Įdiekite „Lynis“ „Debian 8“.

Įvadas

Lynis yra nemokamas atvirojo kodo sistemos audito įrankis, kurį naudoja daugelis sistemų administratorių, kad patikrintų jų vientisumą ir sustiprintų savo sistemas. Jis gali būti naudojamas kaip atskiras dvejetainis failas arba gali būti įdiegtas, kad būtų atliekami periodiniai patikrinimai. Šiame straipsnyje sužinosite, kaip įdiegti ir naudoti programinę įrangą, taip pat išmoksite skaityti ir identifikuoti žurnalus, kuriuos išveda Lynis.

Jei norite įdiegti CentOS 7, žr. šį straipsnį .

Montavimas

Pastaba : įsitikinkite, kad esate prisijungę kaip rootvartotojas.

Lynis įdiegimas yra gana paprastas. Norėdami pradėti, atnaujinkime savo sistemą.

apt-get update
apt-get upgrade

Kai būsite paraginti, įveskite „ y“. Tai gali užtrukti nuo kelių sekundžių iki pusvalandžio, priklausomai nuo paketų, kuriuos reikia atnaujinti, skaičiaus ir turimų sistemos išteklių.

Lynis yra atvirojo kodo programinė įranga. Taigi programinė įranga yra „GitHub“. Norėdami atsisiųsti saugyklą, turime ją klonuoti naudodami gitįrankį, kurį galime įdiegti naudodami šią komandą:

apt-get install git

Kaip ir anksčiau, priimkite diegimo raginimą naudodami „ y“. Taip pat turime įdiegti tam tikrus DNS įrankius, kad Lynis galėtų patikrinti mūsų tinklą:

apt-get install dnsutils

Dabar, kai įdiegėme būtinas sąlygas, galime klonuoti saugyklą:

cd ~
git clone https://github.com/CISOfy/lynis

Palaukite kelias akimirkas, tada, kai jis bus baigtas, tęskite įvesdami katalogą:

cd ~/lynis

Atliksime preliminarų auditą, kad įsitikintume, jog jis tinkamai veikia jūsų sistemoje:

./lynis audit system

Tai atliks greitą sistemos patikrinimą, ar nėra saugos problemų, kurios gali kilti jūsų sistemoje, ir bus pateiktos kai kurios rekomendacijos. Lynis veikia tinkamai, jei rezultatas yra panašus į toliau pateiktą:

Konfigūracija

Tačiau Lynis konfigūruoti yra sunkiau. Turėsite jį pritaikyti pagal savo sistemą, atsižvelgdami į jūsų vykdomas paslaugas ir tinklo konfigūraciją, kurią naudojote savo egzemplioriuje. Šiame straipsnyje apžvelgsime dažniausiai naudojamas tinklo konfigūracijas, taip pat žiniatinklio serverius ir bendrą sistemos saugą.

Pradėkime nukopijuodami numatytąjį Lynis konfigūracijos failą ir atlikdami jo pakeitimus:

cp default.prf custom.prf

Tada naudodami pageidaujamą teksto rengyklę atidarykite custom.prf:

nano custom.prf

Slinkite į skyrių, kuriame pateikiami papildiniai. Siekdami paspartinti testavimą, pašalinsime su mumis nesusijusias paslaugas:

Jei nenaudojate „Nginx“ žiniatinklio serverio, pašalinkite „ plugin=nginx“. Gali būti, kad jūsų sistema neveikia bind9arba dnsmasq, todėl taip pat galite juos pašalinti. Jei juos naudojate, nepašalinkite papildinio iš audito ir toliau tikrinkite kiekvieną elementą, kol pašalinsite nereikalingus patikrinimus. Baigę išsaugokite ir išeikite naudodami CTRL+ X, tada Ynorėdami išsaugoti.

Dabar paleiskite Lynis iš naujo, kad pamatytume problemas, kurias turime ištaisyti sistemoje:

./lynis --profile custom.prf

Palaukite minutę ar dvi, o kai jis baigsis, jis turėtų atrodyti taip, kaip buvo pirmame veiksme, bet pašalinus nereikalingus nuskaitymus.

Jūsų sistemos aiškinimas ir grūdinimas

Pažvelkime į pasiūlymus, kuriuos Lynis pateikia mūsų bazinėje Vultr Debian 8 sistemoje:

Kaip matote, Lynis mūsų egzemplioriuje rado keletą galimų problemų. Kai mazgai paminėti, kad mes palikti paketų persiuntimą ant tiek IPv4 ir IPv6 kaminai - jei jūs planuojate naudoti dokininkas ar panašią konteinerių technologiją ant Vultr sistemos, ar ne pakeisti juos. Jei jums jų nereikia, galite laikinai juos pakeisti savo sistemoje naudodami šiuos veiksmus:

sysctl -w <kernel_node>

Atlikite tai prieš įvesdami reikšmes, /etc/sysctl.confkad įsitikintumėte, jog sistema tinkamai veikia atliekant pakeitimus. Jei kažkas neveikia, galite paleisti iš naujo, kad pašalintumėte tokius laikinus pakeitimus.

Ekrano kopijoje pastebėsite, kad yra ir kitų problemų, tačiau jos nepatenka į šio straipsnio taikymo sritį, todėl jas praleisime.

Pastaba: būtinai atlikite reikiamą patikrinimą, kad išvengtumėte problemų su sistema.

Dabar slinkite žemyn iki pasiūlymų skyriaus ir rasite daugybę konfigūracijos pakeitimų, kuriuos galite atlikti. Pavyzdžiui, Lynis siūlo keisti tam tikrų failų leidimo kaukę. Mūsų atveju randame griežtinimo pasiūlymą:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Tokį pakeitimą galima nesunkiai atlikti naudojant teksto rengyklę, atidarius /etc/init.d/rcir suradus eilutę umaskbei pakeitus jos reikšmę į 027. Ši reikšmė apribotų naujai sukurtiems failams visiškus jų savininko leidimus, grupės skaitymo leidimus ir neturės prieigos visiems kitiems vartotojams, išskyrus system/root.

Lynis nuolat bėgioja

Tai padaryti gana paprasta ir tai galima padaryti iš pradžių įdiegus crontab, o tada pridėjus užduotį Lyniui:

apt-get install crontab

Tada paleiskite crontab -eir įveskite:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Išsaugokite jį, tada išeikite. Tai atliks Lynis auditą kiekvieną dieną vidurnaktį jūsų egzemplioriuje ir atsiųs el. laišką su rezultatais.

Išvada

Šiame straipsnyje apžvelgėme Lynis konfigūracijos pagrindus ir tai, kaip galite ją panaudoti sistemos auditui ir reguliariems sistemos patikrinimams.