It only compiles every 3 tries... good luck.
This commit is contained in:
@@ -1255,6 +1255,12 @@
|
|||||||
url = {https://github.com/vim/vim},
|
url = {https://github.com/vim/vim},
|
||||||
}
|
}
|
||||||
|
|
||||||
|
@online{CIS,
|
||||||
|
title = {CIS},
|
||||||
|
author = {CIS},
|
||||||
|
url = {https://www.cisecurity.org/},
|
||||||
|
}
|
||||||
|
|
||||||
inproceedings{manu2016study,
|
inproceedings{manu2016study,
|
||||||
author = {Manu, A.R. and Patel, Jitendra Kumar and Akhtar, Shakil and Agrawal, V.K. and Subramanya Murthy, K.N. Bala},
|
author = {Manu, A.R. and Patel, Jitendra Kumar and Akhtar, Shakil and Agrawal, V.K. and Subramanya Murthy, K.N. Bala},
|
||||||
booktitle = {2016 International Conference on Circuit, Power and Computing Technologies (ICCPCT)},
|
booktitle = {2016 International Conference on Circuit, Power and Computing Technologies (ICCPCT)},
|
||||||
|
|||||||
@@ -39,11 +39,11 @@ Lynis και το LUNAR.
|
|||||||
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
||||||
\item \textbf{Alpine-secdb}
|
\item Alpine-secdb
|
||||||
\item \textbf{Red Hat Security Advisories}
|
\item Red Hat Security Advisories
|
||||||
\item \textbf{Debian Security Bug Tracker}
|
\item Debian Security Bug Tracker
|
||||||
\item \textbf{Ubuntu CVE Tracker}
|
\item Ubuntu CVE Tracker
|
||||||
\item \textbf{Microsoft CVRF}
|
\item Microsoft CVRF
|
||||||
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
@@ -51,8 +51,8 @@ Lynis και το LUNAR.
|
|||||||
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
||||||
\item \textbf{Exploit Database}
|
\item Exploit Database
|
||||||
\item \textbf{Metasploit-Framework modules}
|
\item Metasploit-Framework modules
|
||||||
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
@@ -128,14 +128,14 @@ Lynis και το LUNAR.
|
|||||||
Το Lynis \footfullcite{lynis} είναι το δεύτερο εργαλείο ανοιχτού κώδικα που
|
Το Lynis \footfullcite{lynis} είναι το δεύτερο εργαλείο ανοιχτού κώδικα που
|
||||||
χρησιμοποιήθηκε για την αξιολόγηση της ασφάλειας των εικονικών μηχανών. Σε
|
χρησιμοποιήθηκε για την αξιολόγηση της ασφάλειας των εικονικών μηχανών. Σε
|
||||||
αντίθεση με το Vuls, το Lynis εκτελείται αποκλειστικά στον απομακρυσμένο
|
αντίθεση με το Vuls, το Lynis εκτελείται αποκλειστικά στον απομακρυσμένο
|
||||||
διακομιστή. Πραγματοποιεί μια εκτενή ανάλυση του συστήματος εντοπίζοντας
|
διακομιστή. Πραγματοποιεί μια εκτενή ανάλυση του συστήματος, εντοπίζοντας
|
||||||
απροσεξίες ή ελλείψεις ρυθμίσεων που μπορεί να αποτελέσουν σημεία εισόδου για
|
απροσεξίες ή ελλείψεις ρυθμίσεων που μπορεί να αποτελέσουν σημεία εισόδου για
|
||||||
επιτιθέμενους με βάση τις βέλτιστες πρακτικές ασφαλείας. Έπειτα, επιστρέφει
|
επιτιθέμενους με βάση τις βέλτιστες πρακτικές ασφαλείας. Έπειτα, επιστρέφει
|
||||||
στον χρήστη μια λεπτομερή αναφορά με τα ευρήματά του και προτάσεις για την
|
στον χρήστη μια λεπτομερή αναφορά με τα ευρήματά του και προτάσεις για την
|
||||||
επίλυσή τους. Στο τελευταίο κομμάτι της αναφοράς, παρέχεται και μια βαθμολογία
|
επίλυσή τους. Στο τελευταίο κομμάτι της αναφοράς, παρέχεται και μια βαθμολογία
|
||||||
της ασφάλειας του συστήματος η οποία κυμαίνεται από το 0 έως το 100. Εκτελείται
|
της ασφάλειας του συστήματος, η οποία κυμαίνεται από το 0 έως το 100.
|
||||||
εύκολα σε κάθε σύστημα Linux διότι πρόκειται για ένα απλό εκτελέσιμο αρχείο
|
Εκτελείται εύκολα σε κάθε σύστημα Linux διότι πρόκειται για ένα απλό εκτελέσιμο
|
||||||
bash.
|
αρχείο bash.
|
||||||
|
|
||||||
\noindent Στο Σχήμα \ref{fig:lynisScan} απεικονίζεται ένα κομμάτι της αναφοράς
|
\noindent Στο Σχήμα \ref{fig:lynisScan} απεικονίζεται ένα κομμάτι της αναφοράς
|
||||||
που επιστρέφει.
|
που επιστρέφει.
|
||||||
@@ -156,10 +156,11 @@ bash.
|
|||||||
\footfullcite{lunar}. Πρόκειται για ένα εκτελέσιμο αρχείο bash, το οποίο όπως
|
\footfullcite{lunar}. Πρόκειται για ένα εκτελέσιμο αρχείο bash, το οποίο όπως
|
||||||
και το Lynis, εκτελείται στον διακομιστή του οποίου την ασφάλεια αξιολογεί. Ο
|
και το Lynis, εκτελείται στον διακομιστή του οποίου την ασφάλεια αξιολογεί. Ο
|
||||||
τρόπος λειτουργίας του είναι προσεγγίσιμος και απλός. Εκτελεί μια σειρά ελέγχων
|
τρόπος λειτουργίας του είναι προσεγγίσιμος και απλός. Εκτελεί μια σειρά ελέγχων
|
||||||
στο σύστημα χρησιμοποιώντας το κριτήριο αναφοράς CIS, καθώς και άλλα πλαίσια
|
στο σύστημα χρησιμοποιώντας το κριτήριο αναφοράς CIS (Center for Internet
|
||||||
και επιστρέφει στον χρήστη μια αναφορά με τα ευρήματά του. Παρομοίως με το
|
Security) \footfullcite{CIS}, καθώς και άλλα πλαίσια και επιστρέφει στον χρήστη
|
||||||
Lynis, στο τέλος της αναφοράς του περιέχεται ο αριθμός των ελέγχων που
|
μια αναφορά με τα ευρήματά του. Παρομοίως με το Lynis, στο τέλος της αναφοράς
|
||||||
εκτελέστηκαν, σε συνδυασμό με τον αριθμό αποτυχιών και επιτυχιών τους.
|
του περιέχεται ο αριθμός των ελέγχων που εκτελέστηκαν, σε συνδυασμό με τον
|
||||||
|
αριθμό αποτυχιών και επιτυχιών τους.
|
||||||
|
|
||||||
\section{Προετοιμασία περιβαλλόντων προς αξιολόγηση} \label{environtmentPreparation}
|
\section{Προετοιμασία περιβαλλόντων προς αξιολόγηση} \label{environtmentPreparation}
|
||||||
|
|
||||||
@@ -188,18 +189,19 @@ Lynis, στο τέλος της αναφοράς του περιέχεται ο
|
|||||||
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
Οι εντολές που χρησιμοποιήθηκαν για την δημιουργία τους, έχουν την παρακάτω
|
Οι εντολές που χρησιμοποιήθηκαν για την δημιουργία των εικονικών μηχανών, έχουν
|
||||||
μορφή διότι έχει εισαχθεί το εκτελέσιμο αρχείο secdep.py στο PATH του
|
την παρακάτω μορφή (πχ. δείτε Εντολή \ref{lst:secdep-aws-creation}) διότι έχει
|
||||||
συστήματος και έχει δηλωθεί ως alias του το secdep. Στην περίπτωση που αυτά τα
|
εισαχθεί το εκτελέσιμο αρχείο secdep.py στο PATH του συστήματος και έχει
|
||||||
βήματα δεν έχουν ληφθεί θα πρέπει οι εντολές να είναι της μορφής:
|
δηλωθεί ως alias του το secdep. Στην περίπτωση που αυτά τα βήματα δεν έχουν
|
||||||
|
ληφθεί θα πρέπει οι εντολές να είναι της μορφής:
|
||||||
|
|
||||||
\begin{bashcode}
|
\begin{bashcode}
|
||||||
python3 secdep.py <παράμετροι χρήστη>
|
python3 secdep.py <παράμετροι χρήστη>
|
||||||
\end{bashcode}
|
\end{bashcode}
|
||||||
|
|
||||||
\noindent Χρησιμοποιήθηκε η εξής εντολή για την δημιουργία της εικονικής
|
\noindent Χρησιμοποιήθηκε η εξής εντολή για την δημιουργία της πρώτης εικονικής
|
||||||
μηχανής χωρίς\footnote{\textgreek{Ο χρόνος εκτέλεσης της είναι κατά μέσο όρο 37
|
μηχανής (VM\_1) χωρίς\footnote{\textgreek{Ο χρόνος εκτέλεσης της είναι κατά
|
||||||
δευτερόλεπτα.}} σκλήρυνση λειτουργικού συστήματος:
|
μέσο όρο 37 δευτερόλεπτα.}} σκλήρυνση λειτουργικού συστήματος:
|
||||||
|
|
||||||
\begin{listing}[!ht]
|
\begin{listing}[!ht]
|
||||||
\begin{bashcode}
|
\begin{bashcode}
|
||||||
@@ -211,10 +213,11 @@ secdep -P aws -c -n test-node -s t3.micro -i ami-08869bacfa1188ec9 --yes
|
|||||||
\end{listing}
|
\end{listing}
|
||||||
|
|
||||||
Για την δημιουργία εικονικής μηχανής με σκλήρυνση\footnote{\textgreek{Η εντολή
|
Για την δημιουργία εικονικής μηχανής με σκλήρυνση\footnote{\textgreek{Η εντολή
|
||||||
αυτή έχει χρόνο εκτέλεσης 2 λεπτά και 55 δευτερόλεπτα.}} λειτουργικού
|
αυτή έχει χρόνο εκτέλεσης 2 λεπτά και 55 δευτερόλεπτα. Επομένως, φαίνεται πως η
|
||||||
συστήματος, εγκατάσταση και σκλήρυνση της μηχανής δοχείων Docker και εισαγωγής
|
σκλήρυνση του συστήματος (δηλ. μιας εικονικής μηχανής) έχει ένα επίβαρο
|
||||||
ενός αρχείου docker-compose.yml που βρίσκεται στον ίδιο φάκελο με το secdep.py
|
επίδοσης.}} λειτουργικού συστήματος (VM\_2), εγκατάσταση και σκλήρυνση της
|
||||||
χρησιμοποιήθηκε η εντολή:
|
μηχανής δοχείων Docker και εισαγωγής ενός αρχείου docker-compose.yml που
|
||||||
|
βρίσκεται στον ίδιο φάκελο με το secdep.py, χρησιμοποιήθηκε η εντολή:
|
||||||
|
|
||||||
\begin{listing}[!ht]
|
\begin{listing}[!ht]
|
||||||
\begin{bashcode}
|
\begin{bashcode}
|
||||||
@@ -617,13 +620,13 @@ cd lunar
|
|||||||
|
|
||||||
\subsection{Αποτελέσματα αξιολόγησης με το Vuls} \label{vulsResults}
|
\subsection{Αποτελέσματα αξιολόγησης με το Vuls} \label{vulsResults}
|
||||||
|
|
||||||
Η εκτέλεση του Vuls στους δύο διακομιστές, στο τελευταίο κομμάτι της αναφέρει
|
Μετά την εκτέλεση του Vuls και στους δύο διακομιστές, φαίνεται να υπάρχει μια
|
||||||
μια μείωση των CVEs που απειλούν τον κάθε διακομιστή. Συγκεκριμένα αναφέρονται
|
μείωση των CVEs από τον μη σκληρυμένο διακομιστή προς τον σκληρυμένο.
|
||||||
τα εξής:
|
Συγκεκριμένα βλέπουμε τα εξής αποτελέσματα:
|
||||||
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
||||||
\item \textbf{secdepawsFresh}:
|
\item \textbf{secdepawsFresh} (VM\_1):
|
||||||
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
||||||
@@ -635,7 +638,7 @@ cd lunar
|
|||||||
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
\item \textbf{secdepawsHardened}:
|
\item \textbf{secdepawsHardened} (VM\_2):
|
||||||
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
||||||
|
|||||||
@@ -50,22 +50,23 @@ SecDep, είναι ικανό να δημιουργήσει εικονικές
|
|||||||
πολλές ευκαιρίες για την επέκτασή του. Αρχικά, θα μπορούσε να επεκταθεί η
|
πολλές ευκαιρίες για την επέκτασή του. Αρχικά, θα μπορούσε να επεκταθεί η
|
||||||
λειτουργικότητά του, ώστε να υποστηρίζει και άλλους παρόχους νέφους. Αυτό
|
λειτουργικότητά του, ώστε να υποστηρίζει και άλλους παρόχους νέφους. Αυτό
|
||||||
βέβαια εξαρτάται άμεσα και από το εύρος της υποστήριξης συγκεκριμένων
|
βέβαια εξαρτάται άμεσα και από το εύρος της υποστήριξης συγκεκριμένων
|
||||||
συναρτήσεων από την βιβλιοθήκη libcloud. Επιπλέον, θα μπορούσε να αλλοιωθεί με
|
συναρτήσεων από την βιβλιοθήκη libcloud. Επιπλέον, θα μπορούσε να επεκταθεί με
|
||||||
σκοπό την υποστήριξη παραπάνω μεθόδων της βιβλιοθήκης, δίνοντας στον χρήστη
|
σκοπό την υποστήριξη παραπάνω μεθόδων της βιβλιοθήκης, δίνοντας στον χρήστη
|
||||||
δυνατότητες όπως η ρύθμιση DNS, εξωτερικής αποθήκευσης δεδομένων και
|
δυνατότητες όπως η ρύθμιση DNS, εξωτερικής αποθήκευσης δεδομένων και
|
||||||
εξισορρόπησης φόρτου εργασιών.
|
εξισορρόπησης φόρτου εργασιών.
|
||||||
|
|
||||||
Τα παραπάνω αφορούν την επέκταση ενός από τα δύο εκτελέσιμα αρχεία του SecDep.
|
Τα παραπάνω αφορούν την επέκταση ενός από τα δύο εκτελέσιμα αρχεία του SecDep,
|
||||||
Το δεύτερο, το οποίο επικεντρώνεται στην σκλήρυνση του συστήματος και του
|
αυτού για την διαχείριση και δημιουργία εικονικών μηχανών. Το δεύτερο, το οποίο
|
||||||
Docker, θα μπορούσε και αυτό να επεκταθεί, προσθέτοντάς του νέες λειτουργίες.
|
επικεντρώνεται στην σκλήρυνση του συστήματος και του Docker, θα μπορούσε και
|
||||||
Μια από αυτές θα μπορούσε να είναι η επιλογή του χρήστη για εφαρμογή
|
αυτό να επεκταθεί, προσθέτοντάς του νέες λειτουργίες. Μια από αυτές θα μπορούσε
|
||||||
συγκεκριμένων ρυθμίσεων ασφαλείας. Επίσης, θα μπορούσε να χωριστεί σε δύο
|
να είναι η επιλογή του χρήστη για εφαρμογή συγκεκριμένων ρυθμίσεων ασφαλείας.
|
||||||
ανεξάρτητα εκτελέσιμα αρχεία, το ένα υπεύθυνο για την σκλήρυνση του συστήματος
|
Επίσης, θα μπορούσε να χωριστεί σε δύο ανεξάρτητα εκτελέσιμα αρχεία, το ένα
|
||||||
και το άλλο για την εγκατάσταση και σκλήρυνση του δαίμονα του Docker. Με αυτόν
|
υπεύθυνο για την σκλήρυνση του συστήματος και το άλλο για την εγκατάσταση και
|
||||||
τον τρόπο, ο χρήστης θα μπορούσε να επιλέξει να εγκαταστήσει μια σκληρυμένη
|
σκλήρυνση του δαίμονα του Docker. Με αυτόν τον τρόπο, ο χρήστης θα μπορούσε να
|
||||||
έκδοση του Docker σε ένα σύστημα που έχει ήδη σκληρύνει, χωρίς να χρειάζεται να
|
επιλέξει να εγκαταστήσει μια σκληρυμένη έκδοση του Docker σε ένα σύστημα που
|
||||||
χρησιμοποιήσει το πρώτο εκτελέσιμο αρχείο. Τέλος, θα μπορούσε να βελτιωθεί η
|
έχει ήδη σκληρύνει, χωρίς να χρειάζεται να χρησιμοποιήσει το πρώτο εκτελέσιμο
|
||||||
διαδικασία σκλήρυνσης. Τα αποτελέσματα είναι ήδη αρκετά ικανοποιητικά, ωστόσο
|
αρχείο. Τέλος, θα μπορούσε να βελτιωθεί η διαδικασία σκλήρυνσης. Τα
|
||||||
πάντα υπάρχουν περιθώρια βελτίωσης.
|
αποτελέσματα είναι ήδη ικανοποιητικά, ωστόσο πάντα υπάρχουν περιθώρια
|
||||||
|
βελτίωσης.
|
||||||
|
|
||||||
\clearpage % Needed to reset header
|
\clearpage % Needed to reset header
|
||||||
|
|||||||
Reference in New Issue
Block a user