10 marzo 2011

Una de las herramientas que mas he usado a lo largo del tiempo para auditar la seguridad de los servidores a nivel interno, ha sido Cis Scan, herramienta que grosso modo lo que hace es comprobar la configuración de un servidor (ya sea Linux, Windows, Solaris ...) y verificar el grado de 'hardening' que se le ha aplicado, dando una bonita nota y un completo informe sobre recomendaciones.

Hasta no hace mucho esta herramienta era totalmente libre y permitía construir toda una política homogénea de hardening a su alrededor, concepto muy útil a nivel organización. Hace un tiempo esta herramienta dejó de tener versión libre y ahora hay que pasar por caja para usarla.

Desde ese momento he andado buscando alguna alternativa y entre otras herramientas he probado checklistlinux.

checklistlinux todavía es una herramienta embrionaria que permite radiografiar un sistema Linux y detectar problemas típicos asociados a permisos en ficheros, configuraciones demasiado laxas o relacionadas con la política de gestión de contraseñas.

checklistlinux audita:
  • Usuarios por defecto activos en el sistema
  • Archivos cuyos permisos puedan suponer un problema
  • Configuración del Syslog
  • Política de durabilidad de las contraseñas
  • Configuración TCP/IP a nivel kernel 
  • Configuración del servicio SSH
Una vez terminada la auditoría genera un informe en formato HTML para su posterior revisión.

Como decía al principio, la herramienta aun siendo útil, le faltan muchas cosas para parecerse a CIS, aun así es un proyecto muy prometedor a tener en cuenta  

11 comments :

Ignacio Agulló Sousa dijo...

"Hasta no hace mucho esta herramienta era totalmente libre". Ya sabes lo que voy a preguntar... ¿hay algún sitio donde se pueda descargar la última versión libre?

Beatriz dijo...

En esa línea,usé Lynis (http://www.rootkit.nl/files/lynis-documentation.html) alguna vez. Habrá que probar ésta para ver diferencias. Gracias.

Lorenzo Martínez dijo...

@Beatriz -> Hace tiempo hicimos un análisis de Lynis y no nos pareció una mala herramienta http://www.securitybydefault.com/2009/04/lynis-herramienta-de-auditoria-para.html

chencho dijo...

Tiene bemoles que los paquetes para descargarte el checklist este estén comprimidos con rar.

maliciousmind dijo...

otra que me gusta mucho es YASAT (Yet Another Stupid Audit Tool), revisa muchas cosas de la seguridad del server....

http://yasat.sourceforge.net/

Beatriz dijo...

@Lorenzo, gracias por el enlace, voy a echar un vistazo!

situ dijo...

En estos dias voy a tratar de subir nuevas comprobaciones al script, si alguno tiene algun recomendacion sera bienvenida :D
@artsweb

Yago Jesus dijo...

@situ eres el autor ?? Porque no te bajas los benchmarks de CIS y lo usas como guía ?? Estaría genial

situ dijo...

Yago, si el autor.
vVoy a leer los documentos que me comentas así puedo enriquecer la aplicación.
Saludos
twitter: @artsweb

situ dijo...

Yago, si el autor.
vVoy a leer los documentos que me comentas así puedo enriquecer la aplicación.
Saludos
twitter: @artsweb

situ dijo...

En estos dias voy a tratar de subir nuevas comprobaciones al script, si alguno tiene algun recomendacion sera bienvenida :D
@artsweb