Вчера проверил наш T-1000 на предмет соответствия показателям CI Security с помощью скрипта seccheck , который проверяет систему и выдает подробный отчет с предупреждениями, а самое главное - с рекомендациями по их исправлению! Скрипт использует модули, которые можно перенастраивать или написать свой собственный (например, для проверки X-ов). Автор утверждает что скрипт использует для проверки может быть и не все 100% рекомендаций CI Sеcurity, но 99% - точно, причем самых важных с точки зрения безопасности.
Скрипт можно скачать
здесь. Распаковываете, запускаете, можно с ключом -o для указания директории для файла отчета, иначе он будет выводиться на консоль, а листинг немаленький. У меня он работал минут 5, после чего я получил вот такой лог-файл (привожу отрывок):
...
WARNING: Account nobody4's shell is [/sbin/sh]
INFO: Consider changing to /dev/null or /bin/false with:
INFO: passmgmt -m -s /dev/null nobody4
WARNING: Account sys's shell is [/sbin/sh]
INFO: Consider changing to /dev/null or /bin/false with:
INFO: passmgmt -m -s /dev/null sys
WARNING: Account adm's shell is [/sbin/sh]
INFO: Consider changing to /dev/null or /bin/false with:
INFO: passmgmt -m -s /dev/null adm
WARNING: Account lp's shell is [/sbin/sh]
INFO: Consider changing to /dev/null or /bin/false with:
INFO: passmgmt -m -s /dev/null lp
WARNING: Account uucp's shell is [/sbin/sh]
INFO: Consider changing to /dev/null or /bin/false with:
INFO: passmgmt -m -s /dev/null uucp
================================================================
[ Checking for Accounts With Empty Passwords ]
================================================================
OK: No accounts have empty passwords
================================================================
[ Checking for Legacy "+" Entries in passwd Files ]
================================================================
OK: No legacy "+" entries found
================================================================
[ Checking for UID 0 Accounts ]
================================================================
OK: Only "root" has UID 0
================================================================
[ Checking UMASK and mesg Settings ]
================================================================
WARNING: UMASK should be more restrictive in /etc/default/login
INFO: Execute the following commands to implement this:
INFO: cd /etc/default
INFO: sed 's/^[#]\{0,1\}UMASK=.*$/UMASK=077/' login > login.new
INFO: mv login.new login
INFO: pkgchk -f -n -p /etc/default/login
WARNING: umask not set correctly in /etc/profile
WARNING: mesg not set correctly in /etc/profile
WARNING: umask not set correctly in /etc/.login
WARNING: mesg not set correctly in /etc/.login
...
Следуя рекомендациям
seccheck, я кое-что исправил в системе, и теперь на душе стало как-то спокойней, чего и вам желаю!
