seccheck

Seccheck is 'n funksie ryk, modulêre, gasheer-vlak sekuriteit checker vir Solaris 10.
Op die hersiening van die uitstekende sekuriteit maatstawwe beskikbaar oor by CI Sekuriteit, ek wou die sekuriteit kontrole van my Solaris 10 bedieners outomatiseer en produseer 'n baie gedetailleerde verslag met al sekuriteit waarskuwings, saam met aanbevelings vir die oplossing. Die oplossing was seccheck - 'n modulêre gasheer-sekuriteit skandering nut. Maklik verwissel en funksie ryk, hoewel op die oomblik slegs beskikbaar vir Solaris 10.
Dit dek nie 100% van die tjeks aanbeveel deur CI Sekuriteit, maar het 99% van hulle - die mense wat vir my belangrik is. Byvoorbeeld, ek gaan nie X opset omdat ek altyd verseker my bedieners loop nie X.
Installasie
Die bron verspreiding moet uitgepak om 'n geskikte plek wees. Ek stel voor iets soos die volgende te doen:
    
# Mkdir / usr / plaaslike / seccheck
# Chown wortel: wortel / usr / plaaslike / seccheck
# Chmod 700 / usr / plaaslike / seccheck
# Cd / usr / plaaslike / seccheck
# Mkdir bin uitset
# Cd / waar / u / afgelaai / seccheck
# Gzip -dc ./seccheck-0.7.1.tar.gz | teer xf -
# Cd seccheck-0.7.1
# Mv modules.d seccheck.sh / usr / plaaslike / seccheck / bin
    
Alles is geïmplementeer as bash tolk skripte, so daar is geen werklik streng installasie riglyne, plaas die lêers waar jy wil. Jy kan 'n alternatiewe plek vir die modules gids met die -M opsie in elk geval spesifiseer.
Die gebruik van seccheck
By verstek, sal seccheck.sh soek vir 'n modules.d gids in dieselfde gids waarin die seccheck.sh script geleë is. As jou modules nie daar geleë is, kan jy die -M opsie gebruik om 'n alternatiewe module plek spesifiseer, byvoorbeeld:
       
# ./seccheck.sh -M / Sekuriteit / seccheck / mymodules
       
    
seccheck sal dan scan deur die modules.d vir geldige seccheck modules (bepaal deur die lêernaam). A seccheck module lêernaam moet die volgende formaat wees:
 seccheck_nn_somename.sh
Waar nn is 'n twee-syfer heelgetal dat die volgorde waarin modules moet uitgevoer word bepaal. Byvoorbeeld, ingesluit met die huidige seccheck verspreiding jy die volgende lêers in modules.d vind:
       
# Ls -1 modules.d
seccheck_00_services.sh
seccheck_01_users.sh
seccheck_03_kernelcheck.sh
seccheck_05_logging.sh
seccheck_10_accessauth.sh
seccheck_99_perms.sh
seccheck_NN_template.sh.NOT
       
    
Jy kan sien dat seccheck_00_services.sh sal verwerk word voordat seccheck_01_users.sh, en so aan. Jy kan 'n module te skakel deur die hernoeming iets anders as die konvensie, byvoorbeeld, deur die aanbring van 'n .NOT agtervoegsel om die module lêernaam.
'N Templaat voorsien sodat jy jou eie seccheck modules kan skryf.
By verstek, sal seccheck alles uit te STDOUT en stderr skryf. As jy wil om te lei om 'n uitset lêer, net gebruik die o opsie en spesifiseer 'n uitset gids. Na die loop van die script, sal jy gelaat word met 'n lêer soos:
 $ {} OUTPUT_DIR / seccheck- -YYYYMMDD-hhmm.log
met die opbrengs van jou modules.
Wat is nuut in hierdie release: