Filed Under (colaboração, Hardening, hntool, Security) by rafaelgomes on 09-01-2010
Como já expliquei nesse post, fui convidado por meu amigo Hugo a participar desse projeto de criação de uma ferramenta para hardening de servidores unix, na linguagem python.
Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.
Eu nunca havia programado em python, depois de muito estudo, esforço e ajuda de amigos desenvolvedores, consegui criar meu primeiro módulo, como noticiei nesse post.
Querendo agilizar o desenvolvimento dessa fantástica ferramenta promovi o Coding Home, que reuniu alguns amigos desenvolvedores e então conseguimos alguns avanços interessantes. Noticiei aqui também. Até o momento, o hntool tem checagens para :
- Configuração de autenticação
- Segurança do filesystem (Bem superficial ainda)
- Configuração do Apache (Esse que eu fiz
) - Configuração do engine PHP
- Configuração do PostgreSQL
- Configuração do SSH
- Portas abertas
- Serviços com acesso remoto liberado
Temos agora duas saídas disponíveis:
- Terminal
- HTML (Valeu Aurium)
Estamos reconfigurando o core do Hntool para que ele suporte entrada de parâmetros para os módulos, o que facilitará a colaboração futura.
Hugo Dória já me informou que o site do hntool estará disponível em pouco tempo.
Estamos pensando em criar códigos para cada erro, assim poderemos colocar link no output HTML, para que cada erro tenha um detalhamento melhor em nossa página e que uma sugestão sucinta de como resolver o problema seja relacionada.
Enfim, o projeto está andando, e se você estiver interessado em contribuir, seja com código, teste, uma logo para o projeto ou coisa parecida. Não fique acanhado, faça! e nos mande.
Para testar o hntool é fácil. Baixe-o daqui e descompacte-o. Depois é só entrar no diretório descompactado e rodar:
./hntool
Achou um bug? Reporte aqui! Esse em um dos melhores tipos de ajuda que um não desenvolvedor pode nos dar nesse momento. (Precisa se registrar, mas é bem rápido!)
Rodei em um FreeBSD amd64.
Segue.
lab# uname -a
FreeBSD anderson.hacknroll.com 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Thu Jul 2 12:14:09 UTC 2009 anderson@:/usr/src/sys/amd64/compile/KERN amd64
lab# python hntool
[ Starting hntool checks... ]
netstat: an: unknown or uninstrumented protocol
Checks for services with remote access allowed
Services are accepting remote access from “PARANOID” [ MEDIUM ]
Services are accepting remote access from “localhost 127.0.0.1″ [ MEDIUM ]
Services are accepting remote access from “[" [ MEDIUM ]
Service “sendmail” accepts remote connections from “localhost” [ MEDIUM ]
Service “sendmail” accepts remote connections from ALL [ MEDIUM ]
Service “exim” accepts remote connections from “localhost” [ MEDIUM ]
Service “exim” accepts remote connections from ALL [ MEDIUM ]
Service “rpcbind” accepts remote connections from ALL [ MEDIUM ]
Service “ypserv” accepts remote connections from “localhost” [ MEDIUM ]
Service “ypserv” accepts remote connections from ALL [ MEDIUM ]
Service “ftpd” accepts remote connections from “localhost” [ MEDIUM ]
Service “ftpd” accepts remote connections from ALL [ MEDIUM ]
Service “fingerd” accepts remote connections from “ALL \” [ MEDIUM ]
Service “” accepts remote connections from “spawn (echo Finger. | \” [ MEDIUM ]
Service “/usr/bin/mail -s “tcpd\” accepts remote connections from “%u@%h[%a] fingered me!” root) & \” [ MEDIUM ]
Service “” accepts remote connections from “deny” [ MEDIUM ]
Services are accepting remote access from “ALL \” [ MEDIUM ]
Service “” accepts remote connections from “severity auth.info \” [ MEDIUM ]
Service “” accepts remote connections from “twist /bin/echo “You are not welcome to use %d from %h.”" [ MEDIUM ]
Services are accepting remote access from ALL [ HIGH ]
lab#
Não tenho nenhum serviço rodando nesta máquina além de SSH/DNS/SQUID.
Lhe aconselho a criar um issue para seus problemas com seção remote access
[...] Iniciei colaborando com código para um projeto de Software Livre do meu amigo Hugo Dória. [...]