systemd-analyze security
같은 명령 (또는 서비스의 경우 lynis 같은 프로그램 run ) 을 실행하면 systemd-analyze security
나처럼 "안전하지 않은" 또는 "공용" 서비스 목록이 표시될 수 있습니다. 이는 Oscap(예: CUSP)을 사용하여 보안 프로필을 적용한 후에도 발생합니다.
개선 방법에 대한 정보를 검색했으며 예를 들어 다음 리소스를 찾았습니다.
- https://www.redhat.com/sysadmin/systemd-secure-services
- https://www.redhat.com/sysadmin/mastering-systemd
- https://www.ctrl.blog/entry/systemd-service-hardening.html
- https://www.linuxjournal.com/content/systemd-service-strengthening
기본적으로 서비스를 보호하기 위해서는 서비스에 대해 충분히 잘 알아야 할 것으로 보이며, 첫 번째 링크에 "자동화된 방식으로 보안 조치를 추가하는 것은 불가능합니다."
이는 자동화 도구가 없으며 아마도 첫 번째 단계일 수 있는 기본 매개변수 세트를 배포한다는 의미입니까? 이 기사는 2020-21년에 작성되었습니다. 유용한 내용을 찾으시기 바랍니다 :).
매우 감사합니다!
답변1
나는 어떤 도구도 모르고 이 질문에 확실하게 대답할 수 없습니다. 하지만 그게 무슨 뜻인지는 짐작할 수 있어요"자동화된 방식으로 보안 조치를 추가하는 것은 불가능합니다.". 예를 들어, 다음과 같은 출력을 보면
systemd-analyze security sshd
나열된 80개 기능 중 71개가 안전하지 않은 것으로 간주됩니다.
누군가가 이 모든 작업을 수행하고 타당성을 결정했다고 가정하고 이를 데이터베이스에 넣고 (도구를 통해) 자동화 목적으로 해당 데이터베이스에 대한 액세스 권한을 부여했습니다. 테스트 없이 그들의 주장이 적합한지 어떻게 판단할 수 있습니까? 상황이 나빠지면 필요한 것은 무엇입니까? ?
위의 서비스에 대해 나는희망배포판의 관리자는 널리 안전하다고 간주되는 기능만 제공할 만큼 서비스에 대해 충분히 알고 있습니다.