yasat, comprobando nuestro sistema

Hace tiempo escribí acerca de rkhunter, una herramienta perfecta para comprobar la integridad de nuestro sistema y comprobar que nada ni nadie alteró los permisos correctos ni instaló "algo" raro en él.
Hoy os quiero presentar yasat, que no es más que otra herramienta que permite realizar una pequeña auditoría rápida de un sistema o de diferentes partes que componen a éste.
yasat está disponible en código fuente o también para sistemas debian en los repositorios de Debian /Unstable (sid). Apenas tiene dependencias (sed, awk, grep, etc.) y tiene una base de datos para las principales distribuciones gnu/linux del mercado y los sistemas BSD. Se puede descargar desde aquí y el código es realmente simple.
yasat trae una base de datos con soporte para los principales servicios que ofrecen los sistemas. Desde un check simple de usuarios hasta servicios, como pueden ser apache, cups, php, comprobación del kernel, etc. Con la opción --list se detallan la lista de plugins disponibles.
shell> yasat --list
accounting.test
apache_conf.test
apache_modules.test
apache_user.test
apache_vhosts.test
binaries.test
classique.test
cups.test
...
Para ejecutarlo, le podemos indicar que haga una comprobación estándar del sistema (-s), o una comprobación más exhaustiva (-f). Al comenzar la ejecución lo primero de lo que nos informa es del fichero de configuración y del código de colores que va a emplear, con el correspondiente significado de colores para cada uno.
shell> yasat -s
Found /etc/yasat/yasat.conf
  Using YASAT with UID=0                                   [ OK ]
  Using YASAT without SELinux                              [ OK ]
  Detecting OS...                                          [ DONE ]
    Debian Linux Debian Squeeze 6.0.4
  Detecting TERM width...                                  [ 157 ]
Color chart
 GREEN   is for good configuration or information
 RED     is for configuration that must be corrected
 ORANGE  is for optional configuration that can be done
 BLUE    is for information
Si ejecutamos yasat con la opción --nopause, entonces lanzará todas las comprobaciones seguidas, sino irá grupo a grupo y nos pedirá confirmación para continuar. Podemos también obtener el resultado de la ejecución en un formato html, con la opción --html.
Una vez lanzado, el check tiene una pinta similar a la siguiente, para mi sistema.
shell> yasat -s
Found /etc/yasat/yasat.conf
  Using YASAT with UID=0                                   [ OK ]
  Using YASAT without SELinux                              [ OK ]
  Detecting OS...                                          [ DONE ]
    Debian Linux Debian Squeeze 6.0.4
  Detecting TERM width...                                  [ 157 ]
Color chart
 GREEN   is for good configuration or information
 RED     is for configuration that must be corrected
 ORANGE  is for optional configuration that can be done
 BLUE    is for information

At the end of the audit, a report would be viewable at ./yasat.report

=== Check accounting and audit configuration ===
  /var/log/wtmp                                            [ FOUND ]
  /var/log/btmp                                            [ FOUND ]
  /var/log/faillog                                         [ FOUND ]
  /var/log/lastlog                                         [ FOUND ]
  accounting is not enabled                                [ WARNING ]                                     Enable the accounting with accton
  Found sha512 in pam.d                                    [ OK ]
  password encryption                                      [ sha512 ]
  audit is installed by package                            [ GOOD ]
  audit is started at boot                                 [ NO ]

Press ENTER to continue Ctrl/C to quit

=== Check Apache configuration ===
  No apache found                                          [ NOTFOUND ] 

Press ENTER to continue Ctrl/C to quit

=== Check system binaries and integrity tools ===
  AIDE file integrity tester                               [ FOUND ]

  TRIPWIRE file integrity tester                           [ NOTFOUND ]                                    Install TRIPWIRE integrity checker
  chkrootkit                                               [ NOTFOUND ]                                                    Install chkrootkit
DEBUG This check is in development
  POSIX CAPS tools                                         [ NOTFOUND ]                       I cant test POSIX CAPS for your setuid binaries
Checking file with set UID in /sbin
  /sbin/mount.nfs with right=4755                          [ FOUND ]
  /sbin/mount.cifs with 4755                               [ UNKNOWN ]                                This binary is not in yasat's SetUID db
  /sbin/unix_chkpwd with right=2755                        [ FOUND ]
Checking file with set UID in /bin
  /bin/mount with right=4755                               [ FOUND ]
    You can remove PERHAPS setuid from /bin/mount          [ WARNING ]                                     Limit the number of set-uid binary
  /bin/su with right=4755                                  [ FOUND ]
  /bin/umount with right=4755                              [ FOUND ]
    You can remove PERHAPS setuid from /bin/umount         [ WARNING ]                                     Limit the number of set-uid binary
  /bin/ping with right=4755                                [ FOUND ]
    You can remove PERHAPS setuid from /bin/ping           [ WARNING ]                                     Limit the number of set-uid binary
  /bin/ping6 with right=4755                               [ FOUND ]
    You can remove PERHAPS setuid from /bin/ping6          [ WARNING ]                                     Limit the number of set-uid binary
Checking file with set UID in /usr/sbin
  /usr/sbin/postdrop with right=2555                       [ FOUND ]
  /usr/sbin/postqueue with right=2555                      [ FOUND ]
...


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios