AutoAudit

Tiens, voila une idée qui me passe par la tête, les Debian Auto Tools ...

Problèmes et optimisation

Cette partie permet de repérer les anomalies et optimiser un système Linux, principalement causées par une équipe de sysadmin.

  • Systeme
    • Repérer les fichier en mode deleted
    • Vérifier les IOs disk et réseau
    • Vérifier la présence d'une parition de swap correctement dimmensionnée
    • Vérifier le load
    • Vérifier la memoire RAM utilisée
    • Vérifier le max conntrack
    • Utilisateurs
      • Vérifier que les homes des utilisateurs existent bel et bien
      • Vérifier que les informations user, group et mdp soient cohérents
    • Partitions:
      • Repérer les partitions non montés
      • Repérer les partitions sans FS
      • Repérer les partitions qui ont un Lost+Found remplies
      • Détecter les snapshots LVM
      • Détecter les alertes espace disque et inodes
      • Remonter les partitions qui sont dans le fstab, mais qui ne sont pas montées
      • Remonter les partitions avec les mauvais droits de montages
    • Services
      • Vérifier qu'aucun deamon en root n'écoute directement sur le réseau
      • Vérifier que les services lancées ont la bonne quantité de processus
      • Vérifier que les services réseau écoutent bien sur le réseau
      • Vérfier ques les services du runlevel soient bien tous lancés
  • Logs
    • Vérifier les occurences qui spamment les logs
    • Vérifier les erreurs récurrentes
    • Détecter les actions de oomkiller
    • Détecter les segfaults
    • Détecter les forbidden, deny, not allowed
    • Vérifier que les logs sont tous correctement compréssés, et détecter les gros fichiers de logs anormaux
  • Apache2
    • Vérifier que les semaphores d'Apache ne soient pas bloquantes
    • Vérifier la présence d'un vhost par défaut non utilisé
  • APT
    • Vérifier que les dépots sont les bons
    • Vérifier que tous les dépots soient correctement signés
    • Vérifier qu'il n'y ai pas de mises à jour critiques
  • MySQL
    • Lancer un mysqltuner ou équivalent de temps en temps
    • Chercher les erreurs de conf courantes dans le my.cnf du serveur (innodb_file_per_table, des seuils de valeurs trop petites ou trop élevés)
    • Afficher si la connexion root (super user) est utilisé plus de 5 fois
    • Voir si des requetes lockent
    • Vérifier que la réplication tourne correctement
  • SSH
    • Vérifier que le root login soit désactivé
    • Vérifier que la version de SSH ne soit pas trop exposée
    • Changer le port découte par défaut ou mettre un fail2ban
  • Services generaux
    • Cron: vérifier que toutes les lignes de crons ne comportent pas d'erreurs de syntaxe
    • Bind9: vérifier la syntaxe de la configuration
  • hardware
    • Vérifier que les cartes RAID sont OP (batterie, RAID OK)
    • Vérifier que les disque durs sont en forme (SMART)
    • Vérifier l'état de la RAM

Securité

  • Système
    • Monitorer les gros changement de taille de partition
    • Monitorer les auths logs
  • Utilisateurs
    • Affichier toutes les clés
  • Apache2
    • Vérifier que la version d'Apache ne soit pas exposée
    • Vérifier la non présence de certains alias dangereux comme phpmyadmin et consort
    • Désactivation par défaut de certains features comme le mod_autoindex
  • PHP5
    • Désactiver les fonctions et directives dangereuses
  • Bind9
    • Vérifier que l'AXFR est correctement désactivé
    • Vérifier que la version de bind ne soit pas exposée
  • Cron
    • Lister tous les crons qui sont lancés par root et qui sont modifiable par un autre utilisateur (des scripts d'un autre utilisateur par exemple)
  • Sudo
    • Rechercher des directives qui utilisent "sudo vim" par exemple
    • Rechercher les directives mal sécurisées
  • SSH
    • Vérifier que la version de bind ne soit pas trop exposée
  • Proftpd
    • Désactiver les banieres MOTD avant authentification
    • Vérifier la présence de l'option chroot
  • MySQL
    • Vérifier la non présence des utilisateurs avec une source de connexion en '%'
    • Vérifier les utilisateurs sans mot de passe
  • Active Security
    • Voir tous les daemons qui écoutent sur le réseau
    • Lister toutes les possibilités d'accès de ces services (ACL, restrictions ...)

Autofix

  • Système
    • Relance automatique des deamons crashés
    • Rajouter automatiquement de l'espace disque quand c'est possible
    • Vider les fichiers supprimés utilisés par un processus pour libérer de l'espace disque (http://www.unixwerk.eu/linux/deleted_files.html)
  • MySQL
    • Réparer automatiquement une réplication MySQL cassée
    • Purger les logs binaires du master en checkant la position des slaves
Page last modified on May 07, 2014, at 12:26 AM EST