Instal·leu Lynis a Debian 8

Introducció

Lynis és una eina gratuïta d'auditoria de sistemes de codi obert que utilitzen molts administradors de sistemes per verificar la integritat i endurir els seus sistemes. Es pot operar com a binari autònom o es pot instal·lar per realitzar comprovacions a intervals periòdics. En aquest article, aprendràs a instal·lar i utilitzar el programari, així com a llegir i identificar els registres que genera Lynis.

Si voleu realitzar la instal·lació a CentOS 7, consulteu aquest article .

Instal·lació

Nota : assegureu-vos que heu iniciat sessió com a rootusuari.

La instal·lació de Lynis és bastant senzilla. Per començar, actualitzem el nostre sistema.

apt-get update
apt-get upgrade

Quan se us demani, introduïu " y". Això pot trigar entre un parell de segons i mitja hora, depenent del nombre de paquets que cal actualitzar i dels recursos disponibles del sistema.

Lynis és programari de codi obert. Com a tal, la presència del programari és a GitHub. Per descarregar un repositori, hem de clonar-lo amb la gitutilitat, que podem instal·lar amb l'ordre següent:

apt-get install git

Igual que abans, accepteu el missatge d'instal·lació amb " y". També hem d'instal·lar determinades eines DNS perquè Lynis pugui auditar la nostra xarxa:

apt-get install dnsutils

Ara que tenim els requisits previs instal·lats, podem clonar el repositori:

cd ~
git clone https://github.com/CISOfy/lynis

Doneu-li uns instants i, un cop s'hagi completat, continueu entrant al directori:

cd ~/lynis

Farem una auditoria preliminar per assegurar-nos que funciona correctament al vostre sistema:

./lynis audit system

Això realitzarà una comprovació ràpida del sistema per detectar qualsevol problema de seguretat que pugui estar present al vostre sistema, així com una llista d'algunes recomanacions. Lynis funciona correctament si acaba amb un resultat similar al següent:

Configuració

Configurar Lynis és més difícil, però. Haureu d'adaptar-lo al vostre sistema, en funció dels serveis que esteu executant, així com de la configuració de xarxa que heu utilitzat a la vostra instància. En aquest article, tractarem les configuracions de xarxa d'ús habitual, així com els servidors web i la seguretat general del sistema.

Comencem copiant el fitxer de configuració predeterminat de Lynis i fent-hi els nostres canvis:

cp default.prf custom.prf

A continuació, utilitzant el vostre editor de text preferit, obriu custom.prf:

nano custom.prf

Desplaceu-vos fins a la secció on es mostren els connectors. Eliminarem els serveis que no ens pertanyen per accelerar les proves:

Si no feu servir el servidor web Nginx, elimineu " plugin=nginx". El més probable és que el vostre sistema no s'executi bind9o dnsmasq, així que també podeu eliminar-los. Si els esteu executant, no elimineu el connector de l'auditoria i continueu comprovant cada element fins que hàgiu eliminat qualsevol comprovació innecessària. Un cop hàgiu acabat, deseu i sortiu amb CTRL+ Xi després Yper desar.

Ara, tornem a executar Lynis per veure els problemes que hem de corregir al nostre sistema amb el següent:

./lynis --profile custom.prf

Deixeu un minut o dos i, quan acabi, hauria d'aparèixer tal com tenia al pas un, però amb les exploracions innecessàries eliminades.

Interpretació i enduriment del vostre sistema

Fem una ullada als suggeriments que ofereix Lynis al nostre sistema base Vultr Debian 8:

Com podeu veure, Lynis ha trobat alguns problemes potencials presents a la nostra instància. Alguns nodes esmenten que hem deixat el reenviament de paquets activat tant per a les piles IPv4 com per a IPv6; si teniu previst utilitzar Docker o una tecnologia de contenidors similar en un sistema Vultr, no els canvieu. Si no els necessiteu, podeu canviar-los temporalment al vostre sistema amb el següent:

sysctl -w <kernel_node>

Feu-ho abans d'introduir els vostres valors /etc/sysctl.confper assegurar-vos que el vostre sistema funciona correctament amb els canvis. Si alguna cosa funciona malament, podeu reiniciar-lo per eliminar aquests canvis temporals.

A la captura de pantalla, notareu que també hi ha altres problemes, però queden fora de l'abast d'aquest article, així que els saltarem.

Nota: assegureu-vos de fer la vostra diligència deguda per evitar qualsevol problema amb el vostre sistema.

Ara, desplaceu-vos cap avall fins a la secció de suggeriments i trobareu una gran quantitat de canvis de configuració que es poden fer. Per exemple, Lynis suggereix canvis per a la màscara de permís de determinats fitxers. En el nostre cas, trobem un suggeriment d'enduriment:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Aquest canvi es pot aconseguir fàcilment utilitzant un editor de text, obrint /etc/init.d/rci trobant la línia umaski canviant-ne el valor a 027. Aquest valor limitaria els fitxers de nova creació als permisos complets del seu propietari, els permisos de lectura del grup i sense accés per a la resta d'usuaris excepte system/root.

Fer que Lynis funcioni de manera regular

Això és relativament fàcil de fer i es pot aconseguir instal·lant primer crontab, i després afegint una feina per a Lynis:

apt-get install crontab

A continuació, executeu crontab -ei introduïu el següent:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Deseu-lo i sortiu. Això executarà una auditoria de Lynis cada dia a la mitjanit a la vostra instància i us enviarà un correu electrònic amb els resultats.

Conclusió

En aquest article, vam tractar els conceptes bàsics de la configuració de Lynis i com podeu fer-ne ús per a l'auditoria del sistema, així com comprovacions periòdiques del vostre sistema.