Pemberitahuan akhir dukungan: Pada 20 Mei 2026, AWS akan mengakhiri dukungan untuk Amazon Inspector Classic. Setelah 20 Mei 2026, Anda tidak akan lagi dapat mengakses konsol Amazon Inspector Classic atau sumber daya Amazon Inspector Classic. Amazon Inspector Classic tidak lagi tersedia untuk akun dan akun baru yang belum menyelesaikan penilaian dalam 6 bulan terakhir. Untuk semua akun lain, akses akan tetap berlaku hingga 20 Mei 2026, setelah itu Anda tidak lagi dapat mengakses konsol Amazon Inspector Classic atau sumber daya Amazon Inspector Classic. Untuk informasi selengkapnya, lihat [bagian akhir dukungan Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html). Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Amazon Inspector Classic mengatur paket dan aturan Anda dapat menggunakan Amazon Inspector Classic untuk menilai target penilaian Anda (kumpulan sumber daya AWS) untuk potensi masalah keamanan dan kerentanan. *Amazon Inspector Classic membandingkan perilaku dan konfigurasi keamanan target penilaian dengan paket aturan keamanan yang dipilih.* Dalam konteks Amazon Inspector Classic, *aturannya* adalah pemeriksaan keamanan yang dilakukan Amazon Inspector Classic selama penilaian dijalankan. Di Amazon Inspector Classic, aturan dikelompokkan ke dalam *paket aturan* yang berbeda baik berdasarkan kategori, tingkat keparahan, atau harga. Hal ini memberi Anda pilihan untuk jenis analisis yang dapat Anda lakukan. Misalnya, Amazon Inspector Classic menawarkan sejumlah besar aturan yang dapat Anda gunakan untuk menilai aplikasi Anda. Akan tetapi, Anda mungkin ingin menyertakan subset yang lebih kecil dari aturan yang tersedia untuk menargetkan area tertentu yang menjadi perhatian atau untuk menemukan masalah keamanan tertentu. Perusahaan dengan departemen IT besar mungkin ingin menentukan apakah aplikasi mereka terekspos ancaman keamanan. Perusahaan lain mungkin ingin fokus hanya pada masalah dengan tingkat kepelikan **Tinggi**. + [Tingkat keparahan untuk aturan di Amazon Inspector Classic](#SeverityLevels) + [Aturan paket di Amazon Inspector Classic](#InspectorRulePackages) ## Tingkat keparahan untuk aturan di Amazon Inspector Classic Setiap aturan Amazon Inspector Classic memiliki tingkat keparahan yang ditetapkan. Hal ini mengurangi kebutuhan untuk memprioritaskan satu aturan di atas aturan lain dalam analisis Anda. Hal ini juga dapat membantu Anda menentukan respons Anda ketika aturan menyoroti potensi masalah. Semua tingkat **Tinggi**, **Medium**, dan **Rendah** menunjukkan masalah keamanan yang dapat mengakibatkan pembobolan kerahasiaan, integritas, dan ketersediaan informasi dalam target penilaian Anda. Tingkat ini dibedakan oleh seberapa besar kemungkinan masalah ini menyebabkan pembobolan dan seberapa mendesak untuk memperbaiki masalah ini. Tingkat **Informasi** hanya menyoroti detail konfigurasi keamanan target penilaian Anda. Berikut adalah cara yang disarankan untuk merespons masalah berdasarkan tingkat kepelikannya: + **Tinggi** – Masalah dengan tingkat kepelikan tinggi bersifat sangat mendesak. Amazon Inspector Classic merekomendasikan agar Anda memperlakukan masalah keamanan ini sebagai keadaan darurat dan segera menerapkan perbaikan. + **Medium** – Masalah dengan tingkat kepelikan medium bersifat agak mendesak. Amazon Inspector Classic merekomendasikan agar Anda memperbaiki masalah ini pada kesempatan berikutnya, misalnya, selama pembaruan layanan berikutnya. + **Rendah** – Masalah dengan tingkat kepelikan rendah bersifat kurang mendesak. Amazon Inspector Classic merekomendasikan agar Anda memperbaiki masalah ini sebagai bagian dari salah satu pembaruan layanan future Anda. + **Informasi** – Masalah ini murni bersifat informatif. Berdasarkan tujuan bisnis dan organisasi Anda, Anda dapat dengan mudah membuat catatan informasi ini atau menggunakannya untuk meningkatkan keamanan target penilaian Anda. ## Aturan paket di Amazon Inspector Classic Penilaian Amazon Inspector dapat menggunakan kombinasi dari paket aturan berikut: **Penilaian jaringan:** + [Keterjangkauan Jaringan](inspector_network-reachability.md) **Penilaian tuan rumah:** + [Kelemahan dan eksposur umum](inspector_cves.md) + [Patokan Pusat Keamanan Internet (CIS)](inspector_cis.md) + [Praktik terbaik keamanan untuk Amazon Inspector Classic](inspector_security-best-practices.md) # Keterjangkauan Jaringan Aturan dalam paket Keterjangkauan Jaringan menganalisis konfigurasi jaringan Anda untuk menemukan kelemahan keamanan instans EC2 Anda. Temuan yang dihasilkan Amazon Inspector juga memberikan panduan tentang membatasi akses yang tidak aman. Paket aturan Network Reachability menggunakan teknologi terbaru dari inisiatif AWS [Provable](https://aws.amazon.com/security/provable-security/) Security. Temuan yang dihasilkan oleh aturan ini menunjukkan apakah port Anda dapat dijangkau dari internet melalui gateway internet (termasuk instans di balik Application Load Balancer atau Classic Load Balancer), koneksi peering VPC, atau VPN melalui gateway virtual. Temuan ini juga menyoroti konfigurasi jaringan yang memungkinkan akses yang berpotensi berbahaya, seperti grup keamanan yang salah kelola, ACLs IGWs, dan sebagainya. Aturan-aturan ini membantu mengotomatiskan pemantauan jaringan AWS Anda dan mengidentifikasi di mana akses jaringan ke instans EC2 Anda mungkin salah dikonfigurasi. Dengan menyertakan paket ini dalam proses penilaian Anda, Anda dapat menerapkan pemeriksaan keamanan jaringan terperinci tanpa harus menginstal pemindai dan mengirim paket, yang rumit dan mahal untuk dirawat, terutama di seluruh koneksi peering VPC dan. VPNs **penting** Agen Amazon Inspector Classic tidak diharuskan untuk menilai instans EC2 Anda dengan paket aturan ini. Namun, agen yang diinstal dapat memberikan informasi tentang adanya proses yang didengarkan pada port. Jangan menginstal agen pada sistem operasi yang tidak didukung Amazon Inspector Classic. Jika agen hadir pada instans yang menjalankan sistem operasi yang tidak didukung, paket aturan Keterjangkauan Jaringan tidak akan bekerja pada instans tersebut. Untuk informasi selengkapnya, lihat [Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung](inspector_rule-packages_across_os.md). ## Konfigurasi yang dianalisis Aturan Keterjangkauan Jaringan menganalisis konfigurasi entitas berikut untuk kelemahan: + [Instans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) + [Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html#alb) + [Connect Langsung](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) + [Penyeimbang Beban Elastis](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/load-balancer-types.html) + [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) + [Gateway Internet () IGWs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) + [Daftar Kontrol Akses Jaringan (ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) + [Tabel Rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) + [Grup Keamanan (SGs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) + [Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [Awan Pribadi Virtual (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html) + [Gateway Pribadi Virtual () VGWs](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg) + [Koneksi peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ## Rute keterjangkauan Aturan Keterjangkauan Jaringan memeriksa rute keterjangkauan berikut, yang sesuai dengan cara di mana port Anda dapat diakses dari luar VPC Anda: + **`Internet`** - Gateway Internet (termasuk Application Load Balancer dan Classic Load Balancer) + **`PeeredVPC`** - Koneksi peering VPC + **`VGW`** - Virtual private gateway ## Jenis temuan Penilaian yang mencakup paket aturan Keterjangkauan Jaringan dapat mengembalikan jenis temuan berikut untuk setiap rute keterjangkauan: + [`RecognizedPort`](#inspector_network-reachability-types-1) + [`UnrecognizedPortWithListener`](#inspector_network-reachability-types-2) + [`NetworkExposure`](#inspector_network-reachability-types-3) ### `RecognizedPort` Port yang biasanya digunakan untuk layanan yang dikenal dapat dicapai. Jika agen terdapat pada instans EC2 target, temuan yang dihasilkan juga akan menunjukkan apakah ada proses mendengarkan aktif pada port. Temuan jenis ini diberi tingkat kepelikan berdasarkan dampak keamanan dari layanan yang dikenal: + **`RecognizedPortWithListener`** – Sebuah port yang dikenal secara eksternal dapat dijangkau dari internet publik melalui komponen jaringan tertentu, dan proses mendengarkan pada port. + **`RecognizedPortNoListener`** – Sebuah port dapat dijangkau secara eksternal dari internet publik melalui komponen jaringan tertentu, dan tidak ada proses mendengarkan pada port. + **`RecognizedPortNoAgent`** – Sebuah port dapat dijangkau secara eksternal dari internet publik melalui komponen jaringan tertentu. Adanya proses mendengarkan pada port tidak dapat ditentukan tanpa menginstal agen pada instans target. Tabel berikut menunjukkan daftar port yang dikenal: | Layanan | Port TCP | Port UDP | | --- | --- | --- | | SMB | 445 | 445 | | NetBIOS | 137, 139 | 137, 138 | | LDAP | 389 | 389 | | LDAP melalui TLS | 636 | | | Katalog global LDAP | 3268 | | | Katalog global LDAP melalui TLS | 3269 | | | NFS | 111, 2049, 4045, 1110 | 111, 2049, 4045, 1110 | | Kerberos | 88, 464, 543, 544, 749, 751 | 88, 464, 749, 750, 751, 752 | | RPC | 111, 135, 530 | 111, 135, 530 | | WINS | 1512, 42 | 1512, 42 | | DHCP | 67, 68, 546, 547 | 67, 68, 546, 547 | | Syslog | 601 | 514 | | Layanan cetak | 515 | | | Telnet | 23 | 23 | | FTP | 21 | 21 | | SSH | 22 | 22 | | RDP | 3389 | 3389 | | MongoDB | 27017, 27018, 27019, 28017 | | | SQL Server | 1433 | 1434 | | MySQL | 3306 | | | PostgreSQL | 5432 | | | Oracle | 1521, 1630 | | | Elasticsearch | 9300, 9200 | | | HTTP | 80 | 80 | | HTTPS | 443 | 443 | ### `UnrecogizedPortWithListener` Port yang tidak tercantum dalam tabel sebelumnya bersifat dapat dijangkau dan memiliki proses mendengarkan aktif. Karena temuan jenis ini menunjukkan informasi tentang proses mendengarkan, mereka dapat dihasilkan hanya ketika agen Amazon Inspector diinstal pada instans EC2 target. Temuan jenis ini diberi kepelikan **Rendah**. ### `NetworkExposure` Temuan jenis ini menunjukkan informasi agregat pada port yang dapat dijangkau pada instans EC2 Anda. Untuk setiap kombinasi dari antarmuka jaringan elastis dan grup keamanan pada instans EC2, temuan ini menunjukkan set dapat dijangkau rentang TCP dan UDP port. Temuan jenis ini memiliki tingkat kepelikan **Informasi**. # Kelemahan dan eksposur umum Aturan dalam paket ini membantu memverifikasi apakah EC2 instance dalam target penilaian Anda terkena kerentanan dan eksposur umum (). CVEs Serangan dapat mengeksploitasi kelemahan yang tidak di-patch untuk membobol kerahasiaan, integritas, atau ketersediaan layanan atau data Anda. Sistem CVE menyediakan metode referensi untuk kelemahan dan eksposur keamanan informasi yang diketahui secara umum. Untuk informasi lebih lanjut, lihat [https://cve.mitre.org/](https://cve.mitre.org/). Jika CVE tertentu muncul dalam *temuan* yang dihasilkan oleh penilaian Amazon Inspector Classic, Anda dapat [mencari](https://cve.mitre.org/) https://cve.mitre.org/ untuk ID CVE (misalnya,). **CVE-2009-0021** Hasil pencarian dapat memberikan informasi detail tentang CVE ini, tingkat kepelikan, dan cara menguranginya. Untuk paket aturan Common Vulnerabilities & Exploits (CVE), Amazon Inspector telah memetakan level CVSS Base Scoring dan ALAS Severity yang disediakan: | | | **Keparahan Amazon Inspector** | **Skor Dasar CVSS** | **ALAS Keparahan (jika CVSS tidak mencetak gol)** | | --- |--- |--- | | Tinggi | >= 5 | Kritis atau Penting | | Sedang | < 5 and >= 2,1 | Sedang | | Rendah | < 2.1 and >= 0.8 | Rendah | | Informasi | < 0,8 | N/A | Aturan yang disertakan dalam paket ini membantu Anda menilai apakah EC2 instans Anda terpapar CVEs dalam daftar regional berikut: + [AS Timur (Virginia N.)](https://s3.us-east-1.amazonaws.com/rules-engine.us-east-1/CVEList.txt) + [AS Timur (Ohio)](https://s3.us-east-2.amazonaws.com/rules-engine.us-east-2/CVEList.txt) + [AS Barat (California N.)](https://s3.us-west-1.amazonaws.com/rules-engine.us-west-1/CVEList.txt) + [AS Barat (Oregon)](https://s3.us-west-2.amazonaws.com/rules-engine.us-west-2/CVEList.txt) + [UE (Irlandia)](https://s3.eu-west-1.amazonaws.com/rules-engine.eu-west-1/CVEList.txt) + [Uni Eropa (Frankfurt am Main)](https://s3.eu-central-1.amazonaws.com/rules-engine.eu-central-1/CVEList.txt) + [Uni Eropa (London)](https://s3.eu-west-2.amazonaws.com/rules-engine.eu-west-2/CVEList.txt) + [Uni Eropa (Stockholm)](https://s3.eu-north-1.amazonaws.com/rules-engine.eu-north-1/CVEList.txt) + [Asia Pasifik (Tokyo)](https://s3.ap-northeast-1.amazonaws.com/rules-engine.ap-northeast-1/CVEList.txt) + [Asia Pasifik (Seoul)](https://s3.ap-northeast-2.amazonaws.com/rules-engine.ap-northeast-2/CVEList.txt) + [Asia Pasifik (Mumbai)](https://s3.ap-south-1.amazonaws.com/rules-engine.ap-south-1/CVEList.txt) + [Asia Pasifik (Sydney)](https://s3.ap-southeast-2.amazonaws.com/rules-engine.ap-southeast-2/CVEList.txt) + [AWS GovCloud West (AS)](https://s3.us-gov-west-1.amazonaws.com/rules-engine.us-gov-west-1/CVEList.txt) + [AWS GovCloud Timur (AS)](https://s3.us-gov-east-1.amazonaws.com/rules-engine.us-gov-east-1/CVEList.txt) Paket aturan CVE diperbarui secara berkala; daftar ini mencakup CVEs yang disertakan dalam penilaian berjalan yang terjadi pada saat yang sama ketika daftar ini diambil. Lihat informasi yang lebih lengkap di [Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung](inspector_rule-packages_across_os.md). # Patokan Pusat Keamanan Internet (CIS) Program Tolok Ukur Keamanan CIS menyediakan praktik terbaik industri berbasis konsensus yang terdefinisi dengan baik, tidak bias, untuk membantu organisasi menilai dan meningkatkan keamanan mereka. AWS adalah perusahaan Anggota Tolok Ukur Keamanan CIS. Untuk daftar sertifikasi Amazon Inspector Classic, lihat [halaman Amazon Web Services di](https://benchmarks.cisecurity.org/membership/certified/amazon/) situs web CIS. Amazon Inspector Classic saat ini menyediakan paket aturan Bersertifikat CIS berikut untuk membantu menetapkan postur konfigurasi yang aman untuk sistem operasi berikut: **Amazon Linux** + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 1` + `CIS Benchmark for Amazon Linux 2 Benchmark v1.0.0 Level 2` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 1` + `CIS Benchmark for Amazon Linux Benchmark v2.1.0 Level 2` + `CIS Benchmark for Amazon Linux 2014.09-2015.03 v1.1.0 Level 1` **CentOS Linux** + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Server` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 7 Benchmark v2.2.0 Level 2 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 1 Workstation` + `CIS Benchmark for CentOS Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Perusahaan Topi Merah Linux** + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 7 Benchmark v2.1.1 Level 2 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 1 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Server` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2. Level 1 Workstation` + `CIS Benchmark for Red Hat Enterprise Linux 6 Benchmark v2.0.2 Level 2 Workstation` **Ubuntu** + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 18.04 LTS Benchmark v1.0.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 16.04 LTS Benchmark v1.1.0 Level 2 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Server` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 1 Workstation` + `CIS Benchmark for Ubuntu Linux 14.04 LTS Benchmark v2.0.0 Level 2 Workstation` **Windows** + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Member Server Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 1 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Level 2 Domain Controller Profile)` + `Windows Server 2016 (CIS Benchmark for Microsoft Windows 2016 RTM (Release 1607), v1.1.0, Next Generation Windows Security Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Domain Controller Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 1 Member Server Profile)` + `Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows 2012 R2, v2.2.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Member Server Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2012 (CIS Benchmark for Microsoft Windows 2012 non-R2, v2.0.0, Level 2 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Domain Controller Profile)` + `Windows Server 2008 R2 (CIS Benchmark for Microsoft Windows 2008 R2, v3.0.0, Level 1 Member Server Profile)` Jika tolok ukur CIS tertentu muncul dalam temuan yang dihasilkan oleh penilaian Amazon Inspector Classic, Anda dapat mengunduh deskripsi PDF terperinci dari tolok ukur [dari](https://benchmarks.cisecurity.org/) https://benchmarks.cisecurity.org/ (pendaftaran gratis diperlukan). Dokumen patokan menyediakan informasi detail tentang patokan CIS ini, tingkat kepelikan, dan cara menguranginya. Lihat informasi yang lebih lengkap di [Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung](inspector_rule-packages_across_os.md). # Praktik terbaik keamanan untuk Amazon Inspector Classic Gunakan aturan Amazon Inspector Classic untuk membantu menentukan apakah sistem Anda dikonfigurasi dengan aman. **penting** Saat ini, Anda dapat menyertakan dalam target penilaian instans EC2 yang menjalankan baik sistem operasi berbasis Linux ataupun berbasis Windows. Selama menjalankan penilaian, aturan yang dijelaskan dalam bagian ini menghasilkan temuan **hanya** untuk instans EC2 yang menjalankan sistem operasi berbasis Linux. Aturan tidak menghasilkan temuan untuk instans EC2 yang menjalankan sistem operasi berbasis Windows. Untuk informasi selengkapnya, lihat [Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung](inspector_rule-packages_across_os.md). **Topics** + [Menonaktifkan login root melalui SSH](#disable-root-login-over-SSH) + [Mendukung SSH versi 2 saja](#support-ssh-v2-only) + [Menonaktifkan autentikasi kata sandi Melalui SSH](#disable-password-authentication-over-ssh) + [Mengonfigurasi usia maksimum kata sandi](#password-maximum-age) + [Mengonfigurasi panjang minimum kata sandi](#password-minimum-length) + [Mengonfigurasi kompleksitas kata sandi](#password-complexity) + [Mengaktifkan ASLR](#ASLR) + [Mengaktifkan DEP](#DEP-OS) + [Mengonfigurasi izin untuk direktori sistem](#permissions-for-system-directories) ## Menonaktifkan login root melalui SSH Aturan ini membantu menentukan apakah daemon SSH dikonfigurasi untuk mengizinkan masuk ke instans EC2 Anda sebagai [root](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html). **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Ada instans EC2 dalam target penilaian Anda yang dikonfigurasi untuk memungkinkan pengguna untuk masuk ke kredensial root melalui SSH. Hal ini meningkatkan kemungkinan serangan brute-force yang sukses. **Resolusi** Kami merekomendasikan Anda untuk mengonfigurasi instans EC2 Anda untuk mencegah login akun root melalui SSH. Alih-alih, masuklah sebagai pengguna non-root dan gunakan `sudo` untuk meningkatkan hak istimewa bila diperlukan. Untuk menonaktifkan login akun root SSH, atur `PermitRootLogin` ke `no` di file `/etc/ssh/sshd_config`, lalu mulai ulang `sshd`. ## Mendukung SSH versi 2 saja Aturan ini membantu menentukan apakah instans EC2 Anda dikonfigurasi untuk mendukung protokol SSH versi 1. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda dikonfigurasi untuk mendukung SSH-1, yang berisi kekurangan desain inheren yang sangat mengurangi keamanannya. **Resolusi** Kami merekomendasikan Anda mengonfigurasi instans EC2 dalam target penilaian Anda untuk mendukung hanya SSH-2 dan yang lebih baru. Untuk OpenSSH, Anda bisa mencapainya dengan mengatur `Protocol 2` di file `/etc/ssh/sshd_config`. Untuk informasi selengkapnya, lihat `man sshd_config`. ## Menonaktifkan autentikasi kata sandi Melalui SSH Aturan ini membantu menentukan apakah instans EC2 Anda dikonfigurasi untuk mendukung autentikasi kata sandi melalui protokol SSH. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda dikonfigurasi untuk mendukung autentikasi kata sandi melalui SSH. Autentikasi kata sandi rentan terhadap serangan brute-force dan harus dinonaktifkan untuk mendukung autentikasi berbasis kunci jika memungkinkan. **Resolusi** Kami merekomendasikan Anda menonaktifkan autentikasi kata sandi melalui SSH pada instans EC2 Anda dan mengaktifkan dukungan untuk autentikasi berbasis kunci sebagai gantinya. Hal ini secara signifikan mengurangi kemungkinan serangan brute-force yang berhasil. Untuk informasi lebih lanjut, lihat [https://aws.amazon.com/articles/1233/](https://aws.amazon.com/articles/1233/). Jika autentikasi kata sandi didukung, penting untuk membatasi akses ke server SSH ke alamat IP tepercaya. ## Mengonfigurasi usia maksimum kata sandi Aturan ini membantu menentukan apakah usia maksimum untuk kata sandi dikonfigurasi pada instans EC2 Anda. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda tidak dikonfigurasi untuk usia maksimum untuk kata sandi. **Resolusi** Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi usia maksimum untuk kata sandi pada semua instans EC2 di target penilaian Anda. Hal ini mengharuskan pengguna untuk secara teratur mengubah kata sandi mereka dan mengurangi kemungkinan serangan menebak kata sandi yang sukses. Untuk memperbaiki masalah ini bagi pengguna yang sudah ada, gunakan perintah **chage**. Untuk mengonfigurasi usia maksimum untuk sandi untuk semua pengguna di masa mendatang, edit bidang `PASS_MAX_DAYS` di file `/etc/login.defs`. ## Mengonfigurasi panjang minimum kata sandi Aturan ini membantu menentukan apakah panjang minimum untuk kata sandi dikonfigurasi pada instans EC2 Anda. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda tidak dikonfigurasi untuk panjang minimum untuk kata sandi. **Resolusi** Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi panjang minimum untuk kata sandi pada semua instans EC2 di target penilaian Anda. Mengatur panjang minimum kata sandi mengurangi risiko serangan menebak kata sandi yang sukses. Anda dapat melakukan ini dengan menggunakan opsi berikut di file `pwquality.conf`: `minlen`. Untuk informasi lebih lanjut, lihat [https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf). Jika `pwquality.conf` tidak tersedia pada instans Anda, Anda dapat mengatur opsi `minlen` menggunakan modul `pam_cracklib.so`. Untuk informasi selengkapnya, lihat [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib). Opsi `minlen` harus diatur ke 14 atau lebih besar. ## Mengonfigurasi kompleksitas kata sandi Aturan ini membantu menentukan apakah mekanisme kompleksitas kata sandi dikonfigurasi pada instans EC2 Anda. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Tidak ada mekanisme kompleksitas atau pembatasan kata sandi dikonfigurasi pada instans EC2 di target penilaian Anda. Hal ini memungkinkan pengguna untuk mengatur kata sandi sederhana, yang meningkatkan kemungkinan pengguna tidak sah mendapatkan akses dan menyalahgunakan akun. **Resolusi** Jika Anda menggunakan kata sandi, kami merekomendasikan Anda mengonfigurasi semua instans EC2 di target penilaian Anda untuk memerlukan tingkat kompleksitas sandi. Anda dapat melakukan ini dengan menggunakan opsi berikut di file `pwquality.conf`: `lcredit`, `ucredit`, `dcredit`, dan `ocredit`. Untuk informasi lebih lanjut, lihat [https://linux.die. net/man/5/pwquality.conf](https://linux.die.net/man/5/pwquality.conf). Jika `pwquality.conf` tidak tersedia pada instans Anda, Anda dapat mengatur opsi `lcredit`, `ucredit`, `dcredit`, dan `ocredit` menggunakan modul `pam_cracklib.so`. Untuk informasi selengkapnya, lihat [https://linux.die.net/man/8/pam_cracklib](https://linux.die.net/man/8/pam_cracklib). Nilai yang diharapkan untuk masing-masing pilihan ini kurang dari atau sama dengan -1, seperti yang ditunjukkan di bawah ini: `lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1` Selain itu,opsi `remember` harus diatur ke 12 atau lebih besar. Untuk informasi selengkapnya, lihat [https://linux.die.net/man/8/pam_unix](https://linux.die.net/man/8/pam_unix). ## Mengaktifkan ASLR Aturan ini membantu menentukan apakah pengacakan tata letak ruang alamat (ASLR) diaktifkan pada sistem operasi instans EC2 di target penilaian Anda. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda tidak memiliki ASLR aktif. **Resolusi** Untuk meningkatkan keamanan target penilaian Anda, kami merekomendasikan Anda mengaktifkan ASLR pada sistem operasi dari semua instans EC2 di target Anda dengan menjalankan **echo 2 \$1 sudo tee /proc/sys/kernel/randomize\$1va\$1space**. ## Mengaktifkan DEP Aturan ini membantu menentukan apakah Pencegahan Eksekusi Data (DEP) diaktifkan pada sistem operasi dari instans EC2 di target penilaian Anda. **catatan** Aturan ini tidak didukung untuk instans EC2 dengan prosesor ARM. **Keparahan** [Sedang](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda tidak memiliki DEP aktif. **Resolusi** Kami merekomendasikan agar Anda mengaktifkan DEP pada sistem operasi dari semua instans EC2 dalam target penilaian Anda. Mengaktifkan DEP melindungi instans Anda dari bahaya keamanan menggunakan teknik buffer-overflow. ## Mengonfigurasi izin untuk direktori sistem Aturan ini memeriksa izin pada direktori sistem yang berisi biner dan informasi konfigurasi sistem. Ia memeriksa bahwa hanya pengguna root (pengguna yang masuk menggunakan kredensial akun root) memiliki izin menulis untuk direktori ini. **Keparahan** [Tinggi](inspector_rule-packages.md#SeverityLevels) **Menemukan** Instans EC2 dalam target penilaian Anda berisi direktori sistem yang dapat ditulis oleh pengguna non-root. **Resolusi** Untuk meningkatkan keamanan target penilaian Anda dan untuk mencegah eskalasi hak istimewa oleh pengguna lokal jahat, konfigurasikan semua direktori sistem pada semua instans EC2 target Anda untuk dapat ditulis hanya oleh pengguna yang masuk dengan menggunakan kredensial akun root.