LUNAR – Lockdown UNix Auditing and Reporting
Napisał: Patryk Krawaczyński
08/02/2017 w Bezpieczeństwo Brak komentarzy. (artykuł nr 587, ilość słów: 537)
L
UNAR jest narzędziem do audytu systemów z rodziny *nix opartym na kilku benchmarkach oraz innych frameworkach. W skryptach źródłowych można znaleźć nawet adnotacje odnoszące się do konkretnych punktów z zaleceń benchmarków. Obsługuje m.in systemy: RHEL 5, 6, 7 (w tym CentOS oraz Scientific Linux); SLES 10, 11, 12; Debian / Ubuntu; Amazon Linux; Solaris 6, 7, 8, 9, 10 oraz 11 oraz Mac OS X. Jak sam autor zaleca, aby mieć największą pewność, że żadne niepowołane zmiany zostaną dokonane w naszym systemie – najlepiej uruchamiać narzędzie w trybie audytu (-a
). W ten sposób do wykrytych nieprawidłowości można odnieść się poprzez czytanie konkretnych instrukcji kodu (całość napisana jest w języku powłoki bash) lub wspomnianych wcześniej komentarzy. Gdyby doszło to jakieś pomyłki istnieje możliwość wycofania zmian, ponieważ pliki są backupowane za pomocą cpio.
Przed wykonaniem danego fragmentu audytu możemy sprawdzić m.in. dokumentację opisującą do czego będzie odnosić się sprawdzenie konfiguracji:
./lunar.sh -d audit_apache # SYSTEM INFORMATION: Platform: i386 Vendor: Apple Name: Darwin Version: 10.12 Update: 3 Checking: If node is managed Notice: Node is not managed # Module: audit_apache # Solaris: # The action in this section describes disabling the Apache 1.x and 2.x web # servers provided with Solaris 10. Both services are disabled by default. # Run control scripts for Apache 1 and the NCA web servers still exist, # but the services will only be started if the respective configuration # files have been set up appropriately, and these configuration files do not # exist by default. # Even if the system is a Web server, the local site may choose not to use # the Web server provided with Solaris in favor of a locally developed and # supported Web environment. If the machine is a Web server, the administrator # is encouraged to search the Web for additional documentation on Web server # security. # Linux: # HTTP or web servers provide the ability to host web site content. # The default HTTP server shipped with CentOS Linux is Apache. # The default HTTP proxy package shipped with CentOS Linux is squid. # Unless there is a need to run the system as a web server, or a proxy it is # recommended that the package(s) be deleted. # Refer to Section(s) 3.11,14 Page(s) 66-9 CIS CentOS Linux 6 Benchmark v1.0.0 # Refer to Section(s) 2.2.10 Page(s) 110 CIS Ubuntu Linux 16.04 Benchmark v1.0.0 # Refer to Section(s) 3.11,14 Page(s) 79-81 CIS RHEL 5 Benchmark v2.1.0 # Refer to Section(s) 3.11,14 Page(s) 69-71 CIS RHEL 6 Benchmark v1.2.0 # Refer to Section(s) 2.2.10,13 Page(s) 110,113 CIS RHEL 7 Benchmark v2.1.0 # Refer to Section(s) 6.10,13 Page(s) 59,61 CIS SLES 11 Benchmark v1.0.0 # Refer to Section(s) 2.4.14.7 Page(s) 56-7 CIS OS X 10.5 Benchmark v1.1.0 # Refer to Section(s) 2.10 Page(s) 21-2 CIS Solaris 11.1 v1.0.0 # Refer to Section(s) 2.2.11 Page(s) 30-2 CIS Solaris 10 v5.1.0 # Refer to Section(s) 2.2.10,13 Page(s) 102,105 CIS Amazon Linux Benchmark v2.0.0
Więcej informacji: A UNIX security auditing tool based on several security frameworks