AutoAudit

Wiki.AutoAudit History

Hide minor edits - Show changes to output

May 07, 2014, at 12:26 AM EST by 88.166.207.155 -
Added lines 44-47:
* APT
** Vérifier que les dépots sont les bons
** Vérifier que tous les dépots soient correctement signés
** Vérifier qu'il n'y ai pas de mises à jour critiques
May 07, 2014, at 12:19 AM EST by 88.166.207.155 -
Changed lines 23-25 from:
to:
*** Remonter les partitions qui sont dans le fstab, mais qui ne sont pas montées
*** Remonter les partitions avec les mauvais droits de montages

Added lines 60-65:

* hardware
** Vérifier que les cartes RAID sont OP (batterie, RAID OK)
** Vérifier que les disque durs sont en forme (SMART)
** Vérifier l'état de la RAM

May 07, 2014, at 12:16 AM EST by 88.166.207.155 -
Changed lines 4-5 from:
Cette partie permet de repérer les anomalies et optimiser un système Linux
to:
Cette partie permet de repérer les anomalies et optimiser un système Linux, principalement causées par une équipe de sysadmin.
Added line 48:
** Vérifier que la réplication tourne correctement
May 07, 2014, at 12:15 AM EST by 88.166.207.155 -
Changed lines 16-17 from:
***
to:
Added line 36:
** Vérifier que les logs sont tous correctement compréssés, et détecter les gros fichiers de logs anormaux
May 07, 2014, at 12:13 AM EST by 88.166.207.155 -
May 07, 2014, at 12:12 AM EST by 88.166.207.155 -
Changed lines 62-64 from:
to:
* Utilisateurs
** Affichier toutes les clés

Added lines 70-72:
* PHP5
** Désactiver les fonctions et directives dangereuses

Added lines 77-83:
* Cron
** Lister tous les crons qui sont lancés par root et qui sont modifiable par un autre utilisateur (des scripts d'un autre utilisateur par exemple)

* Sudo
** Rechercher des directives qui utilisent "sudo vim" par exemple
** Rechercher les directives mal sécurisées

Changed lines 89-98 from:
to:
** Vérifier la présence de l'option chroot

* MySQL
** Vérifier la non présence des utilisateurs avec une source de connexion en '%'
** Vérifier les utilisateurs sans mot de passe

* Active Security
** Voir tous les daemons qui écoutent sur le réseau
** Lister toutes les possibilités d'accès de ces services (ACL, restrictions ...)

Added line 101:
** Relance automatique des deamons crashés
May 07, 2014, at 12:06 AM EST by 88.166.207.155 -
Added lines 1-84:
Tiens, voila une idée qui me passe par la tête, les Debian Auto Tools ...

!! Problèmes et optimisation
Cette partie permet de repérer les anomalies et optimiser un système Linux

* Systeme
** Repérer les fichier en mode deleted
** Vérifier les IOs disk et réseau
** Vérifier la présence d'une parition de swap correctement dimmensionnée
** Vérifier le load
** Vérifier la memoire RAM utilisée
** Vérifier le max conntrack
** Utilisateurs
*** Vérifier que les homes des utilisateurs existent bel et bien
*** Vérifier que les informations user, group et mdp soient cohérents
***

** Partitions:
*** Repérer les partitions non montés
*** Repérer les partitions sans FS
*** Repérer les partitions qui ont un Lost+Found remplies
*** Détecter les snapshots LVM
*** Détecter les alertes espace disque et inodes

** Services
*** Vérifier qu'aucun deamon en root n'écoute directement sur le réseau
*** Vérifier que les services lancées ont la bonne quantité de processus
*** Vérifier que les services réseau écoutent bien sur le réseau
*** Vérfier ques les services du runlevel soient bien tous lancés

* Logs
** Vérifier les occurences qui spamment les logs
** Vérifier les erreurs récurrentes
** Détecter les actions de oomkiller
** Détecter les segfaults
** Détecter les forbidden, deny, not allowed

* Apache2
** Vérifier que les semaphores d'Apache ne soient pas bloquantes
** Vérifier la présence d'un vhost par défaut non utilisé


* MySQL
** Lancer un mysqltuner ou équivalent de temps en temps
** Chercher les erreurs de conf courantes dans le my.cnf du serveur (innodb_file_per_table, des seuils de valeurs trop petites ou trop élevés)
** Afficher si la connexion root (super user) est utilisé plus de 5 fois
** Voir si des requetes lockent

* SSH
** Vérifier que le root login soit désactivé
** Vérifier que la version de SSH ne soit pas trop exposée
** Changer le port découte par défaut ou mettre un fail2ban

* Services generaux
** Cron: vérifier que toutes les lignes de crons ne comportent pas d'erreurs de syntaxe
** Bind9: vérifier la syntaxe de la configuration

!! Securité
* Système
** Monitorer les gros changement de taille de partition
** Monitorer les auths logs

* Apache2
** Vérifier que la version d'Apache ne soit pas exposée
** Vérifier la non présence de certains alias dangereux comme phpmyadmin et consort
** Désactivation par défaut de certains features comme le mod_autoindex

* Bind9
** Vérifier que l'AXFR est correctement désactivé
** Vérifier que la version de bind ne soit pas exposée

* SSH
** Vérifier que la version de bind ne soit pas trop exposée

* Proftpd
** Désactiver les banieres MOTD avant authentification

!! Autofix
* Système
** Rajouter automatiquement de l'espace disque quand c'est possible
** Vider les fichiers supprimés utilisés par un processus pour libérer de l'espace disque (http://www.unixwerk.eu/linux/deleted_files.html)
* MySQL
** Réparer automatiquement une réplication MySQL cassée
** Purger les logs binaires du master en checkant la position des slaves
Page last modified on May 07, 2014, at 12:26 AM EST