Nainstalujte Lynis na Debian 8

Úvod

Lynis je bezplatný nástroj pro audit systému s otevřeným zdrojovým kódem, který používá mnoho systémových administrátorů k ověření integrity a posílení svých systémů. Může být provozován jako samostatný binární systém nebo může být instalován k provádění kontrol v pravidelných intervalech. V tomto článku se dozvíte, jak nainstalovat a používat software, a také se naučíte číst a identifikovat protokoly, které Lynis vypisuje.

Pokud byste chtěli provést instalaci na CentOS 7, přečtěte si tento článek .

Instalace

Poznámka : Ujistěte se, že jste přihlášeni jako rootuživatel.

Instalace Lynis je poměrně jednoduchá. Pro začátek aktualizujme náš systém.

apt-get update
apt-get upgrade

Po zobrazení výzvy zadejte „ y“. To může trvat od několika sekund do půl hodiny, v závislosti na počtu balíčků, které je třeba aktualizovat, a na dostupných prostředcích systému.

Lynis je software s otevřeným zdrojovým kódem. Software jako takový je na GitHubu. Chcete-li stáhnout úložiště, musíme jej naklonovat pomocí gitnástroje, který můžeme nainstalovat pomocí následujícího příkazu:

apt-get install git

Stejně jako předtím přijměte výzvu k instalaci pomocí „ y“. Potřebujeme také nainstalovat určité nástroje DNS, aby mohla Lynis auditovat naši síť:

apt-get install dnsutils

Nyní, když máme nainstalované předpoklady, můžeme klonovat úložiště:

cd ~
git clone https://github.com/CISOfy/lynis

Nechte to chvíli a poté, co to bude hotové, pokračujte vstupem do adresáře:

cd ~/lynis

Provedeme předběžný audit, abychom se ujistili, že ve vašem systému funguje správně:

./lynis audit system

Tím se provede rychlá kontrola systému na případné problémy se zabezpečením, které se mohou ve vašem systému vyskytnout, a také se zobrazí některá doporučení. Lynis funguje správně, pokud skončí s výsledkem podobným následujícímu:

Konfigurace

Konfigurace Lynis je však obtížnější. Budete jej muset přizpůsobit vašemu systému na základě služeb, které provozujete, a také konfigurace sítě, kterou jste ve své instanci použili. V tomto článku se budeme zabývat běžně používanými konfiguracemi sítě a také webovými servery a obecným zabezpečením systému.

Začněme zkopírováním výchozího konfiguračního souboru Lynis a provedením změn v něm:

cp default.prf custom.prf

Poté pomocí preferovaného textového editoru otevřete custom.prf:

nano custom.prf

Přejděte do části, kde jsou uvedeny pluginy. Pro urychlení testování odstraníme služby, které se nás netýkají:

Pokud nepoužíváte webový server Nginx, odstraňte „ plugin=nginx“. Je pravděpodobné, že váš systém neběží bind9nebo dnsmasq, takže je můžete také odstranit. Pokud je spouštíte, neodstraňujte plugin z auditu a pokračujte v kontrole každé položky, dokud neodstraníte všechny zbytečné kontroly. Až budete hotovi, uložte a ukončete pomocí CTRL+ Xa poté Ypro uložení.

Nyní znovu spusťte Lynis, abyste viděli problémy, které musíme v našem systému opravit, a to následujícím způsobem:

./lynis --profile custom.prf

Počkejte minutu nebo dvě, a když skončí, mělo by to vypadat jako v prvním kroku, ale s odstraněnými nepotřebnými skeny.

Interpretace a posílení vašeho systému

Pojďme se podívat na návrhy, které Lynis poskytuje na našem základním systému Vultr Debian 8:

Jak můžete říci, Lynis našla v naší instanci nějaké potenciální problémy. Některé uzly zmínit, že jsme opustili předávání paketů na obou IPv4 a IPv6 stohy - pokud máte v plánu na využití Docker nebo podobnou technologii kontejner na systému Vultr, že ne je změnit. Pokud je nepotřebujete, můžete je ve svém systému dočasně změnit pomocí následujícího:

sysctl -w <kernel_node>

Udělejte to před zadáním hodnot, /etc/sysctl.confabyste se ujistili, že váš systém funguje správně se změnami. Pokud něco nefunguje, můžete restartovat a odstranit takové dočasné změny.

Na snímku obrazovky si všimnete, že existují i ​​další problémy, ale ty jsou mimo rozsah tohoto článku, takže je přeskočíme.

Poznámka: Ujistěte se, že jste provedli náležitou péči, abyste předešli jakýmkoli problémům se systémem.

Nyní přejděte dolů do sekce návrhů a najdete spoustu konfiguračních změn, které lze provést. Lynis například navrhuje změny masky oprávnění pro určité soubory. V našem případě najdeme návrh zpevnění:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Takovou změnu lze snadno provést pomocí textového editoru, otevřením /etc/init.d/rca nalezením řádku umaska změnou jeho hodnoty na 027. Tato hodnota by omezila nově vytvořené soubory na plná oprávnění od jejich vlastníka, oprávnění ke čtení pro skupinu a žádný přístup pro všechny ostatní uživatele kromě system/root.

Aby Lynis běžela pravidelně

To je poměrně snadné a lze to provést nejprve instalací crontaba poté přidáním úlohy pro Lynis:

apt-get install crontab

Poté spusťte crontab -ea zadejte následující:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Uložte jej a poté ukončete. To spustí Lynis audit každý den o půlnoci ve vaší instanci a pošle vám e-mail s výsledky.

Závěr

V tomto článku jsme se zabývali základy konfigurace Lynis a tím, jak ji můžete využít pro audit systému a také pro pravidelné kontroly vašeho systému.