH)
+ [Suporte somente ao SSH versão 2](#support-ssh-v2-only)
+ [Desabilitar a autenticação de senha por SSH](#disable-password-authentication-over-ssh)
+ [Configurar a duração máxima da senha](#password-maximum-age)
+ [Configurar o tamanho mínimo da senha](#password-minimum-length)
+ [Configurar a complexidade da senha](#password-complexity)
+ [Habilitar ASLR](#ASLR)
+ [Habilitar DEP](#DEP-OS)
+ [Configurar permissões para os diretórios do sistema](#permissions-for-system-directories)
## Desabilitar o login raiz pelo SSH
Essa regra ajuda a determinar se o daemon do SSH está configurado para permitir o login na instância do EC2 como [raiz](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html).
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Há uma instância do EC2 em seu destino de avaliação que está configurada para permitir que os usuários façam login com credenciais raiz via SSH. Isso aumenta a probabilidade de sucesso de um ataque de força bruta.
**Resolução**
Recomendamos que você configure sua instância do EC2 para evitar logins na conta raiz via SSH. Em vez disso, faça login como um usuário não raiz e use o `sudo` para aumentar privilégios quando necessário. Para desabilitar os logins na conta raiz via SSH, defina `PermitRootLogin` como `no` no arquivo `/etc/ssh/sshd_config` e reinicie `sshd`.
## Suporte somente ao SSH versão 2
Essa regra ajuda a determinar se as instâncias EC2 estão configuradas para oferecer suporte à versão 1 do protocolo SSH.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em seu destino de avaliação que está configurada para oferecer suporte ao SSH-1, que contém falhas de projeto inerentes que reduzem significativamente a segurança.
**Resolução**
Recomendamos que você configure as instâncias do EC2 no destino de avaliação para oferecer suporte somente ao SSH-2 e posterior. Para o OpenSSH, você pode fazer isso, definindo `Protocol 2` no arquivo `/etc/ssh/sshd_config`. Para obter mais informações, consulte `man sshd_config`.
## Desabilitar a autenticação de senha por SSH
Essa regra ajuda a determinar se as instâncias do EC2 estão configuradas para oferecer suporte à autenticação de senha via protocolo SSH.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em seu destino de avaliação está configurada para oferecer suporte à autenticação de senha via SSH. A autenticação de senhas é suscetível a ataques de força bruta e deve ser desativada em favor da autenticação baseada em chave sempre que possível.
**Resolução**
Recomendamos que você desative a autenticação de senha via SSH nas instâncias do EC2 e ative o suporte à autenticação baseada em chave em seu lugar. Isso reduz significativamente a probabilidade de sucesso de um ataque de força bruta. Para obter mais informações, consulte [https://aws.amazon.com/articles/1233/](https://aws.amazon.com/articles/1233/). Se a autenticação de senha tiver suporte, é importante restringir o acesso ao servidor SSH a endereços IP confiáveis.
## Configurar a duração máxima da senha
Essa regra ajuda a determinar se a duração máxima das senhas está configurada nas instâncias do EC2.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em seu destino de avaliação não está configurada para a duração máxima das senhas.
**Resolução**
Se estiver usando senhas, recomendamos que você configure uma duração máxima para elas em todas as instâncias do EC2 em seu destino de avaliação. Isso requer que os usuários alterem as senhas regularmente e reduz as chances de sucesso de um ataque para adivinhá-las. Para corrigir o problema para usuários existentes, use o comando **chage**. Para configurar a duração máxima das senhas para todos os usuários, edite o campo `PASS_MAX_DAYS` no arquivo `/etc/login.defs`.
## Configurar o tamanho mínimo da senha
Essa regra ajuda a determinar se o tamanho mínimo das senhas está configurado nas instâncias do EC2.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em sseu destino de avaliação não está configurada para o tamanho mínimo das senhas.
**Resolução**
Se estiver usando senhas, recomendamos que você configure um tamanho mínimo para as senhas em todas as instâncias do EC2 em seu destino de avaliação. Impor um tamanho mínimo de senha reduz o risco de sucesso de um ataque para adivinhá-las. Você pode fazer isso usando as opções a seguir no `pwquality.conf` arquivo: `minlen`. Para obter mais informações, consulte [https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf).
Se `pwquality.conf` não estiver disponível na instância, você pode definir a opção `minlen` usando o módulo `pam_cracklib.so`. Para obter mais informações, consulte [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib).
A opção `minlen` deve ser definida como 14 ou maior.
## Configurar a complexidade da senha
Essa regra ajuda a determinar se um mecanismo de complexidade de senha está configurado nas instâncias do EC2.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Nenhum mecanismo de complexidade de senha ou de restrição está configurado nas instâncias do EC2 em seu destino de avaliação. Isso permite que os usuários definam senhas simples, o que aumenta as chances de usuários não autorizados obterem acesso às contas e usá-las indevidamente.
**Resolução**
Se estiver usando senhas, recomendamos que você configure todas as instâncias do EC2 no seu destino de avaliação para exigir um nível de complexidade de senha. Você pode fazer isso usando as opções a seguir no arquivo `pwquality.conf`: `lcredit`, `ucredit`, `dcredit` e `ocredit`. Para obter mais informações, consulte [https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf).
Se `pwquality.conf` não estiver disponível na instância, você pode definir as opções `lcredit`, `ucredit`, `dcredit` e `ocredit` usando o módulo `pam_cracklib.so`. Para obter mais informações, consulte [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib).
O valor esperado para cada uma dessas opções é menor ou igual a -1, conforme mostrado abaixo:
`lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1`
Além disso, a opção `remember` deve ser definida como 12 ou superior. Para obter mais informações, consulte [https://linux.die.net/man/8/pam_unix](https://linux.die.net/man/8/pam_unix).
## Habilitar ASLR
Esta regra ajuda a determinar se a randomização de layout do espaço de endereço (ASLR) está habilitada nos sistemas operacionais das instâncias do EC2 no seu destino de avaliação.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em seu destino de avaliação não tem ASLR ativada.
**Resolução**
Para melhorar a segurança do destino de avaliação, recomendamos que você habilite a ASLR nos sistemas operacionais de todas as instâncias EC2 na meta, executando **echo 2 \$1 sudo tee /proc/sys/kernel/randomize\$1va\$1space**.
## Habilitar DEP
Esta regra ajuda a determinar se a Prevenção de Execução de Dados (DEP) está habilitada nos sistemas operacionais das instâncias do EC2 no seu destino de avaliação.
**nota**
Essa regra não é compatível com instâncias do EC2 com processadores ARM.
**Gravidade**
[Médio](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em sseu destino de avaliação não tem a DEP ativada.
**Resolução**
Recomendamos que você ative a DEP nos sistemas operacionais de todas as instâncias do EC2 em seu destino de avaliação. Habilitar a DEP protege as instâncias contra comprometimentos de segurança usando técnicas de estouro de buffer.
## Configurar permissões para os diretórios do sistema
Essa regra verifica as permissões nos diretórios do sistema que contêm binários e informações de configuração do sistema. Ele verifica que somente o usuário raiz (o usuário que faz login usando as credenciais da conta raiz) tenha permissões de gravação para esses diretórios.
**Gravidade**
[Alto](inspector_rule-packages.md#SeverityLevels)
**Descoberta**
Uma instância do EC2 em seu destino de avaliação contém um diretório do sistema de destino que é gravável por usuários não raiz.
**Resolução**
Para melhorar a segurança do seu destino de avaliação e evitar o escalonamento de privilégios por usuários locais mal-intencionados, configure todos os diretórios do sistema em todas as instâncias do EC2 no seu destino para serem graváveis apenas por usuários que fazem login usando credenciais de conta raiz.