如何使用Lynis审核Linux系统的安全性
如果使用Lynis在Linux计算机上执行安全审核,它将确保计算机受到尽可能多的保护。安全性是连接互联网的设备的全部要素,因此,这是确保安全锁定方法。
Linux计算机的安全性如何?
Lynis执行一套自动化测试,以彻底检查Linux操作系统的许多系统组件和设置。它以彩色编码的ASCII报告形式呈现其发现结果,作为分级的警告,建议和应采取的措施的列表。
网络安全是一种平衡行为。彻底的妄想症对任何人都没有用,所以我们应该怎么担心?如果我们仅访问信誉良好的网站,请勿打开附件或者跟踪未经请求的电子邮件中的链接,并为登录的所有系统使用不同的功能强大的密码,那么仍然存在危险吗?特别是在使用Linux时?
让我们反向解决这些问题。 Linux无法幸免于恶意软件。实际上,第一个计算机蠕虫是在1988年针对Unix计算机设计的。Rootkit以Unix超级用户(root)和软件集合(套件)的名称命名,它们可以自行安装以逃避检测。这使超级用户可以访问威胁参与者(即坏人)。
他们为什么以根命名?因为第一个rootkit于1990年发布,并且针对运行SunOS Unix的Sun Microsystems。
因此,恶意软件始于Unix。 Windows起飞时,它跳出篱笆,成为众人瞩目的焦点。但是现在Linux运转了,它又回来了。像macOS这样的Linux和Unix之类的操作系统正受到威胁参与者的充分关注。
如果我们在使用计算机时谨慎,明智和专心,仍然会遇到什么危险?答案是冗长而详尽的。为了进行某种程度的压缩,网络攻击是多种多样的。他们有能力做不久前被认为是不可能的事情。
像Ryuk一样,Rootkit在关闭计算机时也可以通过损害局域网唤醒监控功能来感染计算机。还开发了概念验证代码。内盖夫本古里安大学的研究人员证明了一次成功的攻击,该攻击将使威胁分子能够从无气隙的计算机中窃取数据。
无法预测未来的网络威胁将具有什么样的能力。但是,我们确实了解计算机防御中的哪一点是易受攻击的。无论当前或者将来的攻击的性质如何,只有事先填补这些空白才有意义。
在网络攻击的总数中,只有一小部分有意识地针对特定组织或者个人。大多数威胁是不分青红皂白的,因为恶意软件并不关心我们是谁。自动化的端口扫描和其他技术只是找出易受攻击的系统并对其进行攻击。我们因脆弱而提名自己为受害者。
这就是Lynis的用武之地。
安装Lynis
要在Ubuntu上安装Lynis,请运行以下命令:
sudo apt-get install lynis
在Fedora上,输入:
sudo dnf install lynis
在Manjaro上,我们使用pacman
:
sudo pacman -Sy lynis
进行审核
Lynis是基于终端的,因此没有GUI。要开始审核,请打开一个终端窗口。单击并将其拖动到显示器的边缘,使其捕捉到最大高度或者将其拉伸到可能的高度。 Lynis的输出很多,因此终端窗口越高,审查起来就越容易。
如果我们打开专门用于Lynis的终端窗口,也将更加方便。我们将上下滚动很多,因此不必处理先前命令的混乱情况,将使Lynis输出的导航更加容易。
要开始审核,请键入以下令人耳目一新的命令:
sudo lynis audit system
每个测试类别完成后,类别名称,测试标题和结果将在终端窗口中滚动。审核最多只需要几分钟。完成后,我们将返回到命令提示符。要查看结果,只需滚动终端窗口。
审核的第一部分将检测Linux的版本,内核发行版和其他系统详细信息。
琥珀色(建议)和红色(需要注意的警告)以黄色突出显示需要检查的区域。
以下是警告示例。 Lynis分析了postfix邮件服务器的配置,并标记了与横幅有关的内容。我们将获得更多有关其发现内容的详细信息,以及以后可能会引起问题的原因。
下面,Lynis警告我们在使用的Ubuntu虚拟机上未配置防火墙。
滚动浏览结果以查看Lynis标记的内容。在审计报告的底部,我们将看到一个摘要屏幕。
强化指数是考试成绩。我们的100分中有56分,这不是很好。进行了222个测试,并启用了一个Lynis插件。如果我们转到Lynis Community Edition插件下载页面并订阅新闻通讯,则将获得指向更多插件的链接。
有许多插件,其中包括一些用于根据标准审核的插件,例如GDPR,ISO27001和PCI-DSS。
绿色的V表示复选标记。我们可能还会看到琥珀色的问号和红色的X。
我们有绿色的复选标记,因为我们有防火墙和恶意软件扫描程序。出于测试目的,我们还安装了rootkit检测器rkhunter,以查看Lynis是否会发现它。正如我们在上面看到的,它确实做到了;我们在恶意软件扫描程序旁边显示了一个绿色复选标记。
由于审核未使用合规性插件,因此合规性状态未知。此测试中使用了安全性和漏洞模块。
生成两个文件:日志文件和数据文件。数据文件位于/var/log/lynis-report.dat,是我们感兴趣的文件。它将包含结果的副本(不带颜色突出显示),我们可以在终端窗口中看到该文件。这些将很方便地查看硬化指数如何随时间提高。
如果在终端窗口中向后滚动,则会看到建议列表和其他警告。警告是大问题,因此我们将对其进行探讨。
以下是五个警告:
Lynis的版本非常旧,应该进行更新:这实际上是Ubuntu存储库中Lynis的最新版本。虽然只有4个月大,但Lynis认为这很老。 Manjaro和Fedora软件包中的版本较新。程序包管理器中的更新总是可能会稍微落后。如果我们确实想要最新版本,则可以从GitHub克隆项目并使其保持同步。
没有为单一模式设置密码:"单一"是一种恢复和维护模式,其中只有root用户可以操作。默认情况下,没有为该模式设置密码。
找不到2个响应性名称服务器:Lynis尝试与两个DNS服务器通信,但未成功。这是一个警告,如果当前的DNS服务器出现故障,则不会自动将其移到另一台。
在SMTP标语中找到了一些信息泄露:当应用程序或者网络设备以标准回复方式放弃其制造商和型号(或者其他信息)时,就会发生信息泄露。这可以使威胁参与者或者自动化的恶意软件洞悉要检查的漏洞类型。一旦他们确定了所连接的软件或者设备,就可以通过简单的查找找到可以尝试利用的漏洞。
iptables模块已加载,但没有活动规则:Linux防火墙已启动并正在运行,但未设置任何规则。
清除警告
每个警告都有指向该问题及其解决方法的网页链接。只需将鼠标指针悬停在链接之一上,然后按Ctrl并单击它。默认浏览器将在网页上打开,显示该消息或者警告。
当我们Ctrl +单击上一节中涉及的第四个警告的链接时,下面的页面为我们打开了。
我们可以查看每个警告并确定要解决的警告。
上面的网页说明,当连接到我们的Ubuntu计算机上配置的postfix邮件服务器时,发送到远程系统的默认信息片段(标语)太冗长。实际上,提供太多信息是没有好处的,这经常对我们不利。
该网页还告诉我们标语位于/etc/postfix/main.cf中。它建议我们将其修剪为仅显示$ myhostname ESMTP。
我们按照Lynis的建议键入以下内容来编辑文件:
sudo gedit /etc/postfix/main.cf
我们在定义横幅的文件中找到该行。
我们对其进行编辑以仅显示Lynis建议的文本。
我们保存更改并关闭" gedit"。现在,我们需要重新启动postfix
邮件服务器,以使更改生效:
sudo systemctl restart postfix
现在,让我们再次运行Lynis,看看我们的更改是否生效。
现在,"警告"部分仅显示四个。提到postfix
的那个不见了。