Hardening Checklists

Van Kader Naar Werkvloer

Dit onderwerp werkt het best als praktisch kader: helder genoeg voor besluitvorming en concreet genoeg voor uitvoering.

Voor Hardening Checklists staat toepasbaarheid centraal: besluiten die direct vertalen naar backlog, architectuur en operatie.

Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.

Directe maatregelen (15 minuten)

• Gebruik deze pagina om maatregelen te prioriteren en in backlog om te zetten.
• Koppel elke maatregel aan eigenaar, deadline en aantoonbaar bewijs.
• Herhaal periodiek op basis van risico, wijzigingen en incidentlessen.

Waarom dit telt

De kern van Hardening Checklists is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Windows Server 2022 Hardening

Referentie: Netwerk 12 (Windows hardening), Netwerk 04 (AD hardening)

Basisbeveiliging

• Windows Update – Configureer automatische updates via WSUS of Windows Update for Business. Controleer dat alle kritieke en beveiligingsupdates zijn geinstalleerd. Plan een maandelijks patchmoment.
• Lokale admin hernoemen – Hernoem het standaard Administrator-account (SID-500) via GPO. Dit voorkomt gerichte brute force op bekende accountnamen.
• LAPS implementeren – Installeer en configureer Local Administrator Password Solution (of Windows LAPS in Server 2022+). Controleer dat wachtwoorden automatisch worden geroteerd en opgeslagen in AD.
• Gastaccount uitschakelen – Controleer dat het Guest-account is uitgeschakeld. Verifieer met Get-LocalUser Guest.
• Beperkte groepen – Gebruik Restricted Groups of GPO Preferences om lokale admin-groepslidmaatschap te beheren. Voorkom dat domeingebruikers lokale admin-rechten hebben.

Services & Features

• Onnodige services uitschakelen – Schakel Print Spooler uit op servers die niet printen. Schakel Xbox-gerelateerde services, Remote Registry, Fax, en SSDP Discovery uit.
• Onnodige rollen verwijderen – Verwijder serverrollen en features die niet in gebruik zijn (IIS, Telnet Server, TFTP Client, Windows Media Player).
• SMBv1 uitschakelen – Verwijder SMBv1 via Remove-WindowsFeature FS-SMB1 of Disable-WindowsOptionalFeature -FeatureName SMB1Protocol. Controleer met Get-SmbServerConfiguration.
• NetBIOS over TCP/IP – Schakel NetBIOS uit op alle netwerkinterfaces tenzij expliciet vereist door legacy-applicaties.
• LLMNR uitschakelen – Schakel Link-Local Multicast Name Resolution uit via GPO om LLMNR-poisoning te voorkomen.
• WPAD uitschakelen – Schakel Web Proxy Auto-Discovery uit via GPO als het niet in gebruik is.

Netwerk & Firewall

• Windows Firewall – Zet Windows Defender Firewall aan op alle profielen (Domain, Private, Public). Configureer default deny inbound.
• RDP beperken – Sta RDP alleen toe vanaf beheer-VLAN’s. Schakel Network Level Authentication (NLA) in. Overweeg RDP Gateway voor externe toegang.
• SMB signing – Verplicht SMB signing via GPO: Microsoft network server: Digitally sign communications (always) = Enabled. Doe hetzelfde voor de client-instelling.
• LDAP signing – Verplicht LDAP signing via GPO op domain controllers. Configureer ook LDAP channel binding.
• Remote management – Beperk WinRM-toegang tot beheer-IP’s via GPO of lokale firewallregels. Schakel WMI-toegang in alleen voor geautoriseerde accounts.

Authenticatie & Credentials

• Credential Guard – Schakel Windows Defender Credential Guard in op ondersteunde hardware (VBS + UEFI lock aanbevolen).
• LSASS-bescherming – Configureer LSASS als Protected Process Light (RunAsPPL) via register: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1.
• NTLMv1 uitschakelen – Stel LAN Manager authentication level in op Send NTLMv2 response only. Refuse LM & NTLM.
• NTLM auditen – Schakel NTLM-auditing in via GPO voordat je NTLM volledig blokkeert. Analyseer welke applicaties NTLM nog gebruiken.
• Wachtwoordbeleid – Configureer een wachtwoordbeleid conform NIST SP 800-63B: minimaal 15 tekens, geen complexiteitsregels, breached password check.
• Account lockout – Configureer account lockout na 5-10 mislukte pogingen, met lockout-duur van minimaal 15 minuten.

Logging & Monitoring

• Auditbeleid – Configureer Advanced Audit Policy via GPO: Account Logon, Logon/Logoff, Object Access, Privilege Use, Process Creation, Policy Change.
• Process creation logging – Schakel command line logging in voor procesaanmaak (Event ID 4688) via GPO: Include command line in process creation events.
• Sysmon – Installeer Sysmon met een community-configuratie (bijv. SwiftOnSecurity of Olaf Hartong). Forward events naar een SIEM.
• PowerShell logging – Schakel Script Block Logging in (Event ID 4104). Schakel Module Logging in. Schakel Transcription in naar een beveiligde locatie.
• Event log forwarding – Configureer Windows Event Forwarding (WEF) naar een centrale collector of SIEM.
• Event log grootte – Vergroot de standaard event log-grootte: Security log minimaal 1 GB, Application en System minimaal 256 MB.

Endpoint Protection

• Windows Defender – Configureer real-time protection, cloud-delivered protection, tamper protection en automatische sample submission.
• AppLocker of WDAC – Implementeer een application control policy die onbekende executables blokkeert vanuit gebruikersmappen (%TEMP%, Downloads, AppData).
• PowerShell Constrained Language Mode – Configureer CLM via WDAC of AppLocker voor niet-admin gebruikers. Sta FullLanguage alleen toe voor beheerders.
• BitLocker – Schakel BitLocker in voor alle volumes. Bewaar recovery keys in AD of Azure AD. Gebruik TPM + PIN waar mogelijk.
• Automatische schermvergrendeling – Configureer inactiviteitstimeout op maximaal 15 minuten via GPO.

Ubuntu/Debian Server Hardening

Referentie: Netwerk 11 (Linux hardening)

Updates & Patchbeheer

• Unattended upgrades – Installeer en configureer unattended-upgrades voor automatische beveiligingsupdates: apt install unattended-upgrades && dpkg-reconfigure unattended-upgrades.
• Pakketbronnen – Controleer dat alleen officiele en vertrouwde repositories zijn geconfigureerd in /etc/apt/sources.list en /etc/apt/sources.list.d/.
• Onnodige pakketten – Verwijder onnodige pakketten en services: apt autoremove, verwijder telnetd, rsh-server, xinetd als ze zijn geinstalleerd.

SSH Hardening

• Root login uitschakelen – Zet PermitRootLogin no in /etc/ssh/sshd_config. Gebruik sudo in plaats van directe root-toegang.
• Wachtwoord-authenticatie uitschakelen – Zet PasswordAuthentication no en gebruik uitsluitend SSH-sleutelparen (ed25519 of RSA 4096-bit minimum).
• Agent forwarding uitschakelen – Zet AllowAgentForwarding no tenzij expliciet nodig. Agent forwarding maakt credential theft mogelijk bij gecompromitteerde hop-hosts.
• TCP forwarding uitschakelen – Zet AllowTcpForwarding no tenzij expliciet nodig.
• X11 forwarding uitschakelen – Zet X11Forwarding no op servers (standaard uit, maar controleer).
• SSH idle timeout – Configureer ClientAliveInterval 300 en ClientAliveCountMax 2 om inactieve sessies na 10 minuten te sluiten.
• SSH toegang beperken – Gebruik AllowUsers of AllowGroups om SSH-toegang te beperken tot specifieke accounts of groepen.
• SSH poort – Overweeg een niet-standaard poort (niet als security maatregel maar om log-ruis van scanners te verminderen).

Firewall & Netwerk

• Firewall (ufw/nftables) – Schakel ufw in met default deny inbound en default allow outbound: ufw default deny incoming && ufw default allow outgoing && ufw enable.
• Alleen benodigde poorten – Open alleen de poorten die daadwerkelijk nodig zijn. Documenteer elke open poort met een reden.
• IPv6 – Schakel IPv6 uit als het niet wordt gebruikt: net.ipv6.conf.all.disable_ipv6 = 1 in sysctl.conf.

Gebruikersbeheer & Authenticatie

• Ongebruikte accounts – Verwijder of vergrendel ongebruikte accounts. Controleer /etc/passwd op accounts met UID 0 (er mag alleen root zijn).
• Wachtwoordbeleid – Configureer pam_pwquality voor wachtwoordsterkte. Stel maximale leeftijd in via /etc/login.defs (PASS_MAX_DAYS).
• Sudo-configuratie – Beperk sudo-rechten tot minimaal noodzakelijke commando’s. Gebruik NOPASSWD alleen waar strikt nodig. Log alle sudo-gebruik.
• Sudo timeout – Stel Defaults timestamp_timeout=5 in om sudo-sessies kort te houden.
• Login beperkingen – Configureer pam_faillock of fail2ban voor brute force bescherming.

Bestandssysteem & Kernel

• Bestandspermissies – Controleer permissies op /etc/shadow (640), /etc/passwd (644), /etc/crontab (600), /etc/ssh/sshd_config (600).
• SUID/SGID-audit – Voer find / -perm -4000 -o -perm -2000 -type f uit en verwijder onnodige SUID/SGID-bits met chmod u-s of chmod g-s.
• Sticky bit op world-writable directories – Controleer dat /tmp en andere world-writable directories de sticky bit hebben: chmod +t /tmp.
• Mount-opties – Gebruik noexec, nosuid, nodev op /tmp, /var/tmp en /dev/shm in /etc/fstab.
• Kernel hardening (sysctl) – Configureer in /etc/sysctl.d/99-hardening.conf:
  • net.ipv4.ip_forward = 0 (tenzij router/gateway)
  • net.ipv4.conf.all.accept_redirects = 0
  • net.ipv4.conf.all.send_redirects = 0
  • net.ipv4.conf.all.accept_source_route = 0
  • net.ipv4.conf.all.log_martians = 1
  • kernel.randomize_va_space = 2
  • kernel.dmesg_restrict = 1
  • kernel.kptr_restrict = 2
• Core dumps uitschakelen – Voeg * hard core 0 toe aan /etc/security/limits.conf en fs.suid_dumpable = 0 aan sysctl.

Logging & Monitoring

• AppArmor – Controleer dat AppArmor actief is met aa-status. Zet profielen in enforce-mode. Installeer apparmor-profiles en apparmor-utils.
• Cron beperken – Beperk cron-toegang via /etc/cron.allow. Controleer alle crontabs op verdachte entries: for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l 2>/dev/null; done.
• Logging (rsyslog/journald) – Configureer centraal loggen. Controleer dat auth, authpriv, kern en syslog actief worden gelogd en geforward naar een SIEM.
• Fail2ban – Installeer en configureer fail2ban voor SSH en andere services: apt install fail2ban. Configureer jail-specifieke instellingen in /etc/fail2ban/jail.local.
• Audit daemon – Installeer en configureer auditd voor gedetailleerde system call logging. Gebruik regels uit CIS Benchmark of STIG.

Overig

• Onnodige services – Verwijder of schakel services uit die niet nodig zijn: avahi-daemon, cups, rpcbind, nfs-common, rsh-server, telnet.
• USB-opslag beperken – Blacklist usb-storage kernel module als USB-opslag niet nodig is: echo "blacklist usb-storage" > /etc/modprobe.d/usb-storage.conf.
• Banners – Verwijder OS-informatie uit /etc/issue en /etc/issue.net. Voeg een geautoriseerde-toegang-waarschuwingsbanner toe.
• NTP – Configureer tijdsynchronisatie via systemd-timesyncd of chrony. Accurate tijdstempels zijn essentieel voor log-correlatie.

nginx Hardening

Referentie: Web 11 (Security headers), Web 13 (TLS configuratie)

TLS & Encryptie

• TLS-versies – Gebruik alleen TLS 1.2 en 1.3: ssl_protocols TLSv1.2 TLSv1.3;. Schakel SSLv3, TLSv1.0 en TLSv1.1 uit.
• Cipher suites – Gebruik sterke cipher suites. Schakel ssl_prefer_server_ciphers on; in. Gebruik Mozilla SSL Configuration Generator voor de juiste configuratie.
• HSTS – Voeg add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; toe.
• OCSP stapling – Schakel OCSP stapling in: ssl_stapling on; ssl_stapling_verify on;.
• DH parameters – Genereer sterke DH parameters: openssl dhparam -out /etc/nginx/dhparam.pem 4096. Configureer ssl_dhparam.
• SSL session cache – Configureer ssl_session_cache shared:SSL:10m; en ssl_session_timeout 1d;. Schakel ssl_session_tickets off; uit.

Headers & Informatielekkage

• Server tokens – Zet server_tokens off; in de nginx-configuratie om versie-informatie te verbergen.
• Security headers – Configureer in elke server-block:
  • X-Frame-Options: DENY
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()
• Content Security Policy – Implementeer een strikte CSP. Begin met Content-Security-Policy-Report-Only en verscherp geleidelijk.

Toegangsbeheer & Rate Limiting

• Rate limiting – Configureer limit_req_zone en limit_req om brute force en DDoS te mitigeren: limit_req_zone $binary_remote_addr zone=login:10m rate=5r/s;.
• Connection limiting – Configureer limit_conn_zone en limit_conn om per-IP connectielimieten in te stellen.
• Request body size – Stel client_max_body_size in op een passende waarde (bijv. 10m). Voorkom misbruik via grote uploads.
• HTTP-methodes beperken – Sta alleen benodigde methodes toe. Blokkeer TRACE, DELETE, PUT tenzij nodig: if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; }.
• Admin-interfaces – Beperk toegang tot admin-paden met allow/deny directives of HTTP Basic Auth als extra laag.

Operationeel

• Timeout-configuratie – Stel client_body_timeout 10;, client_header_timeout 10; en send_timeout 10; in om slowloris-achtige aanvallen te mitigeren.
• Buffer overflow bescherming – Beperk client_body_buffer_size 1k;, client_header_buffer_size 1k; en large_client_header_buffers 2 1k;.
• Directory listing – Zet autoindex off; (standaard, maar controleer in alle location-blocks).
• Logging – Configureer access logs en error logs. Log naar een centraal systeem. Gebruik een gestructureerd logformaat (JSON).
• Worker-proces – Draai nginx worker-processen als niet-root gebruiker (standaard www-data of nginx).
• Verborgen bestanden blokkeren – Blokkeer toegang tot .git, .env, .htaccess, .svn: location ~ /\. { deny all; }.
• Upstream timeouts – Configureer proxy_connect_timeout, proxy_read_timeout, proxy_send_timeout om backend-problemen niet naar de client te lekken.

Apache Hardening

Referentie: Web 11 (Security headers), Web 13 (TLS configuratie)

TLS & Encryptie

• TLS-versies – Gebruik alleen TLS 1.2 en 1.3: SSLProtocol -all +TLSv1.2 +TLSv1.3.
• Cipher suites – Configureer sterke cipher suites met SSLCipherSuite en SSLHonorCipherOrder On.
• HSTS – Voeg Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" toe via mod_headers.
• OCSP stapling – Schakel in met SSLUseStapling On en SSLStaplingCache "shmcb:logs/ssl_stapling(32768)".
• HTTP naar HTTPS redirect – Configureer een permanente redirect op poort 80: Redirect permanent / https://example.com/.

Headers & Informatielekkage

• ServerTokens – Zet ServerTokens Prod om alleen “Apache” te tonen zonder versienummer.
• ServerSignature – Zet ServerSignature Off om servernaam in foutpagina’s te verbergen.
• ETag uitschakelen – Zet FileETag None om informatielekken via inode-nummers te voorkomen.
• Security headers – Configureer via mod_headers:
  • Header always set X-Frame-Options "DENY"
  • Header always set X-Content-Type-Options "nosniff"
  • Header always set Referrer-Policy "strict-origin-when-cross-origin"
  • Header always set Permissions-Policy "camera=(), microphone=()"
• Content Security Policy – Implementeer CSP via Header set Content-Security-Policy "...".

Modules & Configuratie

• HTTP TRACE uitschakelen – Zet TraceEnable Off om cross-site tracing (XST) aanvallen te voorkomen.
• Onnodige modules verwijderen – Schakel ongebruikte modules uit: mod_info, mod_status (of beperk tot localhost), mod_autoindex, mod_cgi (tenzij nodig).
• Directory listing – Zet Options -Indexes in alle <Directory> configuraties.
• Symbolic links – Zet Options -FollowSymLinks of gebruik Options +SymLinksIfOwnerMatch voor veiligere symlink-afhandeling.
• CGI beperken – Schakel CGI uit tenzij expliciet nodig. Beperk CGI-uitvoering tot specifieke directories met ScriptAlias.

Toegangsbeheer & Limieten

• Timeout-configuratie – Stel Timeout 30 in. Installeer mod_reqtimeout: RequestReadTimeout header=10-20,MinRate=500 body=10-30,MinRate=500.

• Request body size – Configureer LimitRequestBody op een passende waarde per <Directory> of <Location>.

• Request veld limieten – Stel LimitRequestFields 50, LimitRequestFieldSize 8190, LimitRequestLine 8190 in.

• Toegangsbeheer – Gebruik <RequireAll> en Require ip directives om admin-interfaces te beperken tot beheer-netwerken.

• Verborgen bestanden blokkeren – Blokkeer toegang tot .git, .env, .svn, .htaccess:

  <FilesMatch "^\.(git|env|svn|htaccess|htpasswd)">
      Require all denied
  </FilesMatch>

• Logging – Schakel mod_log_config in. Configureer een CustomLog met gedetailleerd formaat. Forward naar centraal logsysteem.

• mod_security – Overweeg mod_security als WAF met OWASP ModSecurity Core Rule Set (CRS). Begin in DetectionOnly mode.

PostgreSQL Hardening

Referentie: Netwerk 14 (MSSQL hardening – principes zijn gelijkwaardig voor relationele databases)

Authenticatie & Toegang

• pg_hba.conf review – Configureer host-regels met specifieke IP-ranges. Gebruik scram-sha-256 als authenticatiemethode. Gebruik nooit trust in productie.
• Standaard wachtwoord wijzigen – Wijzig het wachtwoord van de postgres-superuser onmiddellijk na installatie met een sterk wachtwoord (25+ tekens).
• Netwerkbinding – Stel listen_addresses in op alleen de benodigde interfaces. Gebruik niet * tenzij alle interfaces noodzakelijk zijn.
• Connection limits – Stel max_connections in op een passende waarde. Configureer CONNECTION LIMIT per rol om individuele limieten af te dwingen.
• Wachtwoord-encryptie – Stel password_encryption = 'scram-sha-256' in postgresql.conf. Migreer bestaande MD5-hashes.

SSL/TLS

• SSL inschakelen – Zet ssl = on in postgresql.conf. Configureer ssl_cert_file, ssl_key_file en optioneel ssl_ca_file.
• SSL verplichten – Gebruik hostssl in pg_hba.conf in plaats van host om onversleutelde verbindingen te blokkeren.
• TLS-versie – Stel ssl_min_protocol_version = 'TLSv1.2' in om oudere TLS-versies te blokkeren.
• Cipher suites – Configureer ssl_ciphers met een veilige set. Gebruik HIGH:!aNULL:!MD5 als minimum.

Rollen & Rechten

• Applicatie-specifieke rollen – Maak een aparte databaserol per applicatie met minimale rechten. Gebruik nooit de postgres-superuser voor applicatieverbindingen.
• SUPERUSER beperken – Minimaliseer het aantal accounts met SUPERUSER-rechten. Audit regelmatig met SELECT usename, usesuper FROM pg_user WHERE usesuper = true;.
• CREATEDB/CREATEROLE beperken – Verwijder CREATEDB en CREATEROLE rechten van applicatie-accounts.
• Schema-isolatie – Gebruik aparte schema’s voor verschillende applicaties. Revoke CREATE op het public-schema: REVOKE CREATE ON SCHEMA public FROM PUBLIC;.
• Row-Level Security – Gebruik RLS voor multi-tenant applicaties om data-isolatie op rijniveau af te dwingen.
• Default privileges – Configureer ALTER DEFAULT PRIVILEGES om standaard minimale rechten toe te kennen bij nieuwe objecten.

Logging & Monitoring

• Verbindingslogging – Stel log_connections = on en log_disconnections = on in om alle verbindingen te registreren.
• Statement logging – Configureer log_statement = 'ddl' (minimum) of 'mod' om DDL- en data-wijzigingsstatements te loggen.
• Duration logging – Stel log_min_duration_statement = 1000 in om queries langer dan 1 seconde te loggen (nuttig voor performance en anomaliedetectie).
• Log bestemming – Configureer log_destination = 'syslog' of 'csvlog' voor centraal logbeheer en SIEM-integratie.
• pg_stat_statements – Installeer deze extensie voor query-monitoring: CREATE EXTENSION pg_stat_statements;. Detecteer ongebruikelijke patronen.

Overig

• Extensions audit – Review geinstalleerde extensions met \dx en verwijder ongebruikte extensions. Let op extensies met C-code die privilege escalation mogelijk maken.
• Statement timeout – Configureer statement_timeout = '60s' (of een passende waarde) om langlopende queries te beperken en DoS te voorkomen.
• Backup encryptie – Versleutel backups met pg_dump | gpg of gebruik een versleutelde opslaglocatie. Test restore-procedures regelmatig.
• Bestandspermissies – Controleer dat de data directory (standaard /var/lib/postgresql) permissies 700 heeft en eigendom is van de postgres-gebruiker.

MySQL/MariaDB Hardening

Referentie: Netwerk 14 (MSSQL hardening – principes zijn gelijkwaardig voor relationele databases)

Initieel & Basisbeveiliging

• mysql_secure_installation – Voer mysql_secure_installation uit na installatie. Dit verwijdert anonieme gebruikers, remote root login, en de testdatabase.
• Root wachtwoord – Stel een sterk wachtwoord in voor het root-account (25+ tekens). Overweeg auth_socket plugin voor lokale root-toegang zonder wachtwoord.
• Remote root login verwijderen – Verwijder alle root-accounts met remote toegang. Controleer: SELECT user, host FROM mysql.user WHERE user='root';. Verwijder entries met host ongelijk aan localhost.
• Ongebruikte accounts verwijderen – Audit alle accounts met SELECT user, host FROM mysql.user;. Verwijder anonieme accounts (''@'localhost') en onnodige accounts.
• Testdatabase verwijderen – Controleer dat de test-database is verwijderd: DROP DATABASE IF EXISTS test;.

Netwerk & Encryptie

• Netwerkbinding – Stel bind-address = 127.0.0.1 in als alleen lokale toegang nodig is. Gebruik het externe IP-adres alleen als remote toegang vereist is.
• TLS/SSL inschakelen – Configureer SSL met require_secure_transport = ON. Genereer certificaten en configureer ssl-cert, ssl-key, ssl-ca.
• TLS verplichten per gebruiker – Gebruik ALTER USER 'appuser'@'%' REQUIRE SSL; voor alle accounts die remote verbinden.
• TLS-versie – Stel tls_version = TLSv1.2,TLSv1.3 in om oudere versies te blokkeren.

Gebruikersbeheer & Rechten

• Applicatie-specifieke accounts – Maak per applicatie een eigen databaseaccount met minimale rechten. Gebruik GRANT SELECT, INSERT, UPDATE, DELETE ON appdb.* TO 'appuser'@'apphost';.
• FILE privilege beperken – Verwijder het FILE-privilege van applicatie-accounts: REVOKE FILE ON *.* FROM 'appuser'@'%';. Dit voorkomt LOAD DATA INFILE en INTO OUTFILE.
• PROCESS en SUPER beperken – Beperk PROCESS en SUPER privileges tot DBA-accounts. Applicatie-accounts hebben deze rechten nooit nodig.
• GRANT OPTION beperken – Geef nooit WITH GRANT OPTION aan applicatie-accounts. Alleen DBA’s mogen rechten delegeren.
• Password policy – Installeer validate_password component: INSTALL COMPONENT 'file://component_validate_password';. Configureer validate_password.length = 15 en validate_password.policy = MEDIUM.

Configuratie & Features

• local-infile uitschakelen – Zet local-infile = 0 in my.cnf om client-side file loading uit te schakelen. Dit voorkomt data-exfiltratie via SQL injection.
• Symbolic links uitschakelen – Zet symbolic-links = 0 in de [mysqld] sectie van my.cnf.
• LOAD DATA LOCAL beperken – Zet local_infile = OFF als server-side instelling. Dit is defense in depth bovenop de client-instelling.
• Strict SQL mode – Configureer sql_mode = 'STRICT_TRANS_TABLES,ERROR_FOR_DIVISION_BY_ZERO,NO_ENGINE_SUBSTITUTION' om onveilige impliciete conversies te voorkomen.
• Connection limits – Configureer max_connections en max_user_connections op passende waarden per gebruiker om resource exhaustion te voorkomen.

Logging & Monitoring

• Error logging – Configureer log_error met een vaste locatie. Forward naar centraal logsysteem.
• General query log – Schakel general query log uit in productie (general_log = OFF) vanwege performance-impact. Gebruik het alleen voor debugging.
• Slow query log – Schakel slow query log in: slow_query_log = ON, long_query_time = 2. Nuttig voor performance-monitoring en anomaliedetectie.
• Audit plugin – Installeer en configureer de audit plugin. MariaDB: INSTALL SONAME 'server_audit';. MySQL Enterprise: INSTALL PLUGIN audit_log SONAME 'audit_log.so';.
• Binary logs – Controleer binary log-instellingen. Stel binlog_expire_logs_seconds = 604800 (7 dagen) in om schijfruimte te beheren. Beveilig binlog-bestanden met restrictieve permissies.
• Bestandspermissies – Controleer dat de data directory en configuratiebestanden eigendom zijn van de mysql-gebruiker met permissies 750 (directory) en 640 (bestanden).

Samenvatting

Deze checklists zijn een startpunt, geen eindpunt. Elk systeem, elke omgeving en elke organisatie heeft eigen nuances die aanpassingen vereisen. Maar de basis – de items die op elke checklist staan – zou op elke server geimplementeerd moeten zijn. Geen uitzonderingen. Geen “ja maar bij ons is dat niet nodig”. Geen “de applicatie breekt als we dat doen” zonder dat je daadwerkelijk hebt getest of de applicatie breekt.

Gebruik deze checklists bij:

• Nieuwe server-inrichting – loop de relevante checklist door voordat het systeem in productie gaat. Geen enkele server hoort productie te draaien zonder deze basis.
• Periodieke audit – plan een kwartaalcheck en vink opnieuw af. Configuratiedrift is geen theoretisch risico; het is een zekerheid. Iemand heeft die firewall-regel “tijdelijk” toegevoegd. Die staat er nog steeds.
• Incidentrespons – na een incident, verifieer dat alle hardening-items nog intact zijn. Aanvallers schakelen beveiligingsmaatregelen uit als onderdeel van hun post-exploitation routine.
• Compliance-audits – gebruik de afgevinkte checklists als bewijs voor CIS Control 4 (Secure Configuration) en ISO 27001 A.8.9 (Configuratiebeheer).

Combineer deze checklists met de bijbehorende Securitymaatregelen.nl-hoofdstukken voor de achterliggende rationale en gedetailleerde configuratievoorbeelden.

← Vorige Compliance & Governance Volgende → Compliance Mapping Matrix