0x01 介绍
最近我在进行安全基线检查相关的工作,网络上的一些代码比较零散;也有一些比较完整的项目,比如OWASP中的安全基线检查项目,但需要付费;还有一些开源且完整的,比如Lynis,但这些都不符合我的需求。
我的需求如下:
最终的效果是什么呢?最好能够达到阿里云里的安全基线检查的样子,即使差一点也没关系。本文详细介绍了在CentOS 7和Windows 2012系统中将要检查的项目,这些项目参考了CIS标准。客户端基线搜集与检查代码在SecurityBaselineCheck项目中,现在已经完成了CentOS和Windows 2012基线检查的编写。脚本(简称agent)只在需要检查的服务器上运行并显示检查结果。之后,检查结果将以JSON字符串的形式上传到基于Django构建的后端上。后端可视化图形界面的代码在AssetManage项目中,AssetManage也生成了Docker镜像,存放在AssetManage Docker镜像中。
0x02 相关技术
Agent用到的技术:
后端服务器用到的技术:
存储所用:
0x03 项目效果
Linux Agent:
Windows Agent:
后端展示效果:
0x04 使用步骤
-
下载AssetManage这个后端展示项目,源码地址位于:AssetManage
Docker镜像位于:docker in aliyun
代码语言:JavaScript
代码运行次数:0
运行 复制# 一、使用源码安装后端 # 提前安装最新版SQLite3.30,Python3.6 # git clone项目 # author: JC0o0l # wechat: 信安札记 git clone https://github.com/chroblert/assetmanage.git cd AssetManage # 使用python3安装依赖包 python3 -m pip install -r requirements python3 manage.py makemigrations python3 manage.py migrate python3 manage.py runserver 0.0.0.0:8888 # 假定该服务器的IP为112.112.112.112 # 二、使用Docker进行部署 # 1. 某服务器(假定IP为112.112.112.112),安装Docker # 2. docker pull registry.cn-hangzhou.aliyuncs.com/jc0o0l/assetmanage:2.0 # 3. docker images 查看记住刚刚pull下来的image id # 4. docker run -it -p 8888:8888 <imageid> /bin/bash # 5. cd assetManage\AssetManage\ # 6. python3 manage.py runserver 0.0.0.0:8888 # 7. 退出而不停止容器 按CTRL+P+Q
-
更改agent中后端服务器的IP和端口为上一步中服务器的IP 112.112.112.112 和端口 8888
对于Windows:
对于Linux:
将Agent拖到要进行基线检查的服务器上,以管理员权限运行agent
-
访问后端服务器可视化展示界面:https://www.php.cn/link/4d7a236fafc9dbdf27697fadd7ff14cc
点击基线检查,查看扫描记录
点击Click Me查看检查结果
该页面会显示进行检查的每一项的扫描结果与检查结果,并根据相应计算得出相应的分数。
0x05 总结
这个项目可以只将agent放在要进行检查的目标服务器上运行,并且以红色字体显示出不符合基线规范的条目;如果要上传的话,需要先运行后端服务器,然后修改agent脚本中后端服务器的IP和端口号。这个项目目前可以针对Linux和Windows的部分操作系统进行基线检查,不适用于所有系统。
基线检查比较容易,只需要根据规范收集信息进行比较即可,而系统加固涉及的面就比较多了,不同的环境有不同的配置,系统加固一不小心就容易对系统环境造成损坏,所以这个项目不准备添加系统加固的功能。
该项目的详细地址:
*本文作者:jerrybird,转载请注明来自FreeBuf.COM
