Инсталирајте Линис на Дебиан 8

Увод

Линис је бесплатна алатка за ревизију система отвореног кода коју користе многи системски администратори да верификују интегритет и ојачају своје системе. Може се користити као самостална бинарна датотека или се може инсталирати да врши провере у периодичним интервалима. У овом чланку ћете научити како да инсталирате и користите софтвер, као и да научите да читате и идентификујете евиденције које Линис шаље.

Ако желите да извршите инсталацију на ЦентОС 7, погледајте овај чланак .

Инсталација

Напомена : Уверите се да сте пријављени као rootкорисник.

Инсталација Линис-а је прилично једноставна. За почетак, хајде да ажурирамо наш систем.

apt-get update
apt-get upgrade

Када се то од вас затражи, унесите ' y'. Ово може потрајати између неколико секунди до пола сата, у зависности од броја пакета које треба ажурирати и расположивих ресурса система.

Линис је софтвер отвореног кода. Као такав, присуство софтвера је на ГитХуб-у. Да бисмо преузели спремиште, потребно је да га клонирамо помоћу gitуслужног програма, који можемо да инсталирамо следећом командом:

apt-get install git

Као и раније, прихватите инсталациони упит са ' y'. Такође морамо да инсталирамо одређене ДНС алате како би Линис могао да ревидира нашу мрежу:

apt-get install dnsutils

Сада када имамо инсталиране предуслове, можемо клонирати спремиште:

cd ~
git clone https://github.com/CISOfy/lynis

Дајте му неколико тренутака, а затим када се заврши, наставите уносом у директоријум:

cd ~/lynis

Урадићемо прелиминарну ревизију да бисмо се уверили да исправно ради на вашем систему:

./lynis audit system

Ово ће извршити брзу проверу система за све безбедносне проблеме који могу бити присутни на вашем систему, као и навести неке препоруке. Линис ради исправно ако се заврши са резултатом сличним следећем:

Конфигурација

Међутим, конфигурисање Линиса је теже. Мораћете да га прилагодите свом систему, на основу услуга које користите, као и конфигурације мреже коју сте користили на својој инстанци. У овом чланку ћемо покрити најчешће коришћене мрежне конфигурације, као и веб сервере и општу безбедност система.

Почнимо тако што ћемо копирати подразумевану Линис конфигурациону датотеку и направити наше измене у њој:

cp default.prf custom.prf

Затим, користећи жељени уређивач текста, отворите custom.prf:

nano custom.prf

Померите се до одељка где су наведени додаци. Уклонићемо услуге које се не односе на нас да бисмо убрзали тестирање:

Ако не користите Нгинк веб сервер, уклоните „ plugin=nginx“. Велике су шансе да ваш систем не ради bind9или dnsmasq, тако да можете и њих да уклоните. Ако их користите, немојте уклањати додатак из ревизије и наставите да проверавате сваку ставку док не уклоните све непотребне провере. Када завршите, сачувајте и изађите са CTRL+, Xа затим Yда бисте сачували.

Сада, хајде да поново покренемо Линис да видимо проблеме које треба да исправимо у нашем систему са следећим:

./lynis --profile custom.prf

Сачекајте минут или два, а када се заврши, требало би да се појави као у првом кораку, али са уклоњеним непотребним скенирањима.

Тумачење и јачање вашег система

Хајде да погледамо предлоге које Линис пружа на нашем основном систему Вултр Дебиан 8:

Као што видите, Линис је пронашао неке потенцијалне проблеме присутне на нашој инстанци. Неки чворови помињу да смо оставили укључено прослеђивање пакета за ИПв4 и ИПв6 стекове - ако планирате да користите Доцкер или сличну технологију контејнера на Вултр систему, немојте ово мењати. Ако вам нису потребни, можете их привремено променити на свом систему на следећи начин:

sysctl -w <kernel_node>

Урадите ово пре него што унесете своје вредности /etc/sysctl.confда бисте били сигурни да ваш систем исправно функционише са променама. Ако нешто поквари, можете поново покренути да бисте уклонили такве привремене промене.

На снимку екрана ћете приметити да има и других проблема, али они су ван оквира овог чланка, па ћемо их прескочити.

Напомена: Обавезно извршите дужну пажњу како бисте спречили било какве проблеме са вашим системом.

Сада, померите се надоле до одељка са предлозима и наћи ћете доста промена конфигурације које се могу извршити. На пример, Линис предлаже промене за маску дозвола за одређене датотеке. У нашем случају, налазимо предлог за очвршћавање:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Таква промена се лако може постићи коришћењем уређивача текста, отварањем /etc/init.d/rcи проналажењем линије umaskи променом њене вредности у 027. Ова вредност би ограничила новостворене датотеке на пуне дозволе власника, дозволе за читање групе и без приступа за све друге кориснике осим system/root.

Нека Линис ради на редовној основи

Ово је релативно лако урадити и може се постићи тако што ћете прво инсталирати crontab, а затим додати посао за Линис:

apt-get install crontab

Затим извршите crontab -eи унесите следеће:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Сачувајте га, а затим изађите. Ово ће покренути Линис ревизију сваког дана у поноћ на вашој инстанци и послати вам е-поруку са резултатима.

Закључак

У овом чланку смо покрили основе Линис конфигурације и како је можете искористити за ревизију система, као и редовне провере вашег система.