Installer Lynis på Debian 8

Introduksjon

Lynis er et gratis systemrevisjonsverktøy med åpen kildekode som brukes av mange systemadministratorer for å verifisere integriteten og herde systemene deres. Den kan brukes som en frittstående binær eller den kan installeres for å utføre kontroller med jevne mellomrom. I denne artikkelen lærer du hvordan du installerer og bruker programvaren, samt lærer å lese og identifisere loggene som Lynis sender ut.

Hvis du ønsker å utføre installasjonen på CentOS 7, se denne artikkelen .

Installasjon

Merk : Sørg for at du er logget inn som rootbruker.

Installasjonen av Lynis er ganske enkel. For å begynne, la oss oppdatere systemet vårt.

apt-get update
apt-get upgrade

Når du blir bedt om det, skriv inn ' y'. Dette kan ta alt mellom et par sekunder til en halv time, avhengig av antall pakker som må oppdateres og systemets tilgjengelige ressurser.

Lynis er programvare med åpen kildekode. Som sådan er programvarens tilstedeværelse på GitHub. For å laste ned et depot, må vi klone det med gitverktøyet, som vi kan installere med følgende kommando:

apt-get install git

Akkurat som før, godta installasjonsmeldingen med ' y'. Vi må også installere visse DNS-verktøy slik at Lynis kan revidere nettverket vårt:

apt-get install dnsutils

Nå som vi har forutsetningene installert, kan vi klone depotet:

cd ~
git clone https://github.com/CISOfy/lynis

Gi det et øyeblikk, og så fortsett ved å gå inn i katalogen når det er fullført:

cd ~/lynis

Vi vil gjøre en foreløpig revisjon for å sikre at den fungerer som den skal på systemet ditt:

./lynis audit system

Dette vil utføre en rask systemsjekk for eventuelle sikkerhetsproblemer som kan være tilstede på systemet ditt, samt liste noen anbefalinger. Lynis fungerer som den skal hvis den fullføres med et resultat som ligner på følgende:

Konfigurasjon

Å konfigurere Lynis er imidlertid vanskeligere. Du må skreddersy den i henhold til systemet ditt, basert på tjenestene du kjører, samt nettverkskonfigurasjonen du brukte på forekomsten. I denne artikkelen vil vi dekke vanlige nettverkskonfigurasjoner samt webservere og generell systemsikkerhet.

La oss starte med å kopiere standard Lynis-konfigurasjonsfilen og gjøre endringer i den:

cp default.prf custom.prf

Deretter, bruk ditt foretrukne tekstredigeringsprogram, åpne custom.prf:

nano custom.prf

Rull til delen der pluginene er oppført. Vi fjerner tjenestene som ikke gjelder oss, for å fremskynde testingen:

Hvis du ikke bruker Nginx-nettserveren, fjern " plugin=nginx". Sjansen er stor for at systemet ditt ikke kjører bind9eller dnsmasq, så du kan også fjerne dem. Hvis du kjører dem, ikke fjern plugin-modulen fra revisjonen og fortsett å sjekke hvert element til du har fjernet eventuelle unødvendige kontroller. Når du er ferdig, lagre og avslutt med CTRL+ Xog deretter for Yå lagre.

La oss nå kjøre Lynis på nytt for å se problemene vi må rette i systemet vårt med følgende:

./lynis --profile custom.prf

Tillat et minutt eller to, og når den er ferdig, skal den se ut som den hadde i trinn én, men med de unødvendige skanningene fjernet.

Tolke og herde systemet ditt

La oss ta en titt på forslagene som Lynis gir på vårt basis Vultr Debian 8-system:

Som du kan se, har Lynis funnet noen potensielle problemer på vår instans. Noen noder nevner at vi har latt pakkevideresending være på for både IPv4- og IPv6-stabler -- hvis du planlegger å bruke Docker eller en lignende containerteknologi på et Vultr-system, ikke endre disse. Hvis du ikke har behov for dem, kan du endre dem midlertidig på systemet ditt med følgende:

sysctl -w <kernel_node>

Gjør dette før du /etc/sysctl.conflegger inn verdiene dine for å sikre at systemet fungerer som det skal med endringene. Hvis noe ikke fungerer, kan du starte på nytt for å fjerne slike midlertidige endringer.

På skjermbildet vil du legge merke til at det også er andre problemer, men de er utenfor rammen for denne artikkelen, så vi hopper over dem.

Merk: Sørg for å gjøre din due diligence for å unngå problemer med systemet ditt.

Nå, bla ned til forslagsdelen, og du vil finne en god del konfigurasjonsendringer som kan gjøres. For eksempel foreslår Lynis endringer for tillatelsesmasken til visse filer. I vårt tilfelle finner vi et herdeforslag:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

En slik endring kan enkelt oppnås ved å bruke et tekstredigeringsprogram, åpne /etc/init.d/rcog finne linjen umaskog endre verdien til 027. Denne verdien vil begrense nyopprettede filer til fulle tillatelser fra eieren, lesetillatelser fra gruppen og ingen tilgang for alle andre brukere bortsett fra system/root.

Å få Lynis til å løpe med jevne mellomrom

Dette er relativt enkelt å gjøre og kan oppnås ved først å installere crontab, og deretter legge til en jobb for Lynis:

apt-get install crontab

Kjør deretter crontab -eog skriv inn følgende:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Lagre det, og avslutt. Dette vil kjøre en Lynis-revisjon hver dag ved midnatt på forekomsten din og sende deg en e-post med resultatene.

Konklusjon

I denne artikkelen dekket vi det grunnleggende om Lynis-konfigurasjon og hvordan du kan bruke det til systemrevisjon samt regelmessige kontroller av systemet ditt.