サイトセキュリティハンドブック (Site Security Handbook)
Center for Internet Security - Linux Benchmarks でサーバーのセキュリティをチェック
Center for Internet Security - Linux Benchmarksでうちのサーバーをチェックしてみました。
これは10点満点でサーバーのセキュリティの強度を判定してくれるツールです。
Linuxの場合は、RHEL2.1, RHEL3, Fedora Core1, 2, 3に対応してます。
うちのサーバーの結果は... 3.70点 、低い...orz
***************************************************************************** ******************* CIS Security Benchmark Checker v1.6.7 ******************* * * * Original Developer : Jay Beale * * Lead Developer : Ralf Durkee * * Benchmark Coordinator : George Toft * * * * Copright 2001 - 2005 The Center for Internet Security www.cisecurity.org * * * * Please send feedback to linux-scan@cisecurity.org. * *****************************************************************************
Investigating system...this will take a few minutes...******
Now a final check for non-standard world-writable files, Set-UID and Set-GID
programs -- this can take a whole lot of time if you have a large filesystem.
Your score if there are no extra world-writable files or SUID/SGID programs
found will be 4.03 / 10.00 . If there are extra SUID/SGID programs or
world-writable files, your score could be as low as 3.75 / 10.00You can hit CTRL-C at any time to stop at this remaining step.
The preliminary log can be found at: ./cis-most-recent-log
******
Rating = 3.70 / 10.00
*****************************************************************************
パッケージに含まれているPDFに判定の基準とか、細かな設定方法まで載っていて参考になります。
その他、WindowsやOracle、Apacheなどのセキュリティベンチマークツールも・ります。
