Jak przeprowadzić audyt bezpieczeństwa systemu Linux za pomocą programu Lynis

Jeśli przeprowadzasz audyt bezpieczeństwa na komputerze z systemem Linux za pomocą programu Lynis, zapewni to, że Twój komputer będzie tak chroniony, jak to tylko możliwe. Bezpieczeństwo to wszystko dla urządzeń podłączonych do Internetu, więc oto, jak upewnić się, że twoje są bezpiecznie zablokowane.

Jak bezpieczny jest Twój komputer z systemem Linux?

Lynis przeprowadza zestaw testów automatycznych które dokładnie sprawdzają wiele składników systemu i ustawień systemu operacyjnego Linux. Przedstawia swoje ustalenia w oznaczonym kolorem ASCII raport jako listę stopniowanych ostrzeżeń, sugestii i działań, które należy podjąć.

Cyberbezpieczeństwo to akt równowagi. Zwykła paranoja nie jest dla nikogo przydatna, więc jak bardzo powinieneś się martwić? Jeśli odwiedzasz tylko renomowane witryny internetowe, nie otwierasz załączników ani nie klikasz linków w niechcianych wiadomościach e-mail i używasz różnych, solidnych haseł do wszystkich systemów, do których się logujesz, jakie niebezpieczeństwo pozostaje? Zwłaszcza gdy używasz Linuksa?

Zajmijmy się nimi w odwrotnej kolejności. Linux nie jest odporny na złośliwe oprogramowanie. W rzeczywistości pierwszy robak komputerowy został zaprojektowany z myślą o komputerach z systemem Unix w 1988 roku. Rootkity zostały nazwane na cześć superużytkownika systemu Unix (root) i zbioru oprogramowania (zestawów), z którym instalują się w celu uniknięcia wykrycia. Daje to superużytkownikowi dostęp do aktora będącego zagrożeniem (tj. Złego faceta).

Dlaczego są nazwane po korzeniu? Ponieważ pierwszy rootkit został wydany w 1990 roku i był skierowany do Sun Microsystems uruchamianie SunOS Unix.

Tak więc złośliwe oprogramowanie zaczęło się na Uniksie. Przeskoczył przez płot, gdy Windows wystartował i przykuł światło reflektorów. Ale teraz, gdy Linux rządzi światem, wrócił. Systemy operacyjne Linux i podobne do systemów uniksowych, takie jak macOS, przyciągają pełną uwagę aktorów zagrożeń.

Jakie niebezpieczeństwo pozostaje, jeśli używasz komputera ostrożnie, rozsądnie i uważnie? Odpowiedź jest długa i szczegółowa. Podsumowując, cyberataki są liczne i zróżnicowane. Są w stanie robić rzeczy, które jeszcze niedawno uważano za niemożliwe.

Na przykład rootkity Ryuk, może infekować komputery, gdy są wyłączone, naruszając wake-on-LAN funkcje monitorowania. Kod potwierdzający koncepcję został również opracowany. Udany „atak” został zademonstrowany przez naukowców pod adresem Uniwersytet Ben-Guriona w Negev które umożliwiłyby podmiotom będącym zagrożeniem eksfiltrację danych z pliku komputer z izolacją powietrzną.

Nie da się przewidzieć, do jakich cyberzagrożeń będą zdolne w przyszłości. Rozumiemy jednak, które punkty zabezpieczeń komputera są podatne na ataki. Niezależnie od charakteru obecnych lub przyszłych ataków sensowne jest jedynie wcześniejsze wypełnienie tych luk.

Z ogólnej liczby cyberataków tylko niewielki procent jest świadomie wymierzony w określone organizacje lub osoby. Większość zagrożeń jest masowych, ponieważ złośliwe oprogramowanie nie dba o to, kim jesteś. Zautomatyzowane skanowanie portów i inne techniki po prostu wyszukują wrażliwe systemy i atakują je. Nominujesz siebie jako ofiarę, będąc bezbronnym.

I tu pojawia się Lynis.

Instalowanie programu Lynis

Aby zainstalować Lynis na Ubuntu, uruchom następujące polecenie:

sudo apt-get install lynis

sudo apt-get install lynis w oknie terminala.

W Fedorze wpisz:

sudo dnf install lynis

sudo dnf zainstaluj lynis w oknie terminala.

W Manjaro używasz Pacmana:

sudo pacman -Sy lynis

sudo pacman -Sy lynis w oknie terminala.

Przeprowadzanie audytu

Lynis jest oparty na terminalu, więc nie ma GUI. Aby rozpocząć audyt, otwórz okno terminala. Kliknij i przeciągnij go do krawędzi monitora, aby przyciągnąć go do pełnej wysokości lub rozciągnąć tak wysoko, jak to tylko możliwe. Lynis zawiera dużo danych wyjściowych, więc im wyższe jest okno terminala, tym łatwiej będzie je przejrzeć.

Jest to również wygodniejsze, jeśli otworzysz okno terminala specjalnie dla programu Lynis. Będziesz dużo przewijać w górę iw dół, więc brak konieczności zajmowania się bałaganem poprzednich poleceń ułatwi nawigację po wynikach programu Lynis.

Aby rozpocząć audyt, wpisz to odświeżająco proste polecenie:

sudo lynis audit system

System audytu sudo lynis w oknie terminala.

Nazwy kategorii, tytuły testów i wyniki będą przewijać się w oknie terminala po zakończeniu każdej kategorii testów. Audyt trwa najwyżej kilka minut. Po zakończeniu nastąpi powrót do wiersza polecenia. Aby przejrzeć wyniki, po prostu przewiń okno terminala.

Pierwsza sekcja audytu wykrywa wersję Linuksa, wydanie jądra i inne szczegóły systemu.

Sekcja wykrywania systemu w raporcie z audytu Lynis w oknie terminala.

Obszary, którym należy się przyjrzeć, są wyróżnione kolorem bursztynowym (sugestie) i czerwonym (ostrzeżenia, do których należy się odnieść).

Poniżej znajduje się przykład ostrzeżenia. Lynis przeanalizował przyrostek konfiguracja serwera poczty i oznaczyłem coś związanego z banerem. Później możemy uzyskać więcej informacji na temat tego, co dokładnie wykrył i dlaczego może to stanowić problem.

Kategoria wiadomości e-mail i wiadomości skutkuje raportem audytu Lynis w oknie terminala.

Poniżej Lynis ostrzega nas, że zapora nie jest skonfigurowana na używanej przez nas wirtualnej maszynie Ubuntu.

Kategoria Zapory ogniowe skutkuje raportem audytu Lynis w oknie terminala.

Przewiń wyniki, aby zobaczyć, co oznaczył Lynis. U dołu raportu z audytu zobaczysz ekran podsumowania.

Ekran podsumowania raportu audytu Lynis w oknie terminala.

„Indeks twardnienia” to wynik egzaminu. Mamy 56 na 100, co nie jest świetne. Wykonano 222 testy i włączono jedną wtyczkę Lynis. Jeśli przejdziesz do wtyczki Lynis Community Edition strona pobierania i zapisz się do newslettera, otrzymasz linki do kolejnych wtyczek.

Istnieje wiele wtyczek, w tym niektóre do kontroli zgodności ze standardami, takie jak RODO, ISO27001, i PCI-DSS.

Zielone V oznacza znacznik wyboru. Możesz również zobaczyć bursztynowe znaki zapytania i czerwone X-y.

Mamy zielone znaczniki wyboru, ponieważ mamy zaporę i skaner złośliwego oprogramowania. W celach testowych zainstalowaliśmy również rkhunter, wykrywacz rootkitów, aby sprawdzić, czy Lynis go wykryje. Jak widać powyżej, tak się stało; mamy zielony znacznik wyboru obok „Skaner złośliwego oprogramowania”.

Stan zgodności jest nieznany, ponieważ podczas audytu nie użyto wtyczki zgodności. W tym teście wykorzystano moduły bezpieczeństwa i podatności.

Generowane są dwa pliki: plik dziennika i plik danych. Plik danych, znajdujący się pod adresem „/var/log/lynis-report.dat”, to ten, który nas interesuje. Będzie zawierał kopię wyników (bez podświetlania kolorów), które możemy zobaczyć w oknie terminala . Przydają się one, aby zobaczyć, jak poprawia się z czasem indeks twardnienia.

Jeśli przewiniesz do tyłu w oknie terminala, zobaczysz listę sugestii i kolejne ostrzeżenia. Ostrzeżenia to elementy „dużego biletu”, więc przyjrzymy się im.

Sekcja ostrzeżeń w raporcie audytu Lynis w oknie terminala.

Oto pięć ostrzeżeń:

„Wersja Lynisa jest bardzo stara i powinna zostać zaktualizowana”: W rzeczywistości jest to najnowsza wersja Lynisa w repozytoriach Ubuntu. Chociaż ma zaledwie 4 miesiące, Lynis uważa to za bardzo stare. Wersje w pakietach Manjaro i Fedora były nowsze. Aktualizacje w menedżerach pakietów zawsze będą nieco opóźnione. Jeśli naprawdę chcesz mieć najnowszą wersję, możesz sklonuj projekt z GitHub i zsynchronizuj.
„Brak hasła dla trybu pojedynczego”: Tryb pojedynczy to tryb odzyskiwania i konserwacji, w którym działa tylko użytkownik root. Domyślnie dla tego trybu nie jest ustawione żadne hasło.
„Nie można znaleźć 2 responsywnych serwerów nazw”: Lynis próbował komunikować się z dwoma serwerami DNS, ale nie powiodło się. Jest to ostrzeżenie, że jeśli obecny serwer DNS ulegnie awarii, nie nastąpi automatyczne przełączenie na inny.
„Znaleziono ujawnienie informacji na banerze SMTP”: Ujawnienie informacji ma miejsce, gdy aplikacje lub sprzęt sieciowy podają swoje marki i numery modeli (lub inne informacje) w standardowych odpowiedziach. Może to zapewnić podmiotom zagrażającym lub zautomatyzowanemu złośliwemu oprogramowaniu wgląd w typy luk, które należy sprawdzić. Po zidentyfikowaniu oprogramowania lub urządzenia, z którym się połączyli, proste wyszukiwanie znajdzie luki w zabezpieczeniach, które mogą próbować wykorzystać.
„Załadowano moduły iptables, ale żadne reguły nie są aktywne”: Zapora systemu Linux jest włączona i działa, ale nie ma ustawionych dla niej reguł.

Usuwanie ostrzeżeń

Każde ostrzeżenie zawiera łącze do strony internetowej, która opisuje problem i przedstawia sposoby jego rozwiązania. Po prostu umieść wskaźnik myszy na jednym z łączy, a następnie naciśnij klawisz Ctrl i kliknij go. Twoja domyślna przeglądarka otworzy się na stronie internetowej z tą wiadomością lub ostrzeżeniem.

Poniższa strona otworzyła się dla nas, kiedy Ctrl + kliknęliśmy link do czwartego ostrzeżenia, które omówiliśmy w poprzedniej sekcji.

Strona internetowa z ostrzeżeniem dotyczącym audytu Lynis.

Możesz przejrzeć każde z nich i zdecydować, na które ostrzeżenia należy się odnieść.

Powyższa strona internetowa wyjaśnia, że ​​domyślny fragment informacji („baner”) wysyłany do systemu zdalnego, gdy łączy się on z serwerem pocztowym Postfix skonfigurowanym na naszym komputerze z systemem Ubuntu, jest zbyt szczegółowy. Nie ma żadnej korzyści z oferowania zbyt wielu informacji – w rzeczywistości często są one wykorzystywane przeciwko tobie.

Strona internetowa informuje również, że baner znajduje się w „/etc/postfix/main.cf”. Zaleca nam to przycięcie z powrotem, aby wyświetlało tylko „$ myhostname ESMTP”.

Aby edytować plik zgodnie z zaleceniami programu Lynis, wpisujemy:

sudo gedit /etc/postfix/main.cf

sudo gedit /etc/postfix/main.cf w oknie terminala.

W pliku znajdujemy wiersz definiujący baner.

postfix main.cf w edytorze gedit z podświetloną linią smtp_banner.

Edytujemy go, aby wyświetlał tylko tekst zalecany przez Lynis.

postfix main.cf w edytorze gedit z podświetloną edytowaną linią smtp_banner.

Zapisujemy nasze zmiany i zamykamy gedit. Musimy teraz zrestartować serwer pocztowy Postfix, aby zmiany odniosły skutek:

sudo systemctl restart postfix

System audytu sudo lynis w oknie terminala.

Teraz uruchommy Lynis jeszcze raz i zobaczmy, czy nasze zmiany przyniosły efekt.

System audytu sudo lynis w oknie terminala.

Sekcja „Ostrzeżenia” zawiera teraz tylko cztery. Ten odnoszący się do postfixa zniknął.

ostrzeżenia w raporcie audytu Lynis w oknie terminala.

Jedno stracone i jeszcze tylko cztery ostrzeżenia i 50 sugestii!

Jak daleko należy się posunąć?

Jeśli nigdy nie hartowałeś systemu na swoim komputerze, prawdopodobnie będziesz mieć mniej więcej taką samą liczbę ostrzeżeń i sugestii. Powinieneś przejrzeć je wszystkie i kierując się stronami internetowymi Lynis dla każdej z nich, dokonać rozmowy telefonicznej z oceną, czy się tym zająć.

Podręcznikowa metoda oczywiście polegałaby na próbie usunięcia ich wszystkich. Jednak łatwiej to powiedzieć niż zrobić. Ponadto niektóre sugestie mogą być przesadą dla przeciętnego komputera domowego.

Umieść na czarnej liście sterowniki jądra USB, aby wyłączyć dostęp do USB, gdy go nie używasz? W przypadku komputera o znaczeniu krytycznym, który zapewnia wrażliwą usługę biznesową, może to być konieczne. Ale w przypadku domowego komputera z systemem Ubuntu? Prawdopodobnie nie.