GNU/Linux >> Znalost Linux >  >> Linux

Začínáme s Lynis Security Auditing

Hackeři jsou vždy venku a hledají své další oběti? Je zabezpečení vašich linuxových zařízení znepokojivé téma a něco, co chcete zlepšit? Už nehledejte. V tomto článku se seznámíte s nástrojem nazvaným Lynis od CISOfy, který vám pomůže provádět skenování zranitelnosti, abyste odhalili problémy dříve, než nastanou.

Dozvíte se, jak provádět různé kontroly bezpečnostního auditu, a ponoříte se do zpráv, které nástroj Lynis poskytuje. Čtěte dále a začněte auditovat!

Předpoklady

Chcete-li používat Lynis a procházet ukázky v tomto tutoriálu, ujistěte se, že máte následující:

  • Distribuce Debian Linux – Tento výukový program bude používat Ubuntu 20.04 LTS.
  • Příchozí provoz SSH a ICMP je povolen z hostitele Lynis na všechny vzdálené auditovatelné hostitele.
  • Uživatel bez oprávnění root s sudo privilegia.

Instalace Lynis

Začněte tento tutoriál tím, že se trochu seznámíte s Lynis a naučíte se, jak tento nástroj nainstalovat.

Lynis je open-source nástroj pro bezpečnostní audit pro systémy typu Unix/Linux a provádí hloubkové skenování zranitelnosti na téměř všech systémech založených na UNIXu, přičemž poskytuje následující.

  • Bezpečnostní audit: testování certifikátů SSL, uživatelských účtů bez hesel a další.
  • Zpevnění systému: opravy softwaru, úpravy konfigurace sítě, nekonzistence oprávnění k souborům.
  • Kontrola zranitelnosti: ověřování balíčků proti známým zranitelnostem z databází, jako je CVE.
  • Hlášení o souladu s konfigurací a náprava: ověření aktuálního stavu koncových bodů podle předdefinovaných dokumentů politiky.

Lynis zobrazuje pouze potenciální bezpečnostní problémy; nepřitvrdí za vás stroje.

Nyní je čas nainstalovat Lynis, abyste mohli začít využívat výhody funkcí. Přihlaste se do svého hostitele Linuxu založeného na Ubuntu nebo Debianu jako uživatel bez oprávnění root s právy sudo a podle pokynů níže nainstalujte Lynis.

1. Nejprve aktualizujte své úložiště balíčků apt, aby vaše úložiště měla potřebné balíčky Lynis.

Lynis můžete nainstalovat pomocí apt-get , zdrojový tarball nebo klonováním úložiště GitHub. Tento tutoriál bude instalovat Lynis přes apt-get . 

# Downloads the package lists from the repositories and "updates" them 
# to get information on the newest versions of packages and their dependencies
sudo apt-get -y update

# Fetches new versions of packages existing on the machine and handle
# the dependencies so it might remove obsolete packages or add new ones
sudo apt-get -y dist-upgrade

# Download (wget) and install apt-transport-https. The apt-transport-https 
# is an APT transport method. This APT transport method allows APT to use 
# HTTPS certificates when downloading repository metadata and packages from servers.
sudo apt install apt-transport-https wget -y

Dále si stáhněte veřejný klíč z oficiálního podpisového klíče úložiště prostřednictvím wget a přidejte klíč do APT pomocí apt-key příkaz.

Veřejný klíč poskytuje metodu ověření, že software podepisuje důvěryhodná entita. V tomto případě apt-get správce balíčků v Debianu. 

wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add -

Zobrazí se OK zpráva, která indikuje, že klíč je správně přidán.

3. Nyní přidejte úložiště Lynis (cisofy-lynis ) do seznamu úložišť systémových balíčků pomocí následujícího příkazu 

echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list

4. Dále spusťte níže uvedené příkazy na update seznam balíčků a nainstalujte Lynis s apt správce balíčků. 

sudo apt-get -y update # Update the package list
sudo apt install lynis -y # Install Lynis

Nakonec spusťte níže uvedený příkaz a zkontrolujte nainstalovanou verzi Lynis. Jak můžete vidět níže, příkaz vrátí nainstalovanou verzi Lynis.

V době psaní je aktuální stabilní/nejnovější vydaná verze Lynis 3.0.6. 

sudo lynis show version

Jak můžete vidět níže, příkaz vrátí nainstalovanou verzi Lynis.

Kontrola příkazů a nastavení Lynis

S nainstalovaným Lynisem je čas zkontrolovat některé jeho příkazy a možnosti konfigurace. Spusťte show příkaz s commands argument pro zobrazení všech různých příkazů Lynis.

sudo lynis show commands

Lynis má různá nastavení pro přizpůsobení svého chování. Spusťte lynis show settings pro kontrolu více nastavení definovaných v konfiguračním souboru Lynis. Konfigurační soubor je obecně umístěn v /etc/audit adresář.

Když Lynis běží, hledá nejprve konfigurační soubor v adresáři /etc/audit. Pokud ji nenajde, pokusí se ji najít ve vašem domovském adresáři. 

sudo lynis show settings

Úplný seznam možností Lynis a syntaxe získáte spuštěním man lynis příkaz.

Vyvolání auditu

Lynis je nástroj pro audit, takže spusťte váš první bezpečnostní audit. Když spustíte bezpečnostní audit, Lynis zkontroluje, zda v konfiguraci systému a softwaru nejsou nějaké bezpečnostní problémy.

Spusťte lynis audit system příkaz, jak je vidět níže, k provedení auditu vašeho systému.

Pro testování všeho dostupného na vašem systému se doporučuje spustit Lynis jako root (nebo jiný uživatel s plnými právy). Skenování nabídne doporučení na zlepšení a ukáže, které části vašeho systému postrádají bezpečnostní posílení. 

sudo lynis audit system

Výsledkem příkazu je rozsáhlá zpráva, kterou uvidíte rozčleněnou v následujících částech. Mějte tedy na paměti, že další snímky obrazovky jsou výsledkem spuštění lynis audit system nahlásit.

Porozumění zprávě o auditu

system audit poskytuje rozsáhlou zprávu o různých oblastech, včetně:

  • Adresáře a soubory související s protokolováním a auditem
  • Služby jako démon SSH, webový server Apache, databáze MySQL a další
  • Aspekty zabezpečení, jako je síla hesla, kvóty systému souborů a využití paměti (hromada)

Pro kategorizaci závažnosti má Lynis několik stavů a ​​také barevně odlišené výsledky označující závažnost každého nalezeného problému.

  • OK – Všechny požadované testy byly úspěšně dokončeny.
  • UPOZORNĚNÍ – Problém, který by měl být zkontrolován a opraven, pokud je to možné.
  • FAIL – Selhal test, který může ovlivnit zabezpečení systému.
  • NALEZENO – Lynis našla požadovaný objekt, který se obvykle používá k vyhledání konkrétních souborů.
  • NENÍ NALEZENO – Lynis nemohla najít požadovaný objekt.
  • NÁVRH – Nekritický návrh, který by měl být vyhodnocen z hlediska akce.
  • HOTOVO – Obvykle se používá k označení dokončení úkolu, například dotazování na data.

Výsledky „Jádra“

Podpora auditu jádra je ve většině moderních distribucí Linuxu standardně povolena. Lynis zkontroluje, zda používáte bezpečnostní funkce jádra, jako je SELinux, AppArmor nebo GRSecurity.

Vyhodnocení výsledků „paměti a procesů“

Lynis provádí mnoho testů, aby zkontrolovala, kolik paměti je využíváno, a další související problémy s procesy. Pokud například aplikace využívá příliš mnoho paměti, může se stát vektorem DoS (Denial of Service). Lynis zkontroluje, zda služby jako httpd nebo sshd neunikají informace.

Ověření výsledků „Software:firewally“

V tomto testu Lynis zkontroluje modul jádra iptables. Dokáže zkontrolovat, zda jsou vaše nastavení brány firewall správná i pro softwarové brány firewall, včetně FireHOL, FireQoS, IPCop, IPTables (Netfilter), Kerio Control.

Vyhodnocení výsledků „nezabezpečených služeb“

Lynis také vyhledává nezabezpečené služby jako FTP a Telnet. Tyto služby by mohly vést k významnému bezpečnostnímu riziku, zejména první dvě, pokud jsou vystaveny prostřednictvím systému připojeného k internetu.

Kromě toho bude Lynis také provádět kontroly služeb, u kterých můžete chtít zlepšit zabezpečení, jako je nastavení portu SSH, nastavení jmenného serveru BIND a mnoho dalšího.

Hledání Lynisových souborů

Zpráva se generuje na konzole, ale Lynis také vytvoří soubor protokolu a soubor zprávy. Cesta k přehledu je /var/log/lynis-report.dat . Podrobnější protokol protokolu s informacemi protokolu testování a ladění je v /var/log/lynis.log.

Soubor protokolu s informacemi se zaprotokoluje po každém skenování, zatímco informace pro soubor zprávy se uloží až po dokončení auditu.

Informace, které se uloží do souboru protokolu:

  • Informace o auditu: nalezené položky konfigurace, návrhy na zlepšení a bezpečnostní rizika.
  • Výsledek testu (a další): typ kontroly a důvod provedení testu.
  • Informace o ladění: používá se k hledání problémů nebo toho, jak něco funguje. Podrobnosti mohou zahrnovat kompletní příkazové řádky nebo další cenné informace pro řešení problémů.

Kontrola konkrétních testů z varování a návrhů

Nyní, když jste vygenerovali zprávu, dalším krokem je podívat se, jak vyřešit zranitelnosti, které Lynis hlásí.

Když Lynis dokončí skenování, poskytne vám seznam výsledků. Některé z těchto výsledků mohou být varování nebo návrhy. Každé varování nebo návrh má krátké vysvětlení a odkaz na kontrolní skupinu, kde najdete další informace o zprávě a o tom, jak varování opravit.

Například níže uvedené varování vám říká, že Lynis provedla kontrolu systému a měli byste restartovat hostitele kvůli pravděpodobné aktualizaci jádra. Uvidíte, že ke každému varování je přiřazeno testovací ID. V tomto případě je ID KRL-5830 . Více o upozornění naleznete v jeho ID.

Pojďme se pustit do konkrétního varování. Chcete-li to provést, spusťte show details příkaz poskytující testovací ID, o kterém se chcete dozvědět více. To samé KRL-5830 jako například dříve. Následuje úplný příkaz.

sudo lynis show details KRNL-5830

Jakmile spustíte show details Lynis poskytne podrobný protokol o tom, co udělal a jak k varování přišel, jak je ukázáno níže.

Testovací ID pro návrhy najdete přesně stejné jako u varování.

Přizpůsobení profilů skenování Lynis

Chcete-li seskupit testy, což vám umožní povolit nebo zakázat testy, definovat rozsah testů a další, Lynis má profily skenování uložené v /etc/lynis adresář. Profily skenování mají různé konfigurace a poskytují praktický způsob, jak podobné testy spravovat hromadně, než se starat o jejich správu po jednom.

Lynis přichází pouze s jedním skenovacím profilem s názvem default ve výchozím nastavení, jak můžete vidět spuštěním show profiles příkaz. Výchozí profil je co nejobecnější.

sudo lynis show profiles

Pokud nechcete spouštět všechny testy, nějakým způsobem upravit výstup nebo jakkoli změnit chování, můžete vytvořit nebo upravit profily. Otevřete například /etc/lynis/default.prf skenování profilu ve vašem oblíbeném editoru. Níže můžete vidět obsah výchozího skenovací profil.

Můžete buď upravit výchozí profil skenování, nebo si vytvořit svůj vlastní. Možná máte například nějaké testy, které byste chtěli přeskočit. Nastavením skip-test můžete Lynis říci, které testy má přeskočit atribut v profilu skenování.

Chcete-li vytvořit vlastní profil, zkopírujte soubor default.prf skenujte profil a nazvěte jej nějak konkrétně jako custom.prf . Otevřete profil skenování v textovém editoru a přidejte následující atributy. Lynis vždy přeskočí dva testy, jejichž ID zadáte níže, když vyvoláte tento profil skenování.

# Skip checking password set for single mode.

skip-test=AUTH-9308

# Skip checking the PKGS-7392 package.

skip-test=PKGS-7392

Můžete mít mnoho vlastních profilů, kolik chcete. Najednou však může být spuštěn pouze jeden vlastní profil.

Vytvoření vlastního profilu

Možná budete chtít upravit své testy Lynis a vytvořit si vlastní profil. Chcete-li zjistit, jak na to, postupujte podle níže.

1. Vytvořte custom.prf soubor v /etc/lynis/ adresář pomocí nano editor. 

sudo nano /etc/lynis/custom.prf

2. Naplňte soubor custom.prf. V tomto příkladu se pokusíte přeskočit dvě varování:AUTH-9308 a PKGS-7392.

Chcete-li testy přeskočit, přidejte do souboru následující obsah. 

# Skip checking password set for single mode.

skip-test=AUTH-9308

# Skip checking the PKGS-7392 package.

skip-test=PKGS-7392

3. Uložte a ukončete soubor stisknutím Ctrl + O poté Ctrl + X až bude hotovo. Při příštím spuštění kontroly auditu Lynis přeskočí zadané ID testu, jak je uvedeno níže. 

sudo lynis audit system

Jak vidíte, dvě výše uvedená varování jsou pryč.

Interpretace Lynis Hardening Index

Po dokončení skenování vám Lynis poskytne shrnutí. V tomto shrnutí najdete zajímavou metriku nazvanou Index kalení . Index zpevnění je číslo, které se vypočítává na základě celkové hrozby pro hostitele zkontrolované na základě poslední kontroly.

Index zpevnění vám ukazuje, jak bezpečný je váš systém. Pokud má váš systém například závažnější zranitelnosti, než je obvyklé, index bude nižší. Když opravíte varování nebo implementujete návrhy, tento index zpevnění se odpovídajícím způsobem zvýší.

Níže uvedený výstup vám sdělí počet testů provedených Lynisem a hodnoty indexu Hardening zjištěné spuštěním tohoto auditního nástroje. Číslo 239 znamená, že provedl 239 testů a skóre je 60 % z cesty k vytvrzení.

Závěr

Nyní byste měli dobře rozumět nástroji pro skenování zranitelnosti Lynis a tomu, jak vám pomáhá udržovat vaše hostitele v bezpečí. Pomocí Lynis nyní můžete pravidelně skenovat své systémy na nejnovější zranitelnosti a udržovat své hostitele v bezpečí!.

Pokud jste postupovali podle tohoto návodu, jste spokojeni s indexem kalení, který jste získali? Jaké změny hodláte udělat pro jeho zlepšení?


Linux

  1. Prohledejte své zabezpečení Linuxu pomocí Lynis

  2. 5 tipů, jak začít se zabezpečením serveru Linux

  3. Začínáme se Sambou pro interoperabilitu

  1. Začínáme se Zsh

  2. Začínáme s ls

  3. Začínáme s PostgreSQL na Linuxu

  1. Začínáme s GnuCash

  2. Začínáme s Etcher.io

  3. Začínáme s regulárními výrazy