-
Notifications
You must be signed in to change notification settings - Fork 0
Manual de usuario APClient
APClient es la parte Cliente del sistema que se instala y ejecuta en cada uno de los servidores que serán periódicamente controlados por la política de seguridad definida en el servidor (APServer). El sistema APClient es configurado utilizando el mismo usuario de servicio y la llave asimétrica creada durante la instalación de APServer. La ejecución APClient se realiza como super-usuario (root) y puede ser programada en una tarea cron. El oficial de seguridad no deberá modificar las políticas de seguridad en los clientes.
A continuación se presenta el listado de facilidades y controles que ya están incluídas en APClient para cada una de las plataformas soportadas.
| Module | Description | Example config | AIX | SUN | LNX |
|---|---|---|---|---|---|
| Services | Services offers by the server | ftp,finger,telnet | X | X | X |
| SystemGeneral | System configuration values | LoginMessage,AllowedShells,UserTrap | X | X | X |
| UserSecurity | Users configuration | umask,maxage,allowedusers,minlen | X | X | X |
| CronATPolicy | CRON and AT daemons | CronAllow,AtDeny | X | X | X |
| FileSettings | Files and directories permisions, owner and group | /etc=root:system:755 | X | X | X |
| FTPPolicy | FTP service configuration | CommandLine | X | ||
| GroupSecurity | Group control | check_dups,admin empty_roles, adms | X | ||
| DefaultUsers | Control of local user accounts | validate user:uid:guid:home:shell | X | X | |
| DefaultGroups | Control of local groups | validate groupname:GID:users | X | X | |
| AuditPolicy | System audit | classes, users | X | X | |
| BootConfig | Bootloader configuration | password, restricted | X | ||
| NewUsers | Default user creation attributes | home, group, skep | X | ||
| PAMPolicy | PAM configuration | PAM_gdm,PAM_su,PAM_halt | X | ||
| SSHPolicy | SecureShell service configuration | X11Forwarding,PermitRootLogin | X | X | |
| SystemKernel | Kernel values | net.ipv4.ip_forward | X | ||
| TCPwrappers | TCP wrappers configuration | allow,deny | X | ||
| X11Policy | X server configuration | XDMCPEnable,AutomaticLoginEnable | X |
Parámetros:
-q No escribe mensajes en la salida estándar.
-u Intenta actualizar la política de seguridad. Si existe el archivo update.def en el home del usuario de servicio, este es movido al directorio de trabajo del programa y es el que se utilizará para realizar las comprobaciones.
-c Solo reporta diferencias encontradas. No realiza ningún cambio a la configuración del sistema. Esta opción esta activada por defecto.
-f Al encontrar una diferencia, arregla la configuración para que respete la especificación. Se hace backup de los archivos de configuración modificados.
-s [SectionName] Solo se procesa la sección llamada 'SectionName'.
-l Informa cuando el valor encontrado es el que se esperaba. Por defecto no lo hace.
-n No ingresa mensajes alsyslog del sistema.
Verificar los permisos de los archivos especificados en la política:
# applypolicy -c -s FileSettings
En la sección FileSettings de las definiciones se especifican rutas a archivos y/o directorios junto con el dueño, el grupo y los permisos que debe tener. El parámetro -s le indica que sólo procese dicha sección. Si además de encontrar diferencias se desea corregirlas:
# applypolicy -f -s FileSettings
Para ejecución desde cron se recomiendan los siguientes parámetros:
47 6 * * 1 root applypolicy -c -u -q
De esta manera todos los lunes a las 6:47hs se intentará actualizar la política y luego se analizaran todas las secciones de la misma. Si se omite la opción -q, cron enviará un email al root del sistema con los informes reportados en la ejecución.