Встановіть Lynis на Debian 8

Вступ

Lynis — це безкоштовний інструмент аудиту системи з відкритим кодом, який використовується багатьма системними адміністраторами для перевірки цілісності та зміцнення своїх систем. Він може працювати як окремий двійковий файл або його можна встановити для виконання перевірок через періодичні проміжки часу. У цій статті ви дізнаєтеся, як встановити та використовувати програмне забезпечення, а також навчитеся читати й ідентифікувати журнали, які виводить Lynis.

Якщо ви хочете виконати інсталяцію на CentOS 7, перегляньте цю статтю .

Установка

Примітка . Будь ласка, переконайтеся, що ви ввійшли як rootкористувач.

Установка Lynis досить проста. Для початку давайте оновимо нашу систему.

apt-get update
apt-get upgrade

Коли з’явиться запит, введіть « y». Це може зайняти від кількох секунд до півгодини, залежно від кількості пакетів, які потрібно оновити, та доступних ресурсів системи.

Lynis — програмне забезпечення з відкритим вихідним кодом. Таким чином, програмне забезпечення є на GitHub. Щоб завантажити репозиторій, нам потрібно клонувати його за допомогою gitутиліти, яку ми можемо встановити за допомогою такої команди:

apt-get install git

Як і раніше, прийміть підказку про встановлення за допомогою « y». Нам також потрібно встановити певні інструменти DNS, щоб Lynis міг аудити нашу мережу:

apt-get install dnsutils

Тепер, коли ми встановили необхідні умови, ми можемо клонувати репозиторій:

cd ~
git clone https://github.com/CISOfy/lynis

Дайте йому кілька хвилин, а потім, коли воно буде завершено, продовжте, ввівши довідник:

cd ~/lynis

Ми проведемо попередній аудит, щоб переконатися, що він правильно працює у вашій системі:

./lynis audit system

Це дозволить виконати швидку перевірку системи на наявність проблем із безпекою, які можуть бути у вашій системі, а також перерахувати деякі рекомендації. Lynis працює належним чином, якщо закінчується з результатом, подібним до наведеного нижче:

Конфігурація

Однак налаштувати Lynis складніше. Вам потрібно буде налаштувати його відповідно до вашої системи на основі служб, які ви використовуєте, а також конфігурації мережі, яку ви використовували у вашому екземплярі. У цій статті ми розглянемо часто використовувані конфігурації мережі, а також веб-сервери та загальну безпеку системи.

Давайте почнемо з копіювання файлу конфігурації Lynis за замовчуванням і внесення до нього змін:

cp default.prf custom.prf

Потім, використовуючи бажаний текстовий редактор, відкрийте custom.prf:

nano custom.prf

Перейдіть до розділу, де перелічено плагіни. Ми видалимо послуги, які нас не стосуються, щоб прискорити тестування:

Якщо ви не використовуєте веб-сервер Nginx, видаліть « plugin=nginx«. Швидше за все, ваша система не працює bind9або dnsmasq, тому ви також можете видалити їх. Якщо ви запускаєте їх, не видаляйте плагін з аудиту та продовжуйте перевірку кожного елемента, доки не видалите будь-які непотрібні перевірки. Після завершення збережіть і вийдіть, натиснувши CTRL+, Xа потім, Yщоб зберегти.

Тепер давайте повторно запустимо Lynis, щоб побачити проблеми, які нам потрібно виправити в нашій системі, за допомогою наступного:

./lynis --profile custom.prf

Зачекайте хвилину-дві, і коли він закінчиться, він повинен виглядати так, як було на першому кроці, але без непотрібних сканів.

Інтерпретація та зміцнення вашої системи

Давайте подивимося на пропозиції, які Lynis надає для нашої базової системи Vultr Debian 8:

Як ви бачите, Лініс виявив деякі потенційні проблеми, наявні в нашому екземплярі. Деякі вузли згадують, що ми залишили пересилання пакетів увімкненим для стеків IPv4 і IPv6 — якщо ви плануєте використовувати Docker або подібну контейнерну технологію в системі Vultr, не змінюйте їх. Якщо вони вам не потрібні, ви можете тимчасово змінити їх у вашій системі за допомогою наступного:

sysctl -w <kernel_node>

Зробіть це перед введенням значень, /etc/sysctl.confщоб переконатися, що ваша система функціонує належним чином зі змінами. Якщо щось не працює, ви можете перезапустити, щоб видалити такі тимчасові зміни.

На знімку екрана ви помітите, що є й інші проблеми, але вони виходять за рамки цієї статті, тому ми їх пропустимо.

Примітка. Обов’язково проведіть належну обачність, щоб запобігти будь-яким проблемам з вашою системою.

Тепер прокрутіть униз до розділу пропозицій, і ви знайдете багато змін конфігурації, які можна внести. Наприклад, Lynis пропонує змінити маску дозволів певних файлів. У нашому випадку ми знаходимо жорстку пропозицію:

Default umask in /etc/init.d/rc could be stricter like 027 [AUTH-9328]

Таку зміну можна легко здійснити за допомогою текстового редактора, відкривши /etc/init.d/rcта знайшовши рядок umaskі змінивши його значення на 027. Це значення обмежуватиме щойно створені файли повними дозволами власника, дозволами на читання від групи та забороняє доступ для всіх інших користувачів, крім system/root.

Змусити Lynis працювати на регулярній основі

Це відносно легко зробити, і його можна зробити, спочатку встановивши crontab, а потім додавши завдання для Lynis:

apt-get install crontab

Потім виконайте crontab -eта введіть наступне:

MAILTO="[email protected]"
0 0 * * * cd /root/lynis && ./lynis --profile custom.prf --cronjob

Збережіть його, а потім вийдіть. Це запускатиме перевірку Lynis щодня опівночі у вашому примірнику та надсилатиме вам електронний лист із результатами.

Висновок

У цій статті ми розповіли про основи конфігурації Lynis і про те, як ви можете використовувати її для аудиту системи, а також регулярних перевірок вашої системи.