Instalați Lynis pe Debian 8

• Introducere
• Instalare
• configurație
• Interpretarea și întărirea sistemului
• A face Lynis să ruleze în mod regulat
• Concluzie

Introducere

Lynis este un instrument gratuit de auditare a sistemului open-source, care este utilizat de mulți administratori de sistem pentru a verifica integritatea și a întări sistemele lor. Poate fi operat ca un binar autonom sau poate fi instalat pentru a efectua verificări la intervale periodice. În acest articol, veți învăța cum să instalați și să folosiți software-ul, precum și să învățați să citiți și să identificați jurnalele pe care le produce Lynis.

Dacă doriți să efectuați instalarea pe CentOS 7, consultați acest articol .

Instalare

Notă : Vă rugăm să vă asigurați că sunteți autentificat ca rootutilizator.

Instalarea Lynis este destul de simplă. Pentru început, hai să actualizăm sistemul nostru.

apt-get update
apt-get upgrade

Când vi se solicită, introduceți ' y'. Acest lucru poate dura între două secunde și jumătate de oră, în funcție de numărul de pachete care trebuie actualizate și de resursele disponibile ale sistemului.

Lynis este un software open source. Ca atare, prezența software-ului este pe GitHub. Pentru a descărca un depozit, trebuie să îl clonăm cu gitutilitatea, pe care o putem instala cu următoarea comandă:

apt-get install git

La fel ca și înainte, acceptați promptul de instalare cu ' y'. De asemenea, trebuie să instalăm anumite instrumente DNS pentru ca Lynis să poată controla rețeaua noastră:

apt-get install dnsutils

Acum că avem pre-cerințele instalate, putem clona depozitul:

cd ~
git clone https://github.com/CISOfy/lynis

Dă-i câteva momente, apoi o dată ce este completă, continuă introducând directorul:

cd ~/lynis

Vom face un audit preliminar pentru a ne asigura că funcționează corect pe sistemul dvs.:

./lynis audit system

Acest lucru va efectua o verificare rapidă a sistemului pentru eventualele probleme de securitate care pot fi prezente pe sistemul dvs., precum și va enumera câteva recomandări. Lynis funcționează corect dacă se termină cu un rezultat similar cu următoarele:

configurație

Configurarea Lynis este totuși mai dificilă. Va trebui să-l personalizați în funcție de sistemul dvs., în funcție de serviciile pe care le executați, precum și de configurația rețelei pe care ați folosit-o în instanța dvs. În acest articol, vom acoperi configurațiile de rețea utilizate frecvent, precum și serverele web și securitatea generală a sistemului.

Să începem prin a copia fișierul de configurație implicit Lynis și a face modificările acestuia:

cp default.prf custom.prf

Apoi, utilizând editorul de text preferat, deschideți custom.prf:

nano custom.prf

Parcurgeți secțiunea în care sunt enumerate pluginurile. Vom elimina serviciile care nu ne aparțin, pentru a accelera testarea:

Dacă nu utilizați serverul web Nginx, înlăturați " plugin=nginx". Este posibil ca sistemul dvs. să nu funcționeze bind9sau dnsmasq, astfel încât să le puteți elimina. Dacă le executați, nu scoateți pluginul din audit și continuați să verificați fiecare element până când nu ați eliminat verificările inutile. După ce ați terminat, salvați și ieșiți cu CTRL+ Xși apoi Ypentru a salva.

Acum, hai să rulăm din nou Lynis pentru a vedea problemele pe care trebuie să le corectăm în sistemul nostru cu următoarele:

./lynis --profile custom.prf

Permiteți un minut sau două și, după terminarea acestuia, ar trebui să apară așa cum a fost în primul pas, dar cu scanările inutile eliminate.

Interpretarea și întărirea sistemului

Să aruncăm o privire la sugestiile pe care Lynis le oferă pe baza noastră de sistem Vultr Debian 8:

După cum puteți spune, Lynis a găsit câteva probleme potențiale prezente pe instanța noastră. Unele noduri menționează că am lăsat redirecționarea pachetelor atât pentru stivele IPv4 cât și pentru IPv6 - dacă intenționați să utilizați Docker sau o tehnologie de container similară pe un sistem Vultr, nu le schimbați. Dacă nu aveți nevoie de ele, le puteți modifica temporar pe sistemul dvs. cu următoarele:

sysctl -w <kernel_node>

Faceți acest lucru înainte de a introduce valorile dvs. /etc/sysctl.confpentru a vă asigura că sistemul dvs. funcționează corect cu modificările. Dacă ceva defecționează, puteți reporni pentru a elimina astfel de modificări temporare.

În captură de ecran, veți observa că există și alte probleme, dar acestea nu sunt în sfera de aplicare a acestui articol, așa că le vom omite.

Notă: Asigurați-vă că faceți diligența cuvenită pentru a preveni problemele legate de sistemul dvs.

Acum, derulați în jos la secțiunea de sugestii și veți găsi o mulțime de modificări de configurare care pot fi făcute. De exemplu, Lynis sugerează modificări pentru masca de permisiune a anumitor fișiere. În cazul nostru, găsim o sugestie de întărire:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

O astfel de schimbare a poate fi realizată cu ușurință prin utilizarea unui editor de text, de deschidere /etc/init.d/rcși de a găsi linia umaskși schimbarea valoarea sa 027. Această valoare ar limita fișierele nou create la permisiunile complete ale proprietarului său, permisiunile de citire ale grupului și niciun acces pentru toți ceilalți utilizatori, cu excepția celorlalți utilizatori system/root.

A face Lynis să ruleze în mod regulat

Acest lucru este relativ ușor de făcut și poate fi realizat prin prima instalare crontab, apoi adăugarea unui loc de muncă pentru Lynis:

apt-get install crontab

Apoi, executați crontab -eși introduceți următoarele:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Salvați-l, apoi ieșiți. Aceasta va efectua un audit Lynis în fiecare zi, la miezul nopții, pe instanța dvs. și vă va trimite un e-mail cu rezultatele.

Concluzie

În acest articol, am abordat elementele de bază ale configurației Lynis și modul în care îl puteți folosi pentru auditul sistemului, precum și controalele periodice ale sistemului.