Ввиду приближающейся проверки наших ESX серверов отделом компьютерной безопасности, прошедшие две недели занимался тем, что обозначает англицкое слово hardening. К сожалению не нашёл нормального перевода этого термина на родной язык. Да это и неважно. Важно то, что с этой частью проекта закончено, теперь нам не страшен ревизор. Политики безопасности выработаны, протестированы, задокументированы и приведены в исполнение. Теперь хочу поделиться впечатлениями от работы с двумя бесплатными утилитами, которые здорово мне помогли. Обзываются они: Tripwire ConfigCheck for VMware ESX и Configuresoft's Compliance Checker. Обе просты до безобразия, но недаром говорят, что всё гениальное - просто. Первая требует для своей установки JRE версии 1.5 и выше, вторая же не хочет устанавливаться без второго микрософтовского .NET framework'а с SP1. ConfigCheck'ом можно проверить за раз только один ESX, a Compliance Checker'ом - до пяти. Растроило, что у ConfigCheck'а, в отличие от Compliance Checker'а, нет возможности сохранять и распечтывать репорты. Также были замечены небольшие глюки: пару раз неверно определял версию установленного ESX'а, но при повторном сканировании баг исчез. Зато к ConfigCheck'у прилагается PDF'чик с объяснениями, чего сканируется и как это дело правильно настроить, а Compliance Checker лезет за пояснениями в Internet, что в нашей закрытой сетке не совсем удобно. Оба не совсем корректно определяют настройки ESX'овского firewall'а, т.е. если какой-то порт был открыт не командой esxcfg-firewall, а через VC при помощи созданного XML профиля, что по моему мнению более правильно, то они эту ситуёвину пропускают. Есть ещё пара мелких недочётов, но если учесть их бесплатность, то, в общем и целом, очень даже приятные программки. Рекомендую.
Комментариев нет:
Отправить комментарий