ติดตั้ง Lynis บน Debian 8

• บทนำ
• การติดตั้ง
• องค์ประกอบ
• การตีความและทำให้ระบบของคุณแข็ง
• ทำให้ Lynis ทำงานเป็นประจำ
• ข้อสรุป

บทนำ

Lynis เป็นเครื่องมือตรวจสอบระบบโอเพ่นซอร์สฟรีที่ผู้ดูแลระบบจำนวนมากใช้เพื่อตรวจสอบความถูกต้องและทำให้ระบบของพวกเขาแข็ง มันสามารถดำเนินการเป็นไบนารีแบบสแตนด์อโลนหรือสามารถติดตั้งเพื่อทำการตรวจสอบเป็นระยะ ในบทความนี้คุณจะได้เรียนรู้วิธีการติดตั้งและใช้งานซอฟต์แวร์รวมทั้งเรียนรู้ที่จะอ่านและระบุบันทึกที่ Lynis ส่งออก

หากคุณต้องการที่จะดำเนินการติดตั้งบน CentOS 7 โปรดดูบทความนี้

การติดตั้ง

หมายเหตุ : โปรดตรวจสอบให้แน่ใจว่าคุณได้เข้าสู่ระบบในฐานะrootผู้ใช้

การติดตั้ง Lynis นั้นค่อนข้างง่าย ในการเริ่มต้นให้ระบบของเราทันสมัย

apt-get update
apt-get upgrade

เมื่อได้รับแจ้งให้ป้อน ' y' การดำเนินการนี้อาจใช้เวลาระหว่างสองสามวินาทีถึงครึ่งชั่วโมงขึ้นอยู่กับจำนวนแพ็คเกจที่ต้องอัปเดตและทรัพยากรที่มีอยู่ของระบบ

Lynis เป็นซอฟต์แวร์โอเพ่นซอร์ส ดังนั้นสถานะของซอฟต์แวร์จึงอยู่ที่ GitHub ในการดาวน์โหลดที่เก็บเราจำเป็นต้องโคลนด้วยgitยูทิลิตี้ซึ่งเราสามารถติดตั้งได้ด้วยคำสั่งต่อไปนี้:

apt-get install git

เหมือนเมื่อก่อนยอมรับการแจ้งเตือนการติดตั้งด้วย ' y' เราจำเป็นต้องติดตั้งเครื่องมือ DNS บางอย่างเพื่อให้ Lynis สามารถตรวจสอบเครือข่ายของเรา:

apt-get install dnsutils

ตอนนี้เรามีการติดตั้งข้อกำหนดเบื้องต้นเราสามารถโคลนที่เก็บ:

cd ~
git clone https://github.com/CISOfy/lynis

ให้เวลาสักครู่แล้วเมื่อเสร็จแล้วให้ดำเนินการต่อโดยป้อนไดเรกทอรี:

cd ~/lynis

เราจะทำการตรวจสอบเบื้องต้นเพื่อให้แน่ใจว่าระบบทำงานอย่างถูกต้องในระบบของคุณ:

./lynis audit system

การดำเนินการนี้จะทำการตรวจสอบระบบอย่างรวดเร็วสำหรับปัญหาด้านความปลอดภัยที่อาจมีอยู่ในระบบของคุณรวมถึงแสดงคำแนะนำบางอย่าง Lynis ทำงานอย่างถูกต้องหากผลลัพธ์นั้นคล้ายกับสิ่งต่อไปนี้:

องค์ประกอบ

อย่างไรก็ตามการกำหนดค่า Lynis นั้นยากกว่ามาก คุณจะต้องปรับแต่งตามระบบของคุณโดยพิจารณาจากบริการที่คุณใช้รวมถึงการกำหนดค่าเครือข่ายที่คุณใช้ในอินสแตนซ์ของคุณ ในบทความนี้เราจะกล่าวถึงการกำหนดค่าเครือข่ายที่ใช้กันทั่วไปรวมถึงเว็บเซิร์ฟเวอร์และความปลอดภัยของระบบทั่วไป

เริ่มต้นด้วยการคัดลอกไฟล์กำหนดค่าเริ่มต้นของ Lynis และทำการเปลี่ยนแปลงกับมัน:

cp default.prf custom.prf

จากนั้นใช้โปรแกรมแก้ไขข้อความที่คุณต้องการเปิดcustom.prf:

nano custom.prf

เลื่อนไปที่ส่วนที่มีรายชื่อปลั๊กอิน เราจะลบบริการที่ไม่เกี่ยวข้องกับเราเพื่อเร่งการทดสอบ:

หากคุณไม่ได้ใช้เว็บเซิร์ฟเวอร์ Nginx ให้ลบ " plugin=nginx" โอกาสที่ระบบของคุณจะไม่ทำงานbind9หรือdnsmasqคุณสามารถลบมันออกได้เช่นกัน หากคุณกำลังใช้งานอยู่อย่าลบปลั๊กอินออกจากการตรวจสอบและทำการตรวจสอบแต่ละรายการต่อไปจนกว่าคุณจะลบการตรวจสอบที่ไม่จำเป็นออกไป เมื่อเสร็จแล้วให้บันทึกและออกด้วยCTRL+ Xแล้วYบันทึก

ทีนี้ลองเรียกใช้ Lynis อีกครั้งเพื่อดูปัญหาที่เราต้องแก้ไขในระบบของเราด้วยสิ่งต่อไปนี้:

./lynis --profile custom.prf

ให้เวลาหนึ่งหรือสองนาทีและเมื่อเสร็จแล้วควรปรากฏขึ้นตามขั้นตอนที่หนึ่ง แต่จะลบการสแกนที่ไม่จำเป็นออก

การตีความและทำให้ระบบของคุณแข็ง

ลองมาดูข้อเสนอแนะที่ Lynis ให้ไว้ในระบบ Vultr Debian 8 ของเรา:

อย่างที่คุณสามารถทราบได้ว่า Lynis พบปัญหาที่อาจเกิดขึ้นในอินสแตนซ์ของเรา บางโหนดพูดถึงว่าเราได้ส่ง packet ซ้ายสำหรับทั้ง IPv4 และ IPv6 สแต็ค - ถ้าคุณวางแผนที่จะใช้หางหรือเทคโนโลยีภาชนะที่คล้ายกันในระบบ Vultr ไม่ได้เปลี่ยนแปลงเหล่านี้ หากคุณไม่ต้องการใช้สิ่งเหล่านี้คุณสามารถเปลี่ยนแปลงได้ชั่วคราวบนระบบของคุณด้วยสิ่งต่อไปนี้:

sysctl -w <kernel_node>

ทำสิ่งนี้ก่อนที่จะป้อนค่าของคุณ/etc/sysctl.confเพื่อให้แน่ใจว่าระบบของคุณทำงานอย่างถูกต้องกับการเปลี่ยนแปลง หากมีสิ่งผิดปกติคุณสามารถรีสตาร์ทเพื่อลบการเปลี่ยนแปลงชั่วคราวดังกล่าว

ในภาพหน้าจอคุณจะสังเกตเห็นว่ามีปัญหาอื่น ๆ เช่นกัน แต่มันอยู่นอกขอบเขตสำหรับบทความนี้ดังนั้นเราจะข้ามไป

หมายเหตุ: ตรวจสอบให้แน่ใจว่าได้ทำการตรวจสอบสถานะของคุณเพื่อป้องกันปัญหาใด ๆ กับระบบของคุณ

ตอนนี้เลื่อนลงไปที่ส่วนคำแนะนำและคุณจะพบกับการเปลี่ยนแปลงการกำหนดค่าที่สามารถทำได้ ตัวอย่างเช่น Lynis แนะนำการเปลี่ยนแปลงสำหรับรูปแบบการอนุญาตของไฟล์บางไฟล์ ในตัวอย่างของเราเราพบข้อเสนอแนะที่แข็งขึ้น:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

การเปลี่ยนแปลงดังกล่าวสามารถทำได้โดยใช้โปรแกรมแก้ไขข้อความเปิด/etc/init.d/rcและการหาเส้นและการเปลี่ยนแปลงค่าในการumask 027ค่านี้จะ จำกัด ที่สร้างขึ้นใหม่ไฟล์สิทธิ์เต็มรูปแบบโดยเจ้าของสิทธิ์ในการอ่านโดยกลุ่มและการเข้าถึงสำหรับผู้ใช้อื่น ๆ system/rootทั้งหมดยกเว้น

ทำให้ Lynis ทำงานเป็นประจำ

สิ่งนี้ทำได้ง่ายและสามารถทำได้โดยการติดตั้งครั้งแรกcrontabจากนั้นเพิ่มงานสำหรับ Lynis:

apt-get install crontab

จากนั้นดำเนินการcrontab -eและป้อนข้อมูลต่อไปนี้:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

บันทึกจากนั้นออก การดำเนินการนี้จะทำการตรวจสอบ Lynis ทุกวันเวลาเที่ยงคืนของอินสแตนซ์ของคุณและส่งอีเมลพร้อมผลลัพธ์

ข้อสรุป

ในบทความนี้เรากล่าวถึงพื้นฐานของการกำหนดค่า Lynis และวิธีการใช้ประโยชน์จากมันสำหรับการตรวจสอบระบบรวมถึงการตรวจสอบระบบของคุณเป็นประจำ