Mantenimiento del sistema: Configurar el reforzamiento STIG para 10.6 actualizado desde una versión anterior

Document created by RSA Information Design and Development on Mar 2, 2017
Version 1Show Document
  • View in full screen mode
  

Estas instrucciones describen cómo configurar los hosts de Security Analytics que se actualizaron a la versión 10.6 desde una anterior. 

Lea antes de ejecutar el script de STIG

Lea la siguiente precaución antes de ejecutar el script de reforzamiento STIG.

Precaución: Después de ejecutar el script de reforzamiento STIG, no podrá volver a un estado no reforzado sin compilar el host desde una unidad. Si desea realizar una reversión, debe volver a crear una imagen del host, lo cual implica perder todos los datos. Póngase en contacto con el servicio al cliente para obtener instrucciones sobre cómo compilar el host desde una unidad.

Requisito previo

Asegúrese de que el rpm de STIG esté instalado con los componentes de CENTOS requeridos para STIG.

  1. Obtenga acceso al host mediante el protocolo SSH y ejecute la siguiente cadena de comandos para asegurarse de que el rpm de STIG esté instalado.
    rpm -qa | grep aqueduct-stig
    Si recibe la siguiente salida, el rpm de STIG está instalado y no es necesario completar el paso 2.
    aqueduct-stig-10.6.0.0.xxxx-x.el6.noarch

  2. Si el rpm de STIG no está instalado (es decir, no se muestra ninguna salida en el paso 1), use la siguiente cadena de comandos para instalar el rpm de STIG 10.6.0.0.
    yum install aqueduct-stig -y

Aplicar el script de reforzamiento STIG

Complete el siguiente procedimiento para aplicar el reforzamiento STIG a un host que se actualizó a 10.6.0 desde una versión anterior:

  1. Inicie sesión en el host con una cuenta de usuario común. 

Precaución: STIG bloquea el acceso de superusuario a un host a través del protocolo SSH. Debe iniciar sesión con una cuenta de usuario normal. El script de STIG (Aqueduct-STIG.sh) crea la cuenta nwadmin si lo ejecuta e inició sesión con la contraseña raíz. La contraseña de esta cuenta debe tener al menos catorce caracteres e incluir números, letras y al menos un carácter especial. Debe cambiar las contraseñas, incluida la raíz, cada 90 días para evitar su vencimiento y bloqueo. Si está totalmente bloqueado, necesitará la contraseña raíz para acceder al host en el modo de usuario único.

Además, el script agrega la cuenta nwadmin al archivo /etc/sudoers.

  1. Compruebe si hay bloqueos en la cuenta:
    pam_tally2 --user=<username>
  2. Desbloquee la cuenta, si es necesario:
    pam_tally2 --user=<username> --reset
  1. Ejecute el comando superuser. Tiene tres opciones:
    • Ejecute sudo <command>.
    • Ejecute su y escriba la contraseña raíz.
    • Ejecute sudo su y escriba su contraseña de usuario.
    Puede agregar más cuentas de usuario al archivo /etc/sudoers según sea necesario.
  2. Vaya al directorio /opt/rsa/AqueductSTIG/ y ejecute el script de reforzamiento STIG:
    ./Aqueduct-STIG.sh

Precaución: Después de ejecutar el script de reforzamiento STIG, debe cambiar todas las contraseñas del sistema, incluida la contraseña raíz, mediante las credenciales de superusuario. STIG también aplica el algoritmo SHA512 a todas las contraseñas. Esto significa que, cuando cambia todas las contraseñas, estas deben cumplir con las normas de STIG y ajustarse a los requisitos de contraseñas complejas de STIG.

El script solicita cambiar la contraseña de nwadmin. 

  1. Ingrese una nueva contraseña.
  2. Cambie todas las contraseñas del sistema, incluida la contraseña raíz, mediante las credenciales de superusuario:
    1. Inicie sesión en el host con las credenciales raíz.
    2. Cambie todas las contraseñas del sistema.
  3. Reinicie el host.

(Condicional) Tarea posterior a la aplicación de STIG: Si usa Malware Analysis, actualice el parámetro SELinux

Si usa Security Analytics Malware Analysis, debe habilitar la comunicación de Malware Analysis con otros servicios de Security Analytics.  Para hacerlo, actualice el parámetro SELINUX en el archivo /etc/selinux/config al siguiente valor.

SELINUX=disabled

Previous Topic:Procedures
You are here
Table of Contents > DISA STIG Hardening Guide > Procedures > Configure STIG Hardening for 10.6 Updated from Earlier Version

Attachments

    Outcomes