Cum se auditează cu Lynis pe sistemele Ubuntu Linux

În cadrul sarcinilor de management și control pe care trebuie să le desfășurăm în medii LinuxIndiferent de distribuția de utilizat, unul dintre cele mai importante aspecte de luat în considerare este asociat cu securitatea fiecărei distribuții, deoarece o lipsă sau o anumită vulnerabilitate va pune în pericol nu numai informațiile găzduite acolo, ci întreaga structură la care se află acest echipament este conectat.

Suntem în perioade în care amenințările cresc în fiecare zi și mulți administratori sau personal IT nu acordă atenția cuvenită acestei probleme, deoarece consideră că nu se va întâmpla niciodată, dar ca profesioniști trebuie să fim cu un pas înainte și mai mult când vine vorba de Securitate de utilizatori dintr-o organizație.

Solvetic va analiza temeinic o aplicație practică numită Lynis și vom vedea cum va fi de mare ajutor creșterea în continuare a capacității noastre de management, control și supraveghere în medii Linux.
În acest caz, vom folosi Ubuntu 16.10 Server.

Ce este LynisLynis a fost dezvoltat ca o aplicație responsabilă de efectuarea auditurilor de securitate în mediile Linux.

Lynis este open source care evaluează profilul de securitate al fiecărei echipe și ne va oferi sugestii despre cum să creștem și să îmbunătățim nivelurile de securitate în companie.

Lynis analizează mediile UNIX și Linux mult mai detaliat decât o aplicație de scanare a vulnerabilităților. Lynis poate fi rulat în următoarele medii:

• AIX
• FreeBSD
• HP-UX
• Linux - Cele mai multe distrosuri
• macOS
• NetBSD
• OpenBSD
• Solaris

Această aplicație poate fi utilizată în cazuri precum:

• Analiza și detectarea vulnerabilități.
• Audituri de securitate.
• Testele de conformitate așa cum sunt PCI sau HIPAA.
• Îmbunătățiri ale Securitate a sistemului.
• Management administrativ.

1. Cum se instalează Lynis pe serverul Ubuntu

Deși există mai multe moduri de a instala Lynis, în acest caz vom instala din cel mai recent depozit.

Pasul 1
Este important să subliniem că acest depozit utilizează protocolul HTTPS pentru accesul său, deci trebuie să confirmăm că serverul nostru are suport HTTPS, pentru a valida acest lucru vom executa următoarea linie:

 dpkg -s apt-transport-https | grep -i status 

MARI

Pasul 2
În cazul în care nu avem acest suport, vom executa următoarea linie pentru instalarea acestuia:

 sudo apt-get install apt-transport-https

Pasul 3
Odată ce suntem siguri că avem suport HTTPS, procedăm la instalarea cheii oficiale de depozit executând următoarele:

 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F

MARI

Pasul 4
Acum vom adăuga depozitul oficial Lynis astfel încât să fie disponibil în managerul de pachete, pentru aceasta executăm următoarele:

 sudo add-apt-repository "deb [arch = amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main" 

MARI

Pasul 5
Actualizăm pachetele sistemului de operare:

 sudo apt-get update

MARI

Pasul 6
Odată ce pachetele sunt actualizate, continuăm cu instalarea Lynis în Ubuntu Server executând următoarea comandă:

 sudo apt-get install lynis

MARI

Acceptăm descărcarea și instalarea respectivă a pachetelor Lynis pe Ubuntu Server 16.10.

2. Cum se face un audit de securitate cu Lynis pe Ubuntu Server 16.10

Pasul 1
Odată ce aplicația este instalată, putem vedea comenzile Lynis disponibile executând următoarea linie:

 lynis arată comenzi

MARI

Pasul 2
Fiecare audit de securitate din Lynis este realizat folosind profiluri care nu sunt altceva decât fișiere de configurare cu diverși parametri pentru a controla modul în care se efectuează auditul. Pentru a vedea profilul implicit al Lynis vom folosi următoarea linie:

 lynis arată setările

MARI

Pasul 3
Putem verifica, înainte de efectuarea auditului, dacă există o versiune Lynis mai recentă care poate include îmbunătățiri pentru a verifica acest lucru, vom folosi următoarea linie:

 informații despre actualizarea lynis

MARI

Pasul 4
Acest lucru indică faptul că avem cea mai recentă versiune de Lynis. Putem verifica și acest rezultat executând linia:

 verificare actualizare lynis

Pasul 5
Pentru a efectua primul nostru audit al sistemului, continuăm să executăm următoarea comandă ca utilizatori root, astfel încât aceasta să fie realizată complet și să nu omită unele aspecte:

 sistemul de audit sudo lynis

Pasul 6
Putem vedea că începe procesul de audit pe Ubuntu Server:

MARI

Pasul 7
Acest proces durează între una și două minute maximum. La finalul auditului vom vedea următoarele:

MARI

Pasul 8
Informațiile detaliate despre acest rezultat sunt stocate în cale /var/log/lynis.log iar datele raportului, unde avem toate informațiile asociate serverului, vor fi stocate în cale /var/log/lynis-report.dat.
Interesantul despre Lynis este că raportul anterior ne arată avertismente și sugestiile de securitate respective de luat în considerare pentru a avea un sistem stabil și fiabil:

MARI

3. Cum se remediază avertismentele generate de Lynis Ubuntu Server

Un avertisment (Warning) ne permite să fim atenți la vulnerabilitățile care pot apărea în sistemul de operare. De obicei, avertismentul include soluția la acesta.

Pasul 1
Una dintre modalitățile pe care le avem în Lynis de a analiza mai detaliat un avertisment este de a utiliza următoarea sintaxă:

 sudo lynis arată detalii (Cod) 

Pasul 2
De exemplu, dacă vrem să aflăm în detaliu avertismentul codului FIRE-4512, vom executa următoarele:

 sudo lynis arată detalii FIRE-4512 

MARI

4. Cum se implementează sfaturile Lynis pe serverul Ubuntu

Putem vedea că în cadrul analizei de audit respective avem diverse sugestii (sugestii) oferite de instrument pentru a îmbunătăți nivelurile de securitate ale serverului.

Sugestia este compusă după cum urmează:

• Informații despre sugestii.
• ID sugestie.
• În cele din urmă o soluție.

Ca și în cazul avertismentelor, putem folosi linia sudo lynis arată detalii pentru mai multe informatii:

MARI

În acest caz, vedem că soluția propusă este instalarea de antimalware pe server. Astfel, fiecare sugestie include o soluție.

5. Cum să personalizați auditurile Lynis pe serverul Ubuntu

După cum am menționat la început, Lynis se bazează pe profiluri pentru a efectua audituri și are un profil predefinit.

Aceste profiluri au extensia .prf și sunt găzduite în calea:

 / etc / lynis

.

Pasul 1
Pentru a crea un profil nou și a spune Lynis să auditeze doar ceea ce avem nevoie și nu întregul sistem, vom crea un nou fișier numit solvetic executând următoarele:

 sudo nano /etc/lynis/solvetic.prf

Pasul 2
În acest fișier vom adăuga testele pe care dorim să le omitem care sunt:

• DOSAR-6310: Este folosit pentru a verifica starea partițiilor.

• HTTP-6622: Este folosit pentru a valida Nginx pe o instalare de server web.

• HTTP-6702: Folosit pentru a verifica Apache.

• PRNT-2307 și PRNT-2308: Folosit pentru a verifica serverele de imprimare.

• TOOL-5002: Se folosește pentru verificarea instrumentelor automate precum Puppet și Salt.

• SSH-7408: tcpkeepalive: Este folosit pentru a efectua verificări de testare de bază.

Pasul 3
În acest fișier vom adăuga următoarele:

 # Liniile care încep cu „#” sunt comentarii # Omiteți un test (unul pe rând) # Acest lucru va ignora separarea partițiilor test skip-test = FILE-6310 # Este instalat Nginx? skip-test = HTTP-6622 # Este instalat Apache? skip-test = HTTP-6702 # Skip verificarea serviciilor legate de tipărire skip-test = PRNT-2307 skip-test = PRNT-2308 # Dacă un ID de test include mai multe teste, utilizați acest formular pentru a ignora un anumit test skip-test = SSH-7408: tcpkeepalive

MARI

Pasul 4
păstrăm modificări folosind combinația de taste:

Ctrl + O

Da am ieșit afară de la editor folosind:

Ctrl + X

În acest fel, data viitoare când vom efectua un audit, acești parametri vor fi omiși.

Am înțeles cum Lynis devine un mare aliat pentru toți administratorii și personalul care doresc să controleze nivelurile de securitate ale diferitelor distribuții Linux. Există, de asemenea, posibilitatea de a-l utiliza în alte distribuții și de aceea vă recomandăm cum să auditați cu Lynis pe CentOS 7.

Audit Lynis CentOS