システム構成の検証

規制への準拠であろうとドリフトの最小化であろうと、サーバーのシステム構成の重要な側面を長期にわたって監視することは常に良い考えです。残念ながら、まったく同じテンプレートからデプロイされた仮想マシンでさえ、動作が異なる場合があります。はい、これはITであり、マーフィーと彼の法則を非難します。絶え間ないパッチ適用もあり、常に進化しているライブラリバージョンがあり、長期間にわたって多数のサーバーで一定性を維持することは実際の課題です。

この状態を達成する方法については、2つの異なる哲学があるようです。 Chef 、 Puppet、 Saltなどの構成管理ツールを使用して、現在の設定を定期的に上書きし、システムの構成を初期状態にリセットするのが最善であると考える人もいます。

私は個人的に、この動作は危険であると信じています。適切なデューデリジェンスなしに本番システムの構成を自動的に変更することは賢明ではありません。私は「監査とアラート」アプローチを非常に好みます。各構成アイテムを予想されるものと照合し、不一致が検出されたときにアラートまたはチケットを開きます。

多くの調査の結果、「迅速で簡単なサーバー検証」のためにGossに落ち着きました。 Gossは、「迅速かつ簡単」であるという約束を真に果たしています。Linux、Windows、およびmacOS用の自己完結型のバイナリをダウンロードするだけで、検証を行う準備が整います。

構文は非常に単純で十分に文書化されており、パッケージがインストールされているかどうか、サービスが有効で実行されている、ファイルの内容など、さまざまな項目をチェックできます。私が見つけた唯一の欠点は、必要なアイテムが欠落している場合のエラーメッセージの一部。それ以外の場合は、堅実なツールを強くお勧めします。

最終的に、Goss検証ルールのレイヤー、すべてのシステムに必要なベースライン、ベースラインのサイバーセキュリティコンプライアンスレイヤーを構築し、サーバーのタイプとその機能、および必要なパラメーターに基づいてレイヤーを追加しました（ Linuxパラメーターの調整を参照）。 。ルールは各サーバーによって「ライブ」でGitHubリポジトリから取得され、エラーは別のGitHubリポジトリに問題として記録されました。おそらく、完全なコードをいつか投稿する予定です。