From 5fc536e3bb954d99e0ff55a886c87a957df08960 Mon Sep 17 00:00:00 2001 From: Tobias Wieck Date: Thu, 28 Jan 2021 20:50:46 +0000 Subject: [PATCH] Create Unsere Idee --- Unsere-Idee.md | 9 +++++++++ 1 file changed, 9 insertions(+) create mode 100644 Unsere-Idee.md diff --git a/Unsere-Idee.md b/Unsere-Idee.md new file mode 100644 index 0000000..7caa73d --- /dev/null +++ b/Unsere-Idee.md @@ -0,0 +1,9 @@ +Die Leitfrage, mit der sich das Projekt beschäftigt ist "Wie sicher ist meine VM?" und "Woher bekomme ich die sicherste?" +Um diese Fragen zu beantworten, haben wir 18 virtuelle Maschinen auf verschiedenen Plattformen mit verschiedenen Betriebssystemen und Versionen überprüft. Dabei haben wir die Cloud-Anbieter: Amazon Webservice, Google Cloud Plattform und Hetzner ausgewählt, sowie die lokale Alternative mit VMware. Genaueres zu den getesteten Systemen, im Kapitel [Testauswahl](Testauswahl). +Um die Sicherheit zu messen und quantifizieren, haben wir Vulnerability Scanner verwendet. Diese bewerten anhand eines Index und sonstigen Logs die Sicherheit des Systems und zeigen Schwachstellen auf. Hier verwendeten wir die drei Scanner Lynis, Testssl.sh und otseca. Weiteres zu den Tools und zur Auswahl im Kapitel [Toolauswahl](Toolauswahl). +In unserem finalen Vorgehen haben wir pro VM insgesamt dreimal die drei Scanner ausgeführt. +1. Auf der komplett frischen VM +2. Nach einem `apt-upgrade` und Aktualisierung der sonstigen Komponenten +3. Nach dem Ausführen eines automatischen Verbesserungstools +Mit der ersten Stufe wollen wir sehen, wer das sicherste Image liefert ohne, dass man sich um Updates gekümmert hat. Und was es für einen Unterschied macht zu der aktualisierten Version. Mit dem letzten Schritt testen wir das Tool JShielder, das eine Reihe an Verbesserungen verspricht. Dies empfanden wir als interessant, da das Tool eher unbekannt ist und seit August 2019 nicht mehr upgedatet wurde (Stand: 28.01.21). +Zum Schluss folgt natürlich die Auswertung der gesammelten Daten. Da dies bei 18 Maschinen mit je drei Läufen und je drei Tools eine Menge an Dateien und Daten liefert, haben wir einen Parser geschrieben und eine Datenbank verwendet. \ No newline at end of file