projects / ossec-hids.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
new upstream release (3.3.0); modify package compatibility for Stretch
[ossec-hids.git] / debian / ossec-hids / var / ossec / etc / shared / cis_debianlinux7-8_L2_rcl.txt
1 # OSSEC Linux Audit - (C) 2018
2 #
3 # Released under the same license as OSSEC.
4 # More details at the LICENSE file included with OSSEC or online
5 # at: https://github.com/ossec/ossec-hids/blob/master/LICENSE
6 #
7 # [Application name] [any or all] [reference]
8 # type:<entry name>;
9 #
10 # Type can be:
11 #             - f (for file or directory)
12 #             - r (registry entry)
13 #             - p (process running)
14 #
15 # Additional values:
16 # For the registry and for directories, use "->" to look for a specific entry and another
17 # "->" to look for the value.
18 # Also, use " -> r:^\. -> ..." to search all files in a directory
19 # For files, use "->" to look for a specific value in the file.
20 #
21 # Values can be preceeded by: =: (for equal) - default
22 #                             r: (for ossec regexes)
23 #                             >: (for strcmp greater)
24 #                             <: (for strcmp  lower)
25 # Multiple patterns can be specified by using " && " between them.
26 # (All of them must match for it to return true).
27
28 # Level 2 CIS Checks for Debian Linux 7 and Debian Linux 8 
29 # Based on Center for Internet Security Benchmark v1.0.0 for Debian Linux 7 (https://workbench.cisecurity.org/benchmarks/80) and Benchmark v1.0.0 for Debian Linux 8 (https://workbench.cisecurity.org/benchmarks/81)
30 #
31 #
32 $rc_dirfiles=/etc/rc0.d/*,/etc/rc1.d/*,/etc/rc2.d/*,/etc/rc3.d/*,/etc/rc4.d/*,/etc/rc5.d/*,/etc/rc6.d/*,/etc/rc7.d/*,/etc/rc8.d/*,/etc/rc9.d/*,/etc/rca.d/*,/etc/rcb.d/*,/etc/rcc.d/*,/etc/rcs.d/*,/etc/rcS.d/*;
33 #
34 #
35 #2.18 Disable Mounting of cramfs Filesystems
36 [CIS - Debian Linux 7/8 - 2.18 Disable Mounting of cramfs Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
37 f:!/etc/modprobe.d/CIS.conf;
38 f:/etc/modprobe.d/CIS.conf -> !r:^install cramfs /bin/true;
39 #
40 #
41 #2.19 Disable Mounting of freevxfs Filesystems
42 [CIS - Debian Linux 7/8 - 2.19 Disable Mounting of freevxfs Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
43 f:!/etc/modprobe.d/CIS.conf;
44 f:/etc/modprobe.d/CIS.conf -> !r:^install freevxfs /bin/true;
45 #
46 #
47 #2.20 Disable Mounting of jffs2 Filesystems
48 [CIS - Debian Linux 7/8 - 2.20 Disable Mounting of jffs2 Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
49 f:!/etc/modprobe.d/CIS.conf;
50 f:/etc/modprobe.d/CIS.conf -> !r:^install jffs2 /bin/true;
51 #
52 #
53 #2.21 Disable Mounting of hfs Filesystems
54 [CIS - Debian Linux 7/8 - 2.21 Disable Mounting of hfs Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
55 f:!/etc/modprobe.d/CIS.conf;
56 f:/etc/modprobe.d/CIS.conf -> !r:^install hfs /bin/true;
57 #
58 #
59 #2.22 Disable Mounting of hfsplus Filesystems
60 [CIS - Debian Linux 7/8 - 2.22 Disable Mounting of hfsplus Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
61 f:!/etc/modprobe.d/CIS.conf;
62 f:/etc/modprobe.d/CIS.conf -> !r:^install hfsplus /bin/true;
63 #
64 #
65 #2.23 Disable Mounting of squashfs Filesystems
66 [CIS - Debian Linux 7/8 - 2.23 Disable Mounting of squashfs Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
67 f:!/etc/modprobe.d/CIS.conf;
68 f:/etc/modprobe.d/CIS.conf -> !r:^install squashfs /bin/true;
69 #
70 #
71 #2.24 Disable Mounting of udf Filesystems
72 [CIS - Debian Linux 7/8 - 2.24 Disable Mounting of udf Filesystems] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
73 f:!/etc/modprobe.d/CIS.conf;
74 f:/etc/modprobe.d/CIS.conf -> !r:^install udf /bin/true;
75 #
76 #
77 #4.5 Activate AppArmor
78 [CIS - Debian Linux 7/8 - 4.5 Activate AppArmor] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
79 f:/etc/default/grub -> !r:apparmor=1 && !r:security=apparmor;
80 #
81 #
82 #8.1.1.1 Configure Audit Log Storage Size
83 [CIS - Debian Linux 7/8 - 8.1.1.1 Configure Audit Log Storage Size] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
84 f:!/etc/audit;
85 f:!/etc/audit/auditd.conf;
86 f:/etc/audit/auditd.conf -> !r:max_log_file\s*=\s*\d+;
87 #
88 #
89 #8.1.1.2 Disable System on Audit Log Full
90 [CIS - Debian Linux 7/8 - 8.1.1.2 Disable System on Audit Log Full] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
91 f:!/etc/audit;
92 f:!/etc/audit/auditd.conf;
93 f:/etc/audit/auditd.conf -> !r:^space_left_action\s*=\s*email;
94 f:/etc/audit/auditd.conf -> !r:^# && r:space_left_action\s*=\s*ignore|syslog|suspend|single|halt;
95 f:/etc/audit/auditd.conf -> !r:^action_mail_acct\s*=\s*root;
96 f:/etc/audit/auditd.conf -> !r:^admin_space_left_action\s*=\s*halt;
97 f:/etc/audit/auditd.conf -> !r:^# && r:admin_space_left_action\s*=\s*ignore|syslog|email|suspend|single;
98 #
99 #
100 #8.1.1.3 Keep All Auditing Information
101 [CIS - Debian Linux 7/8 - 8.1.1.3 Keep All Auditing Information] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
102 f:!/etc/audit;
103 f:!/etc/audit/auditd.conf;
104 f:/etc/audit/auditd.conf -> !r:^max_log_file_action\s*=\s*keep_logs;
105 f:/etc/audit/auditd.conf -> !r:^# && r:max_log_file_action\s*=\s*ignore|syslog|suspend|rotate;
106 #
107 #
108 #8.1.3 Enable Auditing for Processes That Start Prior to auditd
109 [CIS - Debian Linux 7/8 - 8.1.3 Enable Auditing for Processes That Start Prior to auditd] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
110 f:/etc/default/grub -> !r:^GRUB_CMDLINE_LINUX\s*=\s*\.*audit\s*=\s*1\.*;
111 #
112 #
113 #8.1.4 Record Events That Modify Date and Time Information
114 [CIS - Debian Linux 7 - 8.1.4 Record Events That Modify Date and Time Information] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
115 f:!/etc/audit;
116 f:!/etc/audit/audit.rules;
117 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change;
118 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S clock_settime -k time-change;
119 f:/etc/audit/audit.rules -> !r:^-w /etc/localtime -p wa -k time-change;
120 #
121 #
122 #8.1.5 Record Events That Modify User/Group Information
123 [CIS - Debian Linux 7/8 - 8.1.5 Record Events That Modify User/Group Information] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
124 f:!/etc/audit;
125 f:!/etc/audit/audit.rules;
126 f:/etc/audit/audit.rules -> !r:^-w /etc/group -p wa -k identity;
127 f:/etc/audit/audit.rules -> !r:^-w /etc/passwd -p wa -k identity;
128 f:/etc/audit/audit.rules -> !r:^-w /etc/gshadow -p wa -k identity;
129 f:/etc/audit/audit.rules -> !r:^-w /etc/shadow -p wa -k identity;
130 f:/etc/audit/audit.rules -> !r:^-w /etc/security/opasswd -p wa -k identity;
131 #
132 #
133 #8.1.6 Record Events That Modify the System's Network Environment
134 [CIS - Debian Linux 7/8 - 8.1.6 Record Events That Modify the System's Network Environment] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
135 f:!/etc/audit;
136 f:!/etc/audit/audit.rules;
137 f:/etc/audit/audit.rules -> !r:^-a exit,always -F arch=b32 -S sethostname -S setdomainname -k system-locale;
138 f:/etc/audit/audit.rules -> !r:^-w /etc/issue -p wa -k system-locale;
139 f:/etc/audit/audit.rules -> !r:^-w /etc/issue.net -p wa -k system-locale;
140 f:/etc/audit/audit.rules -> !r:^-w /etc/hosts -p wa -k system-locale;
141 f:/etc/audit/audit.rules -> !r:^-w /etc/network -p wa -k system-locale;
142 #
143 #
144 #8.1.7 Record Events That Modify the System's Mandatory Access Controls
145 [CIS - Debian Linux 7/8 - 8.1.7 Record Events That Modify the System's Mandatory Access Controls] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
146 f:!/etc/audit;
147 f:!/etc/audit/audit.rules;
148 f:/etc/audit/audit.rules -> !r:^-w /etc/selinux/ -p wa -k MAC-policy;
149 #
150 #
151 #8.1.8 Collect Login and Logout Events
152 [CIS - Debian Linux 7/8 - 8.1.8 Collect Login and Logout Events] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
153 f:!/etc/audit;
154 f:!/etc/audit/audit.rules;
155 f:/etc/audit/audit.rules -> !r:^-w /var/log/faillog -p wa -k logins;
156 f:/etc/audit/audit.rules -> !r:^-w /var/log/lastlog -p wa -k logins;
157 f:/etc/audit/audit.rules -> !r:^-w /var/log/tallylog -p wa -k logins;
158 #
159 #
160 #8.1.9 Collect Session Initiation Information
161 [CIS - Debian Linux 7/8 - 8.1.9 Collect Session Initiation Information] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
162 f:!/etc/audit;
163 f:!/etc/audit/audit.rules;
164 f:/etc/audit/audit.rules -> !r:^-w /var/run/utmp -p wa -k session;
165 f:/etc/audit/audit.rules -> !r:^-w /var/log/wtmp -p wa -k session;
166 f:/etc/audit/audit.rules -> !r:^-w /var/log/btmp -p wa -k session;
167 #
168 #
169 #8.1.10 Collect Discretionary Access Control Permission Modification Events
170 [CIS - Debian Linux 7/8 - 8.1.10 Collect Discretionary Access Control Permission Modification Events] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
171 f:!/etc/audit;
172 f:!/etc/audit/audit.rules;
173 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=1000 \\;
174 f:/etc/audit/audit.rules -> !r:^-F auid!=4294967295 -k perm_mod;
175 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 \\;
176 f:/etc/audit/audit.rules -> !r:^-F auid!=4294967295 -k perm_mod;
177 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S \\;
178 f:/etc/audit/audit.rules -> !r:^lremovexattr -S fremovexattr -F auid>=1000 -F auid!=4294967295 -k perm_mod;
179 #
180 #
181 #8.1.11 Collect Unsuccessful Unauthorized Access Attempts to Files
182 [CIS - Debian Linux 7/8 - 8.1.11 Collect Unsuccessful Unauthorized Access Attempts to Files] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
183 f:!/etc/audit;
184 f:!/etc/audit/audit.rules;
185 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate \\;
186 f:/etc/audit/audit.rules -> !r:^-F exit=-EACCES -F auid>=1000 -F auid!=4294967295 -k access;
187 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate \\;
188 f:/etc/audit/audit.rules -> !r:^-F exit=-EPERM -F auid>=1000 -F auid!=4294967295 -k access;
189 #
190 #
191 #8.1.13 Collect Successful File System Mounts
192 [CIS - Debian Linux 7/8 - 8.1.13 Collect Successful File System Mounts] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
193 f:!/etc/audit;
194 f:!/etc/audit/audit.rules;
195 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S mount -F auid>=1000 -F auid!=4294967295 -k mounts;
196 #
197 #
198 #8.1.14 Collect File Deletion Events by User
199 [CIS - Debian Linux 7/8 - 8.1.14 Collect File Deletion Events by User] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
200 f:!/etc/audit;
201 f:!/etc/audit/audit.rules;
202 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 \\;
203 f:/etc/audit/audit.rules -> !r:^-F auid!=4294967295 -k delete;
204 #
205 #
206 #8.1.15 Collect Changes to System Administration Scope (sudoers)
207 [CIS - Debian Linux 7/8 - 8.1.15 Collect Changes to System Administration Scope (sudoers)] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
208 f:!/etc/audit;
209 f:!/etc/audit/audit.rules;
210 f:/etc/audit/audit.rules -> !r:^-w /etc/sudoers -p wa -k scope;
211 #
212 #
213 #8.1.16 Collect System Administrator Actions (sudolog)
214 [CIS - Debian Linux 7/8 - 8.1.16 Collect System Administrator Actions (sudolog)] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
215 f:!/etc/audit;
216 f:!/etc/audit/audit.rules;
217 f:/etc/audit/audit.rules -> !r:^-w /var/log/sudo.log -p wa -k actions;
218 #
219 #
220 #8.1.17 Collect Kernel Module Loading and Unloading
221 [CIS - Debian Linux 7/8 - 8.1.17 Collect Kernel Module Loading and Unloading] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
222 f:!/etc/audit;
223 f:!/etc/audit/audit.rules;
224 f:/etc/audit/audit.rules -> !r:^-w /sbin/insmod -p x -k modules;
225 f:/etc/audit/audit.rules -> !r:^-w /sbin/rmmod -p x -k modules;
226 f:/etc/audit/audit.rules -> !r:^-w /sbin/modprobe -p x -k modules;
227 f:/etc/audit/audit.rules -> !r:^-a always,exit -F arch=b32 -S init_module -S delete_module -k modules|-a always,exit -F arch=b64 -S init_module -S delete_module -k modules;
228 #
229 #
230 #8.1.18 Make the Audit Configuration Immutable
231 [CIS - Debian Linux 7/8 - 8.1.18 Make the Audit Configuration Immutable] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
232 f:!/etc/audit;
233 f:!/etc/audit/audit.rules;
234 f:/etc/audit/audit.rules -> !r:^-e 2$;
235 #
236 #
237 #8.3.1 Install AIDE
238 [CIS - Debian Linux 7/8 - 8.3.1 Install AIDE] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
239 f:!/usr/sbin/aideinit;
240 #
241 #
242 #8.3.2 Implement Periodic Execution of File Integrity
243 [CIS - Debian Linux 7/8 - 8.3.2 Implement Periodic Execution of File Integrity] [any] [https://workbench.cisecurity.org/benchmarks/80, https://workbench.cisecurity.org/benchmarks/81]
244 f:/etc/crontab -> !r:/usr/sbin/aide --check;
245 #
ossec-hids