Maintenance sys. : Configurer le renforcement STIG pour l'installation de la nouvelle version 10.6

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Ces instructions décrivent comment configurer les hôtes dans les installations de la nouvelle version 10.6 de Security Analytics. 

À lire avant d'exécuter le script STIG

Veuillez lire l'avertissement suivant avant d'exécuter le script de renforcement STIG.

Attention : Après avoir exécuté le script de renforcement STIG, vous ne pouvez pas retourner à un état non renforcé sans écraser l'hôte. Si vous souhaitez revenir en arrière, vous devrez ré-imager l'hôte et perdrez toutes vos données. Contactez le Support Clients pour obtenir des instructions sur l'écrasement de l'hôte.

Appliquer le script de renforcement STIG

Effectuez la procédure suivante pour appliquer le renforcement STIG à un nouvel hôte :

  1. Connectez-vous à l'hôte avec le compte utilisateur normal. 

Attention : STIG bloque l'accès super utilisateur à un hôte via SSH. Vous devez vous connecter avec un compte utilisateur normal. Le script STIG (Aqueduct-STIG.sh) crée le compte nwadmin lorsque vous l'exécutez en étant connecté avec le mot de passe racine. Le mot de passe de ce compte doit comprendre au moins quatorze caractères et inclure des chiffres, des lettres et au moins un caractère spécial. Vous devez modifier les mots de passe, y compris la racine, tous les 90 jours pour éviter l'expiration et le verrouillage de ces mots de passe. Si vous êtes complètement bloqué, vous aurez besoin du mot de passe racine pour accéder à l'hôte en mode utilisateur unique.

De plus, le script ajoute le compte nwadmin au fichier /etc/sudoers.

  1. Vérifiez les verrouillages sur le compte :
    pam_tally2 --user=<username>
  2. Déverrouillez le compte, si besoin :
    pam_tally2 --user=<username> --reset
  1. Exécutez la commande superutilisateur. Vous disposez de trois options :
    • Exécutez la sudo <commande>.
    • Exécutez su et indiquez le mot de passe racine.
    • Exécutez sudo su et indiquez votre mot de passe utilisateur.
    Vous pouvez ajouter davantage de comptes utilisateur au fichier /etc/sudoers , selon le besoin.
  2. Accédez au répertoire /opt/rsa/AqueductSTIG/  et exécutez le script de renforcement STIG :
    ./Aqueduct-STIG.sh

Attention : Après avoir exécuté le script de renforcement STIG, vous devez modifier tous les mots de passe du système, y compris le mot de passe racine, à l'aide des informations d'identification de superutilisateur. STIG applique également l'algorithme SHA512 à tous les mots de passe. Cela signifie que lorsque vous modifiez tous les mots de passe, ils doivent être conformes STIG et conformes aux exigences de mots de passe complexes STIG.

Le script vous invite à modifier le mot de passe nwadmin. 

  1. Saisissez un nouveau mot de passe.
  2. Modifiez tous les mots de passe du système, y compris le mot de passe racine, à l'aide des informations d'identification de superutilisateur :
    1. Connectez-vous à l'hôte avec les informations d'identification racine.
    2. Modifiez tous les mots de passe du système.
  3. Redémarrez l'hôte.

(Facultatif) Tâche à appliquer post-STIG - Si vous utilisez Malware Analysis, mettez à jour le paramètre SELinux

Si vous utilisez Security Analytics Malware Analysis, vous devez permettre à ce dernier de communiquer avec d'autres services Security Analytics.  Pour cela, mettez à jour le paramètre SELINUX dans le fichier /etc/selinux/config en indiquant la valeur suivante.

SELINUX=disabled

You are here
Table of Contents > Guide du renforcement STIG DISA > Procédures > Configurer le renforcement STIG pour l'installation de la nouvelle version 10.6

Attachments

    Outcomes