Validación de la configuración del sistema
Validación de los parámetros de configuración del sistema del servidor
Chris GYa sea para el cumplimiento normativo o para minimizar la deriva, siempre es una buena idea monitorear los aspectos clave de la configuración del sistema de su servidor a lo largo del tiempo. Desafortunadamente, incluso las máquinas virtuales implementadas desde exactamente la misma plantilla a veces pueden actuar de manera diferente. Sí, esto es TI, y sucede, culpe a Murphy y su ley. También hay parches constantes, versiones de la biblioteca que siempre están evolucionando, mantener la constancia sobre una gran cantidad de servidores a lo largo del tiempo es un verdadero desafío.
" La validación del sistema informático ayuda a garantizar que tanto los servidores nuevos como los existentes cumplan continuamente con su propósito previsto y produzcan resultados consistentes y confiables, y estén aptos para cumplir con seguridad el propósito previsto con un rendimiento adecuado. "
Parece haber dos filosofías distintas sobre cómo lograr este estado. Algunos creen que es mejor usar herramientas de administración de configuración como Chef , Puppet o Salt para sobrescribir periódicamente la configuración actual y restablecer la configuración del sistema a su estado inicial.
Personalmente, creo que este comportamiento es arriesgado, cambiar automáticamente la configuración de un sistema de producción sin la debida diligencia es imprudente. Prefiero mucho más el enfoque de "auditoría y alerta", verifique cada elemento de configuración con lo que se espera y alerte o abra un ticket cuando se detecte una discrepancia.
Después de mucha investigación, me decidí por Goss , para "validación de servidor rápida y fácil". Goss realmente cumple con su promesa de ser "rápido y fácil", simplemente descargue el binario autónomo para Linux, Windows y macOS, y estará listo para realizar la validación.
La sintaxis es muy sencilla y está bien documentada , y le permite verificar una variedad de elementos, como paquetes instalados o no, servicios habilitados y en ejecución, el contenido de los archivos, etc. Lo único negativo que encontré fue la lógica inversa de algunos de los mensajes de error cuando falta un elemento necesario. De lo contrario, una herramienta sólida, muy recomendable.
Terminé construyendo capas de reglas de validación de Goss, una línea de base que todos los sistemas deberían tener, la capa de cumplimiento de seguridad cibernética de línea de base, y luego agregué capas basadas en el tipo de servidores y su función, así como los parámetros requeridos (ver Ajuste de parámetros de Linux ) . Cada servidor sacó las reglas de un repositorio de GitHub "en vivo", y los errores se registraron como problemas en otro repositorio de GitHub, tal vez publique el código completo algún día.
if [ -f /usr/local/bin/goss ]; then
echo "Goss is installed"
else
echo "Installing Goss"
curl -L https://github.com/aelsabbahy/goss/releases/download/v0.3.5/goss-linux-amd64 -o /usr/local/bin/goss
chmod +rx /usr/local/bin/goss
fiTagged with:
Compliance Reliability performance