Installa Lynis su Debian 8

• introduzione
• Installazione
• Configurazione
• Interpretazione e rafforzamento del sistema
• Far funzionare Lynis regolarmente
• Conclusione

introduzione

Lynis è uno strumento di controllo del sistema open source gratuito che viene utilizzato da molti amministratori di sistema per verificare l'integrità e rafforzare i propri sistemi. Può essere gestito come un file binario autonomo o può essere installato per eseguire controlli a intervalli periodici. In questo articolo, imparerai come installare e utilizzare il software e imparerai a leggere e identificare i log che Lynis genera.

Se desideri eseguire l'installazione su CentOS 7, consulta questo articolo .

Installazione

Nota : assicurarsi di aver effettuato l'accesso come rootutente.

L'installazione di Lynis è abbastanza semplice. Per cominciare, aggiorniamo il nostro sistema.

apt-get update
apt-get upgrade

Quando richiesto, immettere ' y'. Questa operazione può richiedere da un paio di secondi a mezz'ora, a seconda del numero di pacchetti che devono essere aggiornati e delle risorse disponibili del sistema.

Lynis è un software open source. Pertanto, la presenza del software è su GitHub. Per scaricare un repository, è necessario clonarlo con l' gitutilità, che è possibile installare con il seguente comando:

apt-get install git

Proprio come prima, accetta il prompt di installazione con ' y'. Dobbiamo anche installare alcuni strumenti DNS in modo che Lynis possa controllare la nostra rete:

apt-get install dnsutils

Ora che abbiamo i prerequisiti installati, possiamo clonare il repository:

cd ~
git clone https://github.com/CISOfy/lynis

Dagli qualche istante, quindi una volta completato, continua inserendo la directory:

cd ~/lynis

Faremo un controllo preliminare per assicurarci che funzioni correttamente sul tuo sistema:

./lynis audit system

Ciò eseguirà un rapido controllo del sistema per eventuali problemi di sicurezza che potrebbero essere presenti sul tuo sistema, oltre a elencare alcuni consigli. Lynis funziona correttamente se termina con un risultato simile al seguente:

Configurazione

La configurazione di Lynis è tuttavia più difficile. Dovrai personalizzarlo in base al tuo sistema, in base ai servizi che stai eseguendo e alla configurazione di rete utilizzata nella tua istanza. In questo articolo, tratteremo le configurazioni di rete comunemente utilizzate, i server Web e la sicurezza generale del sistema.

Iniziamo copiando il file di configurazione di Lynis predefinito e apportandoci le modifiche:

cp default.prf custom.prf

Quindi, utilizzando l'editor di testo preferito, apri custom.prf:

nano custom.prf

Scorri fino alla sezione in cui sono elencati i plugin. Rimuoveremo i servizi che non ci riguardano, per velocizzare i test:

Se non si utilizza il server web Nginx, rimuovere " plugin=nginx". È probabile che il tuo sistema non sia in esecuzione bind9o dnsmasq, quindi puoi anche rimuoverli. Se li stai eseguendo, non rimuovere il plug-in dall'audit e continuare a controllare ogni elemento fino a quando non sono stati rimossi eventuali controlli non necessari. Al termine, salva ed esci con CTRL+ Xe poi Yper salvare.

Ora, eseguiamo nuovamente Lynis per vedere i problemi che dobbiamo correggere nel nostro sistema con quanto segue:

./lynis --profile custom.prf

Attendere un minuto o due e, al termine, dovrebbe apparire come nel passaggio 1, ma con le scansioni non necessarie rimosse.

Interpretazione e rafforzamento del sistema

Diamo un'occhiata ai suggerimenti che Lynis fornisce sul nostro sistema Vultr Debian 8 di base:

Come puoi vedere, Lynis ha riscontrato alcuni potenziali problemi presenti nella nostra istanza. Alcuni nodi affermano che abbiamo lasciato attivo l'inoltro di pacchetti sia per stack IPv4 che IPv6 - se prevedi di utilizzare Docker o una tecnologia container simile su un sistema Vultr, non cambiarli. Se non ne hai bisogno, puoi modificarli temporaneamente sul tuo sistema con quanto segue:

sysctl -w <kernel_node>

Fallo prima di inserire i tuoi valori /etc/sysctl.confper assicurarti che il tuo sistema funzioni correttamente con le modifiche. Se qualcosa non funziona, è possibile riavviare per rimuovere tali modifiche temporanee.

Nello screenshot, noterai che ci sono anche altri problemi, ma non rientrano nell'ambito di questo articolo, quindi li salteremo.

Nota: assicurarsi di fare la dovuta diligenza per evitare problemi con il sistema.

Ora scorri verso il basso fino alla sezione dei suggerimenti e troverai molte modifiche alla configurazione che possono essere apportate. Ad esempio, Lynis suggerisce modifiche per la maschera di autorizzazione di alcuni file. Nel nostro caso, troviamo un suggerimento di indurimento:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Tale modifica può essere facilmente realizzata utilizzando un editor di testo, aprendo /etc/init.d/rce trovando la linea umaske cambiando il suo valore in 027. Questo valore limiterebbe i file appena creati alle autorizzazioni complete del proprietario, alle autorizzazioni di lettura del gruppo e nessun accesso per tutti gli altri utenti tranne system/root.

Far funzionare Lynis regolarmente

Questo è relativamente facile da fare e può essere realizzato prima installando crontabe quindi aggiungendo un lavoro per Lynis:

apt-get install crontab

Quindi, eseguire crontab -ee immettere quanto segue:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Salvalo, quindi esci. Questo eseguirà un controllo Lynis ogni giorno a mezzanotte sulla tua istanza e ti invierà un'e-mail con i risultati.

Conclusione

In questo articolo sono state illustrate le basi della configurazione di Lynis e come è possibile utilizzarla per il controllo del sistema e per i controlli regolari sul sistema.