понедельник, августа 11, 2008

sectool

на днях был анонсирован выпуск альфа релиза Fedora 10, среди прочего в новой версии будет добавлен инструмент проведения контроля состояния безопасности системы - sectool.

в порыве переводильного запала, пока знакомился с описанием возможностей настучал перевод руководства пользователя.

использование sectool в командной строке

Сначала почитайте справку.

# sectool --help

Получения списка тестов и уровней безопасности, на которых они выполняются по умолчанию.

# sectool --list

Детализированное описание теста.

# sectool --info home_dirs

Тесты разделяются на 5 уровней безопасности. Краткое описание каждой категории:
1. Naive - очень простой и маленький набор тестов,
2. Desktop - набор тестов, подготовленный для запуска на компьютерах, не подключенных к сети интернет,
3. Network - стандартная клиентская машина, подключенная к сети интернет,
4. Server - сетевой сервер,
5. Paranoid - пачка тестов для администраторов-параноиков.

Имейте в виду, что каждый тест может быть включен в более чем один из уровней безопасности и их строгость может варьироваться.

Для запуска тестов, выбранных, например, для уровня 1, наберите:

# sectool --level 1

Тесты можно дополнительно включить или исключить в/из определенного уровня. Тесты, которые не принадлежат уровню будут запущены с параметрами по умолчанию. Следующий пример запустит все тесты для уровня 1 за исключением home_files и path, кроме того не определенный для уровня 1 дополнительный тест netserv.

# sectool --level 1 --include netserv --exclude home_files path

Можно запускать некоторые специфические тесты с определенными для них уровнями безопасности по умолчанию.

# sectool --run firewall home_files

Если объединить опции "--run" и "--level", то будут выполнены только выбранные тесты с указанным уровнем безопасности.

# sectool --level 3 --run disc_usage

Результаты аудита можно отправить по электронной почте.

# sectool --level 1 --mail some.body@redhat.com

Если ранее Вы уже запускали некоторые тесты и Вас интересуют только изменения результатов, то можно использовать опцию "-diff".

# sectool --run selinux --diff

Если Вам надо, чтобы sectool забыл результаты прошлых тестов, просто выполните

# sectool --clean

Некоторые тесты включают подсказки для определенных ошибок и предупреждений, выявленных ими.

# sectool --run home_dirs --hint

При регулярном (cron) использовании sectool, Вы можете настроить его в /etc/sectool.conf и запускать только

# sectool --auto


описание файла sectool.conf

В конфигурационном файле sectool четыре секции: action (действия), paths (пути), results (результаты) и mail (почта).

==== ACTION ====

В этой секции определяется какие тесты проводить при запуске sectool с параметром --auto.

LEVEL="number of the security level"

==== PATHS ====

Определяются пути по умолчанию к тестам и расположению их постоянных и временных данных.

TESTS_DIRS=/usr/share/sectool/tests "какая-то_другая_директория"
TDATA_DIR=/var/lib/sectool
TEMP_DIR=/tmp

==== RESULTS ====

Имя xml файла, в котором хранятся результаты. Этот файл обычно используется для генерации diffs (разницы) относительно предыдущих запусков.

RESULT_FILE=results.xml

==== MAIL ====

Параметры поддержки электронной почты. Что писать в теле письма, что включать во вложение, параметры smtp.

# SEND_BODY=(full | diff | none) #тело письма (полный | разница | ничего)
SEND_BODY=diff
# SEND_ATTACHMENT = (full | diff | none) #вложение (полный | разница | ничего)
SEND_ATTACHMENT = full
# TARGET=(local | smtp) #куда (локально | smtp)
TARGET=local
# username or None for no authentication # имя_пользователя или None для отправки без аутентификации
# SMTP_USER = (username | None)
# password or None for no authentication # пароль или None для отправки без аутентификации
# SMTP_PASSWD = ( password | None )
# smtp server to send emails via # имя smtp сервера, через который необходимо отправлять сообщение
# SMTP_SERVER = localhost

Комментариев нет: