Как много уязвимостей и эксплойтов Linux было открытов за последние 6 месяцев? Много. Недавние Shellshock, Heartbleed, Poodle, Ghost и, может быть, это ещё далеко не конец. В какой-то момент я перестал чувствовать себя в безопасности с моим Linux, ведь подверженными оказались базовые пакеты. Что дальше? Мой openVPN больше не безопасен? Мои ключи сессии SSH уязвимы? Я решил сделать аудит безопасности моей системы Linux. После настройки внешнего файервола, я вдруг понял, что это просто слишком большая задача для меня, если выполнять её вручную. Вот тогда я и обнаружил Lynis. Lynis — это инструмент аудита безопасности с открытым исходным кодом. Он достаточно хорошо документирован и сделал быстро многие вещи, на которые бы у меня ушла уйма времени.

На протяжении всего теста я использовал бесплатную версию Lynis.

Как работает аудит безопасности Linux?

Lynis выполняет сотни индивидуальных тестов для определения состояния безопасности системы. Многие из этих тестов являются частью общих руководящих принципов безопасности и стандартов. Примеры включают в себя поиск установленного программного обеспечения и определение возможных недостатков конфигурации. Lynis идёт дальше и делает также тест индивидуальных компонентов программного обеспечения, проверяет связанные конфигурационные файлы и измеряет производительности. После этих тестов, будет отображён отчёт по сканированию с вскрытыми находками.

Обычное использование Lynis:

  1. Аудит безопасности
  2. Сканирование на уязвимости
  3. Усиление системы

Установка

Вы можете установить Lynis из репозитория (например, используя yum или apt-get), но я обнаружил, что там не самая последняя версия Lynis. Лучше загрузите её в локальную директорию и запустите её оттуда.

Lynis с установкой — пакет

Хотя установка не требуется, обычным методом использования Lynis является установка её с помощью пакета. Он может быть из репозитория операционной системы или сделанным вручную. Пожалуйста, обратите внимание, в погоне за стабильностью некоторые репозитории не обновляют программное обеспечение после релиза, за исключением обновлений безопасности. Это может стать результатом использования очень старой версии Lynis, что не является предпочтительным.

Основанные на Red Hat: $ sudo yum install lynis

Основанные на Debian: $ sudo apt-get install lynis

Но, пожалуйста, не используйте этот способ. Это бесполезный запуск старого пакета! Зачем вообще тогда проводить аудит безопасности?

Lynis без установки — портативная версия

Пойдя этим путём, вы получите самый свежий пакет.

Создайте директорию (например /usr/local/lynis)

Lynis может быть запущен из любой директории (или со съёмного носителя).

01

Загружаем архив Lynis

Идём в секцию загрузок и копируем ссылку на тарболл (архив) Lynis (текущая версия lynis-1.6.4.tar.gz). Используйте эту ссылку вместе с wget (обычно уже установлен по умолчанию). Пользователи Mac OS могут использовать инструмент curl, тогда как BSD пользователи могут использовать fetch.

После скачивания, протестируйте файл, чтобы подтвердить его целостность загрузки. Связанные хэши SHA1, SHA256 присутствуют также на официальном сайте. В зависимости от вашей ОС, это может быть выполнено в командной строке с sha1, sha1sum, sha256sum или с openssl.

02

Отображаемый в результате хэш должен быть в точности таким же, как на веб-сайте. Если не так, загрузите программу на другую машину или через браузер, для подтверждения, что загрузка не повреждена.

Распаковка архива

Теперь распакуйте архив и перейдите в каталог lynis

03

Меню помощи Lynis

Lynis поставляется со своим собственным меню помощи, которое показывает некоторые базовые опции и как выполнить простейшие действия.

Запуск Lynis

Я сделал быстрый тест на моей Linux Mint с использованием Lynis.

04

Если у кого-то «затык» при проверки PHP:

[+] Software: PHP

————————————

— Checking PHP [ NOT FOUND ]

— Checking PHP disabled functions [ NONE ]

То отредактируйте файл include/tests_php — сделайте инклуд файла php.ini.

Вы можете использовать различные команды:

Изучение отчёта Lynis

Lynis сохраняет свои отчёты в /var/log/lynis.log. Быстрое сканирование Lynis не выявило уязвимостей вроде Shellshock или тому подобных. Но, тем не менее, программа выдала несколько предупреждений и множество советов как усилить систему.

Особенно меня обрадовали советы по укреплению веб-сервера и почтового сервера — т. е. Lynis и их.

Отчёт сохраняется в файле /var/log/lynis.log в нём можно найти дополнительные детали.

Хорошее

То, что мне понравилось в Lynis (версия с открытым кодом):

  • Для бесплатного инструмента, Lynis обеспечивает хорошее тестирование.
  • Отчёты просты для понимания.
  • Она использует GPLv3 — спасибо.
  • Пользователи могут писать собственные плагины для использования с ней.
  • Присутствует не просто анализ системы, а также тестирование установленного софта. Особенно интересно было читать рекомендации по укреплению веб-сервера и почтового сервера.

Возможные улучшения

Хотелось бы, чтобы в следующее обновление добавили:

  • Добротный HTML отчёт (с раскрывающимися секциями).
  • Тест на целостность файловой системы и пакетов.
  • Добавление ссылок на CVE статьи — очень бы пригодилось с HTML отчётом.
  • Высокоуровневый обзор для высшего управления.
  • SQLi тесты и предложения для базы данных серверов.
  • Подробнее о вероятных решениях/предложениях.
  • Пропуск теста, когда файлы config/include имеют некорректный путь.

Заключение

В целом, я думаю это хороший инструмент, который нужно иметь хотя бы для автоматизации большого количества тестов. Всё можно улучшить, и Lynis не исключение. Любой сервер, будь то Linux, Windows или Unix требует регулярного аудита. Хотя нет спасения от уязвимости нулевого дня, но с регулярным аудитом вы сможете сохранить ваши ценные ресурсы. Lynis — это хороший инструмент, но вам следует использовать более чем один инструмент хотя бы потому, что различные поставщики (или разработчики софта) имеют различный взгляд на безопасность. А нам важно обеспечить безопасность сервера с высоким аптаймом и надёжно защищёнными данными.

Инструмент: Lynis

Страница проекта: http://cisofy.com/lynis/

Использование: Бесплатно

Лицензия: GPLv3

Загрузка http://cisofy.com/downloads/

Итак, делайте аудит своей системы и исправьте все оставшиеся проблемы, которые, по вашему мнению, могут затронуть вас. 

Похожие темы

Стресс-тест сети (DoS веб-сайта) со SlowHTTPTest в... Стресс-тесты сети могут дать важные данные о проблемах, связанных с производительностью сервера, о неправильной (недостаточной) его настройке. Даже ...
Как сканировать Linux на руткиты (rootkits) с помо... Руткиты (rootkit) — это вредоносные программы, созданные для получения доступа уровня рута, при этом они прячут своё присутствие от антивирусн...
The Penetration Testers Framework https://codeby.net/forum/threads/the-penetration-testers-framework-ptf.58524/ В этой статье я хочу вас ознакомить с фреймворком для тестировщиков н...
Как заменить OSX на Kali Linux Требования для установки Kali Linux Начиная с Kali Linux 1.0.8, Kali Linux поддерживает EFI из коробки. Эта добавленная функция упрощает получен...
Как захватить VNC сессии на удаленном компьютере... https://codeby.net/forum/threads/zaxvat-vnc-sessii-na-udalennom-kompjutere.57914/ Привет! Здесь пойдет речь о том как использовать VNC -сервер на у...