Установите Lynis на Debian 8

• Вступление
• Установка
• конфигурация
• Интерпретация и укрепление вашей системы
• Заставить Lynis регулярно бегать
• Вывод

Вступление

Lynis - это бесплатный инструмент для аудита системы с открытым исходным кодом, который используется многими системными администраторами для проверки целостности и защиты своих систем. Он может работать как отдельный двоичный файл или может быть установлен для периодических проверок. В этой статье вы узнаете, как установить и использовать программное обеспечение, а также научитесь читать и идентифицировать журналы, которые выводит Lynis.

Если вы хотите выполнить установку на CentOS 7, обратитесь к этой статье .

Установка

Примечание : пожалуйста, убедитесь, что вы вошли в систему как rootпользователь.

Установка Lynis довольно проста. Для начала давайте обновим нашу систему.

apt-get update
apt-get upgrade

При появлении запроса введите « y». Это может занять от пары секунд до получаса, в зависимости от количества пакетов, которые необходимо обновить, и доступных ресурсов системы.

Lynis - это программное обеспечение с открытым исходным кодом. Таким образом, программное обеспечение присутствует на GitHub. Чтобы загрузить репозиторий, нам нужно клонировать его с помощью gitутилиты, которую мы можем установить с помощью следующей команды:

apt-get install git

Как и раньше, примите приглашение установки с ' y'. Нам также необходимо установить определенные инструменты DNS, чтобы Lynis мог проводить аудит нашей сети:

apt-get install dnsutils

Теперь, когда у нас установлены необходимые предпосылки, мы можем клонировать репозиторий:

cd ~
git clone https://github.com/CISOfy/lynis

Дайте ему несколько минут, затем, как только он будет завершен, продолжите, введя каталог:

cd ~/lynis

Мы проведем предварительный аудит, чтобы убедиться, что он работает правильно в вашей системе:

./lynis audit system

Это выполнит быструю проверку системы на наличие проблем безопасности, которые могут присутствовать в вашей системе, а также перечислит некоторые рекомендации. Lynis работает правильно, если он заканчивается с результатом, подобным следующему:

конфигурация

Однако настроить Lynis сложнее. Вам нужно будет настроить его в соответствии с вашей системой, исходя из услуг, которые вы используете, а также конфигурации сети, которую вы использовали в своем экземпляре. В этой статье мы рассмотрим часто используемые конфигурации сети, а также веб-серверы и общую систему безопасности.

Давайте начнем с копирования файла конфигурации Lynis по умолчанию и внесения в него изменений:

cp default.prf custom.prf

Зат��м, используя предпочитаемый текстовый редактор, откройте custom.prf:

nano custom.prf

Прокрутите до раздела, где перечислены плагины. Мы удалим сервисы, которые не относятся к нам, чтобы ускорить тестирование:

Если вы не используете веб-сервер Nginx, удалите " plugin=nginx". Скорее всего, ваша система не работает bind9или dnsmasq, так что вы можете удалить их. Если вы их запускаете, не удаляйте плагин из аудита и продолжайте проверять каждый элемент, пока не удалите ненужные проверки. Как только вы закончите, сохраните и выйдите с CTRL+, Xа затем, Yчтобы сохранить.

Теперь давайте снова запустим Lynis, чтобы увидеть проблемы, которые нам нужно исправить в нашей системе, с помощью следующего:

./lynis --profile custom.prf

Выделите одну или две минуты, и когда он закончится, он должен выглядеть так, как на первом шаге, но с ненужными отсканированными снимками.

Интерпретация и укрепление вашей системы

Давайте посмотрим на предложения, которые Lynis предоставляет в нашей базовой системе Vultr Debian 8:

Как вы можете сказать, Lynis обнаружил некоторые потенциальные проблемы в нашем случае. Некоторые узлы упоминают, что мы оставили пересылку пакетов для стеков IPv4 и IPv6 - если вы планируете использовать Docker или аналогичную технологию контейнеров в системе Vultr, не меняйте их. Если они вам не нужны, вы можете временно изменить их в своей системе следующим образом:

sysctl -w <kernel_node>

Сделайте это, прежде чем вводить свои значения, /etc/sysctl.confчтобы убедиться, что ваша система правильно работает с изменениями. Если что-то не работает, вы можете перезагрузить, чтобы удалить такие временные изменения.

На снимке экрана вы заметите, что есть и другие проблемы, но они выходят за рамки данной статьи, поэтому мы их пропустим.

Примечание. Обязательно соблюдайте должную осмотрительность во избежание проблем с вашей системой.

Теперь прокрутите вниз до раздела предложений, и вы найдете множество изменений конфигурации, которые можно внести. Например, Lynis предлагает изменить маску разрешений для определенных файлов. В нашем случае мы находим жесткое предложение:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Такое изменение может быть легко выполнено с помощью текстового редактора, открытия /etc/init.d/rcи поиска строки umaskи изменения ее значения на 027. Это значение будет ограничивать вновь созданные файлы полными разрешениями его владельца, разрешениями на чтение группы и отсутствием доступа для всех остальных пользователей, кроме system/root.

Заставить Lynis регулярно бегать

Это относительно просто сделать, и это можно сделать, сначала установив crontab, а затем добавив задание для Lynis:

apt-get install crontab

Затем выполните crontab -eи введите следующее:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Сохраните его, затем выйдите. Это будет запускать аудит Lynis каждый день в полночь для в��шего экземпляра и отправлять вам электронное письмо с результатами.

Вывод

В этой статье мы рассмотрели основы конфигурации Lynis и то, как вы можете использовать ее для аудита системы, а также для регулярных проверок в вашей системе.