Configuração Auditoria de conformidade para muitas caixas do CentOS 5.x

2
  • Situação atual

Eu tenho um cliente com muitos servidores CentOS 5.x (200x) implantados em várias funções de web, correio, banco de dados e servidor de arquivos, e essas caixas foram administradas de forma diversa em um grau menor ou maior.

Todas as caixas têm o repositório EPEL incluído como parte de sua instalação base e todas as caixas têm tarefas agendadas para "yum -y update" sendo executadas com freqüência e são reinicializadas quando os kernels estão disponíveis. (então eles não estão em um estado terrível)

Para vulnerabilidades de rede, locais e externas - Usamos uma empresa terceirizada, que usa o WebInspect para monitorar portas externas e serviços vulneráveis e produz vários relatórios regulares para meu chefe. (portanto, não estou olhando para o Nessus, OpenVAS ou ferramentas de varredura baseadas em rede agora, ou mesmo qualquer ferramenta de vulnerabilidade)

  • Novo Big Boss na cidade - é um cara de compliance de segurança ex

As novas regras são; que se o seu não for testado regularmente, então o seu não estará em conformidade, mesmo que esteja em conformidade, etc.

(para ser sincero, gosto bastante dessa regra)

Agora, estou procurando uma maneira de gerar um relatório de conformidade do servidor com algum padrão de conformidade para todas as caixas regularmente.

Temos uma lista de 117 itens de configuração, que é uma forma mais fraca de várias recomendações de conformidade, por isso estou confiante de que a maioria dos benchmarks de conformidade como CIS, EAL3 ou o nível STIG seria suficiente.

Temos o chef instalado nas instâncias do CentOS, portanto, posso enviar pacotes baseados no yum (e posso instalar a partir dos tarballs de origem, mas isso me fará chorar, nesses casos)

  • Gostaria de ter ...

Eu gostaria de ter uma ferramenta que fosse executada localmente em cada caixa do CentOS e produzisse um relatório html razoavelmente abrangente sobre conformidade de configuração (e um bônus enorme seria enviar alerta por e-mail para problemas graves, mas eu posso fazer script se necessário)

Idealmente, eu poderia gerar um relatório semanal que indica a conformidade com 1 ou mais dos benchmarks reconhecidos do servidor linux.

Tenho o prazer de pagar por uma assinatura para a lista de verificação, mas suspeito que o tipo de licença de 100 USD que eu vejo vai afetar meu orçamento.

Algum progresso ...

Eu vejo que SCAP e OVAL têm ferramentas no CentOS-base ou EPEL, como

  • OpenSCAP-utils
  • ovaldi - intérprete de referência oval

O NIST fornece conteúdo SCAP para a área de trabalho do RHEL, que é bem próximo;
link

Mas eu gostaria de dizer, aqui está um padrão conhecido, e aqui está o relatório ...

Mais alguns progressos ...

Existe uma ferramenta chamada sectool no fedora repos, mas eu não consigo executá-lo no CentOS devido a um módulo python-slip ausente.

Parece que o último commit foi feito há alguns anos, e o autor passou a trabalhar no projeto openscap-utils., também depende do PolicyKit e de algumas outras coisas que não estão disponíveis em caixas do CentOS 5.x. .

    
por Tom H 01.02.2012 / 06:09

1 resposta

2

Eu não usei chef, mas usei bastante o cfengine. Então, enquanto eu não tenho um conselho específico para o seu ambiente, eu posso lhe dizer em geral como eu liderei com isso. Espero que você possa fazer algo semelhante com o chef, o fantoche ou o que for.

Para começar, deixe-me dizer que, na minha opinião, se você estiver usando o chef (ou qualquer outro pacote de gerenciamento de configuração) para APENAS enviar pacotes, estará perdendo muitas funcionalidades que poderiam estar tornando sua vida Mais fácil. O poço vai MUITO mais profundo.

No ambiente que eu gerencio, eu configurei o cfengine para não apenas instalar / remover pacotes, mas também para manter configurações específicas (e freqüentemente relacionadas à segurança) em todos os servidores, através de um ou mais subgrupos de servidores similares, ou em hosts específicos, conforme necessário.

Isso faz algumas coisas para mim -

Primeiro, se eu abrir um novo servidor, assim que ele for adicionado ao gerenciamento de configuração, todas as configurações comuns e específicas do grupo serão aplicadas automaticamente. Isso significa que não preciso me preocupar com o bloqueio de base - isso é feito automaticamente para mim - e posso me concentrar em bloquear os aplicativos exclusivos desse servidor. É como uma lista de verificação de autoverificação, mas melhor.

Em segundo lugar, posso ver os registros e ver os resultados da execução da configuração em cada host, incluindo quais configurações foram verificadas como corretas e quais configurações estavam incorretas e corrigidas. Isso me permite ficar por dentro do que está acontecendo, mas mais importante para a conformidade, posso analisar essas informações e gerar relatórios que provam que os servidores não estão apenas configurados como esperado, mas também verificados como corretos em todas as execuções de configuração.

Isso também tem um efeito colateral de permitir que você saiba se sua configuração muda inesperadamente por qualquer motivo, seja um colega de trabalho descuidado ou um invasor que comprometeu seu sistema.

Então, embora provavelmente não seja a resposta que você está procurando no curto prazo, talvez ela lhe dê algumas ideias para incluir em seu plano de longo prazo.

    
por 01.02.2012 / 07:02

Tags