Одит на фирмени компютри с Линукс

[wannaBe]

Търсих, не намерих тема.

На някого правили са ви одит на линукс работните станции и сърварите на работното ви място?

Работя в малка фирмаи работните ни станции са Линукс. Едно 4 девове сме и съответно всеки с различна дистрибуция, което е супер че имаме възможност да ползваме каквото си искаме, но това ни захапа най-накрая и ще ни правят одит лятото и трябва да покажем колко сигурни и надеждни са ни системите. Някой да ни не хакне лаптоповете и да направи Мизерий

Всяка информация ще ми бъде полезна. всеки е или зает или не знае изобщо как се защитава пред одиторите като попитат, а защо Х и защо еди си какво.

Одита е от клиенти и сме чули че си гледат и не спят. Одит от държавна институция знаем как да минаваме

(имаме ли си дума за одит?? )

[Mozo]

Одит си е

@Zeroadhesion бачка в корпоративна среда с Linux, той би трябвало да знае най-добре.

[wannaBe]

Интересен инструмент за автоматичен одит е Lynis, това ми даде като резултат 73 от 100. Дали 73 е достатъчно е друг въпрос, но е готин инструмент 270 секюрити теста прави автоматично

Интересно би ми било другите колко имате, иска судо

https://github.com/CISOfy/Lynis

Код за потвърждение: Избери целия код

 Lynis security scan details:

  Scan mode:
  Normal [▆]  Forensics [ ]  Integration [ ]  Pentest [ ]

  Lynis modules:
  - Compliance status      [?]
  - Security audit         [V]
  - Vulnerability scan     [V]

  Details:
  Hardening index : 73 [##############      ]
  Tests performed : 271
  Plugins enabled : 2

  Software components:
  - Firewall               [V]
  - Intrusion software     [X]
  - Malware scanner        [X]

  Files:
  - Test and debug information      : /var/log/lynis.log
  - Report data                     : /var/log/lynis-report.dat

[Montoya]

Ето, инсталирах за да покажа

Код за потвърждение: Избери целия код

Lynis security scan details:

  Scan mode:
  Normal [▆]  Forensics [ ]  Integration [ ]  Pentest [ ]

  Lynis modules:
  - Compliance status      [?]
  - Security audit         [V]
  - Vulnerability scan     [V]

  Details:
  Hardening index : 63 [############        ]
  Tests performed : 246
  Plugins enabled : 0

  Software components:
  - Firewall               [V]
  - Intrusion software     [X]
  - Malware scanner        [X]

  Files:
  - Test and debug information      : /var/log/lynis.log
  - Report data                     : /var/log/lynis-report.dat

[Zeroadhesion]

Одит си е

@Zeroadhesion бачка в корпоративна среда с Linux, той би трябвало да знае най-добре.

Еми да, ама и използваме корпоративни тулове за Security Hardening Compliance & Penetration test. И за съжаление нямам право да казвам кои. А и те са скъпи.

Като цяло е важно Firewall да е настроен кадърно, колкото по-висок клас и с повече защити, толкова по-добре.
Сканирайте с тоя туул, който си намерил и си ъпдейтвайте постоянно дистротата.
Правете бекъп на важната информация всеки ден и се грижете бекъпа да е добре защитен.

[beggginer]

При мен е същото в Арч, но имам port knocking, firewall rule за цял range, wake-on-lan и password-less login до X с руут права, където зарежда Sunshine. Няма нищо secure в тоя сетъп

Доколкото видях advisories, следи за права и конфигурации, дори неща като дали имаш парола на БИОС-а, битлокер парола, криптиране, каква ти е файловата система.. Можеш да си конфигурираш така правата, защитната стена и останалите компоненти, че да изкараш максимално висок резултат. Има някои хардуерни лимитации, разбира се.

Не знам дали това ще помогне с аудита, но със сигурност няма да навреди

[Zeroadhesion]

При мен е същото в Арч, но имам port knocking, firewall rule за цял range, wake-on-lan и password-less login до X с руут права, където зарежда Sunshine. Няма нищо secure в тоя сетъп

Доколкото видях advisories, следи за права и конфигурации, дори неща като дали имаш парола на БИОС-а, битлокер парола, криптиране, каква ти е файловата система.. Можеш да си конфигурираш така правата, защитната стена и останалите компоненти, че да изкараш максимално висок резултат. Има някои хардуерни лимитации, разбира се.

Не знам дали това ще помогне с аудита, но със сигурност няма да навреди

Каква битлокер парола?
Иначе да, всичките дискове на работните машини трябва да са ви криптирани - good point!
Естествено освен /boot (UEFI) дяла, там трудна работа.

[Zeroadhesion]

А, забравих - клиентите които са ви подготвили одит, би трябвало и да имат някакво задание, свързано със сигурността. Нали все пак сте подписвали договори, анекси. Вижте какво е разписано там.

Също ти каза, че сте само разработчици, т.е. би следвало техни системи не се хостват при вас.
Следователно, трябва да сте отговорни само за безопасността на техния тестов код?
Което е доста по-леко от моето - аз гледам да е compliant цялата инфраструктура.
Значи просто постоянно си пачвайте (ъпдейтвайте дистротата) и използвайте сигурно криптиран git
Със сигурност само с ключове, ама там като разработчици трябва да разбирате повече от мен.
Гледайте да нямате пароли на листчета, на файлове или в чист вид. Използвайте Password manager
Забранете всякакъв вътрешен ssh с root.
Нагласете паролите на потребители с админстраторски права да изтичат на всеки 60 дни.
Настройте pam.d за по-добра сигурност на паролите, сигурен съм че има информация в нета какво е compliant и добри практики
И т.н.

[wannaBe]

Благодаря на всички за мненията

Да не хостваме нищо тяхно. Правим конторлни кутии, софтуерно и хардуерно. Там е важна, според мен, билд системата, която реално прави линукс имиджа който стига до клиента, а не толкова моя компютър който редактира на парче ама ддз.

Реално, ако някой ми хакне компютъра, направи мизерии, знае ми гит паролата да пушне, ЦИ/ЦД не хване нищо, никой не види и стигне до клиента....

На този етап ползваме Lynis и казваме резултат от 70 нагоре и без warnings. Колко да има нещо, на хартия, да покажем

Ще има много за описване
https://www.cyberresilienceact.eu/the-cra-explained/

[bvbfan]

Благодаря на всички за мненията

Да не хостваме нищо тяхно. Правим конторлни кутии, софтуерно и хардуерно. Там е важна, според мен, билд системата, която реално прави линукс имиджа който стига до клиента, а не толкова моя компютър който редактира на парче ама ддз.

Реално, ако някой ми хакне компютъра, направи мизерии, знае ми гит паролата да пушне, ЦИ/ЦД не хване нищо, никой не види и стигне до клиента....

На този етап ползваме Lynis и казваме резултат от 70 нагоре и без warnings. Колко да има нещо, на хартия, да покажем

Ще има много за описване
https://www.cyberresilienceact.eu/the-cra-explained/

Да всъщност тези неща в Windows са просто формалност, фирма плаща да бъде одитор, взема необходимите лицензи и после взема пари за това, на никой не му дреме, че тези неща са чиста формалност и не носят никаква реална сигурност, а просто корпоративна гняс и някой да си пише чекбокс-а, че е свършил задължението.

[wannaBe]

Са пък собственика не му харесва че най отгоре пишело

Код за потвърждение: Избери целия код

Lynis comes with ABSOLUTELY NO WARRANTY.

[Mozo]

Са пък собственика не му харесва че най отгоре пишело

Код за потвърждение: Избери целия код

Lynis comes with ABSOLUTELY NO WARRANTY.

Бабината им трънкина, това го пише на повечето проекти с отворен код, а и Lynis си е стандарт.

[beggginer]

При мен е същото в Арч, но имам port knocking, firewall rule за цял range, wake-on-lan и password-less login до X с руут права, където зарежда Sunshine. Няма нищо secure в тоя сетъп

Доколкото видях advisories, следи за права и конфигурации, дори неща като дали имаш парола на БИОС-а, битлокер парола, криптиране, каква ти е файловата система.. Можеш да си конфигурираш така правата, защитната стена и останалите компоненти, че да изкараш максимално висок резултат. Има някои хардуерни лимитации, разбира се.

Не знам дали това ще помогне с аудита, но със сигурност няма да навреди

Каква битлокер парола?
Иначе да, всичките дискове на работните машини трябва да са ви криптирани - good point!
Естествено освен /boot (UEFI) дяла, там трудна работа.

Не парола. Ключ. Като бачках във фондовата борса, всички компютри бяха с битлокер pre-bios ключове. Най-досадното беше при рестарт да се въвеждат на 160+ клиента по време на ковид пандемията, когато всички работеха от вкъщи. След второто въвеждане ги изключих. Ебал съм ти Compliance-a

[Zeroadhesion]

Не парола. Ключ. Като бачках във фондовата борса, всички компютри бяха с битлокер pre-bios ключове. Най-досадното беше при рестарт да се въвеждат на 160+ клиента по време на ковид пандемията, когато всички работеха от вкъщи. След второто въвеждане ги изключих. Ебал съм ти Compliance-a

Дамм
Иначе питах каква битлокер парола, понеже битлокер би следвало да е продукт на Microsoft, а ние говорим за Linux hardening

[Mozo]

Естествено, че всички разбрахме защо попита Аз редовно го разкарвам и криптирам с VeraCrypt.