우선 이 질문은 중복된 질문이 아닙니다이것.
나에게 필요한 것은 특정 또는 모든 주요 Linux 배포판에서 작동하는 애플리케이션에 구애받지 않는 보안 분석기입니다. 수행해야 할 작업은 다음과 같습니다.
- 사용하지 않는 포트가 열려 있는지 확인하세요. (특정 서비스가 특정 포트를 수신하고 있다면 괜찮습니다.)
setgid
사용 중인 주요 서비스(예: 구성bind
파일 등) 에 대한 프로필 권한이 올바른지 확인하세요./etc/certs/
다양한 OS 강화 측면: SSL 키는 올바른 권한을 가진 동일한 폴더(예: )에 있고 , 마운트 플래그/tmp
및 기타 파티션은 위협이 없거나 최소한으로 존재하며, 프로세스는 에 바인딩되어 있으며localhost
,ssh
구성은 정확합니다(패스 로그인 비활성화, 루트 로그인 비활성화).- 모니터링 구성:
root
이메일을 다른 사용자에게 전달, 보안 로그 저장/전달 등
이러한 도구의 목적은 새로 구축된 packer
AWS AMI 또는 virtualbox
이미지를 검증하는 것입니다.
그래서 구성이 올바른지, 사용 중인 베이스 박스에 보안 결함이 없는지 확인하기 위해 일종의 동적 OS 구성 분석기를 찾고 있습니다.
어떤 제안이 있으십니까?
답변1
레니스쉘 스크립트 모음으로 작성된 범용 Linux 보안 검사기입니다. 무료(GPL)이며 사이트 관리자가 확장할 수 있도록 설계되었으므로 이것이 아마도 귀하가 찾고 있는 가장 적합한 제품일 것입니다.
답변2
승인된 답변과 동일한 방향으로 추가 조사를 한 후 Ansible/Chef/Puppet을 사용하여 구성 파이프라인에 통합하는 것이 좋은 선택이 될 수 있는 또 다른 옵션을 찾았습니다.
개발 보안운영 체제가 다양한 보안 표준(NIST, ISO 등)을 준수하는지 확인하기 위해 기성품 Ansible 플레이북(Chef 레시피 및 Puppet 체크리스트 포함)이 제공됩니다.
이 솔루션의 이점은 구성 문제를 해결한다는 것입니다. 나쁜 점 - 특정 방식으로 비활성화하거나 구성하고 싶지 않은 것일 수도 있습니다.