seccheck

Seccheck là một tính năng phong phú, mô-đun, kiểm tra an ninh máy chủ cấp cho Solaris 10.
Rà soát các tiêu chuẩn an ninh tuyệt vời có sẵn qua tại CI an, tôi muốn để tự động kiểm tra an ninh của Solaris 10 máy chủ của tôi và tạo ra một báo cáo rất chi tiết liệt kê tất cả các cảnh báo bảo mật, cùng với các khuyến nghị cho độ phân giải của họ. Giải pháp là seccheck - một tiện ích quét host-an ninh-đun. Dễ dàng mở rộng và tính năng phong phú, mặc dù tại thời điểm này chỉ có sẵn cho Solaris 10.
Điều này không bao gồm 100% của các kiểm tra đề nghị bằng CI an, nhưng có 99% trong số họ - những người mà tôi cho là quan trọng. Ví dụ, tôi không kiểm tra cấu hình X bởi vì tôi luôn đảm bảo máy chủ của tôi không chạy X.
Lắp đặt
Sự phân bố nguồn nên được tháo gỡ để một vị trí thích hợp. Tôi khuyên bạn nên làm một cái gì đó như sau:
    
# Mkdir / usr / local / seccheck
# Chown root: root / usr / local / seccheck
# Chmod 700 / usr / local / seccheck
# Cd / usr / local / seccheck
# Mkdir đầu ra bin
# Cd / bất cứ nơi nào / bạn / tải / seccheck
# Gzip -dc ./seccheck-0.7.1.tar.gz | tar xf -
# Cd seccheck-0.7.1
# Mv modules.d seccheck.sh / usr / local / seccheck / bin
    
Tất cả mọi thứ được thực hiện như các kịch bản shell bash, vì vậy không có hướng dẫn cài đặt thực sự chặt chẽ, đặt các tập tin bất cứ nơi nào bạn muốn. Bạn có thể chỉ định một vị trí thay thế cho các mô-đun thư mục với các tùy chọn -m anyway.
Sử dụng seccheck
Theo mặc định, seccheck.sh sẽ tìm kiếm một thư mục modules.d trong cùng một thư mục trong đó kịch bản seccheck.sh nằm. Nếu module của bạn không nằm ở đó, bạn có thể sử dụng tùy chọn -m để xác định một vị trí thay thế mô-đun, ví dụ:
       
# ./seccheck.sh -m / Security / seccheck / mymodules
       
    
seccheck sau đó sẽ quét qua các modules.d cho module seccheck hợp lệ (được xác định bởi tên tập tin). Một tên tập tin mô-đun seccheck nên được các định dạng sau:
 seccheck_nn_somename.sh
Nơi nn là một số nguyên hai chữ số xác định thứ tự mà trong đó mô-đun nên được thực thi. Ví dụ, đi cùng với sự phân bố seccheck hiện tại, bạn sẽ tìm thấy các tập tin sau đây trong modules.d:
       
# Ls -1 modules.d
seccheck_00_services.sh
seccheck_01_users.sh
seccheck_03_kernelcheck.sh
seccheck_05_logging.sh
seccheck_10_accessauth.sh
seccheck_99_perms.sh
seccheck_NN_template.sh.NOT
       
    
Bạn có thể thấy seccheck_00_services.sh sẽ được xử lý trước khi seccheck_01_users.sh, và như vậy. Bạn có thể vô hiệu hóa một mô-đun bằng cách đổi tên nó một cái gì đó khác hơn so với quy ước, ví dụ, bằng cách thêm một hậu tố .NOT vào tên tập tin module.
Một mẫu được cung cấp để bạn có thể viết các module seccheck của riêng bạn.
Theo mặc định, seccheck sẽ viết tất cả mọi thứ ra stdout và stderr. Nếu bạn muốn chuyển hướng đến một tập tin đầu ra, chỉ cần sử dụng các tùy chọn -o và chỉ định một thư mục đầu ra. Sau khi chạy kịch bản, bạn sẽ được trái với một tập tin như:
 $ {} OUTPUT_DIR / seccheck- -YYYYMMDD-hhmm.log
chứa đầu ra của module của bạn.
Có gì mới trong phiên bản này: