Security Hardening Basic requirement Unix OS and Database

** Myself
เรื่องนี้เป็น ข้อมูลขั้นพื้นฐานที่ auditor หลายสำนักมักจะเห็น unix server ของเราแล้วส่ายหัวเพราะว่า โดยมากแล้วไม่ค่อยได้ตาม มาตรฐาน อันนี้เป็นตัวอย่างของที่ ระบบเรามักจะเป็น และ ที่ audit มักจะให้ทำ หรือถ้าใครต้องการ พื้นฐานก็เอาไปเป็นตัวอย่างได้ หรือหาอ่านได้จาก มาตรฐาน CISA ตามเว็บทั่วไปครับ
Basic audit requirement Unix Operating System ( Application and Database Server )

ชื่อ Parameter	ความหมายของ Parameter	ค่าปัจจุบัน	ค่าที่ทาง Audit IT. แนะนำ	ผลกระทบที่เกิดขึ้น
login	การอนุญาตให้ user login ที่ console	TRUE	FALSE	ไม่อนุญาตให้ user login ที่ console (แต่ telnet หรือ su ได้)(แต่ root login ที่ console ได้)
sugroups	กำหนดว่า user จาก group ใดบ้างที่มีสิทธิ์ในการใช้ sucommand ไปเป็น user แต่ละคน	ALL	group-names	กำหนดว่า user จาก group ใดบ้างที่มีสิทธิ์ในการใช้ sucommand ไปเป็น user แต่ละคน
umask	กำหนด default permission ของไฟล์หรือ directoryที่ถูกสร้างขึ้น	022	027	ทำให้ user ที่ไม่ใช่ owner หรือ ไม่อยู่ใน group เดียวกันกับ ownerไม่สามารถ access ไฟล์ หรือ directory นั้นได้
minage	จำนวนสัปดาห์ที่ต่ำที่สุด ที่ user จะไม่สามารถเปลี่ยนpassword หลังจากเปลี่ยน passsword ครั้งล่าสุด	0	1	user จะไม่สามารถเปลี่ยน password อีก ถ้ามีการเปลี่ยนpassword ไปแล้วในเวลา 1 สัปดาห์ที่ผ่านมา (ต้องให้ Admin ทำให้)
maxage	จำนวนสัปดาห์สูงสุด ก่อนที่ user จะถูกบังคับให้เปลี่ยนpassword	0	8	user ต้องเปลี่ยน password ทุกๆ 8 สัปดาห์
minalpha	ต้องมีจำนวน alphabetic (a-z, A-Z)อย่างน้อยกี่ตัวในpassword	0	5	ต้องมีจำนวน alphabetic (a-z, A-Z) อย่างน้อย 5 ตัวใน password
minlen	ความยาวขั้นต่ำของ password	0	6	password ต้องมีความยาวอย่างน้อย 6 อักขระ
mindiff	จำนวนของตัวอักขระใน password ใหม่ที่ไม่อยู่ในpassword เก่า	0	2	password ใหม่ต้องมีจำนวนตัวอักขระที่ไม่อยู่ใน password เก่าอย่างน้อย 2 ตัว
maxrepeats	จำนวนสูงสุดของตัวอักขระที่อนุญาติให้ซ้ำกันได้ใน1 password	8	1	อนุญาตให้ตัวอักขระแต่ละตัวมีได้ไม่เกิน 2 ตัวใน 1 password

Basic audit requirement Database Server (Oracle Database Server )

ชื่อ Parameter	ความหมายของ Parameter	ค่าปัจจุบัน	ค่าที่ทาง Audit IT. แนะนำ	ผลกระทบที่เกิดขึ้น
FAILED_LOGIN_ATTEMPS	จำนวนครั้งที่ login ผิดพลาดก่อนที่ account นั้น จะถูก lock	Unlimited	3	user ที่ login ผิด 3 ครั้ง account จะถูก lock
PASSWORD_LIFE_TIME	จำนวนวัน ที่ password ของ user จะ expired	Unlimited	60	password ของ user จะ expired ทุกๆ 60 วัน
PASSWORD_REUSE_TIME	จำนวนวัน ที่น้อยที่สุดที่ user จะกลับมาใช้ password เดิมที่เคยใช้ได้อีกครั้ง	Unlimited	1800	อนุญาตให้ user ใช้ password ที่เคยใช้มาแล้วได้ แต่ password นั้นต้องไม่ถูกใช้มาไม่ต่ำกว่า 1800 วัน
PASSWORD_VERIFY_FUNCTION	กฎเกณฑ์เงื่อนไขในการตั้ง password	NULL	Verify_function	1. password ต้องมีความยาวมากกว่า 4 ตัวอักษร
.	.	.	.	2. password ต้องไม่เหมือนกับ username
.	.	.	.	3. ต้องมีอย่างน้อย 1 alphabetic, 1 numeric, 1 special character
.	.	.	.	4. ต้องต่างจาก password เดิมอย่างน้อย 3 ตัวอักษร
PASSWORD_LOCKED_TIME	จำนวนวัน ที่ account จะถูก lock หลังจาก login ผิดครบตามจำนวนของ failed_login_attemps	Unlimited	1/1440	user ที่ login ผิดพลาดครบตามจำนวน failed_login_attemps จะถูก lock account เป็นเวลา 1 นาที
PASSWORD_GRACE_TIME	หลังจาก password expired แล้วยังสามารถให้ user ใช้งานได้อีกกี่วัน โดยยังไม่เปลี่ยน password	Unlimited	10	หลังจาก password expired แล้วยังสามารถให้ user ใช้งานอีก 10 วัน, ถ้ายังไม่เปลี่ยน password ภายใน 10 วัน account นั้น นั้นจะ login ไม่ได้อีก