LBSA — Linux Basic Security Audit скрипт

Это базовый сценарий аудита безопасности Linux для непрерывного применения политик (CPE). Сценарий может быть запущен из командной строки от имени пользователя root или, в идеале, на регулярной основе с использованием cron или другого планировщика для проверки изменений конфигурации.

Цель сценария — сообщить администратору о возможных настройках, которые можно изменить, чтобы обеспечить более безопасную  работу системы. Имейте в виду, что следование этим рекомендациям не всегда является хорошей идеей, поскольку в некоторых случаях они могут привести к неудобству в работу. Как и в случае любых системных изменений, вы должны понимать последствия любых изменений, которые вы делаете, прежде чем их вносить.

Если рекомендаций нет, сценарий просто выводит одну строку, в которой говорится, что системные проверки завершены. Это позволяет легко использовать его в автоматизированной системе для регулярного отслеживания безопасности. Например, вы можете вызывать этот сценарий каждые n минут как часть более крупного сценария, который имеет больше правил для вашей конкретной среды, и, если выходные данные не соответствуют строке «Проверка системы завершена», отправить выходные данные на свой адрес электронной почты.

Этот скрипт работает «из коробки» и рекомендует только несколько небольших важных изменений в вашей системе, которые легко применить. После этого его можно использовать как часть вашего мониторинга безопасности сервера.

Скрипт сканирует:

  • распространенные уязвимости в настройках учетной записи Linux
  • распространенные уязвимости в настройках SSH
  • общие уязвимости в файловой системе временной и разделяемой памяти (например, /tmp, /var/tmp, /dev/shm)
  • рекомендации по разрешению файловой системы, которые могут защитить большинство систем без ущерба для нормальной работы
  • heartbeat и разрешения файла конфигурации DRBD

Текущая версия указана в верхней части скрипта: