Instalējiet Lynis operētājsistēmā Debian 8

Ievads

Lynis ir bezmaksas atvērtā koda sistēmas audita rīks, ko izmanto daudzi sistēmu administratori, lai pārbaudītu savu sistēmu integritāti un nostiprinātu tās. To var darbināt kā atsevišķu bināro sistēmu vai arī to var uzstādīt, lai periodiski veiktu pārbaudes. Šajā rakstā jūs uzzināsit, kā instalēt un lietot programmatūru, kā arī iemācīties lasīt un identificēt Lynis izvadītos žurnālus.

Ja vēlaties veikt instalēšanu operētājsistēmā CentOS 7, lūdzu, skatiet šo rakstu .

Uzstādīšana

Piezīme : lūdzu, pārliecinieties, ka esat pieteicies kā rootlietotājs.

Lynis uzstādīšana ir diezgan vienkārša. Lai sāktu, atjaunināsim mūsu sistēmu.

apt-get update
apt-get upgrade

Kad tiek prasīts, ievadiet " y". Tas var ilgt no dažām sekundēm līdz pusstundai atkarībā no atjaunināmo pakotņu skaita un sistēmas pieejamajiem resursiem.

Lynis ir atvērtā pirmkoda programmatūra. Tādējādi programmatūra ir pieejama vietnē GitHub. Lai lejupielādētu repozitoriju, mums tas ir jāklonē ar gitutilītu, kuru mēs varam instalēt ar šādu komandu:

apt-get install git

Tāpat kā iepriekš, pieņemiet instalēšanas uzvedni ar " y". Mums ir arī jāinstalē noteikti DNS rīki, lai Lynis varētu pārbaudīt mūsu tīklu:

apt-get install dnsutils

Tagad, kad mums ir instalēti priekšnosacījumi, mēs varam klonēt repozitoriju:

cd ~
git clone https://github.com/CISOfy/lynis

Uzgaidiet dažus mirkļus, pēc tam, kad tas ir pabeigts, turpiniet, ievadot direktoriju:

cd ~/lynis

Mēs veiksim sākotnējo auditu, lai pārliecinātos, ka tā darbojas pareizi jūsu sistēmā:

./lynis audit system

Tas ātri pārbaudīs sistēmas drošības problēmas, kas var būt jūsu sistēmā, kā arī uzskaitīs dažus ieteikumus. Lynis darbojas pareizi, ja rezultāts ir līdzīgs šim:

Konfigurācija

Tomēr Lynis konfigurēšana ir grūtāka. Jums tas būs jāpielāgo atbilstoši savai sistēmai, pamatojoties uz pakalpojumiem, kurus izmantojat, kā arī tīkla konfigurāciju, ko izmantojāt savā instancē. Šajā rakstā mēs apskatīsim bieži izmantotās tīkla konfigurācijas, kā arī tīmekļa serverus un vispārējo sistēmas drošību.

Sāksim, nokopējot noklusējuma Lynis konfigurācijas failu un veicot tajā izmaiņas:

cp default.prf custom.prf

Pēc tam, izmantojot vēlamo teksta redaktoru, atveriet custom.prf:

nano custom.prf

Ritiniet līdz sadaļai, kurā ir norādīti spraudņi. Mēs noņemsim pakalpojumus, kas uz mums neattiecas, lai paātrinātu testēšanu:

Ja neizmantojat Nginx tīmekļa serveri, noņemiet " plugin=nginx". Iespējams, ka jūsu sistēma nedarbojas bind9vai dnsmasq, tāpēc varat arī tos noņemt. Ja tos izmantojat, neizņemiet spraudni no audita un turpiniet pārbaudīt katru vienumu, līdz esat noņēmis visas nevajadzīgās pārbaudes. Kad esat pabeidzis, saglabājiet un izejiet ar CTRL+ Xun pēc tam, Ylai saglabātu.

Tagad atkārtoti palaidīsim Lynis, lai redzētu problēmas, kas mums ir jānovērš mūsu sistēmā, veicot tālāk norādītās darbības.

./lynis --profile custom.prf

Uzgaidiet minūti vai divas, un, kad tas ir pabeigts, tam vajadzētu izskatīties tāpat kā pirmajā darbībā, bet ar noņemtiem nevajadzīgajiem skenēšanas gadījumiem.

Sistēmas interpretācija un nostiprināšana

Apskatīsim ieteikumus, ko Lynis sniedz mūsu bāzes Vultr Debian 8 sistēmā:

Kā jūs varat pateikt, Lynis ir atklājis dažas iespējamās problēmas mūsu instancē. Daži mezgli pieminēt, ka mēs esam atstājuši pakešu pārsūtīšanu uz gan IPv4 un IPv6 kaudzēm - ja jūs plānojat izmantot dokers vai līdzīgu konteineru tehnoloģija uz Vultr sistēmu, vai nav tās mainīt. Ja jums tie nav nepieciešami, varat tos īslaicīgi mainīt savā sistēmā, veicot tālāk norādītās darbības.

sysctl -w <kernel_node>

Dariet to pirms vērtību ievadīšanas, /etc/sysctl.conflai pārliecinātos, ka sistēma ar izmaiņām darbojas pareizi. Ja kaut kas nedarbojas, varat restartēt, lai noņemtu šādas pagaidu izmaiņas.

Ekrānuzņēmumā pamanīsit, ka ir arī citas problēmas, taču tās ir ārpus šī raksta darbības jomas, tāpēc mēs tās izlaidīsim.

Piezīme. Noteikti veiciet pienācīgu rūpību, lai novērstu jebkādas problēmas ar sistēmu.

Tagad ritiniet uz leju līdz ieteikumu sadaļai, un jūs atradīsiet daudz konfigurācijas izmaiņu, ko var veikt. Piemēram, Lynis iesaka izmaiņas noteiktu failu atļauju maskai. Mūsu gadījumā mēs atrodam stindzinošu ieteikumu:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Šādas izmaiņas var viegli veikt, izmantojot teksta redaktoru, atverot /etc/init.d/rcun atrodot rindiņu umaskun mainot tās vērtību uz 027. Šī vērtība ierobežotu jaunizveidotos failus ar pilnām atļaujām no to īpašnieka, lasīšanas atļaujām no grupas un bez piekļuves visiem citiem lietotājiem, izņemot system/root.

Liekot Lynis skriet regulāri

Tas ir salīdzinoši viegli izdarāms, un to var paveikt, vispirms instalējot crontabun pēc tam pievienojot Lynis darbu:

apt-get install crontab

Pēc tam izpildiet crontab -eun ievadiet šo:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Saglabājiet to, pēc tam izejiet. Tas katru dienu pusnaktī jūsu instancē veiks Lynis auditu un nosūtīs jums e-pasta ziņojumu ar rezultātiem.

Secinājums

Šajā rakstā mēs apskatījām Lynis konfigurācijas pamatus un to, kā varat to izmantot sistēmas auditēšanai, kā arī regulārām sistēmas pārbaudēm.