systemd-analyze security
同じコマンド(またはサービスの場合はlynisなどのプログラムrun)を実行すると、私のsystemd-analyze security
ように「安全でない」または「パブリック」サービスのリストが表示されることがあります。これは、Oscap(CUSPなど)を使用してセキュリティプロファイルを適用した後にも発生します。
改善方法に関する情報を検索し、たとえば次のリソースを見つけました。
- https://www.redhat.com/sysadmin/systemd-secure-services
- https://www.redhat.com/sysadmin/mastering-systemd
- https://www.ctrl.blog/entry/systemd-service-hardening.html
- https://www.linuxjournal.com/content/systemd-service-strengthening
基本的に、サービスを保護するためには、サービスについて十分に知っておく必要があるようです。自動化された方法でセキュリティ対策を追加することは不可能です。」
これはオートメーションツールがなく、おそらく最初のステップである可能性があるデフォルトのパラメータセットを展開することを意味しますか?この記事は2020-21年に作成されました。役に立つものを見つけてください:)。
とても感謝しています!
答え1
私はどんなツールも知らず、この質問に確実に答えることはできません。しかし、それが何を意味するのかは推測できます。「自動化された方法でセキュリティ対策を追加することは不可能です。」。たとえば、次のような出力を見ると
systemd-analyze security sshd
リストされている80の機能のうち71が安全ではないと見なされます。
誰かがこれをすべて実行し、妥当性を決定したと仮定し、それをデータベースに配置し(ツールを介して)自動化の目的でそのデータベースへのアクセスを許可しました。テストなしで彼らの主張が適切であるかどうかをどのように判断できますか?状況が悪くなったら何が必要ですか? ?
上記のサービスについて希望ディストリビューションの管理者は、広く安全と見なされる機能のみを提供するのに十分なサービスについて知っています。