Si të auditoni sigurinë e sistemit tuaj Linux me Lynis


Nëse kryeni një kontroll sigurie në kompjuterin tuaj Linux me Lynis, ai do të sigurojë që kompjuteri juaj të jetë aq i mbrojtur sa mund të jetë. Siguria është gjithçka për pajisjet e lidhura me internetin, kështu që ja se si të siguroheni që pajisjet tuaja të jenë të kyçura në mënyrë të sigurt.

Sa i sigurt është kompjuteri juaj Linux?

Lynis kryen një sërë testesh të automatizuara që inspektojnë tërësisht shumë komponentë të sistemit dhe cilësime të sistemit tuaj operativ Linux. Ai paraqet gjetjet e tij në një raport ASCII të koduar me ngjyra si një listë paralajmërimesh, sugjerimesh dhe veprimesh të klasifikuara që duhen ndërmarrë.

Siguria kibernetike është një akt balancues. Paranoja e plotë nuk është e dobishme për askënd, kështu që sa i shqetësuar duhet të jeni? Nëse vizitoni vetëm faqe interneti me reputacion, nuk hapni bashkëngjitjet ose ndiqni lidhjet në emailet e pakërkuara dhe përdorni fjalëkalime të ndryshme, të forta, për të gjitha sistemet ku identifikoheni, çfarë rreziku mbetet? Sidomos kur jeni duke përdorur Linux?

Le t'i trajtojmë ato në të kundërt. Linux nuk është imun ndaj malware. Në fakt, krimbi i parë kompjuterik u krijua për të synuar kompjuterët Unix në vitin 1988. Rootkits u emëruan sipas superpërdoruesit të Unix (rrënja) dhe koleksionit të softuerit (kompleteve) me të cilat ata instalohen për të shmangur zbulimin. Kjo i jep superpërdoruesit akses te aktori i kërcënimit (d.m.th., djali i keq).

Pse janë emëruar sipas rrënjës? Sepse rootkit-i i parë u lëshua në vitin 1990 dhe synonte Sun Microsystems që drejtonte SunOS Unix.

Pra, malware filloi në Unix. Ai u hodh nga gardhi kur Windows u ngrit dhe mori vëmendjen. Por tani që Linux drejton botën, ai është kthyer. Sistemet operative Linux dhe Unix, si macOS, po marrin vëmendjen e plotë të aktorëve të kërcënimit.

Çfarë rreziku mbetet nëse jeni të kujdesshëm, të arsyeshëm dhe të ndërgjegjshëm kur përdorni kompjuterin tuaj? Përgjigja është e gjatë dhe e detajuar. Për ta kondensuar disi, sulmet kibernetike janë të shumta dhe të ndryshme. Ata janë të aftë të bëjnë gjëra që, pak më parë, konsideroheshin të pamundura.

Rootkits, si Ryuk, mund të infektojnë kompjuterët kur janë të fikur duke kompromentuar funksionet e monitorimit wake-on-LAN. Është zhvilluar gjithashtu kodi i provës së konceptit. Një sulm i suksesshëm u demonstrua nga studiuesit në Universitetin Ben-Gurion të Negevit që do të lejonte aktorët e kërcënimit të nxjerrin të dhëna nga një kompjuter me boshllëk ajri.

Është e pamundur të parashikohet se çfarë do të jenë në gjendje të bëjnë kërcënimet kibernetike në të ardhmen. Sidoqoftë, ne e kuptojmë se cilat pika në mbrojtjen e një kompjuteri janë të cenueshme. Pavarësisht nga natyra e sulmeve të tanishme ose të ardhshme, ka kuptim vetëm t'i mbyllni ato boshllëqe paraprakisht.

Nga numri i përgjithshëm i sulmeve kibernetike, vetëm një përqindje e vogël synohet me vetëdije ndaj organizatave ose individëve të veçantë. Shumica e kërcënimeve janë pa dallim sepse malware nuk i intereson kush jeni. Skanimi i automatizuar i porteve dhe teknikat e tjera thjesht kërkojnë sisteme të cenueshme dhe i sulmojnë ato. Ju e emëroni veten si viktimë duke qenë i pambrojtur.

Dhe këtu hyn Lynis.

Instalimi i Lynis

Për të instaluar Lynis në Ubuntu, ekzekutoni komandën e mëposhtme:

sudo apt-get install lynis

Në Fedora, shkruani:

sudo dnf install lynis

Në Manjaro, ju përdorni pacman:

sudo pacman -Sy lynis

Kryerja e një Auditimi

Lynis është i bazuar në terminal, kështu që nuk ka GUI. Për të filluar një auditim, hapni një dritare terminali. Klikoni dhe tërhiqeni atë në skajin e monitorit tuaj për ta bërë atë të kapet në lartësinë e plotë ose ta zgjasë sa më shumë të jetë e mundur. Ka shumë rezultate nga Lynis, kështu që sa më e lartë të jetë dritarja e terminalit, aq më e lehtë do të jetë për t'u rishikuar.

Është gjithashtu më i përshtatshëm nëse hapni një dritare terminali posaçërisht për Lynis. Do të lëvizni shumë lart e poshtë, kështu që të mos keni nevojë të merreni me rrëmujën e komandave të mëparshme do ta bëjë më të lehtë navigimin në daljen e Lynis.

Për të filluar auditimin, shkruani këtë komandë freskuese të drejtpërdrejtë:

sudo lynis audit system

Emrat e kategorive, titujt e testeve dhe rezultatet do të lëvizin në dritaren e terminalit pasi të përfundojë çdo kategori testesh. Një auditim zgjat maksimumi vetëm disa minuta. Kur të përfundojë, do të ktheheni në vijën e komandës. Për të rishikuar gjetjet, thjesht lëvizni dritaren e terminalit.

Seksioni i parë i auditimit zbulon versionin e Linux-it, lëshimin e kernelit dhe detaje të tjera të sistemit.

Zonat që duhen parë janë të theksuara me ngjyrë qelibar (sugjerime) dhe të kuqe (paralajmërime që duhet të adresohen).

Më poshtë është një shembull i një paralajmërimi. Lynis ka analizuar konfigurimin e serverit të postës postfix dhe ka shënuar diçka që ka të bëjë me banerin. Mund të marrim më shumë detaje se çfarë saktësisht gjeti dhe pse mund të jetë një problem më vonë.

Më poshtë, Lynis na paralajmëron se muri i zjarrit nuk është i konfiguruar në makinën virtuale Ubuntu që po përdorim.

Lëvizni nëpër rezultatet tuaja për të parë se çfarë ka shënuar Lynis. Në fund të raportit të auditimit, do të shihni një ekran përmbledhës.

Indeksi i forcimit është rezultati juaj i provimit. Ne morëm 56 nga 100, që nuk është mirë. Janë kryer 222 teste dhe një shtojcë Lynis është aktivizuar. Nëse shkoni në faqen e shkarkimit të shtojcave të Lynis Community Edition dhe abonoheni në buletinin, do të merrni lidhje me më shumë shtojca.

Ka shumë shtojca, duke përfshirë disa për auditim kundrejt standardeve, të tilla si GDPR, ISO27001 dhe PCI-DSS.

Një V e gjelbër përfaqëson një shenjë kontrolli. Ju gjithashtu mund të shihni pikëpyetje qelibar dhe X të kuqe.

Ne kemi shenja kontrolli jeshile sepse kemi një mur zjarri dhe skaner malware. Për qëllime testimi, ne instaluam gjithashtu rkhunter, një detektor rootkit, për të parë nëse Lynis do ta zbulonte atë. Siç mund ta shihni më lart, u bë; morëm një shenjë gjelbërjeje pranë Skanerit të Malware.

Statusi i pajtueshmërisë është i panjohur sepse auditimi nuk përdori një shtesë përputhshmërie. Në këtë test u përdorën modulet e sigurisë dhe të cenueshmërisë.

Janë krijuar dy skedarë: një skedar log dhe të dhënash. Skedari i të dhënave, i vendosur në /var/log/lynis-report.dat, është ai për të cilin jemi të interesuar. Ai do të përmbajë një kopje të rezultateve (pa theksuar ngjyrën) që mund ta shohim në dritaren e terminalit . Këto janë të dobishme për të parë se si indeksi juaj i ngurtësimit përmirësohet me kalimin e kohës.

Nëse lëvizni prapa në dritaren e terminalit, do të shihni një listë sugjerimesh dhe një tjetër paralajmërimesh. Paralajmërimet janë artikujt e biletës së madhe, kështu që ne do t'i shikojmë ato.

Këto janë pesë paralajmërimet:

  • “Versioni i Lynis është shumë i vjetër dhe duhet përditësuar”: Ky është në fakt versioni më i ri i Lynis në depot e Ubuntu. Edhe pse është vetëm 4 muajsh, Lynis e konsideron këtë shumë të vjetër. Versionet në paketat Manjaro dhe Fedora ishin më të reja. Përditësimet në menaxherët e paketave ka të ngjarë të jenë gjithmonë pak prapa. Nëse vërtet dëshironi versionin më të fundit, mund ta klononi projektin nga GitHub dhe ta mbani të sinkronizuar.
  • “Nuk është caktuar fjalëkalim për modalitetin e vetëm”: Single është një modalitet rikuperimi dhe mirëmbajtjeje në të cilin funksionon vetëm përdoruesi rrënjësor. Asnjë fjalëkalim nuk është caktuar si parazgjedhje për këtë modalitet.
  • Nuk mund të gjeja 2 serverë emrash të përgjegjshëm: Lynis u përpoq të komunikonte me dy serverë DNS, por dështoi. Ky është një paralajmërim se nëse serveri aktual DNS dështon, nuk do të ketë kalim automatik në një tjetër.
  • “U gjet disa zbulime informacioni në banderolën SMTP”: Zbulimi i informacionit ndodh kur aplikacionet ose pajisjet e rrjetit japin numrat e tyre të markës dhe modelit (ose informacione të tjera) në përgjigje standarde. Kjo mund t'u japë aktorëve të kërcënimit ose të automatizuar të softuerit malware për llojet e cenueshmërisë për t'u kontrolluar. Pasi të kenë identifikuar softuerin ose pajisjen me të cilën janë lidhur, një kërkim i thjeshtë do të gjejë dobësitë që mund të përpiqen të shfrytëzojnë.
  • “moduli(et) iptables i ngarkuar, por nuk ka rregulla aktive”: Firewall-i i Linux është në funksion dhe funksionon, por nuk ka rregulla të vendosura për të.

Pastrimi i paralajmërimeve

Çdo paralajmërim ka një lidhje me një faqe interneti që përshkruan problemin dhe çfarë mund të bëni për ta korrigjuar atë. Thjesht rri pezull treguesin e miut mbi një nga lidhjet dhe më pas shtypni Ctrl dhe klikoni mbi të. Shfletuesi juaj i paracaktuar do të hapet në faqen e internetit për atë mesazh ose paralajmërim.

Faqja më poshtë u hap për ne kur ne Ctrl+ klikuam në lidhjen për paralajmërimin e katërt që mbuluam në seksionin e mëparshëm.

Ju mund të rishikoni secilën prej tyre dhe të vendosni se cilat paralajmërime të adresoni.

Faqja e internetit e mësipërme shpjegon se fragmenti i parazgjedhur i informacionit (“banderoli”) i dërguar në një sistem të largët kur lidhet me serverin e postës postfix të konfiguruar në kompjuterin tonë Ubuntu është shumë i gjerë. Nuk ka asnjë përfitim për të ofruar shumë informacion - në fakt, që përdoret shpesh kundër jush.

Faqja e internetit gjithashtu na tregon se baneri ndodhet në /etc/postfix/main.cf. Na këshillon që duhet të shkurtohet për të shfaqur vetëm $myhostname ESMTP.

Ne shtypim sa vijon për të redaktuar skedarin siç rekomandon Lynis:

sudo gedit /etc/postfix/main.cf

Ne gjejmë rreshtin në skedarin që përcakton flamurin.

Ne e modifikojmë atë për të shfaqur vetëm tekstin që rekomandoi Lynis.

Ne i ruajmë ndryshimet tona dhe mbyllim gedit. Tani duhet të rinisim serverin e postës postfix që ndryshimet të hyjnë në fuqi:

sudo systemctl restart postfix

Tani, le të ekzekutojmë Lynis edhe një herë dhe të shohim nëse ndryshimet tona kanë pasur një efekt.

Seksioni Paralajmërime tani tregon vetëm katër. Ai që i referohet postfix është zhdukur.

Një poshtë, dhe vetëm katër paralajmërime të tjera dhe 50 sugjerime për të shkuar!

Sa larg duhet të shkoni?

Nëse nuk keni bërë kurrë ndonjë forcim të sistemit në kompjuterin tuaj, ka të ngjarë të keni afërsisht të njëjtin numër paralajmërimesh dhe sugjerimesh. Ju duhet t'i rishikoni të gjitha dhe, të udhëhequr nga faqet e internetit të Lynis për secilën, të bëni një thirrje gjykimi nëse do ta adresoni atë.

Metoda e teksteve shkollore, natyrisht, do të ishte të përpiqeshim t'i pastronim të gjitha. Megjithatë, kjo mund të jetë më e lehtë të thuhet sesa të bëhet. Plus, disa nga sugjerimet mund të jenë të tepërta për kompjuterin mesatar të shtëpisë.

Lista e zezë drejtuesve të kernelit USB për të çaktivizuar aksesin USB kur nuk e përdorni? Për një kompjuter kritik për misionin që ofron një shërbim biznesi të ndjeshëm, kjo mund të jetë e nevojshme. Por për një kompjuter në shtëpi Ubuntu? Me siguri jo.