O

penSCAP jest implementacją open source protokołu Security Content Automation Protocol, czyli SCAP, który analizuje system pod kątem zgodności ze standardami bezpieczeństwa. Przestrzeganie wytycznych i wskazówek w tym protokole umożliwia infrastrukturze opartej o system Linux spełnienie standardów przeznaczonych dla systemów klasy Enterprise oraz tych przewidzianych w PCI DSS. Do dyspozycji mamy narzędzie GUI (scap-workbench) lub dla linii poleceń (openscap-scanner), które umożliwiają nam przeskanowanie systemu pod względem zgodności z wybraną wcześniej polityką. Jeśli chcemy na poważnie potraktować wszystkie zalecenia, z którymi będziemy mogli zapoznać się w końcowym raporcie najlepiej od razu użyć wtyczki do anakondy – pozwoli ona na przeprowadzenie analizy bezpieczeństwa już podczas procesu instalacji systemu. W ten sposób nie będziemy musieli się martwić np. o jego przepartycjonowanie. Jeśli nasza dystrybucja różni się od rodziny Red Hat zawsze możemy przestudiować Przewodnik Bezpieczeństwa SCAP.

Więcej informacji: Make a RHEL7 server compliant with PCI-DSS, Security Harden CentOS 7, Contributing to SCAP Security Guide

N

ational Checklist Program Repository (NCP) jest rządowym repozytorium, publicznie dostępnych list kontrolnych oraz benchmarków, które dostarczają nisko poziomowe wskazówki na temat ustawień gwarantujących bezpieczeństwo systemów operacyjnych oraz aplikacji. NCP działa w ramach NIST i został powołany na mocy Cyber Security Research and Development Act z 2002 roku, aby rozwijać tego typu publikacje, które minimalizują ryzyko dla bezpieczeństwa sprzętu oraz oprogramowania, który jest lub może stać się powszechnie stosowany w obrębie rządu federalnego. Twórcy NCP wierzą, że takie wskazówki mogą znacząco przyczynić się do zmniejszenia narażenia na podatności różnego rodzaju organizację. Jest to prawie identyczna inicjatywa, jak wcześniej opisany CIS. Oprócz wykorzystania NCP jako dobrych praktyk w konfiguracji różnych systemów i aplikacji warto systematycznie przeglądać publikacje udostępniane w ramach Cybersecurity NIST oraz Computer Security Resource Center np. Vulnerability Description Ontology lub Dramatically Reducing Software Vulnerabilities.

Więcej informacji: NCPR

D

la każdego początkującego administratora / developera / devops’a przychodzi moment, gdy następuje faza skonfigurowania PHP po stronie serwera. W procesie tym zazwyczaj ustawiane są podstawowe opcje, które mają na celu jak najszybsze doprowadzenie do stanu: działa. Nie zawsze idzie to w parze: działa bezpiecznie. W tym celu powstało narzędzie iniscan mające na uwadze wprowadzenie najlepszych praktyk konfiguracji PHP, aby zminimalizować ryzyko przedostania się do serwera WWW szkodliwego kodu lub nawet uzyskania do niego pełnego dostępu.
[ czytaj całość… ]

C

IS jest organizacją non-profit założoną w październiku 2000 roku, której misją jest “podwyższanie gotowości i zdolności do cyberbezpieczeństwa wśród podmiotów sektora publicznego i prywatnego”. Wykorzystując swoją siłę w współpracy z przedsiębiorcami oraz organizacjami rządowymi CIS stara się podejmować wyzwania bezpieczeństwa cybernetycznego na globalną skalę. Pomaga również organizacją przyjmować kluczowe z najlepszych praktyk w celu uzyskania natychmiastowej i skutecznej obrony przed cyberatakami. W skład działań CIS wchodzą m.in. Multi-State Information Sharing and Analysis Center (MS-ISAC), CIS Security Benchmarks oraz CIS Critical Security Controls. Nas będą interesować benchmarki.
[ czytaj całość… ]

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

Z

ainstalowaliśmy i skonfigurowaliśmy serwery DNS – wydają się, że działają poprawnie. Możemy wykorzystać do ich sprawdzenia różnego rodzaju narzędzia pochodzące z naszego systemu operacyjnego np. host lub nslookup. Jednak zamiast tego – do przetestowania naszych publicznie dostępnych serwerów DNS możemy wykorzystać takie serwisy jak: Pingdom Tools: DNS Health lub intoDNS, które potrafią zaoszczędzić nam dużo czasu. Sprawdzają one nie tylko kompleksowo naszą konfigurację, ale również w przypadku wykrycia błędu lub odstępstwa od standardu zasugerują zmiany. Innymi serwisami tego typu również są: DNSsy oraz DNS Check.