システム メンテナンス:以前のバージョンから10.6に更新された場合のSTIG Hardeningの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

以前のバージョンから10.6に更新されたSecurity Analyticsホストを構成する方法について説明します。 

STIGスクリプトを実行する前に

STIG hardeningスクリプトを実行する前に、次の注意事項をお読みください。

注意:STIG hardeningスクリプトを実行した後は、元の状態に戻すことができません。元の状態に戻すには、ホストのビルド スティックを使用して再初期化を行います。ホストを再初期化すると、すべてのデータが消去されます。ビルド スティックを使用したホストの再初期化の手順については、RSAまでお問い合わせください。

開始する前に

STIGに必要なCENTOSコンポーネントとともにSTIG rpmがインストールされていることを確認します。

  1. ホストにSSHでログインし、次のコマンドを送信して、STIG rpmがインストールされていることを確認します。
    rpm -qa | grep aqueduct-stig
    次の出力が表示された場合は、STIG rpmがインストールされています。ステップ2を実行する必要はありません。
    aqueduct-stig-10.6.0.0.xxxx-x.el6.noarch

  2. STIGrpmがインストールされていない(つまりステップ1で何も出力されない)場合は、次のコマンドを使用して10.6.0.0 STIG rpmをインストールしてください。
    yum install aqueduct-stig -y

STIG hardening スクリプトの適用

次の手順を実行して、以前のバージョンから10.6.0に更新されたホストにSTIG hardeningを適用します。

  1. 一般ユーザー アカウントを使用して、ホストにログオンします。 

注意:STIGでは、スーパーユーザーを使用したホストへのSSHアクセスがブロックされます。このため、一般ユーザー アカウントを使用してログオンする必要があります。STIGスクリプト(Aqueduct-STIG.sh)を実行すると、nwadmin アカウントが作成されます。このアカウントのパスワードは長さが14文字以上であり、数字、英字、少なくとも1文字の特殊文字を含む必要があります。rootのパスワードも含め、パスワードは90日ごとに変更する必要があります。パスワードの期限が切れるとロックアウトされます。完全にロックアウトされた場合は、rootのパスワードを使用して、シングル ユーザー モードでホストにアクセスする必要があります。

さらに、スクリプトによってnwadmin アカウントが/etc/sudoersファイルに追加されます。

  1. アカウントのロックを確認します。
    pam_tally2 --user=<username>
  2. 必要に応じてアカウントのロックを解除します。
    pam_tally2 --user=<username> --reset
  1. スーパーユーザー コマンドを実行します。3つのオプションが用意されています。
    • sudo <コマンド>を実行する。
    • suを実行し、rootパスワードを入力する。
    • sudo suを実行し、ユーザー パスワードを入力する。
    必要に応じて、/etc/sudoers ファイルにユーザー アカウントを追加できます。
  2. /opt/rsa/AqueductSTIG/ ディレクトリに移動して、STIG hardeningスクリプトを実行します。
    ./Aqueduct-STIG.sh

注意:STIGhardeningスクリプトを実行した後、スーパーユーザー アカウントを使用して、rootパスワードを含めて、システム上のすべてのパスワードを変更する必要があります。またSTIGによって、すべてのパスワードにSHA512アルゴリズムが適用されます。パスワードを変更する場合には、STIGに準拠し、STIGのパスワード要件に従う必要があります。

スクリプトによって、nwadminパスワードの変更を求められます。 

  1. 新しいパスワードを入力します。
  2. スーパーユーザーのアカウントを使用して、root パスワードを含めて、システム上のすべてのパスワードを変更します。
    1. rootの認証情報を使用してホストにログオンします。
    2. システムのすべてのパスワードを変更します。
  3. ホストをリブートします。

(必要に応じて実施)STIG適用後のタスク - Malware Analysisを使用する場合、SELinuxパラメーターを更新する

Security Analytics Malware Analysisを使用する場合には、Malware Analysisが他のSecurity Analyticsサービスと通信できるようにする必要があります。 それには、/etc/selinux/configファイル内のSELINUX パラメーターを次の値に更新します。

SELINUX=disabled

Previous Topic:手順
You are here
Table of Contents > DISA STIG Hardeningガイド > 手順 > 以前のバージョンから10.6に更新された場合のSTIG Hardeningの構成

Attachments

    Outcomes