unix scanner di configurazione / controlli di conformità

Naviga le tue risposte
2

Sto cercando uno strumento che analizzi i sistemi operativi unix per i problemi di configurazione. Per esempio. uno script che trova

PermitRootLogin yes

nel file di configurazione ssh o con altre parole: uno script che automatizza i controlli di conformità. Dal momento che ci sono alcuni file di configurazione con configurazioni rilevanti per la sicurezza, che si trovano in tutti i tipi di luoghi diversi già dalla distribuzione linux alla distribuzione Linux, preferirei controllare se esiste già prima di iniziare a scrivere il mio script. :)

Quello che sono riuscito a trovare fino ad ora è:

  • Scanner di vulnerabilità Nessus supporta il controllo della configurazione UNIX. Per quanto ho potuto vedere, legge solo l'elenco dei pacchetti installati e poi controlla se ci sono vulnerabilità in quei

  • eEye ha uno strumento chiamato Retina di cui non sono sicuro, se è solo per Windows, e cosa controlla esattamente.

  • BastilleLinux, BastilleMac, che verifica e indurisce. Viene ancora spedito con la versione attuale di Ubuntu, e dice sul loro sito web che riavvieranno lo sviluppo, non vedo aggiornamenti.

Conosci uno strumento (preferibilmente OpenSource in modo che possa modificare / contribuire), che potrebbe corrispondere meglio?

    
posta user857990 09.08.2012 - 10:03
fonte

4 risposte

4

Potresti voler consultare i controlli di conformità Nessus . Forniscono un'interfaccia che consente di controllare i file per voci e impostazioni specifiche.

Esistono anche alcuni modelli predefiniti disponibili attraverso il portale di supporto che coprono una vasta gamma di sapori unix / linux e si confronta con Center for Internet Security standard tra gli altri

    
risposta data 09.08.2012 - 10:42
fonte
2

C'è anche uno strumento chiamato Coperta di sicurezza che potrebbe interessarti (non sono sicuro del tuo budget) , che ho sentito è facile da configurare ed eseguire come da qui .

Riguardo agli standard CIS (Center for Internet Security), sebbene ancora molto validi, avevo sentito che non erano stati attivamente elaborati su: (

Le soluzioni Tripwire Enterprise (se nel tuo budget) potrebbe anche essere d'aiuto, ma ad essere onesti, non ho giocato con roba Tripwire da molto tempo quindi dovresti verificarlo da solo.

    
risposta data 09.08.2012 - 11:13
fonte
1

Non ho molto talento nella codifica, ma ho usato le basi per creare uno script di shell e stampare output per verificare gli standard di configurazione e scriverli in un file di testo. Ive ha provato a mostrare l'output previsto / desiderato e quindi qual è l'output.

Puoi ottenere il documento dal CIS qui o potresti aver bisogno di compilare un modulo per ottenere link

L'ho usato su Ubuntu 14.04 poiché i benchmark dei server non sono ancora pubblicati per questo ma saranno piuttosto vicini.

Crea lo script della shell sul server con nano hardeningtests.sh e incollalo sotto il contenuto nel link ed esegui con sh hardeningtests.sh

Quindi leggi il file di output hardeningtests.txt

I test sono basati su standard CIS di Ubuntu Hardening e alcuni altri elementi di output. Alcuni ulteriori ripulire per renderlo più chiaro è necessario ma è piuttosto completo.

link

Spero che ti aiuti.

    
risposta data 23.11.2014 - 14:22
fonte
1

Guarderei Nessus, OpenScap e Lynis. Lynis è lo strumento migliore che ho incontrato finora. Sia Nessus che OpenScap hanno più dipendenze di Lynis. Ad esempio, Red Hat rilascia le definizioni delle patch ovali, ma potrebbero non essere compatibili con Nessus / OpenScap. Lynis fa un ottimo lavoro per essere compatibile con la croce.

Lynis è anche gratuito e open source, quindi questo è un ulteriore vantaggio. link link

Lynis può essere facilmente esteso scrivendo plugin.

    
risposta data 19.01.2015 - 23:38
fonte

Leggi altre domande sui tag

Overflow dello stack su ARM: numero di byte nulli Perché il superuser o l'account amministratore non dovrebbero mai essere bloccati?