Как да одитирате сигурността на вашата Linux система с Lynis

Подкана за терминал на система Linux.

Фатмавати Ахмад Заенури/Shutterstock



Ако извършите одит на сигурността на вашия Linux компютър с Lynis, това ще гарантира, че вашата машина е толкова защитена, колкото може да бъде. Сигурността е всичко за устройства, свързани с интернет, така че ето как да се уверите, че вашето е безопасно заключено.

Колко сигурен е вашият Linux компютър?

Lynis извършва набор от автоматизирани тестове които щателно проверяват много системни компоненти и настройки на вашата операционна система Linux. Той представя своите констатации в цветово кодиране ASCII докладвайте като списък с оценени предупреждения, предложения и действия, които трябва да бъдат предприети.





Киберсигурността е балансиращ акт. Откровената параноя не е полезна за никого, така че колко трябва да сте загрижени? Ако посещавате само реномирани уеб сайтове, не отваряте прикачени файлове и не следвате връзки в нежелани имейли и използвате различни, надеждни пароли за всички системи, в които влизате, каква опасност остава? Особено когато използвате Linux?

Нека се обърнем към тях обратно. Linux не е имунизиран срещу зловреден софтуер. Всъщност най-първото компютърен червей е проектиран да е насочен към Unix компютри през 1988 г. Руткити са кръстени на суперпотребител на Unix (root) и колекцията от софтуер (комплекти), с които се инсталират, за да избегнат откриване. Това дава на суперпотребителя достъп до заплахата (т.е. лошия човек).



Защо са кръстени на корен? Защото първият руткит беше пуснат през 1990 г. и беше насочен към Sun Microsystems пускане на SunOS Unix.

Реклама

И така, зловредният софтуер започна в Unix. Прескочи оградата, когато Windows излетя и грабна светлината на прожекторите. Но сега това Linux управлява света , върна се. Linux и Unix-подобни операционни системи, като macOS, привличат цялото внимание на участниците в заплахите.

Каква опасност остава, ако сте внимателни, разумни и внимателни, когато използвате компютъра си? Отговорът е дълъг и подробен. За да го уплътним донякъде, кибератаките са много и разнообразни. Те са способни да правят неща, които преди малко се смятаха за невъзможни.



Руткити, като Рюк , може да зарази компютрите, когато са изключени, като компрометират събуждане по LAN функции за наблюдение. Код за доказване на концепцията също е разработена. Успешна атака беше демонстрирана от изследователи в Бен-Гурион университет в Негев което би позволило на участниците в заплахата да ексфилтрират данни от компютър с въздушна междина .

Невъзможно е да се предвиди на какво ще бъдат способни киберзаплахите в бъдеще. Ние обаче разбираме кои точки в защитата на компютъра са уязвими. Независимо от естеството на настоящите или бъдещите атаки, има смисъл само да запълните тези пропуски предварително.

От общия брой кибератаки само малък процент са съзнателно насочени към конкретни организации или лица. Повечето заплахи са безразборни, защото зловредният софтуер не се интересува кой сте. Автоматизираното сканиране на портове и други техники просто търсят уязвими системи и ги атакуват. Номинирате себе си като жертва, като сте уязвими.

И тук идва Линис.

Инсталиране на Lynis

За да инсталирате Lynis в Ubuntu, изпълнете следната команда:

pacman

Във Fedora напишете:

postfix

На Manjaro използвате |_+_|:

gedit

Провеждане на одит

Lynis е базиран на терминал, така че няма GUI. За да започнете одит, отворете прозорец на терминала. Щракнете и го плъзнете до ръба на монитора си, за да го накарате да щракне до пълна височина или да го разтегне възможно най-високо. Има много резултати от Lynis, така че колкото по-висок е прозорецът на терминала, толкова по-лесно ще бъде прегледането му.

Реклама

Също така е по-удобно, ако отворите терминален прозорец специално за Lynis. Ще превъртате много нагоре и надолу, така че да не се налага да се справяте с претрупването на предишни команди, ще улесни навигацията в изхода на Lynis.

За да започнете одита, въведете тази освежаващо ясна команда:

postfix

Имената на категориите, заглавията на тестовете и резултатите ще се превъртат в прозореца на терминала, когато всяка категория тестове бъде завършена. Одитът отнема най-много няколко минути. Когато приключите, ще бъдете върнати в командния ред. За да прегледате констатациите, просто превъртете прозореца на терминала.

Първият раздел на одита открива версията на Linux, версията на ядрото и други подробности за системата.

Областите, които трябва да бъдат разгледани, са подчертани в кехлибарено (предложения) и червено (предупреждения, на които трябва да се обърне внимание).

По-долу е даден пример за предупреждение. Линис е анализирал |_+_| конфигурация на пощенския сървър и отбеляза нещо общо с банера. Можем да получим повече подробности за това какво точно е открил и защо може да е проблем по-късно.

По-долу Lynis ни предупреждава, че защитната стена не е конфигурирана на Ubuntu виртуалната машина, която използваме.

Реклама

Превъртете резултатите си, за да видите какво маркира Линис. В долната част на одитния доклад ще видите екран с обобщение.

Индексът на втвърдяване е резултатът от изпита ви. Получихме 56 от 100, което не е страхотно. Извършени са 222 теста и един плъгин за Lynis е активиран. Ако отидете на приставката Lynis Community Edition страница за изтегляне и се абонирайте за бюлетина, ще получите връзки към още плъгини.

Има много плъгини, включително някои за одит срещу стандарти, като напр GDPR , ISO27001 , и PCI-DSS .

Зеленото V представлява отметка. Може също да видите кехлибарени въпросителни знаци и червени X.

Имаме зелени отметки, защото имаме защитна стена и скенер за злонамерен софтуер. За тестови цели, ние също инсталирахме rkhunter , руткит детектор, за да види дали Lynis ще го открие. Както можете да видите по-горе, стана; имаме зелена отметка до Скенер за злонамерен софтуер.

Състоянието на съответствие е неизвестно, тъй като одитът не използва плъгин за съответствие. В този тест бяха използвани модулите за сигурност и уязвимост.

Реклама

Генерират се два файла: дневник и файл с данни. Файлът с данни, намиращ се на адрес /var/log/lynis-report.dat, е този, който ни интересува. Той ще съдържа копие на резултатите (без оцветяването на цвета), които можем да видим в прозореца на терминала. Те са полезни, за да видите как вашият индекс на втвърдяване се подобрява с времето.

Ако превъртите назад в прозореца на терминала, ще видите списък с предложения и още едно предупреждение. Предупрежденията са големите билети, така че ще ги разгледаме.

Това са петте предупреждения:

    Версията на Lynis е много стара и трябва да бъде актуализирана:Това всъщност е най-новата версия на Lynis в хранилищата на Ubuntu. Въпреки че е само на 4 месеца, Линис смята това за много старо. Версиите в пакетите Manjaro и Fedora бяха по-нови. Актуализациите в мениджърите на пакети винаги вероятно ще изостават малко. Ако наистина искате най-новата версия, можете клонирайте проекта от GitHub и го поддържайте синхронизиран. Няма зададена парола за единичен режим:Single е режим на възстановяване и поддръжка, в който работи само root потребител. По подразбиране за този режим не е зададена парола. Не можах да намеря 2 отзивчиви сървъра на имена:Линис се опита комуникира с два DNS сървъра , но беше неуспешно. Това е предупреждение, че ако текущият DNS сървър се провали, няма да има автоматично прехвърляне към друг. Намерих разкриване на информация в SMTP банер:Разкриването на информация се случва, когато приложенията или мрежовото оборудване предоставят номерата на марката и модела си (или друга информация) в стандартни отговори. Това може да даде на участниците в заплахата или на автоматизиран злонамерен софтуер представа за видовете уязвимости, които да проверят. След като идентифицират софтуера или устройството, към което са се свързали, просто търсене ще открие уязвимостите, които могат да се опитат да използват. iptables модул(и) са заредени, но няма активни правила:Защитната стена на Linux работи и работи, но няма зададени правила за нея.

Изчистване на предупреждения

Всяко предупреждение има връзка към уеб страница, която описва проблема и какво можете да направите, за да го отстраните. Просто задръжте курсора на мишката върху една от връзките и след това натиснете Ctrl и щракнете върху него. Вашият браузър по подразбиране ще се отвори на уеб страницата за това съобщение или предупреждение.

Страницата по-долу се отвори за нас, когато Ctrl+ щракнахме върху връзката за четвъртото предупреждение, което разгледахме в предишния раздел.

Уеб страница с предупреждение за одит на Lynis.

Можете да прегледате всяко от тях и да решите кои предупреждения да адресирате.

Уеб страницата по-горе обяснява, че фрагментът от информация по подразбиране (банера), изпратен до отдалечена система, когато се свърже с postfix имейл сървър, конфигуриран на нашия Ubuntu компютър, е твърде многословен. Няма полза от предлагането на твърде много информация – всъщност тя често се използва срещу вас.

Реклама

Уеб страницата ни казва също, че банерът се намира в /etc/postfix/main.cf. Той ни съветва, че трябва да бъде изрязан обратно, за да показва само $myhostname ESMTP.

Пишем следното, за да редактираме файла, както препоръчва Lynis:

postfix

Намираме реда във файла, който дефинира банера.

Редактираме го, за да покаже само текста, препоръчан от Lynis.

Запазваме нашите промени и затваряме |_+_|. Сега трябва да рестартираме |_+_| пощенски сървър, за да влязат в сила промените:

sudo apt-get install lynis

Сега нека стартираме Lynis още веднъж и да видим дали промените ни са имали ефект.

Реклама

Разделът Предупреждения сега показва само четири. Този, отнасящ се до |_+_| го няма.

Едно намалено и само още четири предупреждения и 50 предложения!

Колко далеч трябва да отидете?

Ако никога не сте правили втвърдяване на системата на компютъра си, вероятно ще имате приблизително същия брой предупреждения и предложения. Трябва да ги прегледате всички и, като се ръководите от уеб страниците на Lynis за всяка, да прецените дали да го разгледате.

Методът на учебника, разбира се, би бил да се опитаме да ги изчистим всички. Това обаче може да е по-лесно да се каже, отколкото да се направи. Освен това някои от предложенията може да са излишни за обикновения домашен компютър.

Да поставите в черен списък драйверите на USB ядрото, за да деактивирате достъпа до USB, когато не го използвате? За критичен за мисия компютър, който предоставя чувствителна бизнес услуга, това може да е необходимо. Но за домашен компютър с Ubuntu? Вероятно не.

ПРОЧЕТЕТЕ СЛЕДВАЩО Снимка на профила на Дейв Маккей Дейв Маккей
Дейв Маккей за първи път използва компютри, когато перфорираната хартиена лента беше на мода и оттогава той програмира. След повече от 30 години в ИТ индустрията, той вече е технологичен журналист на пълен работен ден. По време на кариерата си той е работил като програмист на свободна практика, мениджър на международен екип за разработка на софтуер, ръководител на проекти за ИТ услуги и, последно, като служител по защита на данните. Неговото писане е публикувано от howtogeek.com, cloudsavvyit.com, tenterpriser.com и opensource.com. Дейв е евангелист на Linux и привърженик на отворен код.
Прочетете пълната биография

Интересни Статии