It only compiles every 3 tries... good luck.
This commit is contained in:
@@ -1255,6 +1255,12 @@
|
||||
url = {https://github.com/vim/vim},
|
||||
}
|
||||
|
||||
@online{CIS,
|
||||
title = {CIS},
|
||||
author = {CIS},
|
||||
url = {https://www.cisecurity.org/},
|
||||
}
|
||||
|
||||
inproceedings{manu2016study,
|
||||
author = {Manu, A.R. and Patel, Jitendra Kumar and Akhtar, Shakil and Agrawal, V.K. and Subramanya Murthy, K.N. Bala},
|
||||
booktitle = {2016 International Conference on Circuit, Power and Computing Technologies (ICCPCT)},
|
||||
|
||||
@@ -39,11 +39,11 @@ Lynis και το LUNAR.
|
||||
|
||||
\begin{itemize}
|
||||
|
||||
\item \textbf{Alpine-secdb}
|
||||
\item \textbf{Red Hat Security Advisories}
|
||||
\item \textbf{Debian Security Bug Tracker}
|
||||
\item \textbf{Ubuntu CVE Tracker}
|
||||
\item \textbf{Microsoft CVRF}
|
||||
\item Alpine-secdb
|
||||
\item Red Hat Security Advisories
|
||||
\item Debian Security Bug Tracker
|
||||
\item Ubuntu CVE Tracker
|
||||
\item Microsoft CVRF
|
||||
|
||||
\end{itemize}
|
||||
|
||||
@@ -51,8 +51,8 @@ Lynis και το LUNAR.
|
||||
|
||||
\begin{itemize}
|
||||
|
||||
\item \textbf{Exploit Database}
|
||||
\item \textbf{Metasploit-Framework modules}
|
||||
\item Exploit Database
|
||||
\item Metasploit-Framework modules
|
||||
|
||||
\end{itemize}
|
||||
|
||||
@@ -128,14 +128,14 @@ Lynis και το LUNAR.
|
||||
Το Lynis \footfullcite{lynis} είναι το δεύτερο εργαλείο ανοιχτού κώδικα που
|
||||
χρησιμοποιήθηκε για την αξιολόγηση της ασφάλειας των εικονικών μηχανών. Σε
|
||||
αντίθεση με το Vuls, το Lynis εκτελείται αποκλειστικά στον απομακρυσμένο
|
||||
διακομιστή. Πραγματοποιεί μια εκτενή ανάλυση του συστήματος εντοπίζοντας
|
||||
διακομιστή. Πραγματοποιεί μια εκτενή ανάλυση του συστήματος, εντοπίζοντας
|
||||
απροσεξίες ή ελλείψεις ρυθμίσεων που μπορεί να αποτελέσουν σημεία εισόδου για
|
||||
επιτιθέμενους με βάση τις βέλτιστες πρακτικές ασφαλείας. Έπειτα, επιστρέφει
|
||||
στον χρήστη μια λεπτομερή αναφορά με τα ευρήματά του και προτάσεις για την
|
||||
επίλυσή τους. Στο τελευταίο κομμάτι της αναφοράς, παρέχεται και μια βαθμολογία
|
||||
της ασφάλειας του συστήματος η οποία κυμαίνεται από το 0 έως το 100. Εκτελείται
|
||||
εύκολα σε κάθε σύστημα Linux διότι πρόκειται για ένα απλό εκτελέσιμο αρχείο
|
||||
bash.
|
||||
της ασφάλειας του συστήματος, η οποία κυμαίνεται από το 0 έως το 100.
|
||||
Εκτελείται εύκολα σε κάθε σύστημα Linux διότι πρόκειται για ένα απλό εκτελέσιμο
|
||||
αρχείο bash.
|
||||
|
||||
\noindent Στο Σχήμα \ref{fig:lynisScan} απεικονίζεται ένα κομμάτι της αναφοράς
|
||||
που επιστρέφει.
|
||||
@@ -156,10 +156,11 @@ bash.
|
||||
\footfullcite{lunar}. Πρόκειται για ένα εκτελέσιμο αρχείο bash, το οποίο όπως
|
||||
και το Lynis, εκτελείται στον διακομιστή του οποίου την ασφάλεια αξιολογεί. Ο
|
||||
τρόπος λειτουργίας του είναι προσεγγίσιμος και απλός. Εκτελεί μια σειρά ελέγχων
|
||||
στο σύστημα χρησιμοποιώντας το κριτήριο αναφοράς CIS, καθώς και άλλα πλαίσια
|
||||
και επιστρέφει στον χρήστη μια αναφορά με τα ευρήματά του. Παρομοίως με το
|
||||
Lynis, στο τέλος της αναφοράς του περιέχεται ο αριθμός των ελέγχων που
|
||||
εκτελέστηκαν, σε συνδυασμό με τον αριθμό αποτυχιών και επιτυχιών τους.
|
||||
στο σύστημα χρησιμοποιώντας το κριτήριο αναφοράς CIS (Center for Internet
|
||||
Security) \footfullcite{CIS}, καθώς και άλλα πλαίσια και επιστρέφει στον χρήστη
|
||||
μια αναφορά με τα ευρήματά του. Παρομοίως με το Lynis, στο τέλος της αναφοράς
|
||||
του περιέχεται ο αριθμός των ελέγχων που εκτελέστηκαν, σε συνδυασμό με τον
|
||||
αριθμό αποτυχιών και επιτυχιών τους.
|
||||
|
||||
\section{Προετοιμασία περιβαλλόντων προς αξιολόγηση} \label{environtmentPreparation}
|
||||
|
||||
@@ -188,18 +189,19 @@ Lynis, στο τέλος της αναφοράς του περιέχεται ο
|
||||
|
||||
\end{itemize}
|
||||
|
||||
Οι εντολές που χρησιμοποιήθηκαν για την δημιουργία τους, έχουν την παρακάτω
|
||||
μορφή διότι έχει εισαχθεί το εκτελέσιμο αρχείο secdep.py στο PATH του
|
||||
συστήματος και έχει δηλωθεί ως alias του το secdep. Στην περίπτωση που αυτά τα
|
||||
βήματα δεν έχουν ληφθεί θα πρέπει οι εντολές να είναι της μορφής:
|
||||
Οι εντολές που χρησιμοποιήθηκαν για την δημιουργία των εικονικών μηχανών, έχουν
|
||||
την παρακάτω μορφή (πχ. δείτε Εντολή \ref{lst:secdep-aws-creation}) διότι έχει
|
||||
εισαχθεί το εκτελέσιμο αρχείο secdep.py στο PATH του συστήματος και έχει
|
||||
δηλωθεί ως alias του το secdep. Στην περίπτωση που αυτά τα βήματα δεν έχουν
|
||||
ληφθεί θα πρέπει οι εντολές να είναι της μορφής:
|
||||
|
||||
\begin{bashcode}
|
||||
python3 secdep.py <παράμετροι χρήστη>
|
||||
\end{bashcode}
|
||||
|
||||
\noindent Χρησιμοποιήθηκε η εξής εντολή για την δημιουργία της εικονικής
|
||||
μηχανής χωρίς\footnote{\textgreek{Ο χρόνος εκτέλεσης της είναι κατά μέσο όρο 37
|
||||
δευτερόλεπτα.}} σκλήρυνση λειτουργικού συστήματος:
|
||||
\noindent Χρησιμοποιήθηκε η εξής εντολή για την δημιουργία της πρώτης εικονικής
|
||||
μηχανής (VM\_1) χωρίς\footnote{\textgreek{Ο χρόνος εκτέλεσης της είναι κατά
|
||||
μέσο όρο 37 δευτερόλεπτα.}} σκλήρυνση λειτουργικού συστήματος:
|
||||
|
||||
\begin{listing}[!ht]
|
||||
\begin{bashcode}
|
||||
@@ -211,10 +213,11 @@ secdep -P aws -c -n test-node -s t3.micro -i ami-08869bacfa1188ec9 --yes
|
||||
\end{listing}
|
||||
|
||||
Για την δημιουργία εικονικής μηχανής με σκλήρυνση\footnote{\textgreek{Η εντολή
|
||||
αυτή έχει χρόνο εκτέλεσης 2 λεπτά και 55 δευτερόλεπτα.}} λειτουργικού
|
||||
συστήματος, εγκατάσταση και σκλήρυνση της μηχανής δοχείων Docker και εισαγωγής
|
||||
ενός αρχείου docker-compose.yml που βρίσκεται στον ίδιο φάκελο με το secdep.py
|
||||
χρησιμοποιήθηκε η εντολή:
|
||||
αυτή έχει χρόνο εκτέλεσης 2 λεπτά και 55 δευτερόλεπτα. Επομένως, φαίνεται πως η
|
||||
σκλήρυνση του συστήματος (δηλ. μιας εικονικής μηχανής) έχει ένα επίβαρο
|
||||
επίδοσης.}} λειτουργικού συστήματος (VM\_2), εγκατάσταση και σκλήρυνση της
|
||||
μηχανής δοχείων Docker και εισαγωγής ενός αρχείου docker-compose.yml που
|
||||
βρίσκεται στον ίδιο φάκελο με το secdep.py, χρησιμοποιήθηκε η εντολή:
|
||||
|
||||
\begin{listing}[!ht]
|
||||
\begin{bashcode}
|
||||
@@ -617,13 +620,13 @@ cd lunar
|
||||
|
||||
\subsection{Αποτελέσματα αξιολόγησης με το Vuls} \label{vulsResults}
|
||||
|
||||
Η εκτέλεση του Vuls στους δύο διακομιστές, στο τελευταίο κομμάτι της αναφέρει
|
||||
μια μείωση των CVEs που απειλούν τον κάθε διακομιστή. Συγκεκριμένα αναφέρονται
|
||||
τα εξής:
|
||||
Μετά την εκτέλεση του Vuls και στους δύο διακομιστές, φαίνεται να υπάρχει μια
|
||||
μείωση των CVEs από τον μη σκληρυμένο διακομιστή προς τον σκληρυμένο.
|
||||
Συγκεκριμένα βλέπουμε τα εξής αποτελέσματα:
|
||||
|
||||
\begin{itemize}
|
||||
|
||||
\item \textbf{secdepawsFresh}:
|
||||
\item \textbf{secdepawsFresh} (VM\_1):
|
||||
|
||||
\begin{itemize}
|
||||
|
||||
@@ -635,7 +638,7 @@ cd lunar
|
||||
|
||||
\end{itemize}
|
||||
|
||||
\item \textbf{secdepawsHardened}:
|
||||
\item \textbf{secdepawsHardened} (VM\_2):
|
||||
|
||||
\begin{itemize}
|
||||
|
||||
|
||||
@@ -50,22 +50,23 @@ SecDep, είναι ικανό να δημιουργήσει εικονικές
|
||||
πολλές ευκαιρίες για την επέκτασή του. Αρχικά, θα μπορούσε να επεκταθεί η
|
||||
λειτουργικότητά του, ώστε να υποστηρίζει και άλλους παρόχους νέφους. Αυτό
|
||||
βέβαια εξαρτάται άμεσα και από το εύρος της υποστήριξης συγκεκριμένων
|
||||
συναρτήσεων από την βιβλιοθήκη libcloud. Επιπλέον, θα μπορούσε να αλλοιωθεί με
|
||||
συναρτήσεων από την βιβλιοθήκη libcloud. Επιπλέον, θα μπορούσε να επεκταθεί με
|
||||
σκοπό την υποστήριξη παραπάνω μεθόδων της βιβλιοθήκης, δίνοντας στον χρήστη
|
||||
δυνατότητες όπως η ρύθμιση DNS, εξωτερικής αποθήκευσης δεδομένων και
|
||||
εξισορρόπησης φόρτου εργασιών.
|
||||
|
||||
Τα παραπάνω αφορούν την επέκταση ενός από τα δύο εκτελέσιμα αρχεία του SecDep.
|
||||
Το δεύτερο, το οποίο επικεντρώνεται στην σκλήρυνση του συστήματος και του
|
||||
Docker, θα μπορούσε και αυτό να επεκταθεί, προσθέτοντάς του νέες λειτουργίες.
|
||||
Μια από αυτές θα μπορούσε να είναι η επιλογή του χρήστη για εφαρμογή
|
||||
συγκεκριμένων ρυθμίσεων ασφαλείας. Επίσης, θα μπορούσε να χωριστεί σε δύο
|
||||
ανεξάρτητα εκτελέσιμα αρχεία, το ένα υπεύθυνο για την σκλήρυνση του συστήματος
|
||||
και το άλλο για την εγκατάσταση και σκλήρυνση του δαίμονα του Docker. Με αυτόν
|
||||
τον τρόπο, ο χρήστης θα μπορούσε να επιλέξει να εγκαταστήσει μια σκληρυμένη
|
||||
έκδοση του Docker σε ένα σύστημα που έχει ήδη σκληρύνει, χωρίς να χρειάζεται να
|
||||
χρησιμοποιήσει το πρώτο εκτελέσιμο αρχείο. Τέλος, θα μπορούσε να βελτιωθεί η
|
||||
διαδικασία σκλήρυνσης. Τα αποτελέσματα είναι ήδη αρκετά ικανοποιητικά, ωστόσο
|
||||
πάντα υπάρχουν περιθώρια βελτίωσης.
|
||||
Τα παραπάνω αφορούν την επέκταση ενός από τα δύο εκτελέσιμα αρχεία του SecDep,
|
||||
αυτού για την διαχείριση και δημιουργία εικονικών μηχανών. Το δεύτερο, το οποίο
|
||||
επικεντρώνεται στην σκλήρυνση του συστήματος και του Docker, θα μπορούσε και
|
||||
αυτό να επεκταθεί, προσθέτοντάς του νέες λειτουργίες. Μια από αυτές θα μπορούσε
|
||||
να είναι η επιλογή του χρήστη για εφαρμογή συγκεκριμένων ρυθμίσεων ασφαλείας.
|
||||
Επίσης, θα μπορούσε να χωριστεί σε δύο ανεξάρτητα εκτελέσιμα αρχεία, το ένα
|
||||
υπεύθυνο για την σκλήρυνση του συστήματος και το άλλο για την εγκατάσταση και
|
||||
σκλήρυνση του δαίμονα του Docker. Με αυτόν τον τρόπο, ο χρήστης θα μπορούσε να
|
||||
επιλέξει να εγκαταστήσει μια σκληρυμένη έκδοση του Docker σε ένα σύστημα που
|
||||
έχει ήδη σκληρύνει, χωρίς να χρειάζεται να χρησιμοποιήσει το πρώτο εκτελέσιμο
|
||||
αρχείο. Τέλος, θα μπορούσε να βελτιωθεί η διαδικασία σκλήρυνσης. Τα
|
||||
αποτελέσματα είναι ήδη ικανοποιητικά, ωστόσο πάντα υπάρχουν περιθώρια
|
||||
βελτίωσης.
|
||||
|
||||
\clearpage % Needed to reset header
|
||||
|
||||
Reference in New Issue
Block a user