Seccheck este o caracteristică bogat, modular, la nivel de gazda verificator securitate pentru Solaris 10.
Pe revizuirea excelente referință de securitate disponibile la peste CI Security, am vrut să automatizeze controalele de securitate ale mele Solaris 10 servere și un raport foarte detaliat listarea toate avertismentele de securitate, împreună cu recomandări pentru rezolvarea lor. Soluția a fost seccheck - o serie securitate utilitate modular de scanare. Ușor extensibil și bogat de caracteristici, deși în acest moment disponibil doar pentru Solaris 10.
Acest lucru nu se referă la 100% din verificările recomandate de CI de securitate, dar are 99% din ei - cei care le consider importante. De exemplu, eu nu verifica de configurare X pentru că mereu am asigura serverele mei nu alerga X.
Instalare
Distribuția sursă ar trebui să fie despachetate la o locație adecvată. Vă sugerez face ceva de genul următoarele:
# Mkdir / usr / local / seccheck
# Chown root: root / usr / local / seccheck
# Chmod 700 / usr / local / seccheck
# Cd / usr / local / seccheck
# Mkdir ieșire bin
# Cd / oriunde / ai / descărcat / seccheck
# Gzip-dc ./seccheck-0.7.1.tar.gz | tar xf -
# Cd seccheck-0.7.1
# Mv modules.d seccheck.sh / usr / local / seccheck / bin
Totul este implementat ca script shell bash, astfel încât nu există linii directoare foarte stricte de instalare, puneți fișierele oriunde doriți. Puteți specifica o locație alternativă pentru directorul de module cu opțiunea -m, oricum.
Utilizarea seccheck
În mod implicit, seccheck.sh va căuta un director modules.d în același director în care se află scriptul seccheck.sh. Dacă modulele nu sunt situate acolo, puteți folosi opțiunea -m pentru a specifica o locație alternativă modul, de exemplu:
# ./seccheck.sh -m / Securitate / seccheck / mymodules
seccheck va scana apoi prin modules.d pentru modulele seccheck valide (determinate de nume de fișier). Un nume de fișier modul seccheck ar trebui să fie de următorul format:
seccheck_nn_somename.sh
În cazul în care nn este un număr întreg de două cifre care determină ordinea în care vor fi executate de module. De exemplu, inclus cu distribuția actuală seccheck veți găsi următoarele fișiere din modules.d:
# ls -1 modules.d
seccheck_00_services.sh
seccheck_01_users.sh
seccheck_03_kernelcheck.sh
seccheck_05_logging.sh
seccheck_10_accessauth.sh
seccheck_99_perms.sh
seccheck_NN_template.sh.NOT
Puteți vedea că seccheck_00_services.sh vor fi prelucrate înainte seccheck_01_users.sh, și așa mai departe. Puteți dezactiva un modul prin redenumirea-l altceva decât convenția, de exemplu, prin adăugarea unui sufix .Nu a fișierului modulului.
Un șablon este oferit astfel încât să puteți scrie propriile module seccheck.
În mod implicit, seccheck va scrie totul la STDOUT și STDERR. Dacă doriți să redirecționați la un fișier de ieșire, utilizați doar opțiunea -o și specificați un director de ieșire. După rularea script-ul, veți fi lăsat cu un fișier, cum ar fi:
$ {OUTPUT_DIR} / seccheck-
conținând producția de module tale.
Ce este nou în această versiune:
Comentariile nu a fost găsit