So auditieren Sie mit Lynis auf Ubuntu Linux-Systemen

Im Rahmen der Verwaltungs- und Kontrollaufgaben, die wir in Umgebungen ausführen müssen LinuxUnabhängig von der zu verwendenden Distribution ist einer der wichtigsten zu berücksichtigenden Aspekte die Sicherheit jeder Distribution, da ein Mangel oder eine Schwachstelle dort nicht nur die dort gehosteten Informationen gefährdet, sondern die gesamte Struktur, für die diese Ausrüstung verwendet wird Ist verbunden.

Wir befinden uns in Zeiten, in denen die Bedrohungen täglich zunehmen und viele Administratoren oder IT-Mitarbeiter diesem Thema nicht die gebührende Aufmerksamkeit schenken, weil sie denken, dass etwas nie passieren wird, aber als Profis müssen wir in Bezug auf die Sicherheit der Benutzer in einer Organisation.

Solvetic wird eine praktische Anwendung namens Lynis und wir werden sehen, wie es sehr hilfreich sein wird, unsere Management-, Kontroll- und Überwachungskapazitäten in Umgebungen weiter zu erhöhen Linux.
In diesem Fall verwenden wir Ubuntu 16.10 Server.

Was ist lynisLynis wurde als Anwendung entwickelt, die für die Durchführung von Sicherheitsaudits in Linux-Umgebungen zuständig ist.

Lynis ist Open Source, das das Sicherheitsprofil jedes Teams bewertet und uns Vorschläge macht, wie das Sicherheitsniveau im Unternehmen erhöht und verbessert werden kann.

Lynis analysiert UNIX- und Linux-Umgebungen viel detaillierter als eine Anwendung zum Scannen auf Schwachstellen. Lynis kann in den folgenden Umgebungen ausgeführt werden:

  • AIX
  • FreeBSD
  • HP-UX
  • Linux - Die meisten Distributionen
  • Mac OS
  • NetBSD
  • OpenBSD
  • Solaris

Diese Anwendung kann in Fällen wie verwendet werden:

  • Analyse und Erkennung von Schwachstellen.
  • Prüfungen der Sicherheit.
  • Konformitätstests wie sie sind PCI oder HIPAA.
  • Verbesserungen an der Sicherheit vom System.
  • Management administrativ.

1. So installieren Sie Lynis auf Ubuntu Server


Obwohl es mehrere Möglichkeiten gibt, Lynis zu installieren, installieren wir in diesem Fall aus dem neuesten Repository.

Schritt 1
Es ist wichtig zu betonen, dass dieses Repository das HTTPS-Protokoll für den Zugriff verwendet. Daher müssen wir bestätigen, dass unser Server HTTPS unterstützt. Um dies zu überprüfen, führen wir die folgende Zeile aus:

 dpkg -s apt-transport-https | grep -i Status 

VERGRÖSSERN

Schritt 2
Falls diese Unterstützung nicht zur Verfügung steht, führen wir die folgende Zeile für die Installation aus:

 sudo apt-get install apt-transport-https
Schritt 3
Sobald wir sicher sind, dass wir HTTPS-Unterstützung haben, fahren wir mit der Installation des offiziellen Repository-Schlüssels fort, indem wir Folgendes ausführen:
 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F

VERGRÖSSERN

Schritt 4
Jetzt fügen wir das offizielle Lynis-Repository hinzu, damit es im Paketmanager verfügbar ist, dazu führen wir Folgendes aus:

 sudo add-apt-repository "deb [arch = amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main" 

VERGRÖSSERN

Schritt 5
Wir aktualisieren die Betriebssystempakete:

 sudo apt-get update

VERGRÖSSERN

Schritt 6
Sobald die Pakete aktualisiert sind, fahren wir mit der Installation von Lynis in Ubuntu Server fort, indem wir den folgenden Befehl ausführen:

 sudo apt-get install lynis

VERGRÖSSERN

Wir akzeptieren den Download und die entsprechende Installation der Lynis-Pakete auf Ubuntu Server 16.10.

2. So führen Sie ein Sicherheitsaudit mit Lynis auf Ubuntu Server 16.10 durch

Schritt 1
Sobald die Anwendung installiert ist, können wir die verfügbaren Lynis-Befehle sehen, indem wir die folgende Zeile ausführen:

 lynis show-Befehle

VERGRÖSSERN

Schritt 2
Jede Sicherheitsüberprüfung in Lynis wird mithilfe von Profilen durchgeführt, die nichts anderes als Konfigurationsdateien mit verschiedenen Parametern sind, um die Durchführung der Überprüfung zu steuern. Um das Standardprofil von Lynis anzuzeigen, verwenden wir die folgende Zeile:

 Lynis Show-Einstellungen

VERGRÖSSERN

Schritt 3
Wir können vor der Durchführung des Audits überprüfen, ob es eine neuere Lynis-Version gibt, die Verbesserungen enthält, um dies zu überprüfen, verwenden wir die folgende Zeile:

 lynis Update-Info

VERGRÖSSERN

Schritt 4
Dies zeigt an, dass wir die aktuellste Version von Lynis haben. Wir können dieses Ergebnis auch überprüfen, indem wir die Zeile ausführen:

 Lynis Update-Check
Schritt 5
Um unser erstes Audit des Systems durchzuführen, führen wir den folgenden Befehl als Root-Benutzer aus, damit er vollständig abgeschlossen ist und einige Aspekte nicht ausgelassen werden:
 sudo lynis auditsystem
Schritt 6
Wir können sehen, dass es den Auditing-Prozess in Ubuntu Server startet:

VERGRÖSSERN

Schritt 7
Dieser Vorgang dauert maximal ein bis zwei Minuten. Am Ende des Audits werden wir Folgendes sehen:

VERGRÖSSERN

Schritt 8
Die Detailinformationen dieses Ergebnisses werden im Pfad gespeichert /var/log/lynis.log und die Berichtsdaten, in denen wir alle mit dem Server verbundenen Informationen haben, werden im Pfad gespeichert /var/log/lynis-report.dat.
Das Interessante an Lynis ist, dass der vorherige Bericht uns Warnungen und die entsprechenden Sicherheitsvorschläge zeigt, die es zu berücksichtigen gilt, um ein stabiles und zuverlässiges System zu haben:

VERGRÖSSERN

3. So beheben Sie Warnungen, die von Lynis Ubuntu Server generiert werden

Eine Warnung (Warning) ermöglicht es uns, auf Schwachstellen aufmerksam zu machen, die im Betriebssystem auftreten können. Normalerweise enthält die Warnung die Lösung dafür.

Schritt 1
Eine der Möglichkeiten, die wir in Lynis haben, um eine Warnung genauer zu analysieren, besteht darin, die folgende Syntax zu verwenden:

 sudo lynis Details anzeigen (Code) 
Schritt 2
Wenn wir beispielsweise die Warnung des FIRE-4512-Codes im Detail wissen möchten, führen wir Folgendes aus:
 sudo lynis Details anzeigen FIRE-4512 

VERGRÖSSERN

4. So implementieren Sie Lynis-Tipps auf Ubuntu Server


Wir können sehen, dass wir im Rahmen der jeweiligen Audit-Analyse verschiedene Vorschläge (Vorschläge) des Tools haben, um das Sicherheitsniveau des Servers zu verbessern.

Der Vorschlag setzt sich wie folgt zusammen:

  • Vorschlagsinformationen.
  • Vorschlags-ID.
  • Endlich eine Lösung.

Wie bei den Warnungen können wir die Zeile verwenden sudo lynis Details anzeigen für mehr Informationen:

VERGRÖSSERN

In diesem Fall sehen wir, dass die vorgeschlagene Lösung darin besteht, Antimalware auf dem Server zu installieren. Somit beinhaltet jeder Vorschlag eine Lösung.

5. So passen Sie Lynis-Überprüfungen auf Ubuntu Server an


Wie eingangs erwähnt, stützt sich Lynis zur Durchführung von Audits auf Profile und verfügt über ein vordefiniertes Profil.

Diese Profile haben die Erweiterung .prf und werden im Pfad gehostet:

 / etc / lynis
.

Schritt 1
Um ein neues Profil zu erstellen und Lynis anzuweisen, nur das zu prüfen, was wir brauchen, und nicht das gesamte System, erstellen wir eine neue Datei namens „solvtic“, indem wir Folgendes ausführen:

 sudo nano /etc/lynis/solvetic.prf
Schritt 2
In dieser Datei werden wir die Tests hinzufügen, die wir überspringen möchten:
  • DATEI-6310: Es wird verwendet, um den Status der Partitionen zu überprüfen.
  • HTTP-6622: Es wird verwendet, um Nginx auf einer Webserverinstallation zu validieren.
  • HTTP-6702: Wird verwendet, um Apache zu überprüfen.
  • PRNT-2307 und PRNT-2308: Wird verwendet, um Druckserver zu überprüfen.
  • WERKZEUG-5002: Es wird verwendet, um automatische Tools wie Puppet und Salt zu überprüfen.
  • SSH-7408: tcpkeepalive: Es wird verwendet, um grundlegende Testprüfungen durchzuführen.

Schritt 3
In dieser Datei werden wir Folgendes hinzufügen:

 # Zeilen, die mit "#" beginnen, sind Kommentare # Überspringe einen Test (einer pro Zeile) # Dies wird die Trennung der Partitionen ignorieren test skip-test = FILE-6310 # Ist Nginx installiert? skip-test = HTTP-6622 # Ist Apache installiert? skip-test = HTTP-6702 # Überprüfung der druckbezogenen Dienste überspringen skip-test = PRNT-2307 skip-test = PRNT-2308 # Wenn eine Test-ID mehr als einen Test enthält, verwenden Sie dieses Formular, um einen bestimmten Test zu ignorieren skip-test = SSH-7408: tcpkeepalive

VERGRÖSSERN

Schritt 4
Wir behalten Änderungen mit der Tastenkombination:

Strg + Aus

Ja wir gingen aus vom Editor mit:

Strg + X

Auf diese Weise werden diese Parameter beim nächsten Audit weggelassen.

Wir haben verstanden wie Lynis Es wird zu einem großartigen Verbündeten für alle Administratoren und Mitarbeiter, die die Sicherheitsstufen der verschiedenen Linux-Distributionen kontrollieren möchten. Es besteht auch die Möglichkeit, es in anderen Distributionen zu verwenden, und deshalb empfehlen wir, wie man mit Lynis auf CentOS 7 auditiert.

Lynis CentOS prüfen

wave wave wave wave wave