Lynis kali linux как пользоваться

Обновлено: 04.07.2024

Lynis - это простая и наглядная утилита для аудита *nix-систем. Она осуществляет сканирование безопасности и определяет состояние защищённости (hardening state) машины. Найденные тревожные сигналы и важные параметры безопасности выводятся по блокам. Кроме информации, касающейся вопросов безопасности Lynis так же поможет получить общесистемную информацию, информацию об установленных пакетах и возможных ошибках конфигурации.

Поскольку дистрибутив Lynis допускает использование без предварительной инсталляции, его можно запускать c внешнего носителя (например, на устройстве типа USB, примонтированном только для чтения).

Далее - отчёт о том, как я тестировал Lynis .

1. Установка

Я тестировал на свежеустановенной виртуальной машинке с BackTrack Linux:

Установка одной командой:

Интересно, что Lynis для своей работы требует несколько пакетов (в моём случае они уже установлены, см. 4 строку скрина выше).

2. Подготовка к запуску

Важно понимать, что для работы программы необходимы права администратора системы (root) и права писать лог в /var/log.

Короткий инструктаж перед вылетом - man lynis:

Запускаю командой lynis с опцией -с:

Результат - правильно определяются операционная система, профиль и директория для логов (лог, который будет писать lynis - /var/log/lynis.log - очищается и будет перезаписан). Информация выводится по блокам, что весьма удобно для делания скриншотов и постепенного "знакомства" с "пациентом". На любом этапе аудирования процесс может быть продолжен (жмём для этого Enter) или прекращён (Ctrl+C).

Идём дальше..проверяется версия самой Lynis:

Как правильно - начать аудит с себя самой)) мне сказано, что можно обновить версию Lynis для новых фич, тестов ~~и багов~~.

Далее проверяются системные папки, где хранятся исполняемые файлы и большинство библиотек (я так подразумеваю, что для разных дистрибутивов эти папки могут отличаться). Этап может быть весьма полезен, например, при исследовании "побитой" системы, у которой отсутствуют некоторые важные папки (из-за ошибки администратоа либо потому что хакер вытер, заметая следы):

Для себя я тут ничего тревожного (как впрочем и Lynis, который пишет справа статусы FOUND зелёным) не вижу. Иду дальше..определяются загрузчики ОС и запускаемые в rc.d сервисы:

У меня найден загрузчик GRUB2 и 10 сервисов с скриптами в /etc/rc.

Уровень загрузки = 2, парамтеры загрузки ядра и поддерживаемые им модули (у меня их аж 43). Далее идёт блок с информацией по памяти и процессам:

Меня проверили хранимой в /proc/ информации, а так же на наличие зомби-процессов и просто ждущих процессов. Всё ок, идём далее..меня ждёт информация о пользователях, группах и автентификации:

Вижу, что у Lynis есть для меня некие предложения (жёлтым). надо запомнить их потом прочесть в логе. Кстати, интересно глянуть что вкладывается в суть этих проверок..тоже посмотрю потом. Дальше информация по shell:

Хм..вот тут явно мало информативности..хоть бы перечислила найденные шелл, пути к ним. Далее идёт блок по файловым системам:

Опять мало конкретики - я не вижу точек монтирования в /home и /tmp, по которым у Lynis есть что мне сказать (как, собственно, нен вижу и конкретных мыслей по этим моментам). Зато стики биты и забытые в спешке файлики в /tmp - проверены. База для команды locate найдена, хорошо. А вот для файловой системы root надо будет включить списки контроля доступа (ACL). Теперь информация про работу с моими USB- и Wireless-устройствами:

Всё NOT DISABLED, а значит должно работать. Проверялось командой modprobe (всё ещё помню что надо будет проверить как именно это делалось Lynis).

Всё верно, NFS у меня не запущен. Информация по софту, касающемуся работы сервиса DNS:

Для моей виртуальной машинки этот раздел не интересен, а вот, скажем, на контроллере домена, тут может быть весьма красочно и интересно. Далее идёт раздел портам и пакетам:

Вот и мой первый ворнинг) наверно он из-за настроек репозитария пакетов по умолчанию. менеджер пакетов dpkg найден ~~и обезврежен~~. Кстати, интересно, что запрос к менеджеру пакетов занял некоторое время (строчка - Querying package manager. висела секунд 15).

Принтеры не найдены (локального принтера у меня нет, а сетевые Lynis не ищет, по всей видимости. ). Блок по работе почты:

Чисто как в аптеке (напомню, у меня чистая десктоп-версия BackTrack Linux). Для почтового сервера тут может быть больше информации. Далее блок по фаерволам:

Ого, да у меня выключен фаервол!! Допишу сатью и включу. хочется добавить к слогану BackTrack Linux "The quieter you become, the more you can hear" ещё "with disabled firewall".

SSH не включен, всё верно. Кстати, интересно, что аудиторской утилите не важно состояние активных соединений машины (5 секунд паранойи: может моего "пациента" прямо сейчас "лечит" кто-то ещё. наберу-ка я команды who, whoami, id, netstat -an. ). Дальше:

SNMP не настроен и это правда. Для сервера логов и\или мониторинга это важный блок отчёта.

У меня стоит. и это не спроста! В BackTrack Linux установлена СУБД PostgreSQL для работы metasploit framework. Сюда я допилю скрин с конфигом подключения к этой СУБД после того как закончит работу Lynis. Далее блок по LDAP:

LDAP не настроен. Далее идёт раздел по программному обеспечению, в частности - PHP:

У меня включена опция expose_php, что есть небезопасно, по мнению Lynis. Далее блок по прокси-серверам в разрезе SQUID:

Кальмар не обнаружен, идём далее. Раздел про журналирование и логи поможет понять, где хранится и кем пишется большинство логов в системе.

У меня всё простенько и без существенных замечаний. Дальше идёт интересный раздел "небезопасных сервисов". У меня проблем в нём не нашлось, но само название, конечно, весьма обидное для жителей этого раздела. Я бы на месте разработчиков Lynis был более корректен.

Раздел баннеров и напоминалок полон каких-то опасений. Природу их мне не очень хочется понимать (но наверно они дефолтные):

Планировщик и его задачи у меня настроен по умолчанию, про это следующий блок:

Аккаунтинг тоже не настроен:

Настройки времени и синхронизации не особо важны для десктопных решений (как в моём случае). Для сервера этот раздел (и приведённый ворнинг) бы бы несомненно важен:

Криптография для Lynis заканчивается на SSL. Мой сертификат не истекает, потому ворнинг:

Виртуализации не найдено (хм..а ведь я работаю на виртуальной машине). Наверно, идёт речь о платформах виртуализации, запущенных внутри моей системы:

Платформы для security hardening не найдены, а жаль. Теперь хоть знаем что гуглить интересующимся такими платформами:

Софт, относящийся к проверке целостности файлов данных проверяется в следующем блоке (у меня этого ничего нет):

Далее идёт блок по данным антивирусного, антируткитового и прочего антивредоносного ПО:

Надо будет поставить себе антивирь.

Раздел про системные утилиты непонятен. Будем считать его дополнением к общесистемному софту.

Тут я упустил раздел проверки истории шеллов. Они тоже проверяются (мол, история команд пишется\не пишется).

Раздел с описанием опций ядра ОС радует своей полнотой и краснотой:

Скомпиленное кем-то добрым общее ядро конечно может быть лучше. Что означает слово "DIFFERENT" в контексте Lynis пока не ясно. Идём дальше - раздел "харденинг" содержит 2 пункта - проверка установленного компилятора и сканера малварей. У меня не версия Линукса для разработчика, потому компилятор отсутствует:

Далее идёт чудная финтифлюшка, знаменующая окончание блоков отчёта:

После финтифлюшки начинается раздел ворнингов и рекомендаций (то, для чего мы ставили у себя Lynis). У меня этот раздел занял 3 скрина экрана, которые я приведу вместе, а опишу потом:

Вооот. итого, мой сатус харденинга = 44 из 100. Проведено 143 теста, лог по результатам хранится в /var/log/lynis.log и /var/log/lynis-report.dat.
По каждой угрозе мне даны рекомендации, вроде ничего не забыто. Чтоб понять ЧТО ИМЕННО мне надо делать дальше, возьму любую попавшуюся рекомендацию и попробую выполнить.

4. Анализ отчёта и устранение недостатков

Установлю и настрою SSH и сгенерирую пары ключей (private\public) для ssh\sshd. А потом посмотрю что изменится в отчёте.

Для генерации ключей в консоли под рутом выполню следующее:

запущу сервер ssh:

. проверю, что SSH работает:

. it works!

А повторный запуск Lynis в блоке с информацией по крипте покажет следующее:

. в конфигурационном файле sshd (/etc/ssh/sshd.conf) сменил PermitRootLogin на значение "no".

Lynis видит мой новый сервис, нашёл небезопасную опцию PermitRootLogin и, вобщем, адекватно реагирует на происходящие в системе изменения. Кстати, общий балл защищённости после этих действий вырос:

Надеюсь, функционал Вам подойдёт. Хорошая утилитка. Удачи всем в аудите!)

Среди среди пользователей и системных администраторов Linux считается безопасной ОС. При этом существует множество дистрибутивов со своими настройками по умолчанию, тысячами программных пакетов разных версий, а также работающими в фоновом режиме службами, о которых мы почти не заботимся. Это приводит к необходимости периодически проводить аудит безопасности ОС, чтобы избежать возможных проблем.

Кстати, новичкам стоит ознакомиться с нашим списком ресурсов для изучения Linux.

Чтобы определить состояние безопасности программного обеспечения, сети и работающих на компьютере служб, можно запустить несколько команд и получить фрагменты важной информации, но объем данных для анализа будет огромным – на помощь придут комплексные утилиты безопасности.

результаты проверки Lynis

Lynis – это инструмент аудита для UNIX-подобных систем, таких как Linux, OS X, Free/Net/Open BSD и других. Основная цель утилиты – проверить средства защиты и дать советы по настройке безопасности. Lynis сканирует общую информацию о системе, уязвимые пакеты программного обеспечения и возможные проблемы с конфигурацией.

Поддерживаемые дистрибутивы Linux

Для чего предназначен

автоматизированный аудит безопасности;
тестирование на соответствие ISO27001, PCI-DSS, HIPAA;
обнаружение уязвимости;
конфигурирование и управление активами;
управление исправлениями для программного обеспечения;
укрепление системы;
тестирование на проникновение;
обнаружения вторжений.

Установка и запуск

Установка через YUM

Установка через Git

Также вы можете напрямую скачать и распаковать архив с утилитой в предварительно созданный каталог. Lynis работает и без предварительной настройки, базовое сканирование запускается командой:

Полезные опции

-checkall, -c – запуск сканирования;

-check-update – проверка обновлений;

-cronjob – запускает Lynis через планировщик;

-quick, -Q – не ждать ввода пользователя, кроме ошибок;

-version, -V – выводит версию Lynis.

LUNAR

LUNAR – сокращение от Lockdown UNix Auditing and Reporting. Этот сценарий генерирует отчет аудита безопасности хоста UNIX. Он основан на CIS и других фреймворках.

Поддерживаемые ОС и дистрибутивы Linux

RHEL 5,6,7;
Centos 5,6,7;
Scientific Linux;
SLES 10,11,12;
Debian;
Ubuntu;
Amazon Linux;
Solaris (6,7,8,9,10 и 11);
Mac OS X.

Утилита также поддерживает облачную платформу Amazone и контейнеры Docker.

Для чего предназначен

LUNAR обычно используется для оценки безопасности, самооценки или повышения безопасности системы.

Установка и запуск

LUNAR это сценарий командной строки sh, поэтому особых усилий по установке он не требует. Качаем архив с Github, распаковываем в соответствующую директорию и запускаем из командной строки.

Рекомендуется запускать в режиме аудита (параметр -a ).

Полезные опции

Будьте внимательны и осторожны при запуске в режиме исправлений! У автора статьи при запуске в режиме изменений скрипт выкинул основного пользователя из группы sudoers, в результате пришлось грузиться из recovery mode и откатываться из бэкапа, благо lunar сам создает их перед внесением изменений.

-a – запуск в режиме аудита (в систему не вносятся изменения);

-v – подробный режим [используется с -a и -A];

-d – просмотр предлагаемых изменений системы до их внесения в конфиги;

-s – запуск в выборочном режиме;

-l – запуск в режиме блокировки (внесение изменений);

-S – список всех функций UNIX, доступных для выборочного режима;

-W – список всех функций AWS, доступных для выборочного режима;

-D – список всех функций Docker, доступных для выборочного режима;

-Z – показать изменения, ранее внесенные в систему;

-b – список файлов резервных копий;

-n – выводить доступные сегменты кода;

-u – восстановление из резервной копии.

Linux security auditing tool (LSAT) имеет модульную конструкцию, поэтому можно быстро добавлять новые функции. LSAT проверяет записи inetd, просматривает ненужные пакеты RPM и проверяет версии ядра.

Поддерживаемые ОС и дистрибутивы Linux

Gentoo;
RedHat;
Debian;
Mandrake;
Linux Mint 18;
CentOS 7
Sparc: Sun OS (2.x);
Redhat sparc, Mandrake Sparc;
Apple OS X;
Должен нормально работать под Slackware и другими дистрибутивами Linux.

Для чего предназначен

Комплексный аудит безопасности ОС.

Установка и запуск

LSAT устанавливается с помощью сборки из исходников и имеет заранее заготовленный автоконфиг — autoconf.

Для установки в систему на /usr/local/bin

запуск LSAT для Debian

Полезные опции

-d diff – текущий и старый md5, вывод в lsatmd5.diff;

-m – тест для конкретного дистрибутива:

redhat;
debian;
mandrake;
solaris;
gentoo;
macosx.

-a – показать расширенную страницу справки;

-o – имя выходного файла, по умолчанию lsat.out

-r – проверить целостность rpm, только redhat или mandrake;

-s – тихий режим;

-v – подробный вывод;

-w – выходной файл в формате HTML;

-x – исключить модули из списка файлов из проверок.

Это базовый сценарий аудита безопасности Linux для непрерывного применения политик (CPE). Запускать его можно из командной строки от имени пользователя root или на регулярной основе с использованием планировщика.

Для чего предназначен

Цель сценария – сообщить администратору возможные настройки, которые можно изменить, чтобы обеспечить безопасность системы.

В настоящее время скрипт ищет:

распространенные уязвимости безопасности в настройке учетной записи для входа в Linux;
распространенные уязвимости безопасности в настройках SSH;
распространенные уязвимости безопасности во временных файловых системах и файловых системах с общей памятью (например: /tmp, /var/tmp, /dev/shm);
рекомендации по разрешениям файловой системы, которые могут усилить защиту большинства систем, не влияя на нормальную работу;
Heartbeat и разрешения файла конфигурации DRBD;

Использование

LBSA в работе

Полную версию скрипта можно взять на официальной странице .

В некоторых случаях рекомендации могут привести к снижению удобства использования. Как и в случае с любыми изменениями в системе, вы должны понимать последствия любых изменений, прежде чем вносить их.

Как наиболее универсальный инструмент для комплексного аудита, из перечисленных мы можем рекомендовать Lynis. Он поможет провести всестороннюю проверку и выявить самые уязвимые части системы. В качестве скрипта для периодической профилактики удобно использовать LBSA.

Надеемся, что вам пригодится наша статья, возможно вас также заинтересует материал о минимальных настройках безопасности для защиты виртуального выделенного сервера (VPS) на базе Linux.

Если для работы вам уже не хватает автоматизированных утилит, стоит обратить внимание на курсы Факультета информационной безопасности онлайн-академии GeekBrains. Под руководством опытных преподавателей вы научитесь на практике проводить тесты на проникновение, изучите Python, освоите реверс-инжиниринг, безопасность сетей и криптографию. Успешно окончившим курс студентам онлайн-академия поможет с трудоустройством.

Не скроем, мы в CyberSec тоже используем Lynis:

Для аудитов безопасности
Для тестирования соответствие стандартам (например, PCI, HIPAA, SOx)
При проведении пентестов
Для обнаружения уязвимостей
Для укрепления систем

Lynis работает почти на всез *nix-совместимых OS от MacOS до OpenBSD и Solaris.

При необходимости, Lynis можно запустить на Raspberry Pi, что очень удобно для полевых тестов.

По заявлению разработчиков, инструменты Lynis-а модульные и опортунистические. А это означает, что Lynis будет использовать и тестировать только те компоненты, которые он может найти, такие как доступные системные инструменты и его библиотеки. Преимущество заключается в том, что установка других инструментов не потребуется.

Используя этот метод сканирования, инструмент может работать практически без зависимостей. Lynis всегда будет выполнять сканирование в соответствии с конфигурацией твоей системы. Модулей для проверок других систем загружено и установлено не будет!

Аудит системы будет выполнятся по следующим шагам:

Инициализация
Основные проверки, такие как прпава на владение файлами
Определение операционной системы и инструментов
Поиск доступных программных компонентов
Провка последней доступной версиии Lynis
Запуск включенных плагинов
Выполнение тестов безопасности для каждой из категорий
Выполнение пользовательских тестов (необязательно)
Отчет о состоянии проверки безопасности

Для получения информацию о системе, общем состоянии программного обеспечения, сети и служб, работающих на вашем компьютере, достаточно выполнить несколько простых команд. Но что теперь делать с полученной информацией? Как в ней разобраться? Ведь объём данных, которые вам нужно проанализировать, огромен. Lynis поможет.

apt install lynis

Однако, если версия утилиты в вашем репозитории не самая последняя, лучше установить Lynix с GitHub (я использую систему Red Hat Linux, но аналогичные команды работают в любом дистрибутиве Linux):

Как только вы клонируете хранилище, зайдите в него и посмотрите, что вам доступно, найдите файл с именем lynis. На самом деле это shell-скрипт, так что вы можете открыть его и почитать, что он делает. Фактически, Lynis в основном и реализован с использованием скриптов:

Запускаем Lynis

Начнём знакомство с Lynis, запустив справку с помощью флага -h:

Так вы можете ознакомиться с основными командами утилиты. Например, давайте узнаем её версию:

Чтобы получить полный список команд Lynis, введите:

Запускаем аудит Linux-системы

Всё начинается со следующей команды:

После запуска команды мы получим детальный отчёт. Не пугайтесь, мы в нём разберёмся чуть позже. Прочие результаты работы команд тоже сохраняются, так что и к ним вы можете вернуться позже.

Вот здесь Lynis хранит логи:

Вы можете проверить, были ли на самом деле созданы все необходимые файлы:

Изучаем отчёты

Lynis предоставляет довольно подробные отчеты, поэтому я расскажу лишь о некоторых важных разделах. Самое первое, что делает Lynis при инициализации, — выясняет полную информацию об операционной системе, работающей на компьютере. Затем утилита проверяет, какие системные инструменты и плагины у вас установлены:

Отчёт делится на различные разделы, и каждый раздел начинается с [+]. Некоторые из разделов можно увидеть ниже

Для большей наглядности Lynis использует условные обозначения в виде цветов:

зелёный: всё хорошо
жёлтый: не нашёл всё необходимое, или возникла спорная ситуация
красный: это проблема, стоит с ней разобраться

В моём случае большинство проблем (красных меток) было найдено в разделе Kernel Hardening. Ядро имеет различные настраиваемые параметры, которые определяют его работу, и некоторые из этих параметров отвечают за безопасность. Дистрибутив может не устанавливать их по умолчанию по разным причинам, но вы должны изучить каждый из них и посмотреть, нужно ли вам менять его значение в зависимости от ваших требований к безопасности:

Посмотрите на SSH, например. Это важная часть системы, и она должна быть защищена. Здесь ничего не выделено красным, но у Lynis есть много предложений по повышению уровня защищённости службы SSH:

На моей системе не запущен ни один контейнер и ни одна виртуальная машина. Так что, увы, тут почитать будет нечего.

Lynis проверяет привилегии некоторых файлов, так как это важно с точки зрения безопасности.

В конце отчёта Lynis вносит предложения по исправлению, основанные на результатах аудита. Каждое предложение начинается с описания, а рядом в скобках указывается тест (TEST-ID), который его сгенерировал. В следующей строке предлагается решение проблемы, если оно существует:

Lynis даёт возможность найти дополнительную информацию о каждом предложении по исправлению с помощью команды show details, за которой следует номер теста TEST-ID:

Например, чтобы узнать дополнительную информацию для теста SSH-7408 я ввожу $ ./lynis show details SSH-7408 и получаю:

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Фатмавати Ахмад Заенури / Shutterstock

Насколько защищен ваш компьютер с Linux?

Lynis выполняет набор автоматизированных тестов это тщательно проверяет многие системные компоненты и настройки вашей операционной системы Linux. Он представляет свои выводы в цветовой кодировке ASCII отчет в виде списка дифференцированных предупреждений, предложений и действий, которые следует предпринять.

Давайте рассмотрим их в обратном порядке. Linux не застрахован от вредоносных программ. На самом деле, самый первый компьютерный червь был разработан для компьютеров Unix в 1988 году. Руткит были названы в честь суперпользователя Unix (root) и набора программного обеспечения (комплектов), с помощью которого они устанавливаются, чтобы избежать обнаружения. Это дает суперпользователю доступ к субъекту угрозы (то есть плохому парню).

Почему они названы в честь корня? Поскольку первый руткит был выпущен в 1990 году и был нацелен на Sun Microsystems работает SunOS Unix.

Итак, вредоносное ПО получило свое начало в Unix. Он прыгнул через забор, когда Windows взлетела и включила свет. Но теперь, когда Linux управляет миром, он вернулся. Linux и Unix-подобные операционные системы, такие как macOS, привлекают все внимание субъектов угроз.

Какая опасность остается, если вы осторожны, разумны и внимательны, когда используете компьютер? Ответ длинный и подробный. Чтобы несколько сжать, кибератак много и разнообразно. Они способны делать то, что совсем недавно считалось невозможным.

Руткиты, вроде Ryukможет заразить компьютеры, когда они выключены, Wake On LAN функции мониторинга. Код подтверждения концепции также был разработан. Успешная «атака» была продемонстрирована исследователями в Университет Бен-Гуриона в Негеве что позволило бы субъектам угрозы отфильтровать данные из компьютер с воздушным зазором,

Невозможно предсказать, на что способны киберугрозы в будущем. Однако мы понимаем, какие точки защиты компьютера уязвимы. Независимо от характера настоящих или будущих атак, имеет смысл лишь заранее устранить эти пробелы.

Из общего числа кибератак лишь небольшой процент сознательно ориентирован на конкретные организации или отдельных лиц. Большинство угроз являются неизбирательными, потому что вредоносным программам все равно, кто вы. Автоматическое сканирование портов и другие методы просто ищут уязвимые системы и атакуют их. Вы называете себя жертвой, будучи уязвимым.

И вот тут приходит Lynis.

Установка Lynis

Чтобы установить Lynis в Ubuntu, выполните следующую команду:

На Fedora введите:

На Манджаро вы используете pacman :

Проведение аудита

Lynis основан на терминалах, поэтому нет графического интерфейса. Чтобы начать аудит, откройте окно терминала. Нажмите и перетащите его к краю монитора, чтобы привязать его к полной высоте или растянуть настолько высоко, насколько это возможно. Lynis выводит много информации, поэтому чем выше окно терминала, тем проще будет его просмотреть.

Также удобнее, если вы откроете окно терминала специально для Lynis. Вы будете много перемещаться вверх и вниз, поэтому отсутствие необходимости разбираться с беспорядком предыдущих команд облегчит навигацию по выводу Lynis.

Чтобы начать аудит, введите следующую команду:

Имена категорий, названия тестов и результаты будут прокручиваться в окне терминала по завершении каждой категории тестов. Аудит занимает не более нескольких минут. Когда он закончится, вы вернетесь в командную строку. Чтобы просмотреть результаты, просто прокрутите окно терминала.

Первый раздел аудита определяет версию Linux, выпуск ядра и другие подробности системы.

Области, на которые необходимо обратить внимание, выделены желтым цветом (предложения) и красным цветом (предупреждения, которые следует учитывать).

Ниже приведен пример предупреждения. Линис проанализировала postfix Конфигурация почтового сервера и помеченные как-то связаны с баннером. Мы можем получить более подробную информацию о том, что именно он нашел и почему это может быть проблемой позже.

Ниже Lynis предупреждает нас о том, что брандмауэр не настроен на виртуальной машине Ubuntu, которую мы используем.

Прокрутите свои результаты, чтобы увидеть, что пометил Lynis. В нижней части отчета об аудите вы увидите сводный экран.

Есть много плагинов, в том числе некоторые для аудита на соответствие стандартам, такие как GDPR, ISO27001, а также PCI-DSS,

Зеленый V обозначает галочку. Вы также можете увидеть янтарные знаки вопроса и красные крестики.

У нас есть зеленые галочки, потому что у нас есть брандмауэр и сканер вредоносных программ. Для тестирования мы также установили RkHunter, Детектор руткитов, чтобы увидеть, обнаружит ли Lynis его. Как вы можете видеть выше, это было сделано; мы получили зеленую галочку рядом с «Сканер вредоносных программ».

Статус соответствия неизвестен, потому что аудит не использовал плагин соответствия. В этом тесте использовались модули безопасности и уязвимости.

Создаются два файла: журнал и файл данных. Файл данных, расположенный по адресу «/var/log/lynis-report.dat», является тем, который нас интересует. Он будет содержать копию результатов (без цветовой подсветки), которую мы можем видеть в окне терминала , Они пригодятся, чтобы увидеть, как улучшается ваш показатель закалки с течением времени.

Если вы прокрутите назад в окне терминала, вы увидите список предложений и другое предупреждение. Предупреждения являются «большими билетами», поэтому мы рассмотрим их.

Вот пять предупреждений:

Очистка Предупреждений

Вы можете просмотреть каждый из них и решить, какие предупреждения следует адресовать.

Веб-страница также сообщает нам, что баннер находится в «/etc/postfix/main.cf». Он советует нам обрезать его, чтобы он показывал только «$ myhostname ESMTP».

Мы вводим следующее, чтобы редактировать файл, как рекомендует Lynis:

Мы находим строку в файле, который определяет баннер.

Мы редактируем его так, чтобы отображался только текст, рекомендованный Lynis.

Мы сохраняем наши изменения и закрываем gedit , Теперь нам нужно перезапустить postfix почтовый сервер для вступления изменений в силу:

Теперь давайте еще раз запустим Lynis и посмотрим, повлияли ли наши изменения.

Раздел «Предупреждения» теперь показывает только четыре. Тот, который ссылается на postfix ушел

Один вниз, и еще четыре предупреждения и 50 предложений!

Как далеко вы должны идти?

Если вы никогда не выполняли никаких действий по усилению защиты системы на вашем компьютере, вы, скорее всего, получите примерно столько же предупреждений и предложений. Вам следует просмотреть их все и, руководствуясь веб-страницами Lynis для каждого из них, принять решение о том, следует ли их решать.

Метод учебника, конечно, должен был бы попытаться очистить их всех. Это может быть легче сказать, чем сделать, хотя. Кроме того, некоторые предложения могут быть излишними для обычного домашнего компьютера.

Черный список драйверов ядра USB для отключения доступа к USB, когда вы им не пользуетесь? Для критически важного компьютера, который предоставляет конфиденциальный бизнес-сервис, это может быть необходимо. Но для домашнего компьютера с Ubuntu? Возможно нет.

Читайте также: