Security Hardening Basic requirement Unix OS and Database

** Myself
เรื่องนี้เป็น ข้อมูลขั้นพื้นฐานที่ auditor หลายสำนักมักจะเห็น unix server ของเราแล้วส่ายหัวเพราะว่า โดยมากแล้วไม่ค่อยได้ตาม มาตรฐาน อันนี้เป็นตัวอย่างของที่ ระบบเรามักจะเป็น และ ที่ audit มักจะให้ทำ หรือถ้าใครต้องการ พื้นฐานก็เอาไปเป็นตัวอย่างได้ หรือหาอ่านได้จาก มาตรฐาน CISA ตามเว็บทั่วไปครับ
Basic audit requirement Unix Operating System ( Application and Database Server )



ชื่อ Parameter ความหมายของ Parameter ค่าปัจจุบัน ค่าที่ทาง Audit IT. แนะนำ ผลกระทบที่เกิดขึ้น
login การอนุญาตให้ user login ที่ console TRUE FALSE ไม่อนุญาตให้ user login ที่ console (แต่ telnet หรือ su ได้)(แต่ root login ที่ console ได้)

sugroups
กำหนดว่า user จาก group ใดบ้างที่มีสิทธิ์ในการใช้ sucommand ไปเป็น user แต่ละคน ALL group-names กำหนดว่า user จาก group ใดบ้างที่มีสิทธิ์ในการใช้ sucommand ไปเป็น user แต่ละคน
umask กำหนด default permission ของไฟล์หรือ directoryที่ถูกสร้างขึ้น 022 027 ทำให้ user ที่ไม่ใช่ owner หรือ ไม่อยู่ใน group เดียวกันกับ ownerไม่สามารถ access ไฟล์ หรือ directory นั้นได้


minage
จำนวนสัปดาห์ที่ต่ำที่สุด ที่ user จะไม่สามารถเปลี่ยนpassword หลังจากเปลี่ยน passsword ครั้งล่าสุด 0 1 user จะไม่สามารถเปลี่ยน password อีก ถ้ามีการเปลี่ยนpassword ไปแล้วในเวลา 1 สัปดาห์ที่ผ่านมา (ต้องให้ Admin ทำให้)
maxage จำนวนสัปดาห์สูงสุด ก่อนที่ user จะถูกบังคับให้เปลี่ยนpassword 0 8 user ต้องเปลี่ยน password ทุกๆ 8 สัปดาห์
minalpha ต้องมีจำนวน alphabetic (a-z, A-Z)อย่างน้อยกี่ตัวในpassword 0 5 ต้องมีจำนวน alphabetic (a-z, A-Z) อย่างน้อย 5 ตัวใน password
minlen ความยาวขั้นต่ำของ password 0 6 password ต้องมีความยาวอย่างน้อย 6 อักขระ
mindiff จำนวนของตัวอักขระใน password ใหม่ที่ไม่อยู่ในpassword เก่า 0 2 password ใหม่ต้องมีจำนวนตัวอักขระที่ไม่อยู่ใน password เก่าอย่างน้อย 2 ตัว
maxrepeats จำนวนสูงสุดของตัวอักขระที่อนุญาติให้ซ้ำกันได้ใน1 password 8 1 อนุญาตให้ตัวอักขระแต่ละตัวมีได้ไม่เกิน 2 ตัวใน 1 password
Basic audit requirement Database Server (Oracle Database Server )
ชื่อ Parameter ความหมายของ Parameter ค่าปัจจุบัน ค่าที่ทาง Audit IT. แนะนำ ผลกระทบที่เกิดขึ้น
FAILED_LOGIN_ATTEMPS จำนวนครั้งที่ login ผิดพลาดก่อนที่ account นั้น จะถูก lock Unlimited 3 user ที่ login ผิด 3 ครั้ง account จะถูก lock
PASSWORD_LIFE_TIME จำนวนวัน ที่ password ของ user จะ expired Unlimited 60 password ของ user จะ expired ทุกๆ 60 วัน
PASSWORD_REUSE_TIME จำนวนวัน ที่น้อยที่สุดที่ user จะกลับมาใช้ password เดิมที่เคยใช้ได้อีกครั้ง Unlimited 1800 อนุญาตให้ user ใช้ password ที่เคยใช้มาแล้วได้ แต่ password นั้นต้องไม่ถูกใช้มาไม่ต่ำกว่า 1800 วัน
PASSWORD_VERIFY_FUNCTION กฎเกณฑ์เงื่อนไขในการตั้ง password NULL Verify_function 1. password ต้องมีความยาวมากกว่า 4 ตัวอักษร
. . . . 2. password ต้องไม่เหมือนกับ username
. . . . 3. ต้องมีอย่างน้อย 1 alphabetic, 1 numeric, 1 special character
. . . . 4. ต้องต่างจาก password เดิมอย่างน้อย 3 ตัวอักษร
PASSWORD_LOCKED_TIME จำนวนวัน ที่ account จะถูก lock หลังจาก login ผิดครบตามจำนวนของ failed_login_attemps Unlimited 1/1440 user ที่ login ผิดพลาดครบตามจำนวน failed_login_attemps จะถูก lock account เป็นเวลา 1 นาที
PASSWORD_GRACE_TIME หลังจาก password expired แล้วยังสามารถให้ user ใช้งานได้อีกกี่วัน โดยยังไม่เปลี่ยน password Unlimited 10 หลังจาก password expired แล้วยังสามารถให้ user ใช้งานอีก 10 วัน, ถ้ายังไม่เปลี่ยน password ภายใน 10 วัน account นั้น นั้นจะ login ไม่ได้อีก

0 comments:

Loading