製品情報 >ポリシーテンプレート >
Linux
Linux用点検ポリシー一覧
| ID | ポリシー名 | OS | Type | 内容 |
|---|---|---|---|---|
| 765 | /etc/fstabオプション | Linux | OS | ルートファイルシステムを除き、ext3, ext4ファイルシステムは5番目と6番目のフィールド値が0でなければならない。0でない場合、リブート後、fsckが実行され、リブート時間が長くなる可能性がある。または該当ファイルシステムが正常マウントされない状況である場合、サーバがbootされなくなる。(結果値がnullの場合正常) |
| 1860 | [U-01]rootアカウントリモート接続制限 | Linux | 脆弱性 | rootはシステムを管理する非常に重要なアカウントである。rootアカウントで直接ログインできるように許可すると、違法侵入者の標的になる恐れがあるため、rootアカウント接続に対する管理が必要。rootアカウントのリモート接続許可は、攻撃者に良いチャンスを提供することになるため、rootのリモート接続は禁止する必要がある。 |
| 1961 | [U-02]パスワード複雑性設定 | Linux | 脆弱性 | ユーザアカウント(root及び一般アカウントが該当)パスワードを推測しやすく設定する場合、無許可者によるシステムアクセスリスクが存在。複数種類の文字を組み合わせた8文字以上のパスワードを使用するようにし、パスワード複雑性を高めることで無許可者による侵入攻撃発生の可能性を下げることができる。 |
| 2051 | [U-03]アカウントロック臨界値設定 | Linux | 脆弱性 | 侵入者によるパスワード *総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)発生時に、パスワード入力失敗時の入力回数を制限することで自動攻撃を遮断、攻撃時間を遅らせ、パスワード漏えいリスクを減せられる。 |
| 2113 | [U-04]パスワードファイル保護 | Linux | 脆弱性 | パスワード情報を平文で保存する場合、情報漏えいによる被害が発生する恐れがあるため、パスワードを暗号化して保護する必要がある。シャドウパスワードを使用して “/etc/shadow”ファイルに暗号化されたパスワードが保存されるようにして、特定の権限があるユーザのみ読み込みできるように制限する。 |
| 2191 | [U-06]rootアカウントsu制限 | Linux | 脆弱性 | 権限のない一般ユーザがsuコマンドを使ってログインを試みて、パスワード総当り攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を通じてroot権限を獲得する恐れがある。suコマンド使用が許可されたユーザのみrootアカウントで接続できるようにする。 |
| 2242 | [U-07]パスワード最小桁数設定 | Linux | 脆弱性 | パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を防ぐためにパスワード最小桁数が設定されているか点検する。パスワード最小桁数が設定されていないか、短く設定されている場合、推測しやすくなる。 |
| 2310 | [U-07]パスワード最小長さ設定 | Linux | 脆弱性 | パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を防ぐためにパスワード最小長さが設定されているか点検する。パスワード最小長さが設定されていないか、短く設定されている場合、推測しやすくなる。 |
| 2344 | [U-08]パスワード最長有効期限設定 | Linux | 脆弱性 | パスワード最長有効期限を設定していない場合、一定期間経過後にも盗み取られたパスワードでの接続が可能。悪意を持つユーザからの持続的な接続を遮断するため、パスワード最長有効期限を設定し、定期的に変更できるようにする。 |
| 2412 | [U-09]パスワード最短有効期限設定 | Linux | 脆弱性 | パスワード最短有効期限を設定していない場合、ユーザが慣れているにパスワードに変更でき、これを再利用する可能性がある。再利用するとパスワードの定期的変更の意味が薄れる。パスワードの再利用を防止するため、最近使ったパスワード保存設定を適用することでパスワードを保護する。 |
| 2541 | [U-11]管理者グループに最低限のアカウントを登録 | Linux | 脆弱性 | システムを管理するrootアカウントが属するグループはシステム運用ファイルに対するアクセス権限が付与されているため、最低限のアカウントのみ登録なければならない。該当グループの管理が適切に行われないと、許可されていない一般ユーザが管理者の権限でシステムにアクセスでき、ファイル修正及び変更などの悪意を持った作業が可能とより、システム運用に被害を与える恐れがある。 |
| 2633 | [U-15]Session Timeout設定 | Linux | 脆弱性 | アカウント接続状態で放置される場合、重要システムが権限のないユーザに使われる恐れがあるため、一定時間イベントが発生しないと接続を終了にするSession Timeoutを設定する必要ある。 |
| 2726 | [U-19]/etc/shadowファイル所有者及び権限設定 | Linux | 脆弱性 | “/etc/shadow”ファイルはシステムに登録されている全てのアカウントのパスワードを暗号化状態で保存及び管理している重要ファイルであり、rootアカウントを除いたユーザからのアクセスを制限する必要がある。該当ファイルに対する権限管理が行われない場合、ID及びパスワードの外部への漏えいリスクが潜在する。 |
| 2787 | [U-21]/etc/(x)inetd.confファイル所有者及び権限設定 | Linux | 脆弱性 | インターネットスーパーデーモンサービス設定ファイルであるinetd.conf(xinetd.d)ファイルに対するアクセス権限制限の状態を点検する。Inetd.conf(xinetd.d)のアクセス権限が誤って設定されている場合、無許可者が意図的に作成したプログラムを登録し、root権限でサービスを実行させ、既存サービスに影響を与える恐れがある。 |
| 3051 | [U-35]接続IP及びポート制限 | Linux | 脆弱性 | UNIXシステムが提供するTelnet、FTPなどの多くのネットワークサービスを介しての外部の無許可者による不正アクセス及びシステム侵入を防止するために、TCP Wrapperを利用して限られたIPアドレスからのみ接続できるように設定する。 |
| 3068 | [U-36]fingerサービス非アクティブ | Linux | 脆弱性 | Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されているユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。 |
| 3128 | [U-36]fingerサービス非活性化 | Linux | 脆弱性 | Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されているユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。 |
| 3250 | [U-38]r系列サービスの非アクティブ | Linux | 脆弱性 | ‘r’commandを使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もあるが、セキュリティ上非常に脆弱なため、サービスポートが開いている場合、重要情報漏えい及びシステム障害発生など不正侵入によるリスクがある。 |
| 3310 | [U-38]r系列サービスの非活性化 | Linux | 脆弱性 | ‘r’command使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もあるが、セキュリティ上非常に脆弱のため、サービスポートが開いている場合、 重要情報漏えい及びシステム障害発生など侵害発生のリスクがある。 |
| 3356 | [U-40]Dos攻撃に脆弱なサービスを非アクティブ | Linux | 脆弱性 | Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多く発表された不要サービスであり、該当のサービス使用を停止する必要がある。もし該当サービスがアクティブになっている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れがある。 |
| 3416 | [U-40]Dos攻撃に脆弱なサービスを非活性化 | Linux | 脆弱性 | Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多く発表された不要サービスであり、該当 サービス使用を停止する必要がある。もし該当サービスが活性化されている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れがある。 |
| 3476 | [U-41]NFSサービス非アクティブ | Linux | 脆弱性 | NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、使用しない場合は停止する。 |
| 3536 | [U-41]NFSサービス非活性化 | Linux | 脆弱性 | NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、使用しない場合は停止する。 |
| 3611 | [U-42]NFSアクセス制御 | Linux | 脆弱性 | NFS(Network File System)使用時には許可されたユーザのみ接続できるようにアクセスを制限する必要がある。アクセス制限設定が適切に行われない場合、無許可者がroot権限を獲得し、該当共有システムにリモートでマウントして重要ファイルを変更または盗み取る可能性がある。 |
| 3656 | [U-43]automountd削除 | Linux | 脆弱性 | automountdデーモンには、ローカル攻撃者がデーモンに *RPC(Remote Procedure Call)を送ることができ、これを通じてファイルシステムのマウントオプションを変更してroot権限が獲得した後、ローカル攻撃者がautomountdプロセス権限で任意のコマンドを実行することができる。 |
| 3732 | [U-44]RPCサービス確認 | Linux | 脆弱性 | RPC(Remote Procedure Call)サービスは分散処理環境で開発する際に多くのメリットを提供するが、次のようなサービスはバッファオーバーフロー(Buffer Overflow)脆弱性が多数存在し、root権限獲得及び不正侵入によるリスクがあるためサービスを停止する必要がある。rpc.cmsd、rpc.ttdbserverd, |
| 3780 | [U-45]NIS 、NIS+ 点検 | Linux | 脆弱性 | NIS(Network Information Service)は、重要なシステムDBファイルをネットワークを通じて共有する。NIS+は、セキュリティ及び便利な機能を追加したNISの次のバージョンである。セキュリティ上、脆弱なサービスであるNIS、NIS+を使用する場合、root権限獲得が可能になるため、使用しないことが望ましいが、もしNISを使用する必要がある場合はユーザ情報セキュリティに多数の問題点が内在しているNISよりは、NIS+を使用することを推奨する。 |
| 3870 | [U-46]tftp、talkサービス非アクティブ | Linux | 脆弱性 | 運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要ではない不要サービスを削除することでセキュリティを高めることができ、該当不要サービスの脆弱性による被害を防ぐことができる。 |
| 3930 | [U-46]tftp、talkサービス非活性化 | Linux | 脆弱性 | 運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要ではない不要サービスを削除することでセキュリティ性を高めることができ、該当不要サービスの脆弱性による被害を防ぐことができる。 |
| 4083 | [U-59]sshリモート接続許可 | Linux | 脆弱性 | Telnet、FTPなどは暗号化されていない状態でデータを転送するため、ID/パスワード及び重要情報が外部に漏れるリスクがある。従って、リモート接続時にはユーザとシステムとの全ての通信を暗号化する *SSH(Secure Shell)サービスを使用することを推奨する。 |
| 4207 | [U-66]SNMPサービスCommunity Stringの複雑性設定 | Linux | 脆弱性 | SNMP(Simple Network Management Protocol)サービスは、システム状態をリアルタイムで把握する*NMS(Network Management System)のためにUNIXシステムにおいて基本的に提供するサービスであり、情報を受けるために一種のパスワードであるCommunity Stringを使用する。*Community Stringはデフォルトでpublic、privateに設定されている場合が多く、これを変更しない場合、このStringを使ってシステムの主要情報及び設定を把握することができる。 |
| 1829 | Bashリモート任意コード実行点検 | Linux | 脆弱性 | BashShellから環境変数を処理する途中、脆弱性が発生し、攻撃者がシステムセキュリティを迂回してShellコマンドを実行することで攻撃する可能性がある参照 URL : https://en.wikipedia.org/wiki/Shellshock_(software_bug) |
| 1536 | bootloaderオプション確認 | Linux | OS | 基本bootloaderであるgrubのkernelラインに追加されたオプションがあるかを確認 |
| 1598 | history merge設定点検 | Linux | OS | historyファイルに時間が出力されるように設定する。ファイルに結果値が出力される必要がある。 |
| 420 | OS状態メッセージ点検 | Linux | HW | /var/adm/syslog/syslog.logファイルでOS状態を確認できる特定キーワードを検索して点検前日点検実行時間から当日点検実行時間が対象 |
| 1661 | swap設定点検 | Linux | OS | swap設定点検 |
| 1721 | syslog実行状態点検 | Linux | OS | syslogサービス実行有無点検 |
| 1736 | timestamp設定点検 | Linux | OS | historyファイルに時間が出力されるように設したファイルは結果値が出力なければならない。 |
| 1814 | サーバTime zone | Linux | OS | 例)日本の場合JST-9 (日本標準時) |
| 2128 | [U-05]root以外のUIDが ‘0’ 禁止 | Unix/Linux | 脆弱性 | root(UID=0)と同じ *UID(User Identification)を持つアカウント存在する場合、root 権限でシステムへアクセスが可能なため、rootのUIDを持つアカウントが存在しないように管理する必要がある。rootだけでなく、ユーザ間のUIDが重複する場合も権限重複によるユーザ監査追跡が難しくなるため、アカウント及びUIDの確認が必要。 |
| 2480 | [U-10]不要アカウント削除 | Unix/Linux | 脆弱性 | OSやPackageインストール時にDefaultで生成されるアカウントは大半Defaultパスワードを使用する場合が多く、パスワード推測攻撃に利用される恐れがある。システムにおいて使わない”lp,uucp、nuucp”などのDefaultアカウント及び疑わしいアカウントの存在有無を確認した後、削除。また、不要アカウントでシステムへ接続できるため、退職、転職、休職などの事由で使用していないアカウント、不要アカウント、疑わしいアカウントは削除する必要がある。特に、長期間パスワードが変更されていない未使用アカウントはパスワード推測攻撃(Password Guessing)の恐れもあり、該当アカウント情報の漏えい有無確認が困難である。 |
| 2556 | [U-12]アカウントが存在しないGID禁止 | Unix/Linux | 脆弱性 | 不十分なアカウントグループ管理によって構成員がいないグループが存在する場合、該当グループが所有するファイルが無許可者によって盗み取られる恐れがある。アカウントが存在していない*GID(GroupIdentification)設定については検討後、削除する必要がある。 |
| 2571 | [U-13]同じUID禁止 | Unix/Linux | 脆弱性 | UNIXシステムは全てのユーザアカウントにUIDを付与し、該当UIDでユーザ名、パスワード、ホームディレクトリなどのユーザ情報を管理する。もし重複するUIDが存在する場合、システムでは同一ユーザとして認識し、問題が発生する恐れがある。例えば、攻撃者による個人情報及び関連データが盗み取られた際に、監査追跡が難しくなる。 |
| 2586 | [U-14]ユーザshell点検 | Unix/Linux | 脆弱性 | ログインが必要ないアカウントを使ってシステムにアクセスし、ユーザのコマンドを解釈した後、それを悪用する恐れがあるため、/bin/false *shell(Shell)を与えてログインを禁止にする。 |
| 2665 | [U-16]rootホーム、パスディレクトリの権限及びパス設定 | Unix/Linux | 脆弱性 |
許可されたアカウントにより、現在のディレクトリに位置しているコマンドが意図せずに実行される恐れがある。 即ち、“.が /usr/binまたは/bin、/sbinなどのコマンドが位置しているディレクトリより優先して位置している場合、rootアカウント許可者が特定コマンドを実行すると、無許可者が意図的に入れたファイルが実行され、予期せぬ結果をもたらす恐れがある。正しくないPATHの優先順位によって侵害事件が起きる恐れがあるため、“.”だけでなく、無許可者が意図的に生成したディレクトリを優先的に実行しないように設定する必要がある。 |
| 2680 | [U-18]/etc/passwdファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | “/etc/passwd”ファイルはユーザID、パスワード(セキュリティ上 ‘x’で表示)、UID、GID、ホームディレクトリ、shell情報が含まれている重要ファイルであり、管理者以外のユーザが”/etc/passwd”ファイルにアクセスしてroot権限獲得が可能になるため、該当ファイルのアクセスを制限する必要がある。 |
| 2756 | [U-20]/etc/hostsファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | “/etc/hosts” ファイルは、IPアドレスとホスト名のマッピングに使用されるファイルであり、このファイルのアクセス権限設定が誤っている場合、信頼してはいけないシステムを信頼することになるため、“/etc/hosts”ファイルに対するアクセス権限を制限しているか点検する必要がある。 |
| 2832 | [U-22]/etc/syslog.confファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | “/etc/syslog.conf”ファイルはシステム運用中に発生する主要ログの’記録を設定するファイルで、管理者以外のユーザは該当ファイルに対して変更できないようにする必要がある。もし、該当ファイルのアクセス権限が適切でない場合、システムログが正常に記録されなくなり、侵入者の痕跡またはシステムエラー内容を正確に分析できない |
| 2847 | [U-23]/etc/servicesファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | サービス管理のために使用される/etc/services ファイルが一般ユーザによってアクセス及び変更が可能になれば、正常なサービスを制限したり、許可されていないサービスを意図的に実行させ、侵害事件を発生させる恐れがある。従って、所有者権限設定を通じてアクセスを制限する必要がある。 |
| 2862 | [U-24]SUID,SGID,Stick bit設定ファイル点検 | Unix/Linux | 脆弱性 | SUID(Set User-ID)と*SGID(Set Group-ID)が設定されているファイルは(特に、root所有のファイルの場合) 特定コマンドを実行してroot権限獲得したり、正常なサービスに障害を発生させたりする恐れがあり、また、ローカル攻撃にも多く使われるため、セキュリティ上徹底した管理が必要。Root所有のSUIDファイルの場合は、必要なファイルを除いてSUID、SGIDプロパティを削除し、そして、誤って設定されセキュリティ上威嚇になっているかについて定期的診断/管理する必要がある。 |
| 2877 | [U-25]ユーザ、システムスタートファイル及び環境ファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | 環境変数ファイルのアクセス権限設定が正しくない場合、無許可者が様々な方法でユーザ環境を変更して侵害事件を起こす恐れがあるため、ホームディレクトリ内の環境変数ファイルに対するアクセス権限(読み出し/書き込み/実行)を点検する必要がある。 |
| 2894 | [U-28]HOME/.rhosts、hosts.equiv 使用禁止 | Unix/Linux | 脆弱性 | ‘r’commandを使ってのリモート接続は *NET Backupまたはその他の用途で使われる場合もあるが、セキュリティ上非常に脆弱なため、サービスポートが開いている場合は重要情報の漏えいやシステム障害などの侵害事件発生の原因となる。もし、使用が不可欠である場合は/etc/hosts.equivファイル及び.rhostsファイルユーザを、rootまたは該当アカウントに設定した後、権限を600に設定して、該当ファイル設定に ‘+’ (全てのホスト許可)が含まれないようにする。 |
| 2909 | [U-29]hosts.lpdファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | UNIXシステムが提供するTelnet、FTPなどの多くのネットワークサービスを介しての外部無許可者の違法的なアクセス及びシステム侵入を防止するために、TCP Wrapperを利用して制限されたIPアドレスからのみ接続できるように設定する。 |
| 2924 | [U-30]NISサービス非アクティブ | Unix/Linux | 脆弱性 | NIS(Network Information Service)主サーバは情報表を保持してNIS対応ファイルに変換し、この変換ファイルをネットワークを通じて提供することで全てのコンピュータに情報が更新できるようにする。ユーザはパスワードの1回のみの変更でNIS領域に入っている全てのコンピュータの情報を更新することができる。しかし、NIS利用時にはサーバ情報漏えいのリスクが潜在するなど、セキュリティに脆弱 |
| 2939 | [U-30]NISサービス非活性化 | Unix/Linux | 脆弱性 | NIS(Network Information Service)主サーバは情報表を保持してNIS対応ファイルに変換し、この変換ファイルをネットワークを通じて提供することで全てのパソコンに情報が更新できるようにする。ユーザはパスワードの1回のみの変更でNIS領域に入っている全てのパソコンの情報を更新することができる。しかし、NIS利用時にはサーバ情報漏えいのリスクが潜在するなど、セキュリティに脆弱 |
| 2954 | [U-31]UMASK設定管理 | Unix/Linux | 脆弱性 | システム内でユーザが新規生成するファイルのアクセス権限は*UMASK値によって決められる。現在設定されているUMASKはコマンドプロンプトで“umask”を実行して確認することができ、UMASK値が“027”または“022”であることを推奨する。UMASK値“027”は “rw-r—–“ アクセス権限でファイル生成。UMASK値“022”は “rw-r–r–“ アクセス権限でファイル生成。アカウントのStart Profile(/etc/profile、/etc/default/login、.cshrc、.kshrc、.bashrc、.login,.profileなど)にコマンドを追加すると、ユーザがログインした後も変更されたUMASK値が適用されるようになり、誤って設定されたUMASK値により誤った権限ファイルを生成される恐れがある。 |
| 2969 | [U-32]ホームディレクトリ所有者及び権限設定 | Unix/Linux | 脆弱性 | ユーザホームディレクトリ内の設定ファイルが無許可者よって変更されると正常のユーザサービスが制限される。該当ホームディレクトリ所有者以外の一般ユーザが該当ホームディレクトリを修正できないように制限できているかを点検して、正常のユーザ環境構成及びサービス提供可否を確認する。 |
| 2985 | [U-33]ホームディレクトリに指定したディレクトリの存在管理 | Unix/Linux | 脆弱性 | ユーザホームディレクトリは、ユーザがログインした後、作業を実行するディレクトリである。ログインした後、ユーザホームディレクトリに存在するユーザ環境設定ファイルによってユーザ環境が構成される。ホームディレクトリの不在により次のようなセキュリティ上の問題が発生する恐れがある。1. ホームディレクトリが存在しない場合rootアカウントではない一般ユーザのホームディレクトリが /になっている場合、ログインユーザの現在のディレクトリが /でログインできるため、管理- セキュリティ上、問題が発生する恐れがある。2. ホームディレクトリ内に隠されたディレクトリが存在する場合、疑わしいユーザがファイルを隠す目的で作っている可能性がある。3. ホームディレクトリ内にシステムコマンドの名前を持つマルウェアが存在する場合パスとシステムコマンドを入力してマルウェアを実行させることができる。 |
| 3188 | [U-37]Anonymous FTP非アクティブ | Unix/Linux | 脆弱性 | Anonymous FTP(匿名FTP)を使用する場合、悪意を持ったユーザがシステムに関する情報を取得することができる。ディレクトリに書き込み権限が設定されている場合、local exploitを使って様々な攻撃が可能になるため、必要ユーザのみ接続できるよう設定して権限のないユーザのFTP使用を制限する必要がある。 |
| 3204 | [U-37]Anonymous FTP非活性化 | Unix/Linux | 脆弱性 | Anonymous FTP(匿名FTP)を使用する場合、悪意を持ったユーザがシステムに関する情報を取得することができる。ディレクトリに書き込み権限が設定されている場合、local exploitを使って様々な攻撃が可能になるため、必要ユーザのみ接続できるよう設定して権限のないユーザのFTP使用を制限する必要がある。 |
| 3340 | [U-39]cronファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | Cronシステムはcron.allowファイルとcron.denyファイルを通じてコマンドユーザを制限することができる。セキュリティ上該当ファイルに対するアクセス制限が必要。もしcronアクセス制限ファイルの権限が誤った場合、権限を獲得したユーザが意図的に任意のアカウントを登録して予約ファイルを実行することができ、システムに被害を与える恐れがある。 |
| 3960 | [U-47]Sendmailバージョン点検 | Unix/Linux | 脆弱性 | Sendmailは広く使われているため、脆弱性も多く知られ、攻撃目標になりやすい。Sendmailを使用する目的を検討し、使用する必要がない場合はサービスを削除することを推奨する。使用する必要がある場合は脆弱性のないSendmailバージョンを暫定使用し、脆弱性に対するパッチが発表される際には最新バージョンに早期に適用して使用する。脆弱性があるバージョンを使用すると、バッファオーバーフロー(Buffer Overflow)の攻撃により、システム権限や主要情報が盗み取られる恐れがある。 |
| 3975 | [U-48]スパムメールリレー制限 | Unix/Linux | 脆弱性 | SMTP(Simple Mail Transfer Protocol)サーバのリレー機能を制限しない場合、スパムメールサーバとして使われるか、サーバの負荷が増える恐れがある。従って、認証されたユーザにメールを送信できるように設定するか、不要時にSMTPサービスを停止する必要がある。 |
| 3991 | [U-49]一般ユーザのSendmail実行を防止 | Unix/Linux | 脆弱性 | SMTPサービス使用時に一般ユーザがqオプションを使用してSendmail実行することを防止して、メールキュー内容やsendmail設定を覗いたり、メールキューを強制的にdropさせたりする機能を止める必要がある。止めない場合、無許可者によるSMTPサービスエラーが発生する恐れがある。 |
| 4007 | [U-50]DNSセキュリティバージョンパッチ | Unix/Linux | 脆弱性 | BIND(Berkeley Internet Name Domain)はBIND 9.5.0バージョンまで発表。BIND 9.5.0以下のバージョンでは多くの脆弱性が存在。BIND 8.xは、BINDのdistributionをSendmailのバージョンと一致させるため使用する新しいバージョンであり、BIND 4のProductionversionと比べ、安全性、性能、セキュリティが向上されているが、BIND 8.3.4以下のバージョンではサービス拒否攻撃やバッファオーバーフロー(Buffer Overflow)、DNSサーバリモート侵入などの脆弱性が存在。 |
| 4023 | [U-51]DNS Zone Transfer設定 | Unix/Linux | 脆弱性 | DNS Zone Transferは、Primary Name ServerとSecondary Name Server間のZone情報を一貫性を維持するために使用する機能で、Secondary Name ServerのみにZone情報が転送できるように制限する必要がある。もし許可されていないユーザにZoneTransferを許可する場合、攻撃者は転送されたZone情報を利用してホスト情報,システム 情報、ネットワーク構成などの多くの情報を把握することができる。 |
| 4098 | [U-60]ftpサービス確認 | Unix/Linux | 脆弱性 | FTPサービスはID及びパスワードが暗号化されていない状態で転送され、簡単なSnifferによってもsniffingされる恐れがあるため、必要な場合を除いてはFTP サービス使用を制限する必要がある。 |
| 4113 | [U-61]ftpアカウントのshell制限 | Unix/Linux | 脆弱性 | FTPサービスインストール時にデフォルトで生成されるftpアカウントは、ログインが必要ないデフォルトアカウントであるため、shellを制限して該当アカウントでのシステムアクセスを遮断する必要がある。ログインが必要ないデフォルトアカウントに*shell(Shell)を与える場合、攻撃者に該当アカウントが漏れ、システムへの不法侵入を許す恐れがある。 |
| 4128 | [U-62]Ftpusersファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | FTPアクセス制御設定ファイルを管理者ではない一般ユーザがアクセス及び変更できる場合、無許可者FTPアクセスを通じてアカウントを登録し、サーバに接続して不正侵入が可能になる恐れがある。FTPアクセス制御設定ファイルを一般ユーザが修正できない設定になっているかどうかを点検する。 |
| 4145 | [U-63]Ftpusersファイル設定 | Unix/Linux | 脆弱性 | FTPサービスはID及びパスワードが暗号化されていない状態で転送され、簡単なSnifferによってもID及びパスワードが盗み取られる恐れがあるため、必要な場合を除いてはFTPサービス使用を制限する必要がある。止むを得ず、FTPサービスを使用する場合は、rootアカウントの直接接続を制限してrootアカウントのパスワード情報が漏れないようにする。 |
| 4160 | [U-64]atファイル所有者及び権限設定 | Unix/Linux | 脆弱性 | atコマンドユーザ制限は、at.allowファイルとat.denyファイルから行うことができるため、セキュリティ上該当ファイルに対するアクセス制限が必要。もしatアクセス制限ファイルの権限が誤っている場合、権限を獲得したユーザアカウントを登録して意図的に予約ファイルを実行させ、システムに被害を与える恐れがある。 |
| 4177 | [U-65]SNMPサービス起動点検 | Unix/Linux | 脆弱性 | SNMP(Simple Network Management Protocol)サービスは、システム状態をリアルタイムで確認したり、設定したりするために使用するサービス。SNMPサービスによるシステムの主要情報漏えい及び情報の不正改ざんが発生する恐れがあるため、SNMPサービスを使用しない場合は停止する。 |
| 4252 | [U-67]ログオン時に警告メッセージ提供 | Unix/Linux | 脆弱性 | ログインバナーが設定されない場合、バナーにサーバOSバージョン及びサービスバージョンが攻撃者に盗み取られる恐れがある。攻撃者はこのような情報を利用して該当OS及びサービスの脆弱性を攻撃する恐れがある。 |
| 4267 | [U-68]NFS設定ファイルアクセス権限 | Unix/Linux | 脆弱性 | NFS(Network File System)アクセス制御設定ファイルを管理者ではない一般ユーザもアクセス及び変更できる場合、許可されていないユーザを登録してファイルシステムをマウントすることで意図的に変更する恐れがある。従って、NFSアクセス制御設定ファイルを一般ユーザが修正できないように制限しているかどうかを点検する必要がある。 |
| 4284 | [U-69]expn、vrfyコマンド制限 | Unix/Linux | 脆弱性 | SMTP(Simple Mail Transfer Protocol)には多くの脆弱性があり、潜在的なリスクが存在する。サーバでSMTPを使う目的を検討して、使用する必要がない場合はサービスを削除する必要があり、SMTPサービス運用時はSendmail Abuseを防止するためにSendmailの基本サービスである*VRFY、*EXPNを止める必要がある。 |
| 4299 | [U-73]ポリシーによるシステムLogging設定 | Unix/Linux | 脆弱性 | ログ設定がされていないかセキュリティポリシーと比べてログ設定レベルが低く、セキュリティ問題が発生した場合に原因把握や各種侵害事実に対する確認が容易ではないため、法的対応のための十分な証拠として使用できない |
| 1276 | Default Gateway設定点検 | Unix/Linux | OS | Default Gateway設定点検 |
| 1844 | OpenSSL HeartBleed点検 | Unix/Linux | 脆弱性 | 暗号化通信に多く使われるOpenSSLライブラリにおいて、サーバに保存された重要メモリデータが漏えいするHeartBleedという深刻なバグ発生したため、システム及びSWに対する迅速な脆弱性対策を実行することを推奨 |
| 1369 | OS_UPTIME | Unix/Linux | OS | サーバブート期間確認 |
