seccheck

Seccheck er et funksjonsrikt, modulære, host-sikkerhet kontrolløren for Solaris 10.
På å gjennomgå de gode sikkerhets benchmarks tilgjengelig over på CI Security, jeg ønsket å automatisere sikkerhetskontroller av mine Solaris 10 servere og produsere en svært detaljert rapport med oversikt over alle sikkerhetsadvarsler, sammen med anbefalinger for sitt vedtak. Løsningen var seccheck - et modulært host-scanne-verktøyet. Lett utvides og funksjonsrikt, selv om det for øyeblikket kun tilgjengelig for Solaris 10.
Dette dekker ikke 100% av kontrollene anbefalt av CI Security, men har 99% av dem - de som jeg synes er viktig. For eksempel kan jeg ikke sjekke X konfigurasjonen fordi jeg alltid sikre mine servere kjører ikke X.
Installasjon
Kilden fordelingen skal pakkes ut til et egnet sted. Jeg foreslår at du gjør noe sånt som følgende:
    
# Mkdir / usr / local / seccheck
# Chown root: root / usr / local / seccheck
# Chmod 700 / usr / local / seccheck
# Cd / usr / local / seccheck
# Mkdir bin utgang
# Cd / hvor / du / ned / seccheck
# Gzip -DC ./seccheck-0.7.1.tar.gz | tar xf -
# Cd seccheck-0.7.1
# Mv modules.d seccheck.sh / usr / local / seccheck / bin
    
Alt er implementert som bash shell skript, så det er ingen virkelig strenge retningslinjer installasjon, plassere filer hvor enn du vil. Du kan angi en alternativ plassering for moduler katalogen med m alternativet uansett.
Bruke seccheck
Som standard vil seccheck.sh søke etter en modules.d katalog i samme katalogen som seccheck.sh skriptet ligger. Hvis modulene ikke er plassert der, kan du bruke m alternativet til å angi en alternativ modul sted, for eksempel:
       
# ./seccheck.sh -m / Sikkerhet / seccheck / mymodules
       
    
seccheck vil da søke gjennom modules.d for gyldige seccheck moduler (bestemt etter filnavn). En seccheck modul filnavn bør være av følgende format:
 seccheck_nn_somename.sh
Der nn er et tosifret tall som avgjør i hvilken rekkefølge modulene skal utføres. For eksempel, følger med på dagens seccheck fordelingen finner du følgende filer i modules.d:
       
$ ls -1 modules.d
seccheck_00_services.sh
seccheck_01_users.sh
seccheck_03_kernelcheck.sh
seccheck_05_logging.sh
seccheck_10_accessauth.sh
seccheck_99_perms.sh
seccheck_NN_template.sh.NOT
       
    
Du kan se at seccheck_00_services.sh vil bli behandlet før seccheck_01_users.sh, og så videre. Du kan deaktivere en modul ved å døpe det noe annet enn konvensjonen, for eksempel ved å føye til en .Ikke suffiks til modulen filnavn.
En mal er gitt slik at du kan skrive dine egne seccheck moduler.
Som standard vil seccheck skrive alt ut til stdout og STDERR. Hvis du ønsker å omdirigere til en output fil, bare bruke -o alternativet og angi en utgang katalog. Etter å ha kjørt skriptet, vil du sitte igjen med en fil som:
 $ {OUTPUT_DIR} / seccheck- -YYYYMMDD-hhmm.log
inneholder produksjon av modulene.
Hva er nytt i denne versjonen: