В качестве последующего действия по изменению пароля по умолчанию я проводил общий аудит безопасности на ряде систем, которыми я управляю, в рамках ежемесячной административной процедуры.
Многие читатели знают, что я пытаюсь внедрить информацию о безопасности во многие мои колонки и посты в блогах, ссылаясь на аутентификацию, обнаружение вторжений, предотвращение спама и другие факторы / продукты для защиты вашей системы с открытым исходным кодом. Таким образом, я решил изучить эталонный инструмент Центра для интернет-безопасности для Linux . В настоящее время он поддерживает только платформы Red Hat (Enterprise Linux и Fedora Cores).
Установка так же проста, как распаковка и переключение на пользователя root. Инструмент доступен только для чтения, поэтому при выполнении сценария не нужно бояться. Я запустил инструмент на своем собственном веб-сервере в качестве теста, прежде чем перейти на любое пользовательское оборудование. Этот конкретный сервер работает под управлением Fedora Core 3, использует iptables для межсетевого экрана и разрешает ssh и sftp только для удаленного доступа. Он также содержит обычные демоны платформы LAMP, Tripwire для Linux для обнаружения вторжений и контроля изменений в файлах конфигурации, а также QMail в качестве MTA (с запущенными vpopmail, qmailadmin, tcpserver и spamassassin).
Эта коробка управляет плотным кораблем, и остается мало шансов, насколько это возможно, трещины, через которые может проникнуть злоумышленник. Тем не менее, в CIS были раскрыты подробности о том, как настроить систему, чтобы подтянуть ее до почти полностью закаленного уровня (если не считать отключение Apache, Qmail и MySQL) за пределами настройки, которую я ускорил при ее создании.
В частности, мне нравится, что инструмент принимает во внимание сервисы, не необходимые для запуска или запуска ОС, которые могут быть отключены для следующей перезагрузки (например, Kudzu для обнаружения оборудования — удобно для сценария на рабочем столе, но не обязательно для сервера, CUPS для печати если печать не требуется и т. д.).
В идеале было бы оптимальным запустить этот тест после чистой сборки коробки со вкусом Red Hat — настроить ее перед запуском в производство. Поскольку мы живем не в идеальном мире, я просто встроу этот инструмент в свой процесс проверки и повторной проверки серверов на регулярной основе. Я хотел бы поощрять то же самое для всех, кто читает это.
Если вы используете BSD, Solaris или Windows, откройте домашнюю страницу CIS, так как есть инструменты для тестирования для нескольких платформ.