Forum Debian Users Gang

bns · 2011-01-18 16:54:47

Witam, ma ktoś z Was doczynienia z systemami, które w skrócie; monitorują czy nie ma wymaganych łatek w systemie, gdzieś sa źle nadane uprawnienia, polityki, konfiguracja usług, nie ma potencjalnych dziur itp np. tenable security center (centralny nessus), foundstone, cualys?

Może ktoś coś innego poleci? :)

azhag · 2011-01-18 19:47:05

Grml ma tego trochę:
- debsecan
- flawfinder
- harden-tools
- grml-sectools
- rats
- advchk

Jacekalex · 2011-01-19 11:36:47

Działa:
http://www.trapkit.de/tools/checksec.html
chkrootkit
rkhunter

Nie sprawdzałem:
http://www.debianhelp.co.uk/checksecurity.htm

Do tego np w Gentoo jest glsa-check,w FreeBSD portaudit, w Debianie aktualizacje bezpieczeństwa.

Do tego logi, logi, i jeszcze raz logi:
grsec, pax, apparmor czy auditd potrafią bardzo dużo powiedzieć o każdym programie, jaki rozrabia w systemie.
np:

Kod:

ls /proc/sys/kernel/grsecurity  |egrep 'log|stack|limit' | grep -v chroot
exec_logging
execve_limiting
forkfail_logging
lastack_retries
resource_logging
signal_logging
timechange_logging

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-01-19 11:37:22)

bns · 2011-01-19 17:52:43

Dzięki.

Bardziej chodziło mi o centralne środowisko gdzie definuje szablon z swoimi politykami, SOX, PCI DSS albo HIPAA, ustawieniami, konfiguracjami i wyszukuje czy jakiś system w sieci nie spełnia tych wymagań.

W dobie wirtualizacji naprodukowanie bardzo dużej ilości maszyn, to nie problem :) Latanie po każdym serwerze i sprawdzanie czy konta mają wymaga 30 dni na zmianę hasła, katalogi użytkowników odpowiednie uprawnienia, plik konf serwera www, db mają odpowiednie zmienne itp :)

Niektóre rozwiązania znam, niektóre sprawdzę ale raczej jako hardending serwera a nie vulnerability management, penetration testing.

Jak by kogoś interesował temat, to oprócz 3 które wymieniłem wyżej mogą być jeszcze:
http://www.metasploit.com/ http://www.immunitysec.com/products-canvas.shtml http://www.coresecurity.com/ http://www.gfi.com/lannetscan

Ostatnio edytowany przez bns (2011-01-19 17:59:20)

Jacekalex · 2011-01-20 00:25:11

bns napisał(-a):
Dzięki.

Bardziej chodziło mi o centralne środowisko gdzie definuje szablon z swoimi politykami, SOX, PCI DSS albo HIPAA, ustawieniami, konfiguracjami i wyszukuje czy jakiś system w sieci nie spełnia tych wymagań.

Do tego jest głównie snort lub suricata (sniffery) i np honeyd - do wykrywania pm.in trojanów rozłażących się po LAN.

Natomiast do sprawdzenia systemu operacyjnego raczej soft na tym systemie i dostęp lokalny lub zdalny (np ssh).

Co do metasploita - - testować kilka tys. exploitów?
Przyjemnej zabawy :)

O wiele bardziej opłaca się uznać wszystkie programy za dziurawe, i traktować je sandboxami, jailami, itp.
Na Win$ fajne możliwości ma między innymi Comodo-firewall (moduł Defense+), lub Sandboxie, na Linuxie jest trochę możliwości, od skryptów checksecurity czy ninja, aż po Apparmor, Selinux, Grsecurity, Pax.

A podobno lepiej zapobiegać niż leczyć.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-01-20 00:29:32)

Forum Debian Users Gang

Ogłoszenie

#1 2011-01-18 16:54:47

bns - unknown

Monitorowanie bezpieczeństwa systemów

#2 2011-01-18 19:47:05

azhag - Admin łajza

Re: Monitorowanie bezpieczeństwa systemów

#3 2011-01-19 11:36:47

Jacekalex - Podobno człowiek...;)

Re: Monitorowanie bezpieczeństwa systemów

Kod:

#4 2011-01-19 17:52:43

bns - unknown

Re: Monitorowanie bezpieczeństwa systemów

#5 2011-01-20 00:25:11

Jacekalex - Podobno człowiek...;)

Re: Monitorowanie bezpieczeństwa systemów

bns napisał(-a):

Stopka forum