В следующей статье предпринята попытка рассмотреть тему создания процедур безопасности. Его можно использовать в вашей компании целиком или в качестве модели для дальнейшего развития.
Процедура безопасности должна быть своеобразной инструкцией, где ее чтение будет осуществляться в виде ручки после очередного требуемого выполнения действий.
Области, в которых должны быть реализованы соответствующие меры по правильному функционированию:
- Автоматический мониторинг изменений, вписанных в скрипт, отвечающий за создание правил брандмауэра —"firewall.sh".
- Автоматический мониторинг изменений, внесенных в файл, отвечающий за правила брандмауэра — "rules.v4".
- Автоматический мониторинг корректности разрешений скрипта, отвечая за правила брандмауэра —"firewall.sh".
- Автоматический мониторинг правильности прав доступа файла правил брандмауэра — "rules.v4".
- Автоматическое обнаружение неправильного определения межсетевого экрана.
- Автоматическая проверка правильности наложения журналов брандмауэра.
- Автоматический мониторинг корректности конфигурационного файла BIND dns — "named.conf.options".
- Автоматически проверяйте блокировку на корпоративном сервере на наличие других внутренних адресов за пределами внутренней сети.
- Автоматически проверять блокировку возможностей переноса домена внешним сервером.
- Инструкция по реализации автоматического мониторинга изменений скрипта правила брандмауэра — "firewall.sh".
- После правильной настройкискрипта"firewall.sh" основной администратор проверяет его контрольную сумму с помощью md5sum firewall.sh:
- Затем он запускает сценарий «monitorfirewall.sh», указывая e82b20546d3deefa3bb9611744f64c03 в качестве параметра monitorfirewall.sh ранее полученной контрольной суммы.
- Сценарий выглядит следующим образом:
| #!/bin/sh cat <EOT> /usr/monitors/monitorfirewalla.sh#!/bin/bashmd5='md5sum /usr/conf/firewall.sh | awk '{ print $1 }''if[ "$md 5" == "$1" ]; затем эхо "monitorfirewall.sh скрипт работает правильно!"</EOT> | mail -s "Скрипт monitorfirewall.sh! улучшено работ» [email protected] — -f [email protected] эхо "ВНИМАНИЕ! — Изменения в firewall.sh!" | почта -s "ВНИМАНИЕ! — Изменения, обнаруженные в firewall.sh!" [email protected] — -f [email protected] bash /usr/monitor/monitorfirewalla.sh $1 crontab -l > mycronecho "0 * * * * /var/monitor/monitorfirewalla.sh $1" >> mycroncrontab mycronrm mycronrm mycronrm mycronrm mycron |
- Когда вы запускаете сценарий«monitorfirewall.sh»,он отправляет электронное письмо в свой почтовый ящик, информируя вас о том, что он делает правильный путь:
- Он также добавляет повторяющуюся проверку контрольной суммы скрипта «firewall.sh» каждый час через механизм cron, и если обнаружено изменение, он отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
2. Инструкция по реализации автоматического мониторинга изменений в скрипте правила брандмауэра — "rules.v4".
- Основной администратор проверяет контрольную сумму файла, отвечаемого за правила брандмауэра, с помощью команды md5sum /etc/iptables/rules.v4 :
- Затем он запускает сценарий «monitorrules.sh», указывая в качестве параметра ранее полученную контрольнуюсумму, например, monitrorrules.sh c6479dff712135ae961316eb92a12ac0.
- Сценарий выглядит следующим образом:
| #!/bin/sh cat <EOT> /usr/monitors/monitorrulesa.sh#!/bin/bashmd5='md5sum /usr/conf/firewall.sh | awk '{ print $1 }''if[ "$md 5" == "$1" ]; затем эхо "скрипт monitorrules.sh работает правильно!"</EOT> | mail -s "Скрипт monitorrules.sh! улучшено работ» [email protected] — -f [email protected] эхо "ВНИМАНИЕ! — Изменения в firewall.sh!" | почта -s "ВНИМАНИЕ! — Изменения, обнаруженные в firewall.sh!" [email protected] — -f [email protected] bash /usr/monitors/monitorrulesa.sh $1 crontab -l > mycronecho "0 * * * * /var/monitors/monitorrulesa.sh $1" >> mycroncrontab mycronrm mycronrm mycronrm mycron |
- При запуске сценария" monitorrules.sh" он отправляет в свой почтовый ящик сообщение электронной почты с сообщением о правильности правильной операции:
- Он также добавляет повторяющуюся проверку контрольной суммы скрипта «rules.v4» каждый час через механизм cron, и если обнаружено изменение, он отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
3. Инструкция по реализации автоматического мониторинга проверки разрешений скрипта, отвечающего за правила брандмауэра —"firewall.sh".
- При правильной настройке разрешений сценария"permfirewall.sh firewall.sh"установленыправильно.
- Сценарий выглядит следующим образом:
| #!/bin/sh cat <EOT> /usr/monitors/permfirewalla.sh#!/bin/bashperm='ls -al /usr/conf/firewall.sh | awk '{ print $1 $2 $3}''if [ "$perm" == "-rwxrwx—1root" ]; затем повторите "script permfirewall.sh работает правильно!"</EOT> | mail -s "Скрипт permfirewall.sh! улучшено работ» [email protected] — -f [email protected] эхо "ВНИМАНИЕ! — Изменения в firewall.sh!" | почта -s "ВНИМАНИЕ! — Изменения разрешений, обнаруженные в firewall.sh!" [email protected] — -f [email protected] bash /usr/monitors/permfirewalla.sh $1 crontab -l > mycronecho "0 * * * * / /var/monitors/permfirewalla.sh $1" >> mycroncrontab mycronrm mycronron |
- При запускеpermfirewall.sh" отправляет в свой почтовый ящик сообщение электронной почты, информируя вас о правильности правильной операции:
- Он также добавляет повторяющуюся почасовую проверку разрешенийfirewall.shсценария с помощью механизма cron, и при обнаружении изменения отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
4. Инструкция по реализации автоматического мониторинга проверки прав доступа к файлу правил брандмауэра — "rules.v4".
- Если разрешения сценария"rules.v4"установлены правильно, основной администратор запускает сценарий "permrules.sh".
- Сценарий выглядит следующим образом:
| #!/bin/sh cat <EOT> /usr/monitors/permrulesa.sh#!/bin/bashperm='ls -al /usr/conf/rules.v4 | awk '{ print $1 $2 $3}''if[ "$perm" == "-rwxrwx—1root" ]; затем повторите "The permrules.sh работает правильно!"</EOT> | mail -s "Скрипт permrules.sh! улучшено работ» [email protected] — -f [email protected] эхо "ВНИМАНИЕ! — Изменения в firewall.sh!" | почта -s "ВНИМАНИЕ! — Изменения, обнаруженные в permrules.sh!" [email protected] — -f [email protected] bash /usr/monitors/permrulesa.sh $1 crontab -l > mycronecho "0 * * * * /var/monitors/permrulesa.sh $1" >> mycroncrontab mycronrm mycronrm |
- Когда вы запускаете сценарий«permrules.sh»,он отправляет электронное письмо в свой почтовый ящик, информируя вас о том, что он делает правильный путь:
- Он также добавляет повторяющуюся почасовую проверку разрешений вфайле " rules.v4" с помощью механизма cron, и если обнаружено изменение, он отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
5. Инструкция по реализации автоматического мониторинга корректности работы брандмауэра.
- После настройки правил брандмауэра главный администратор запускает сценарий"checkfirewall.sh".
- При запуске сценария" checklogs.sh" он отправляет в свой почтовый ящик сообщение электронной почты с сообщением о правильности правильной операции:
- Он также добавляет повторяющуюся почасовую проверку правил брандмауэра путем сканирования открытых портов с внешнего сервера, и при обнаружении несоответствия он отправляет электронное письмо с сообщением об этом вместе с открытыми номерами портов:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
6. Инструкция по реализации автоматического мониторинга правильности депонирования журналов брандмауэра.
- После настройки правил брандмауэра главный администратор запускает сценарий"checklogs.sh".
- При запуске сценария" checklogs.sh" он отправляет в свой почтовый ящик сообщение электронной почты с сообщением о правильности правильной операции:
- Он также добавляет повторяющуюся регистрацию каждый час через механизм cron, и если обнаружено нарушение, он отправляет электронное письмо, информирующее:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
7. Инструкция по реализации автоматического мониторинга корректности конфигурационного файла BIND dns — "named.conf.options".
- После правильной настройки файла конфигурации DNS BIND, "named.conf.options",основной администратор проверяет его контрольную сумму с помощью md5sum named.conf.options :
- Затем он запускает сценарий«monitordns.sh»,указывая ранее полученную контрольную сумму, например, monitordns.sh e82b20546d3deefa3bb9611744f64c03 в качестве параметра.
- Сценарий выглядит следующим образом:
| #!/bin/sh cat <EOT> /usr/monitors/monitordnsa.sh#!/bin/bashmd5='md5sum /usr/conf/named.conf.options | awk '{ print $1 }''if[ "$md 5" == "$1" ]; затем эхо "monitordns.sh скрипт работает правильно!"</EOT> | mail -s "Скрипт monitordns.sh! улучшено работ» [email protected] — -f [email protected] эхо "ВНИМАНИЕ! — Изменения, обнаруженные в named.conf.options!" | почта -s "ВНИМАНИЕ! — Изменения, обнаруженные в named.conf.options!" [email protected] — -f [email protected] bash /usr/monitor/monitordnsa.sh $1 crontab -l > mycronecho "0 * * * * /var/monitors/monitordnsa.sh $1" >> mycroncrontab mycronrm mycronrm mycronrm mycronrm mycron |
- Когда вы запускаете сценарий«monitordns.sh»,он отправляет электронное письмо в свой почтовый ящик с сообщением о том, что выполняется правильная операция:
- Он также добавляет повторяющуюсяпроверку контрольной суммы скрипта « firewall.sh» каждый час через механизм cron, и если обнаружено изменение, он отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
8. Инструкции по реализации автоматической проверки блокировки для запроса корпоративного сервера других внутренних адресов за пределами внутренней сети.
- После настройки правил DNS основной администратор запускает сценарий"digdns.sh".
- Когда вы запускаете сценарий«digdns.sh»,он отправляет электронное письмо в свой почтовый ящик, информируя вас о том, что он выполняет правильную работу:
- Он также добавляет повторяющуюся почасовую проверку блокировки запросов сервера компании для других внутренних адресов за пределами внутренней сети, и при обнаружении нарушения он отправляет вам электронное письмо, информирующее вас:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
9. Инструкции по реализации автоматической проверки для блокировки возможностей передачи домена внешним сервером.
- После настройки правил брандмауэра главный администратор запускает сценарий"transferdns.sh".
- При запускеtransferdns.sh" отправляет электронное письмо в свой почтовый ящик, информируя вас о правильности операции:
- Он также добавляет повторяющуюся проверку через механизм cron каждый час, чтобы проверить блокировку возможностей передачи домена внешним сервером, и при обнаружении нарушений он отправляет электронное письмо с сообщением:
- При обнаружении изменений конфигурации основной администратор отвечает за идентификацию едкого агента и исправление измененной конфигурации.
- Кроме того, скрипт отправляет электронное письмо каждый день в 9:00 .m. информируя вас о том, что ваша операция правильная:
- Если сервер перезагружается или не получает сообщение электронной почты о правильности сценария мониторинга, за перезапуск сценария отвечает основной администратор.
