Lynis é um verificador genérico de segurança do Linux, escrito como uma coleção de scripts de shell; é gratuito (GPL) e é projetado para ser extensível pelos administradores do site, de modo que pode ser a melhor combinação para o que você procura.
Em primeiro lugar, esta questão não é uma duplicata de esta .
O que eu estou pedindo é um analisador de segurança agnóstico de aplicativos para uma determinada ou todas as principais distribuições Linux. O que deve fazer é o seguinte:
setgid
para bind
arquivos de configuração, etc.) /etc/certs/
) com permissões corretas, sinalizadores de montagem para /tmp
e outras partições possuem ameaças mínimas ou mínimas, processos são vinculados a localhost
, ssh
está configurado corretamente (senha de login desativada, login root desativado) etc. root
mail é encaminhado para outro usuário, os logs são armazenados / encaminhados com segurança, etc. O propósito de uma ferramenta desse tipo seria a validação de uma imagem recém-criada packer
AWS AMI ou virtualbox
.
Então, o que estou procurando é um tipo de analisador dinâmico de configuração de sistema operacional para garantir que o provisionamento seja feito corretamente e que a caixa de base usada não tenha falhas de segurança.
Alguma sugestão?
Lynis é um verificador genérico de segurança do Linux, escrito como uma coleção de scripts de shell; é gratuito (GPL) e é projetado para ser extensível pelos administradores do site, de modo que pode ser a melhor combinação para o que você procura.
Depois de algumas pesquisas adicionais na mesma direção da resposta aceita, encontrei mais uma opção que pode ser uma boa opção para integrar o pipeline de provisões usando Ansible / Chef / Puppet.
dev-sec fornece prontuários Ansible prontos (assim como livros de culinária Chef e manifestos Puppet) para garantir que o sistema operacional esteja em conformidade com vários padrões de segurança (NIST, ISO, etc.).
O bom desta solução é que ela corrige problemas de configuração. A coisa ruim - pode ser algo que você não queira desabilitar ou configurar dessa maneira particular.
Tags security