Veritas NetBackup™ Appliance セキュリティガイド

STIG の有効化については、次の注意点があります。

• オプションが有効になっていると、強制的に適用されるルールのリストが表示されます。コマンド出力にも、強制的には適用されないすべてのルールの例外が表示されます。

• このコマンドでは、個々のルールの制御は許可されません。

• 高可用性 (HA) 設定のアプライアンス (ノード) の場合、切り替え後に正しく作動するように、各ノードでこの機能を手動で有効にする必要があります。

• オプションを有効にすると、関連付けられたルールを無効にするには、出荷時設定へのリセットが必要です。

• LDAP (Lightweight Directory Access Protocol) を設定する場合は、このオプションを有効にする前に、TLS (Transport Layer Security) を使用するように設定することをお勧めします。

• CCE-27127-0: 仮想アドレス空間のランダムなレイアウトを有効にします。

  スキャナ重要度レベル: 中

• CCE-26900-1: SUID プログラムのコアダンプを無効にします。

  スキャナ重要度レベル: 低

• CCE-27050-4: カーネルメッセージバッファへのアクセスを制限します。

  スキャナ重要度レベル: 低

• CCE-80258-7: kdump カーネルクラッシュアナライザを無効にします。

  スキャナ重要度レベル: 中

• CCE-27220-3: AIDE データベースを構築してテストします。

  スキャナ重要度レベル: 中

• CCE-26952-2: AIDE の定期的な実行を構成します。

  スキャナ重要度レベル: 中

• CCE-27303-7: システムログインバナーを変更します。

  スキャナ重要度レベル: 中

• CCE-27082-7: SSH クライアントライブアカウントを設定します。

  スキャナ重要度レベル: 中

• CCE-27314-4: SSH 警告バナーを有効にします。

  スキャナ重要度レベル: 中

• CCE-27437-3: auditd が特権コマンドの使用に関する情報を収集することを確認します。

  スキャナ重要度レベル: 中

• CCE-27309: ブートローダーのパスワードを設定します。

  スキャナ重要度レベル: 高

• CCE-80374-2: AIDE スキャン結果の通知を構成します。

  スキャナセキュリティレベル: 中

• CCE-80375-9: アクセス制御リスト (ACL) を検証するよう AIDE を構成します。

  スキャナ重要度レベル: 中

• CCE-80376-7: 拡張属性を検証するよう AIDE を構成します。

  スキャナ重要度レベル: 中

• CCE-27375-5: ディスク容量が少ないときの auditd_space_left_action を構成します。

  スキャナ重要度レベル: 中

• CCE-27341-7: auditd が audispd_syslog_plugin を使うように構成します。

  スキャナセキュリティレベル: 中

• CCE-27353-2: システムの任意アクセス制御を変更するイベント (fremovexattr) を記録します。

  スキャナ重要度レベル: 中

• CCE-27410-0: システムの任意アクセス制御を変更するイベント (lremovexattr) を記録します。

  スキャナ重要度レベル: 中

• CCE-27367-2: システムの任意アクセス制御を変更するイベント (removexattr) を記録します。

  スキャナ重要度レベル: 中

• CCE-27204-7: ログオンイベントとログアウトイベントを変更しようとする試みを記録します。

  スキャナ重要度レベル: 中

• CCE-27347-4: ファイルに対する権限のないアクセスの試みを auditd が収集することを確認します。

  スキャナ重要度レベル: 中

• CCE-27447-2: auditd が成功したメディアへのエクスポートに関する情報を収集することを確認します。

  スキャナ重要度レベル: 中

• CCE-27206-2: auditd がユーザーによるファイル削除イベントを収集することを確認します。

  スキャナ重要度レベル: 中

• CCE-27129-6: auditd がカーネルモジュールのロードおよびアンロードに関する情報を収集することを確認します。

  スキャナ重要度レベル: 中

• CCE-27333-4: 文字が連続する最大数のパスワードルールを設定します。

  スキャナ重要度レベル: 中

• CCE-27512-3: 同じ文字クラスからの文字が連続する最大数のパスワードルールを設定します。

  スキャナ重要度レベル: 中

• CCE-27214-6: 数字 (数値) の最小文字数のパスワード強度を設定します。

  スキャナ重要度レベル: 中

• CCE-27293-0: 最小長のパスワードルールを設定します。

  スキャナ重要度レベル: 中

• CCE-27200-5: 大文字の最小文字数のパスワード強度を設定します。

  スキャナ重要度レベル: 中

• CCE-27360-7: 特殊文字の最小文字数のパスワード強度を設定します。

  スキャナ重要度レベル: 中

• CCE-27345-8: 小文字の最小文字数のパスワード強度を設定します。

  スキャナ重要度レベル: 中

• CCE-26631-2: 使用する異なる文字の最小文字数のパスワード強度を設定します。

  スキャナ重要度レベル: 中

• CCE-27115-5: USB ストレージドライバの modprobe ロードを無効にします。

  スキャナ重要度レベル: 中

• CCE-27350-8: 失敗したパスワードの試行によってアクセスを拒否する試行回数を設定します。

  スキャナ重要度レベル: 中

• CCE-80353-6: 失敗したパスワードの試行のルートアカウントを構成します。

  スキャナ重要度レベル: 中

• CCE-26884-7: 失敗したパスワードの試行のロックアウト時間を設定します。

  スキャナ重要度レベル: 中

• CCE-27297-1: 失敗したパスワードの試行をカウントする間隔を設定します。

  スキャナ重要度レベル: 中

• CCE-27002-5: パスワードの最短寿命を設定します。

  スキャナ重要度レベル: 中

• CCE-27051-2: パスワードの最長寿命を設定します。

  スキャナセキュリティレベル: 中

• CCE-27081-9: 各ユーザーに許可される同時ログインセッションの数を制限します。

  スキャナ重要度レベル: 低

• CCE-80165-4: ICMP ブロードキャストエコー要求を無視するようにカーネルパラメータを構成します。

  スキャナ重要度レベル: 中

• CCE-80156-3: デフォルトで ICMP リダイレクトを送信するためのカーネルパラメータを無効にします。

  スキャナ重要度レベル: 中

• CCE-80156-3: すべてのインターフェースで ICMP リダイレクトを送信するためのカーネルパラメータを無効にします。

  スキャナ重要度レベル: 中

• CCE-27212-0: 監査デーモンの前に開始されるプロセスの監査を有効にします。

  スキャナ重要度レベル: 中

• CCE-26957-1: Red Hat GPG キーがインストールされていることを確認します。

  スキャナ重要度レベル: 高

• CCE-27096-7: AIDE パッケージがインストールされていることを確認します。

  スキャナ重要度レベル: 中

• CCE-27351-6: screen パッケージをインストールします。

  スキャナ重要度レベル: 中

• CCE-27268-2: シリアルポートのルートログインを制限します。

  スキャナ重要度レベル: 低

• CCE-27318-5: 仮想コンソールのルートログインを制限します。

  スキャナ重要度レベル: 中

• CCE-27471-2: パスワードなしでの SSH アクセスを無効にします。

  スキャナ重要度レベル: 高

• CCE-27286-4: パスワードなしでのアカウントへのログインを防止します。

  スキャナ重要度レベル: 高

• CCE-27511-5: Ctrl+Alt+Del キーによる再ブートのアクティブ化を無効にします。

  スキャナ重要度レベル: 高

• CCE-27320-1: SSH プロトコルバージョン 2 のみを許可します。

  スキャナ重要度レベル: 高

• CCE-27294-8: root の直接ログインを許可しません。

  スキャナ重要度レベル: 中

• CCE-80157-1: IP 転送のためのカーネルパラメータを無効にします。

  スキャナ重要度レベル: 中

• CCE-80158-9: すべてのインターフェースで ICMP リダイレクトを受け入れるためのカーネルパラメータを構成します。

  スキャナ重要度レベル: 中

• CCE-80163-9: デフォルトで ICMP リダイレクトを受け入れるためのカーネルパラメータを構成します。

  スキャナ重要度レベル: 中

• CCE-27327-6: Bluetooth カーネルモジュールを無効にします。

  スキャナ重要度レベル: 中

• CCE-80179-5: すべてのインターフェースでソースルーティングパケットを受け入れるためのカーネルパラメータを構成します。

  スキャナ重要度レベル: 中

• CCE-80220-7: GSSAPI 認証を無効にします。

  スキャナ重要度レベル: 中

• CCE-80221-5: Kerberos 認証を無効にします。

  スキャナ重要度レベル: 中

• CCE-80222-3: 厳密モードのチェックの使用を有効にします。

  スキャナ重要度レベル: 中

• CCE-80224-9: 圧縮を無効にするか、圧縮の遅延を設定します。

  スキャナ重要度レベル: 中

• CCE-27455-5: FIPS で承認された MAC のみを使います。

  スキャナ重要度レベル: 中

• CCE-80378-3: /etc/cron.allow を所有するユーザーを確認します。

  スキャナ重要度レベル: 中

• CCE-80379-1: /etc/cron.allow を所有するグループを確認します。

  スキャナ重要度レベル: 中

• CCE-80372-6: ユーザーが既知のホストの SSH サポートを無効にします。

  スキャナ重要度レベル: 中

• CCE-80373-4: rhosts RSA 認証の SSH サポートを無効にします。

  スキャナ重要度レベル: 中

• CCE-27363-1: SSH 環境オプションを許可しません。

  スキャナ重要度レベル: 中

• CCE-26989-4: gpgcheck がグローバルにアクティブになっていることを確認します。

  スキャナ重要度レベル: 高

• CCE-80349--4: 認定済みの OS がインストールされていることを確認します。

  スキャナ重要度レベル: 高

• CCE-27175-9: 0 以外の uid がありません (よりよい説明を取得)。

  スキャナ重要度レベル: 高

• CCE-27498-5: 自動マウンタを無効にします。

  スキャナ重要度レベル: 中

• CCE-80134-0: ユーザーが所有していないファイルはありません。

  スキャナ重要度レベル: 中

• CCE-80135-7: ファイル権限グループが所有していません。

  スキャナ重要度レベル: 中

• CCE-27211-2: sysctl_kernal_exec_shield。

  スキャナ重要度レベル: 中

• CCE-27352-4: すべてのアカウントパスワードハッシュがシャドーイングされていることを確認します。

  スキャナ重要度レベル: 中

• CCE-27104-9: パスワードハッシュアルゴリズム systemauth を設定します。

  スキャナ重要度レベル: 中

• CCE-27124-7: パスワードハッシュアルゴリズム logindefs を設定します。

  スキャナ重要度レベル: 中

• CCE-27053-8: パスワードハッシュアルゴリズム libusercon を設定します。

  スキャナ重要度レベル: 中

• CCE-27078-5: 事前リンクソフトウェアを無効にします。

  スキャナ重要度レベル: 低

• CCE-27116-3: サポートされている 32 ビット x86 システムに PAE カーネルをインストールします。

  スキャナ重要度レベル: 低

• CCE-27503-2: /etc/password で参照されるすべての GID が /etc/group で定義される必要があります。

  スキャナ重要度レベル: 低

• CCE-27160-1: パスワード pam 再試行します。

  スキャナ重要度レベル: 低

• CCE-27275-7: ログインの試行を表示します。

  スキャナ重要度レベル: 低

• CCE-80350-2: sudo の no_authenticate を削除します。

  スキャナ重要度レベル: 中

• CCE-26961-3: SELinux が /etc/default/grub で無効になっていないことを確認します。

  スキャナ重要度レベル: 中