Installera Lynis på Debian 8

Introduktion

Lynis är ett gratis systemrevisionsverktyg med öppen källkod som används av många systemadministratörer för att verifiera integriteten och härda sina system. Den kan användas som en fristående binär eller så kan den installeras för att utföra kontroller med jämna mellanrum. I den här artikeln lär du dig hur du installerar och använder programvaran samt lär dig att läsa och identifiera loggarna som Lynis matar ut.

Om du vill utföra installationen på CentOS 7, se den här artikeln .

Installation

Obs : Se till att du är inloggad som rootanvändare.

Installationen av Lynis är ganska enkel. Till att börja med, låt oss uppdatera vårt system.

apt-get update
apt-get upgrade

När du uppmanas, skriv in ' y'. Detta kan ta allt mellan ett par sekunder till en halvtimme, beroende på antalet paket som behöver uppdateras och systemets tillgängliga resurser.

Lynis är programvara med öppen källkod. Som sådan är programvarans närvaro på GitHub. För att ladda ner ett arkiv måste vi klona det med gitverktyget, som vi kan installera med följande kommando:

apt-get install git

Precis som tidigare accepterar du installationsuppmaningen med ' y'. Vi behöver också installera vissa DNS-verktyg så att Lynis kan granska vårt nätverk:

apt-get install dnsutils

Nu när vi har förutsättningarna installerade kan vi klona förvaret:

cd ~
git clone https://github.com/CISOfy/lynis

Ge det ett par ögonblick, och när det är klart, fortsätt genom att gå in i katalogen:

cd ~/lynis

Vi kommer att göra en preliminär granskning för att säkerställa att den fungerar korrekt på ditt system:

./lynis audit system

Detta kommer att utföra en snabb systemkontroll för eventuella säkerhetsproblem som kan finnas på ditt system samt lista några rekommendationer. Lynis fungerar korrekt om det slutförs med ett resultat som liknar följande:

Konfiguration

Att konfigurera Lynis är dock svårare. Du kommer att behöva skräddarsy den efter ditt system, baserat på de tjänster du kör samt den nätverkskonfiguration du använde på din instans. I den här artikeln kommer vi att täcka vanliga nätverkskonfigurationer samt webbservrar och allmän systemsäkerhet.

Låt oss börja med att kopiera standard Lynis-konfigurationsfilen och göra våra ändringar i den:

cp default.prf custom.prf

Använd sedan din föredragna textredigerare och öppna custom.prf:

nano custom.prf

Bläddra till avsnittet där plugin-programmen är listade. Vi tar bort de tjänster som inte hör till oss för att påskynda testningen:

Om du inte använder Nginx-webbservern, ta bort " plugin=nginx". Chansen är stor att ditt system inte körs bind9eller dnsmasq, så du kan ta bort dem också. Om du kör dem, ta inte bort plugin-programmet från granskningen och fortsätt att kontrollera varje objekt tills du har tagit bort alla onödiga kontroller. När du är klar, spara och avsluta med CTRL+ Xoch sedan för Yatt spara.

Låt oss nu köra Lynis igen för att se vilka problem vi behöver åtgärda i vårt system med följande:

./lynis --profile custom.prf

Vänta en minut eller två, och när den är klar ska den se ut som den hade i steg ett, men med de onödiga skanningarna borttagna.

Tolka och härda ditt system

Låt oss ta en titt på förslagen som Lynis ger på vårt bassystem Vultr Debian 8:

Som ni förstår har Lynis hittat några potentiella problem i vår instans. Vissa noder nämna att vi har lämnat packet forwarding på för både IPv4 och IPv6 travar - om du planerar att använda Docker eller liknande container-teknik på ett Vultr system behöver inte ändra dem. Om du inte har något behov av dem kan du ändra dem tillfälligt på ditt system med följande:

sysctl -w <kernel_node>

Gör detta innan du anger dina värden för /etc/sysctl.confatt se till att ditt system fungerar korrekt med ändringarna. Om något inte fungerar kan du starta om för att ta bort sådana tillfälliga ändringar.

På skärmdumpen kommer du att märka att det också finns andra problem, men de faller utanför räckvidden för den här artikeln, så vi hoppar över dem.

Obs: Se till att göra din due diligence för att förhindra problem med ditt system.

Scrolla nu ner till förslagssektionen så hittar du en hel del konfigurationsändringar som kan göras. Till exempel föreslår Lynis ändringar för behörighetsmasken för vissa filer. I vårt fall hittar vi ett härdande förslag:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

En sådan förändring kan enkelt åstadkommas genom att använda en textredigerare, öppna /etc/init.d/rcoch hitta raden umaskoch ändra dess värde till 027. Detta värde skulle begränsa nyskapade filer till fullständiga behörigheter från dess ägare, läsbehörigheter för gruppen och ingen åtkomst för alla andra användare förutom system/root.

Att få Lynis att springa regelbundet

Detta är relativt enkelt att göra och kan åstadkommas genom att först installera crontaboch sedan lägga till ett jobb för Lynis:

apt-get install crontab

Kör sedan crontab -eoch mata in följande:

MAILTO="youremail@address.com"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Spara den och avsluta sedan. Detta kommer att köra en Lynis-revision varje dag vid midnatt på din instans och skicka ett e-postmeddelande till dig med resultaten.

Slutsats

I den här artikeln täckte vi grunderna för Lynis-konfiguration och hur du kan använda den för systemrevision samt regelbundna kontroller av ditt system.