![Linuxディストリビューション用に設定されたシステムレベルのセキュリティアナライザはありますか? [閉鎖]](https://linux33.com/image/113353/Linux%E3%83%87%E3%82%A3%E3%82%B9%E3%83%88%E3%83%AA%E3%83%93%E3%83%A5%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E7%94%A8%E3%81%AB%E8%A8%AD%E5%AE%9A%E3%81%95%E3%82%8C%E3%81%9F%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%83%AC%E3%83%99%E3%83%AB%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A2%E3%83%8A%E3%83%A9%E3%82%A4%E3%82%B6%E3%81%AF%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%81%8B%EF%BC%9F%20%5B%E9%96%89%E9%8E%96%5D.png)
まず、この質問は重複した質問ではありませんこれ。
私にとって必要なのは、特定またはすべての主要なLinuxディストリビューションで動作するアプリケーションに拘束されないセキュリティアナライザです。実行する必要がある作業は次のとおりです。
- 未使用のポートが開いていることを確認してください。 (特定のサービスが特定のポートを受信している場合は問題ありません。)
setgid使用している主要サービス(設定bindファイルなど)のプロファイル権限が正しいことを確認してください。/etc/certs/さまざまなOS強化の側面:SSLキーは正しい権限を持つ同じフォルダ(たとえば)にあり、マウントフラグやその他の/tmpパーティションは脅威や最小限に存在し、プロセスはにバインドされておりlocalhost、ssh設定は正確です(パスログインを無効にする、ルートログインを無効にする)。- 監視設定:
root電子メールを他のユーザーに転送、セキュリティログの保存/配信など
これらのツールの目的は、新しく構築されたpackerAWS AMIまたはvirtualboxイメージを検証することです。
そのため、構成が正しいこと、および使用しているベースボックスにセキュリティ上の欠陥がないことを確認するために、ある種の動的OS構成アナライザーを探しています。
どんな提案がありますか?
答え1
レニスシェルスクリプトのコレクションで作成された汎用Linuxセキュリティチェッカーです。これは無料(GPL)であり、サイト管理者が拡張できるように設計されているため、これはおそらくあなたが探している最も適切な製品です。
答え2
承認された回答と同じ方向に追加の調査を行った後、Ansible / Chef / Puppetを使用して構成パイプラインに統合するのが良い選択になる可能性がある別のオプションを見つけました。
開発セキュリティオペレーティングシステムがさまざまなセキュリティ規格(NIST、ISOなど)に準拠していることを確認するために、既製のAnsibleプレイブック(ChefレシピとPuppetチェックリストを含む)が用意されています。
このソリューションの利点は、構成の問題を解決することです。悪い点 - 特定の方法で無効にしたり設定したくないことがあります。