“Bilgi ve İletişim Güvenliği Rehberi” Linux İşletim Sistemi Sıkılaştırma Tedbirleri – Centos Linux 8 – CIS Benchmark
Bilgi ve İletişim Güvenliği Rehberi uyum çalışmalarını yürüten kurumlara destek olmak amacıyla bir dizi yazı yayınlıyorum. CIS Benchmark’lar ile Bilgi ve İletişim Güvenliği tedbirlerinin eşleştirmelerini sunmayı hedefliyorum. Bu yazımda “Centos Linux 8” işletim sistemi sıkılaştırmalarının Nessus gibi otomatize araçlarla uygulanma durumunu CIS kontrolleri ile yapabilmenize yardımcı olmayı hedefliyorum.
| Tedbir Alt Başlık | Tedbir No. | Tedbir Adı | Tedbir Tanımı | CIS Centos 8 CIS_CentOS_Linux_8_Benchmark_v1.0.1 |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.1 | Kullanılmayan Dosya Sistemlerinin Pasif Hale Getirilmesi | Kullanılmayan dosya sistemleri (cramfs, freevxfs, hfs vb.) pasif hale getirilmelidir. | 1.1.1.1 Ensure mounting of cramfs filesystems is disabled (Automated) 1.1.1.3 Ensure mounting of squashfs filesystems is disabled (Automated) 1.1.1.4 Ensure mounting of udf filesystems is disabled (Automated) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.2 | Yetkili Kullanıcı Hesap Yönetimi | Sisteme erişecek her kişi için ayrı bir kullanıcı hesabı oluşturulmalıdır. Oluşturulan kullanıcılar için yetkiler belirlenmelidir. Kullanılmayan hesaplar kaldırılmalıdır. Sistem kullanıcılarının kabuğu /sbin/nologin olmalıdır. Root login mümkünse engellenmelidir. Tüm makinelerde UID değeri 0 olan tek kullanıcı root olmalıdır. Ayrıca aynı isme veya UID değerine sahip kullanıcı veya grup bulunmamalıdır. Servis ve sistem kullanıcıları hariç parolasız kullanıcılar bulunmamalıdır. Sudoers kullanıcıları değişikliklere karşı takip edilmelidir. | 4.1.3 Ensure changes to system administration scope (sudoers) is collected (Automated) 4.1.4 Ensure login and logout events are collected (Automated) 4.1.16 Ensure system administrator actions (sudolog) are collected (Automated) 5.2.10 Ensure SSH root login is disabled (Automated) 5.2.11 Ensure SSH PermitEmptyPasswords is disabled (Automated) 5.4.1 Ensure password creation requirements are configured (Automated) 5.4.2 Ensure lockout for failed password attempts is configured (Automated) 5.4.3 Ensure password reuse is limited (Automated) 5.4.4 Ensure password hashing algorithm is SHA-512 (Automated) 5.5.1.1 Ensure password expiration is 365 days or less (Automated) 5.5.1.2 Ensure minimum days between password changes is 7 or more (Automated) 5.5.1.3 Ensure password expiration warning days is 7 or more (Automated) 5.5.2 Ensure system accounts are secured (Automated) 5.5.4 Ensure default group for the root account is GID 0 (Automated) 5.6 Ensure root login is restricted to system console (Manual) 6.2.6 Ensure root is the only UID 0 account (Automated) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.3 | Dosya Sistemi Güvenli Erişim Düzenlemeleri | İçeriği değiştiğinde, silindiğinde veya taşındığında sistemin çalışmasını olumsuz yönde etkileyebilecek çalışma dosyalarının, kütüphanelerin ve yapılandırma dosyalarının (SUID ve SGID dosyaları, kayıt dosyaları, cron dosyaları, başlangıç betikleri, /etc/passwd, /etc/shadow vb.) yetkilendirmeleri amacına uygun şekilde düzenlenmeli ve kurum politikaları doğrultusunda denetlenmelidir. Varsayılan kullanıcı umask değeri en az yetki prensibine göre ayarlanmalıdır. | 4.1.7 Ensure events that modify the system’s Mandatory Access Controls are collected (Automated) 4.1.8 Ensure events that modify the system’s network environment are collected (Automated) 4.1.11 Ensure events that modify user/group information are collected (Automated) 5.1.1 Ensure cron daemon is enabled (Automated) 5.1.2 Ensure permissions on /etc/crontab are configured (Automated) 5.1.8 Ensure at/cron is restricted to authorized users (Automated) 5.5.5 Ensure default user umask is 027 or more restrictive (Automated) 6.1.3 Ensure permissions on /etc/passwd- are configured (Automated) 6.1.4 Ensure permissions on /etc/shadow are configured (Automated) 6.1.8 Ensure permissions on /etc/group are configured (Automated) 6.1.13 Audit SUID executables (Manual) 6.1.14 Audit SGID executables (Manual) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.4 | Güvenli Disk Bölümlendirme | İşletim sistemi dosyaları ile kullanıcı dosyaları, /home, /root, /boot, /tmp vb. birimler ayrı disk bölümlerinde tutulmalıdır. | 1.1.6 Ensure separate partition exists for /var (Automated) 1.1.7 Ensure separate partition exists for /var/tmp (Automated) 1.1.11 Ensure separate partition exists for /var/log (Automated) 1.1.13 Ensure separate partition exists for /home (Automated) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.5 | Otomatik Başlatma (Mount) Özelliğinin Pasif Hale Getirilmesi | CD/DVD ve USB gibi harici medyanın otomatik olarak mount edilmesini önlemek adına otomatik mount özelliği pasif hale getirilmelidir. Ayrıca /tmp dizini gibi mount noktalarında noexec, nodev, nosuid parametreleriyle çalıştırılabilir dosyalar pasif hale getirilmelidir. | 1.1.1.1 Ensure mounting of cramfs filesystems is disabled (Automated) 1.1.1.2 Ensure mounting of vFAT filesystems is limited (Manual) 1.1.1.3 Ensure mounting of squashfs filesystems is disabled (Automated) 1.1.1.4 Ensure mounting of udf filesystems is disabled (Automated) 1.1.8 Ensure nodev option set on /var/tmp partition (Automated) 1.1.9 Ensure nosuid option set on /var/tmp partition (Automated) 1.1.10 Ensure noexec option set on /var/tmp partition (Automated) 1.1.22 Disable Automounting (Automated) 1.1.23 Disable USB Storage (Automated) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.6 | Dosya Sistemi Bütünlük Kontrollerinin Düzenli Olarak Yapılması | Önemli görülen dosyaların bütünlüğü düzenli olarak kontrol edilmelidir. | 1.4.1 Ensure AIDE is installed (Automated) 1.4.2 Ensure filesystem integrity is regularly checked (Automated) 6.2.3 Ensure root PATH Integrity (Automated) |
| 5.1.2. Linux İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.2.7 | Önyükleme (Boot) Ayarlarının Güvenli Şekilde Yapılandırılması | Kullanılan makinelerde önyükleyici (bootloader) parolası belirlenmeli ve zorunlu tutulmalıdır. Ayrıca tek kullanıcı modu için kimlik doğrulaması yapılmalıdır. Boot edilebilir cihazlar listesi kısıtlanmalıdır. Kullanılmıyorsa USB, Firewire, Thunderbolt, PCMCIA vb. cihazlar iptal edilmelidir. | 1.5.1 Ensure permissions on bootloader config are configured (Automated) 1.5.2 Ensure bootloader password is set (Automated) 1.5.3 Ensure authentication required for single user mode (Automated) |
06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren”, “Bilgi ve İletişim Güvenliği Rehberi“, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur.
CIS kıyas dokümanları ile Bilgi ve İletişim Güvenliği Rehberi Tedbirleri eşleştirmelerinde eksiklik, hata ya da yanlışlık tespit ederseniz lütfen iletişime geçiniz, teşekkürler.
