Éles szerveren Lynis Hardening Indexem ...

 ( KissT | 2017. szeptember 5., kedd - 8:09 )
x < 50
4% (4 szavazat)
50 < x < 60
2% (2 szavazat)
60 < x < 70
12% (11 szavazat)
70 < x < 80
8% (7 szavazat)
80 < x < 90
3% (3 szavazat)
90 < x < 100
0% (0 szavazat)
100
3% (3 szavazat)
Egyéb, leírom.
67% (62 szavazat)
Összes szavazat: 92

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hint: https://github.com/CISOfy/lynis

--
trey @ gépház

110%, mert éles szerveren nem futtatok ilyeneket. :)

--
trey @ gépház

Leklónozod a szervert és megnézed a klónt. :)

--
arch,debian,retropie,osmc,android,windows

Ha az összes referenciája annyi, hogy egy audit tool, amit az rkhunter fejlesztője rakott össze, akkor nem hiszem, hogy érdekel. Mivel rendelkezik még?

--
trey @ gépház

⸮ Igazad van, a security audit tök fölösleges ⸮

Csúsztatsz. Nem felesleges az audit, de nyilván nem mindegy, hogy milyen eszközökkel, azt az eszközt ki szállítja stb.

--
trey @ gépház

Ha egy auditor cég rakná le, hogy itt ez a targézé, csomagold ki, futtasd le, és az eredményt küldd el nekik, akkor persze jobb, tisztább, szárazabb és biztonságosabb érzés lenne...
Nekem volt már szerencsém olyan audit scripthez, ami úgy volt kaka, ahogy az kell, úgyhogy az azt elkövető auditor szépen megkapta a nagy büdös semmit - merthogy némi belevakarás nélkül ennyit adott vissza a "náluk már sokszor bizonyított" bughalmazuk, akarom mondani scriptjük...

Abban az esetben azé a felelősség, aki a nyakadra hozta az auditor céget és nem a tied.

--
trey @ gépház

Gyanús, CHANGELOG.md-ben Finish a Finnish helyett :D

Egyéb: wat?

--
arch,debian,retropie,osmc,android,windows

+1 :)

+1
--
"Sose a gép a hülye."

Ez amúgy a CIS ajánlásokat ellenőrzi/auditálja, vagy van benne más is? A "cisofy" név miatt gondolom, de a doksiba belepillantva nem találtam erre konkrét utalást.

HIPAA / ISO27001 / PCI DSS

A komolyságáról:
> * Add a legal banner to /etc/issue, to warn unauthorized users [BANN-7126]

Más gyöngyszemek:
> * Install Apache mod_evasive to guard webserver against DoS/brute force attempts [HTTP-6640]
> * Install Apache modsecurity to guard webserver against web application attacks [HTTP-6643]

Köszi, nem, apache sincs a gépemen.

Ha a HTTP-6622 nem talal telepitett Apache-t akkor az osszes Apache test atugrasra kerul, szoval vagy bugot talaltal vagy van Apache telepitve.
A legal banner meg ... lehet hogy hulyen hangzik de nagyon sok helyen elvaras.

Be is állítottam: 'Abandon hope all ye who enter here'

Sirjal, minden auditunkon ellenorzik a bannert.

--
L

Security by obscurity. Vagy még annál is gyengébb. Szóval értem, de na.

Ahogy a kapura/bejáratra is ki _kell_ írnod, hogy magánterület, belépés csak engedéllyel, meg ha van, akkor kamerával megfigyelt terület, úgy a számíógépes rendszer esetén is elvárás, hogy a belépés és használat feltételeire, a tevékenység monitorozására vonatkozó figyelmeztetés belépés _előtt_ ott legyen a felhasználó előtt.

Ha például egy default Ubuntu / CentOS install kap ezen a teszten mondjuk 50%-ot, miért nem tesz meg mindent a distro kiadója, hogy alapból biztonságosabb legyen? Például alapból a tmp külön partíció, nem indíthatóan, van sok olyan beállítás, ami 1-1 sor a konfigurációban és ott lehetne.
Vagy miért nincs egy olyan kis tool, ami az összes ilyet beállítaná? Nyilván, mindenki be tudja egyenként állítani, de ha biztonságosabb lenne úgy, miért nem alapból olyan?

Sakk-matt,
KaTT :)

Szerintem kenyelem, mert hardening alatt olyanok is vannak mint shell timeout, meg disable USB, disable fireware meg stb ami kellokeppen kenylemetlen napi hasznalatban pl egy laptop-on, de pl a server verzioban ( ha van olyan pl ubuntu ) akkor lehetne alapertelmezett.

Xubuntu live 16 x64, 64 pontot kap.

A PfSense 2.3.4 csak 63-at. ;)

  ! Multiple users with UID 0 found in passwd file [AUTH-9204]
      https://cisofy.com/controls/AUTH-9204/

Kvázi default CentOS telepítésnél 70 körül van. De szerény véleményem szerint a figyelmeztetések nagy része szimpla security by obscurity faszság.

Erről lehetne vitatkozni, például melyikről gondolod ezt?

SSH port áthelyezését minek nevezed, ha nem security by obscurity?