\n";
$opciones= $ARGV[0];
chomp $opciones;
switch ($opciones) {
case "--usuariodefault" { usuariodefault(); }
case "--permisosAD" { permisosAD(); }
case "--suidguidsticky" { suidguidsticky(); }
case "--sinownergroup" { sinownergroup(); }
case "--writeparatodos" { writeparatodos(); }
case "--syslog" { syslog(); }
case "--usuariosgrupos" { usuariosgrupos (); }
case "--expiracionUsuarios" { expiracionUsuarios(); }
case "--seguridadnet" { seguridadnet(); }
case "--seguridadssh" { seguridadssh(); }
case "--todos" { todos(); }
else { print "----------------------------------------------------------------------------------------------------------------
Se a ingreso una opcion incorrecta\n"; }
}
sub todos {
usuariodefault ();
permisosAD();
suidguidsticky ();
sinownergroup ();
writeparatodos ();
syslog ();
usuariosgrupos ();
expiracionUsuarios ();
seguridadnet ();
seguridadssh()
}
sub usuariodefault {
## Verificacion de servicios default
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Verificacion de usuarios default\n";
print ARCH "| -- Verificacion de servicios default |
\n";
print R "| -- Verificacion de servicios default |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
foreach $varb (@defaultuser){
$comando1 = (split ":",( qx(grep '^$varb' /etc/passwd ))[0] )[0];
chomp $comando1;
if ( "$comando1" ne "$varb" ){
}
else
{
print BOLD, RED, "Negativo:", RESET . " El usuario $varb existe\n";
print ARCH "| Negativo El usuario $varb existe |
\n";
print R "| Se recomienda eliminar el usuario $varb ya que este viene por default en el sistema |
\n";
}
}
}
sub permisosAD {
## Verificacion de permisos en archivos y directorios
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Verificar permisos en archivos y directorios\n";
print ARCH " | -- Verificar permisos en archivos y directorios |
\n";
print R " | -- Verificar permisos en archivos y directorios |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
# verifico si el owner es root
for my $archivo (@archivos) {
my $estatus = stat($archivo);
if (! defined $estatus) {
print BOLD, RED, 'No existe', RESET, " El archivo $archivo no existe en el sistema o no puede ser accedido\n";
print ARCH "| Negativo El archivo $archivo no existe en el sistema o no puede ser accedido |
\n";
}
else {
if (! -r $archivo) {
print BOLD, RED, 'No leible', RESET, " El archivo $archivo no puede ser leido\n";
print ARCH "| Negativo El archivo $archivo no puede ser leido |
\n";
}
if ( $estatus->uid == 0 ) {
}
else {
my ($nombre,$password,$uid,$gid,$quota,$comentario,$gcos,$dir,$shell,$expire) = getpwuid($estatus->uid);
print BOLD, RED, "Negativo:", RESET, " El archivo $archivo tiene como propietario a $nombre ($uid)\n";
print ARCH "| Negativo El archivo $archivo tiene como propietario a $nombre ($uid) |
\n";
print R "| Negativo Se recomienda que el archivo $archivo tenga como propietario al usuario root |
\n";
}
my $permisos = sprintf "%04o", $estatus->mode & 07777;
if ( $permisos eq '0644' ) {
}
else {
print BOLD, RED, "Negativo:", RESET, " El archivo $archivo tiene como permiso $permisos\n";
print ARCH "| Negativo El archivo $archivo tiene como permiso $permisos |
\n";
print R "| Negativo Se recomienda que el archivo $archivo tenga como permisos 0664 |
\n";
}
}
}
}
sub suidguidsticky {
##############################################################
## Verificacion de Suid Bit / Guid Bit / Sticky Bit
print "----------------------------------------------------------------------------------------------------------------\n";
print " -- Verificacion de Suid Bit / Guid Bit / Sticky Bit\n";
print ARCH " | -- Verificacion de Suid Bit / Guid Bit / Sticky Bit |
\n";
print R " | -- Verificacion de Suid Bit / Guid Bit / Sticky Bit |
\n";
print "----------------------------------------------------------------------------------------------------------------\n";
# Traverse desired filesystems
File::Find::find({wanted => \&wanted}, '/');
sub wanted {
my ($dev,$ino,$mode,$nlink,$uid,$gid);
(($dev,$ino,$mode,$nlink,$uid,$gid) = CORE::lstat($_))
and !($prune |= ($dev != $File::Find::topdev))
and -d $_
and (($mode & 01000) == 01000)
and print BOLD . WHITE . "Informacion:" . RESET . " Se detecto sticky bit en $name\n"
and print ARCH "| Informacion Directorio con sticky bit $name |
\n" and print R "| Se recomienda que se desactive el bit sticky, si este no es necesario en: $name |
\n"
or (($mode & 04000) == 04000) || (($mode & 02000) == 02000) and
print BOLD, WHITE, "Informacion:", RESET . " Se detecto suid/gsid en $name\n" and
print ARCH "| Informacion Se detecto suid/gsid en $name |
\n"
and
print R "| Informacion Se recomienda que se desactive el bit suid/gsid si los mismos no son necesarios: $name |
\n";
}
}
sub sinownergroup {
#####################################################################
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Archivos sin owner y group\n";
print ARCH "| -- Archivos sin owner y group |
\n";
print R "| -- Archivos sin owner y group |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
sub wanted3;
my (%uid, %user);
while (my ($name, $pw, $uid) = getpwent) {
$uid{$name} = $uid{$uid} = $uid;
}
my (%gid, %group);
while (my ($name, $pw, $gid) = getgrent) {
$gid{$name} = $gid{$gid} = $gid;
}
# Traverse desired filesystems
File::Find::find({wanted => \&wanted3}, '/');
sub wanted3 {
my ($dev,$ino,$mode,$nlink,$uid,$gid);
(($dev,$ino,$mode,$nlink,$uid,$gid) = CORE::lstat($_)) and
!($prune |= ($dev != $File::Find::topdev)) and
!exists $uid{$uid}
||
!exists $gid{$gid} and
print BOLD, RED, "Negativo:", RESET . " Archivo sin owner/group $name\n" and
print ARCH "| Negativo Archivo sin owner/group $name |
\n"
and
print R "| Se recomienda que se le asigne un usuario y grupo a los siguientes archivos: $name |
\n";
}
}
##################################3
sub writeparatodos {
print "----------------------------------------------------------------------------------------------------------------\n";
print " -- Verificar Archivos con write para todos los usuarios\n";
print ARCH "| -- Archivos con escritura publica |
\n";
print R "| -- Archivos con escritura publica |
\n";
print "----------------------------------------------------------------------------------------------------------------\n";
sub wanted1;
# Traverse desired filesystems
File::Find::find({wanted => \&wanted1}, '/');
sub wanted1 {
my ($dev,$ino,$mode,$nlink,$uid,$gid);
(($dev,$ino,$mode,$nlink,$uid,$gid) = CORE::lstat($_)) and
!($prune |= ($dev != $File::Find::topdev)) and
-f _ and
(
(($mode & 02) == 02) and
! (($mode & 01000) == 01000)
) and
print BOLD,RED, "Negativo:", RESET . " Archivo con write para todos los usuarios $name\n" and
print ARCH "| Negativo Archivo con write para todos los usuarios $name |
\n"
and
print R "| Se recomienda que se desactive el permiso de escritura para todos los usuarios de los siguientes archivos si el mismo no es necesario: $name |
\n";
}
}
########################################
sub syslog {
## Eventos de syslog
print "----------------------------------------------------------------------------------------------------------------\n";
print " -- Eventos mediante Syslog - AUTHPRIV\n";
print "----------------------------------------------------------------------------------------------------------------\n";
my $archivo="/etc/syslog.conf";
my $estatus = stat($archivo);
if (! defined $estatus) {
print BOLD, RED, 'No existe', RESET, " El archivo $archivo no existe en el sistema o no puede ser accedido\n";
print ARCH "| Negativo El archivo $archivo no existe en el sistema o no puede ser accedido |
\n";
}
else {
if (! -r $archivo) {
print BOLD, RED, 'No leible', RESET, " El archivo $archivo no puede ser leido\n";
print ARCH "| Negativo El archivo $archivo no puede ser leido |
\n";
}
if ( `grep -v '^#' $archivo | grep -c '^authpriv'` == 0 || die $!){
print BOLD, RED, "Negativo:", RESET . " No esta habilitado la captura de eventos del sistema operativo mediante syslog\n";
print ARCH "| Negativo No esta habilitado la captura de eventos del sistema operativo mediante syslog |
\n";
print R "| Negativo Se recomienda habilitar la captura de eventos del sistema operativo mediante syslog |
\n";
}
else{
print BOLD, GREEN, "Positivo:", RESET . " Esta seteado la captura de eventos del sistema operativo mediante syslog\n";
}
}
}
sub usuariosgrupos {
## Comprobacion de Usuarios/Grupos
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Comprobacion de Usuarios/Grupos \n";
print"----------------------------------------------------------------------------------------------------------------\n";
### Leemos todos los usuarios
my %usuarios;
setpwent(); ## Inicio de acceso al fichero passwd
while ( my($nombre,$passwd,$uid,$gid) = getpwent() ) { ## Bucle por todos los usuarios
$usuarios{$uid} = [ $nombre, $passwd, $gid ];
}
endpwent(); ## Fin de acceso al fichero passwd
### Leemos todos los grupos
my %grupos;
setgrent(); ## Inicio de acceso al fichero /etc/group
while ( my($nombre,$passwd,$gid,$miembros) = getgrent() ) { ## Bucle para todos los grupos
$grupos{$gid} = [ $nombre, $passwd, $miembros ];
}
endgrent(); ## Fin de acceso al fichero /etc/group
for my $uid ( keys %usuarios ) {
my $gid = $usuarios{$uid}->[2];
my $miembros_del_grupo = $grupos{$gid}->[2];
if (!$miembros_del_grupo) {
$grupos{$gid}->[2] = $usuarios{$uid}->[0];
}
elsif ($gid !~ /\b$miembros_del_grupo\b/) {
$grupos{$gid}->[2] = join " ", $miembros_del_grupo, $usuarios{$uid}->[0];
}
}
## Para cada usuario
for my $uid ( keys %usuarios ) {
my $nombre = $usuarios{$uid}->[0];
#print "Usuario: $nombre\n";
## Para todos los grupos de ese usuario
for my $gid ( keys %grupos ) {
next if $grupos{$gid}->[2] !~ /\b$nombre\b/;
#print "\tGrupo: $gid, $grupos{$gid}->[0]\n";
if ($gid < 500) {
print BOLD, WHITE, "Informacion:", RESET . " El usuario $nombre pertenece al grupo $grupos{$gid}->[0] ($gid)\n";
print ARCH "| Informacion El usuario $nombre pertenece al grupo $grupos{$gid}->[0] ($gid)\n |
\n";
}
}
}
}
sub expiracionUsuarios {
###########################################
#Variables de expiracion de cuentas de usuarios
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Variables de expiracion de cuentas de usuarios\n";
print ARCH "| -- Variables de expiracion de cuentas de usuarios |
\n";
print R "| -- Variables de expiracion de cuentas de usuarios |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
our %valor_correcto_de;
my $FICHERO = '/etc/login.defs';
my $login_defs = do { undef $/; open F, $FICHERO; };
for my $parametro (sort keys %valor_correcto_de) {
if (my($valor_actual) = $login_defs =~ /^ $parametro \s+ (\S+?) $/xsim) {
if ($valor_actual == $valor_correcto_de{$parametro}) {
print BOLD, GREEN, 'Positivo: ', RESET, "El valor del parametro $parametro es correcto\n";
}
else {
print BOLD, RED , 'Negativo: ', RESET, "El valor del parametro $parametro es incorrecto: ",
"$valor_actual != $valor_correcto_de{$parametro}\n";
print ARCH "| Negativo El valor del parametro $parametro es incorrecto: $valor_actual != $valor_correcto_de{$parametro} |
\n";
print R "| Negativo Se recomienda que el parametro $parametro tenga el valor '$valor_correcto_de{$parametro}' |
\n";
}
}
else {
print BOLD . 'No existe ' . RESET, "el parametro $parametro en $FICHERO";
}
}
}
sub seguridadnet {
#Variables de seguridad en la red
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Variables de seguridad en la red\n";
print ARCH "| -- Variables de seguridad en la red |
\n";
print R "| -- Variables de seguridad en la red |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
our %valor_correcto_net;
my $FICHERO2 = '/etc/sysctl.conf';
my $var_net = do { undef $/; open F, $FICHERO2; };
for my $parametro2 (sort keys %valor_correcto_net) {
if (my($valor_actual_net) = $var_net =~ /^ $parametro2(\S+?) $/xsim) {
if ($valor_actual_net == $valor_correcto_net{$parametro2}) {
print BOLD, GREEN, 'Positivo: ', RESET, "El valor del parametro $parametro2 es correcto\n";
}
else {
print BOLD, RED , 'Negativo: ', RESET, "El valor del parametro $parametro2 es incorrecto: $valor_actual_net != $valor_correcto_net{$parametro2}\n";
print ARCH "| Negativo El valor del parametro $parametro2 es incorrecto: $valor_actual_net != $valor_correcto_net{$parametro2} |
\n";
print R "| Negativo Se recomienda que el parametro $parametro2 tenga el valor '$valor_correcto_net{$parametro2}' |
\n";
}
}
else {
print BOLD . 'No existe ' . RESET, "el parametro $parametro2 en $FICHERO2\n";
}
}
}
##################################################
sub seguridadssh {
#Variables de seguridad en la ssh
print"----------------------------------------------------------------------------------------------------------------\n";
print " -- Variables de seguridad en el servicio ssh\n";
print ARCH "| -- Variables de seguridad en el servicio ssh |
\n";
print R "| -- Variables de seguridad en el servicio ssh/strong> |
\n";
print"----------------------------------------------------------------------------------------------------------------\n";
our %valor_correcto_ssh;
my $FICHERO3 = '/etc/ssh/sshd_config';
my $var_ssh = do { undef $/; open F, $FICHERO3; };
for my $parametro3 (sort keys %valor_correcto_ssh) {
if (my($valor_actual_ssh) = $var_ssh =~ /^ $parametro3 \s+ (\S+?) $/xsim) {
if ($valor_actual_ssh eq $valor_correcto_ssh{$parametro3}) {
print BOLD, GREEN, 'Positivo: ', RESET, "El valor del parametro $parametro3 es correcto\n";
}
else {
print BOLD, RED , 'Negativo: ', RESET, "El valor del parametro $parametro3 es incorrecto: $valor_actual_ssh != $valor_correcto_ssh{$parametro3}\n";
print ARCH "| Negativo El valor del parametro $parametro3 es incorrecto: $valor_actual_ssh != $valor_correcto_ssh{$parametro3} |
\n";
print R "| Negativo Se recomienda que el parametro $parametro3 tenga el valor '$valor_correcto_ssh{$parametro3}' |
\n";
}
}
else {
print BOLD . 'No existe ' . RESET, "el parametro $parametro3 en $FICHERO3\n";
}
}
}
################################################
print"----------------------------------------------------------------------------------------------------------------\n";
print BOLD, YELLOW, "Informacion:", RESET . " Se da por finalizado el proceso de chequeo\n";
print BOLD, YELLOW, "Informacion:", RESET . " El reporte fue salvado con el nombre: $Hostname-$dia.html\n";
print BOLD, YELLOW, "Informacion:", RESET . " Las recomendaciones fueron guardadas en el archivo: $Hostname-$dia-recomendacion.html\n";
print ARCH " \n";
print ARCH "Informacion:$Hostname-$dia-recomendacion.html\n";
print"----------------------------------------------------------------------------------------------------------------\n";
print ARCH " |
\n";
print ARCH "
\n";