首先这个问题不是重复的这个。
我需要的是一个适用于特定或所有主要 Linux 发行版的与应用程序无关的安全分析器。它应该做的事情如下:
- 检查是否打开任何未使用的端口(如果某些特定服务正在侦听特定端口,则可以)
- 确保正在使用的任何主流服务的配置文件权限都正常(例如
setgid配置bind文件等) - 各种操作系统强化方面:ssl 密钥位于具有正确权限的同一文件夹(即
/etc/certs/)中,挂载标志/tmp和其他分区不构成或最小威胁,进程绑定到localhost,ssh配置正确(禁用通过登录,禁用 root 登录)等。 - 监控配置:
root邮件转发给其他用户、日志安全存储/转发等。
此类工具的目的是验证新构建的packerAWS AMI 或virtualbox映像。
因此,我正在寻找某种动态操作系统配置分析器,以确保配置正确,并且所使用的基础盒在安全方面没有缺陷。
有什么建议么?
答案1
莱尼斯是一个通用的 Linux 安全检查器,编写为 shell 脚本的集合;它是免费的(GPL),并且被设计为可由站点管理员扩展,因此这可能是您所寻求的最佳匹配。
答案2
经过与已接受答案相同方向的一些额外研究后,我发现了另一个选项,这可能是使用 Ansible/Chef/Puppet 集成到配置管道中的不错选择。
开发安全提供现成的 Ansible 剧本(以及 Chef 食谱和 Puppet 清单),以确保操作系统符合各种安全标准(NIST、ISO 等)。
该解决方案的好处是它修复了配置问题。坏事 - 它可能是您不想以特定方式禁用或配置的东西。