Mantenimiento del sistema: Configurar el reforzamiento STIG para instalación nueva de 10.6

Document created by RSA Information Design and Development on Mar 2, 2017
Version 1Show Document
  • View in full screen mode
  

Estas instrucciones describen cómo configurar hosts en las nuevas instalaciones de Security Analytics 10.6. 

Lea antes de ejecutar el script de STIG

Lea la siguiente precaución antes de ejecutar el script de reforzamiento STIG.

Precaución: Después de ejecutar el script de reforzamiento STIG, no podrá volver a un estado no reforzado sin compilar el host desde una unidad. Si desea realizar una reversión, debe volver a crear una imagen del host, lo cual implica perder todos los datos. Póngase en contacto con el servicio al cliente para obtener instrucciones sobre cómo compilar el host desde una unidad.

Aplicar el script de reforzamiento STIG

Complete el siguiente procedimiento para aplicar reforzamiento STIG a un nuevo host:

  1. Inicie sesión en el host con una cuenta de usuario común. 

Precaución: STIG bloquea el acceso de superusuario a un host a través del protocolo SSH. Debe iniciar sesión con una cuenta de usuario normal. El script de STIG (Aqueduct-STIG.sh) crea la cuenta nwadmin si lo ejecuta e inició sesión con la contraseña raíz. La contraseña de esta cuenta debe tener al menos catorce caracteres e incluir números, letras y al menos un carácter especial. Debe cambiar las contraseñas, incluida la raíz, cada 90 días para evitar su vencimiento y bloqueo. Si está totalmente bloqueado, necesitará la contraseña raíz para acceder al host en el modo de usuario único.

Además, el script agrega la cuenta nwadmin al archivo /etc/sudoers.

  1. Compruebe si hay bloqueos en la cuenta:
    pam_tally2 --user=<username>
  2. Desbloquee la cuenta, si es necesario:
    pam_tally2 --user=<username> --reset
  1. Ejecute el comando superuser. Tiene tres opciones:
    • Ejecute sudo <command>.
    • Ejecute su y escriba la contraseña raíz.
    • Ejecute sudo su y escriba su contraseña de usuario.
    Puede agregar más cuentas de usuario al archivo /etc/sudoers según sea necesario.
  2. Vaya al directorio /opt/rsa/AqueductSTIG/ y ejecute el script de reforzamiento STIG:
    ./Aqueduct-STIG.sh

Precaución: Después de ejecutar el script de reforzamiento STIG, debe cambiar todas las contraseñas del sistema, incluida la contraseña raíz, mediante las credenciales de superusuario. STIG también aplica el algoritmo SHA512 a todas las contraseñas. Esto significa que, cuando cambia todas las contraseñas, estas deben cumplir con las normas de STIG y ajustarse a los requisitos de contraseñas complejas de STIG.

El script solicita cambiar la contraseña de nwadmin. 

  1. Ingrese una nueva contraseña.
  2. Cambie todas las contraseñas del sistema, incluida la contraseña raíz, mediante las credenciales de superusuario:
    1. Inicie sesión en el host con las credenciales raíz.
    2. Cambie todas las contraseñas del sistema.
  3. Reinicie el host.

(Condicional) Tarea posterior a la aplicación de STIG: Si usa Malware Analysis, actualice el parámetro SELinux

Si usa Security Analytics Malware Analysis, debe habilitar la comunicación de Malware Analysis con otros servicios de Security Analytics.  Para hacerlo, actualice el parámetro SELINUX en el archivo /etc/selinux/config al siguiente valor.

SELINUX=disabled

You are here
Table of Contents > DISA STIG Hardening Guide > Procedures > Configure STIG Hardening for New 10.6 Installation

Attachments

    Outcomes