Installer Lynis på Debian 8

Introduktion

Lynis er et gratis open source-systemrevisionsværktøj, der bruges af mange systemadministratorer til at verificere integriteten og hærde deres systemer. Den kan betjenes som en selvstændig binær, eller den kan installeres til at udføre kontroller med periodiske intervaller. I denne artikel lærer du, hvordan du installerer og bruger softwaren, samt lærer at læse og identificere de logfiler, som Lynis udsender.

Hvis du gerne vil udføre installationen på CentOS 7, se venligst denne artikel .

Installation

Bemærk : Sørg for, at du er logget ind som rootbruger.

Installationen af ​​Lynis er ret enkel. Lad os for at begynde med at opdatere vores system.

apt-get update
apt-get upgrade

Indtast ' y', når du bliver bedt om det . Dette kan tage alt mellem et par sekunder til en halv time, afhængigt af antallet af pakker, der skal opdateres, og systemets tilgængelige ressourcer.

Lynis er open source-software. Som sådan er softwarens tilstedeværelse på GitHub. For at downloade et depot skal vi klone det med gitværktøjet, som vi kan installere med følgende kommando:

apt-get install git

Ligesom før, accepter installationsprompten med ' y'. Vi skal også installere visse DNS-værktøjer, så Lynis kan auditere vores netværk:

apt-get install dnsutils

Nu hvor vi har forudsætningerne installeret, kan vi klone depotet:

cd ~
git clone https://github.com/CISOfy/lynis

Giv det et øjeblik, og når det er færdigt, fortsæt ved at gå ind i mappen:

cd ~/lynis

Vi foretager en foreløbig revision for at sikre, at den fungerer korrekt på dit system:

./lynis audit system

Dette vil udføre et hurtigt systemtjek for eventuelle sikkerhedsproblemer, der kan være til stede på dit system, samt angive nogle anbefalinger. Lynis fungerer korrekt, hvis det afsluttes med et resultat, der ligner følgende:

Konfiguration

Konfiguration af Lynis er dog sværere. Du bliver nødt til at skræddersy det til dit system, baseret på de tjenester, du kører, samt den netværkskonfiguration, du brugte på din instans. I denne artikel vil vi dække almindeligt anvendte netværkskonfigurationer samt webservere og generel systemsikkerhed.

Lad os starte med at kopiere standard Lynis-konfigurationsfilen og foretage vores ændringer til den:

cp default.prf custom.prf

Brug derefter din foretrukne teksteditor, og åbn custom.prf:

nano custom.prf

Rul til sektionen, hvor plugins er opført. Vi fjerner de tjenester, der ikke vedrører os, for at fremskynde testen:

Hvis du ikke bruger Nginx-webserveren, skal du fjerne " plugin=nginx". Chancerne er, at dit system ikke kører bind9eller dnsmasq, så du kan også fjerne dem. Hvis du kører dem, skal du ikke fjerne plugin'et fra revisionen og fortsætte med at kontrollere hvert element, indtil du har fjernet eventuelle unødvendige kontroller. Når du er færdig, skal du gemme og afslutte med CTRL+ Xog derefter for Yat gemme.

Lad os nu køre Lynis igen for at se de problemer, vi skal rette i vores system med følgende:

./lynis --profile custom.prf

Tillad et minut eller to, og når det er færdigt, skal det se ud, som det havde i trin et, men med de unødvendige scanninger fjernet.

Fortolkning og hærdning af dit system

Lad os se på de forslag, som Lynis giver på vores basis Vultr Debian 8-system:

Som du kan se, har Lynis fundet nogle potentielle problemer i vores instans. Nogle noder nævner, at vi har ladet pakkevideresendelse være aktiveret for både IPv4- og IPv6-stakke -- hvis du planlægger at bruge Docker eller en lignende containerteknologi på et Vultr-system, skal du ikke ændre disse. Hvis du ikke har brug for dem, kan du ændre dem midlertidigt på dit system med følgende:

sysctl -w <kernel_node>

Gør dette, før du indtaster dine værdier /etc/sysctl.conffor at sikre, at dit system fungerer korrekt med ændringerne. Hvis noget ikke fungerer, kan du genstarte for at fjerne sådanne midlertidige ændringer.

På skærmbilledet vil du bemærke, at der også er andre problemer, men de er uden for denne artikels rækkevidde, så vi springer dem over.

Bemærk: Sørg for at gøre din due diligence for at forhindre problemer med dit system.

Rul nu ned til forslagssektionen, og du vil finde en hel del konfigurationsændringer, der kan foretages. For eksempel foreslår Lynis ændringer for tilladelsesmasken for visse filer. I vores tilfælde finder vi et hærdende forslag:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

En sådan ændring kan nemt opnås ved at bruge en teksteditor, åbne /etc/init.d/rcog finde linjen umaskog ændre dens værdi til 027. Denne værdi ville begrænse nyoprettede filer til fulde tilladelser fra dens ejer, læsetilladelser fra gruppen og ingen adgang for alle andre brugere undtagen system/root.

At få Lynis til at køre regelmæssigt

Dette er relativt nemt at gøre og kan opnås ved først at installere crontabog derefter tilføje et job til Lynis:

apt-get install crontab

Udfør derefter , crontab -eog indtast følgende:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Gem det, og afslut. Dette vil køre en Lynis-audit hver dag ved midnat på din instans og sende dig en e-mail med resultaterne.

Konklusion

I denne artikel dækkede vi det grundlæggende i Lynis-konfiguration, og hvordan du kan bruge det til systemrevision samt regelmæssig kontrol af dit system.