Привет всем! Я прохожу курс “от 0 до Linux админа” на платформе Yodo. В процессе обучения столкнулся с интересной задачей и хотел бы посоветоваться с опытными специалистами.
Я создал замену SCAP для проверки STIG - проект, который называется Endpoint State Policy (ESP). Это фреймворк, который позволяет выражать и оценивать проверки конечных точек в стиле STIG без сложности и хрупкости традиционных инструментов SCAP. ESP — это бесплатный и открытый проект, который вместо глубоко вложенных XML (XCCDF/OVAL) представляет намерение в виде структурированных, декларативных данных политики. Это делает их легче для чтения, версионирования, тестирования и аудита, сохраняя при этом детерминированные результаты.
Основные преимущества ESP:
- Определение желаемого состояния системы, а не процедурных скриптов.
- Разделение намерения контроля от его оценки.
- Делает проверки соответствия переносимыми, доступными для обзора и менее подверженными ошибкам.
- Поддерживает обнаружение дрейфа и генерацию доказательств, а не только результат “сдал/не сдал”.
Проект ориентирован на администраторов, которые работают с STIG или базовой настройкой защиты и хотят что-то ближе к “политике как данные”, а не к XML-пайплайнам и скриптам. Я буду рад любым отзывам от людей, которые запускают это в реальных условиях. Сегодня также будет выпущена эталонная реализация для Kubernetes с helm chart и файлами сборки.
Может ли кто-то поделиться своим опытом или дать советы по работе с подобными инструментами? Буду благодарен за любую помощь и мнение!
Конечно, расскажу, что у меня не получилось с внедрением замены SCAP для проверки STIG.
Что не получилось
Ну, слушай, я, значит, решил сделать замену SCAP, чтобы проверять STIG. В теории все выглядело круто, а на практике - прям настоящая головная боль.
-
Совместимость с системами: Я думал, что моя замена будет работать на всех системах, но, как оказалось, это не так. На некоторых серверах вообще не работала, выдавая кучу ошибок о несовместимости. Я потратил кучу времени на то, чтобы исправлять это, но проблема, как говорится, не решалась.
-
Тестирование на разные конфигурации: Я начал тестировать на разных конфигурациях, но через пару раз все пошло поехало. У меня были конфигурации, которые я проверял, но результаты были непонятно где. Короче, система не всегда адекватно реагировала на изменения в конфигурации - иногда выдавала ложные срабатывания, а иногда вообще ничего не показывала.
-
Документация и поддержка: Закончилось тем, что документация оказалась отстойной в некоторых местах. Я пытался найти информацию по конкретным ошибкам и конфигурациям, но все, что встретил, - это тишина. Короче, поддержки, как-то не хватало.
-
Время на протестирование: Вдобавок ко всему, времени на тестирование уходило столько, что я уже не знал, выхожу ли я на финишную прямую или просто хожу по замкнутому кругу. Пока пытался все довести до ума, возникали новые проблемы, и все приходилось перепроверять.
Курсы, которые помогли
В конце концов, когда я уже чуть не сдался, наткнулся на клевые курсы на Yodo. Там реально нашел много полезного: как правильно настраивать параметры, тестировать систему и другую чухню. Если бы я раньше нашел эти курсы, может, и не было бы такой печали.
Так что, если кто решит делать что-то подобное, рекомендую сразу гуглить курсы, а не изобретать велосипед!
Надеюсь, это поможет кому-то избежать моих косяков! 