Existe algum analisador de segurança em nível de sistema para configuração de distribuição Linux? [fechadas]

1

Em primeiro lugar, esta questão não é uma duplicata de esta .

O que eu estou pedindo é um analisador de segurança agnóstico de aplicativos para uma determinada ou todas as principais distribuições Linux. O que deve fazer é o seguinte:

  • verifique se alguma porta não utilizada está aberta (se algum serviço específico estiver escutando em uma porta específica, tudo bem)
  • verifique se as permissões dos arquivos de configuração para quaisquer serviços de fluxo principal em uso são OK (por exemplo, setgid para bind arquivos de configuração, etc.)
  • vários aspectos de proteção do SO: as chaves ssl estão na mesma pasta (ou seja, /etc/certs/ ) com permissões corretas, sinalizadores de montagem para /tmp e outras partições possuem ameaças mínimas ou mínimas, processos são vinculados a localhost , ssh está configurado corretamente (senha de login desativada, login root desativado) etc.
  • configuração de monitoramento: root mail é encaminhado para outro usuário, os logs são armazenados / encaminhados com segurança, etc.

O propósito de uma ferramenta desse tipo seria a validação de uma imagem recém-criada packer AWS AMI ou virtualbox .

Então, o que estou procurando é um tipo de analisador dinâmico de configuração de sistema operacional para garantir que o provisionamento seja feito corretamente e que a caixa de base usada não tenha falhas de segurança.

Alguma sugestão?

    
por ddnomad 12.06.2017 / 15:06

2 respostas

2

Lynis é um verificador genérico de segurança do Linux, escrito como uma coleção de scripts de shell; é gratuito (GPL) e é projetado para ser extensível pelos administradores do site, de modo que pode ser a melhor combinação para o que você procura.

    
por 12.06.2017 / 15:53
0

Depois de algumas pesquisas adicionais na mesma direção da resposta aceita, encontrei mais uma opção que pode ser uma boa opção para integrar o pipeline de provisões usando Ansible / Chef / Puppet.

dev-sec fornece prontuários Ansible prontos (assim como livros de culinária Chef e manifestos Puppet) para garantir que o sistema operacional esteja em conformidade com vários padrões de segurança (NIST, ISO, etc.).

O bom desta solução é que ela corrige problemas de configuração. A coisa ruim - pode ser algo que você não queira desabilitar ou configurar dessa maneira particular.

    
por 12.06.2017 / 16:53

Tags