Vadības un kontroles uzdevumu ietvaros, kas mums jāveic vidē LinuxNeatkarīgi no izmantotā izplatīšanas, viens no vissvarīgākajiem aspektiem, kas jāņem vērā, ir saistīts ar katra izplatītāja drošību, jo tā trūkums vai kāda ievainojamība apdraudēs ne tikai tur izvietoto informāciju, bet arī visu struktūru, kurai šī iekārta tiek izmantota ir savienots.
Mēs esam brīžos, kad draudi katru dienu pieaug un daudzi administratori vai IT darbinieki nepievērš pienācīgu uzmanību šim jautājumam, jo uzskata, ka kaut kas nekad nenotiks, bet kā profesionāļiem mums ir jābūt soli priekšā un vairāk drošība lietotāju skaits organizācijā.
Solvetic rūpīgi analizēs praktisko pielietojumu ar nosaukumu Lynis un mēs redzēsim, kā tas ļoti palīdzēs, lai vēl vairāk palielinātu mūsu vadības, kontroles un uzraudzības spējas vidē Linux.
Šajā gadījumā mēs izmantosim Ubuntu 16.10 serveri.
Kas ir lynisLynis ir izstrādāts kā lietojumprogramma, kas atbild par drošības auditu veikšanu Linux vidē.
Lynis ir atvērtā koda, kas novērtē katras komandas drošības profilu un sniegs mums ieteikumus, kā palielināt un uzlabot drošības līmeni uzņēmumā.
Lynis daudz detalizētāk analizē UNIX un Linux vidi nekā ievainojamības skenēšanas lietojumprogramma. Lynis var palaist šādās vidēs:
- AIX
- FreeBSD
- HP-UX
- Linux - lielākā daļa izplatītāju
- macOS
- NetBSD
- OpenBSD
- Solaris
Šo lietojumprogrammu var izmantot šādos gadījumos:
- Analīze un noteikšana ievainojamības.
- Revīzijas par drošību.
- Atbilstības testi tādi, kādi tie ir PCI vai HIPAA.
- Uzlabojumi drošība no sistēmas.
- Vadība administratīvā.
1. Kā instalēt Lynis Ubuntu serverī
Lai gan ir vairāki Lynis instalēšanas veidi, šajā gadījumā mēs instalēsim no jaunākās krātuves.
1. darbība
Ir svarīgi uzsvērt, ka šī krātuve piekļuvei izmanto HTTPS protokolu, tāpēc mums jāapstiprina, ka mūsu serverim ir HTTPS atbalsts, lai to apstiprinātu, mēs izpildīsim šādu rindu:
dpkg -s apt-transport-https | grep -i statuss
PALIELINĀT
2. solis
Ja šī atbalsta nav, mēs instalēsim šādu rindu:
sudo apt-get install apt-transport-https3. solis
Kad esam pārliecināti, ka mums ir HTTPS atbalsts, mēs turpinām instalēt oficiālo repozitorija atslēgu, izpildot šādas darbības:
sudo apt-key adv-keyserver keyserver.ubuntu.com-recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
PALIELINĀT
4. solis
Tagad mēs pievienosim oficiālo Lynis krātuvi, lai tā būtu pieejama pakotņu pārvaldniekā, tāpēc mēs izpildām sekojošo:
sudo add-apt-repository "deb [arch = amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main"
PALIELINĀT
5. solis
Mēs atjauninām operētājsistēmas pakotnes:
sudo apt-get update
PALIELINĀT
6. darbība
Kad paketes ir atjauninātas, mēs turpinām instalēt Lynis Ubuntu Server, izpildot šādu komandu:
sudo apt-get install lynis
PALIELINĀT
Mēs pieņemam Lynis pakotņu lejupielādi un atbilstošu instalēšanu Ubuntu Server 16.10.
2. Kā veikt drošības auditu ar Lynis Ubuntu Server 16.10
1. darbība
Kad lietojumprogramma ir instalēta, mēs varam redzēt pieejamās Lynis komandas, izpildot šādu rindu:
lynis rāda komandas
PALIELINĀT
2. solis
Katrs Lynis drošības audits tiek veikts, izmantojot profilus, kas nav nekas vairāk kā konfigurācijas faili ar dažādiem parametriem, lai kontrolētu audita veikšanas veidu. Lai redzētu Lynis noklusējuma profilu, mēs izmantosim šādu rindu:
lynis šova iestatījumi
PALIELINĀT
3. solis
Pirms audita veikšanas mēs varam pārbaudīt, vai ir pieejama jaunāka Lynis versija, kas var ietvert uzlabojumus, lai to pārbaudītu, mēs izmantosim šādu rindu:
lynis atjaunināt informāciju
PALIELINĀT
4. solis
Tas norāda, ka mums ir jaunākā Lynis versija. Mēs varam arī pārbaudīt šo rezultātu, izpildot rindu:
lynis atjauninājumu pārbaude5. solis
Lai veiktu pirmo sistēmas auditu, mēs kā root lietotāji izpildām šādu komandu, lai tā būtu pilnībā pabeigta un neizlaistu dažus aspektus:
sudo lynis audita sistēma6. darbība
Mēs redzam, ka tas sāk revīzijas procesu Ubuntu serverī:
PALIELINĀT
7. solis
Šis process ilgst ne vairāk kā vienu līdz divas minūtes. Revīzijas beigās mēs redzēsim sekojošo:
PALIELINĀT
8. solis
Detalizēta informācija par šo rezultātu tiek saglabāta ceļā /var/log/lynis.log un atskaites dati, kur mums ir visa ar serveri saistītā informācija, tiks saglabāti ceļā /var/log/lynis-report.dat.
Interesanti par Lynis ir tas, ka iepriekšējā ziņojumā ir parādīti brīdinājumi un attiecīgie drošības ieteikumi, kas jāņem vērā, lai būtu stabila un uzticama sistēma:
PALIELINĀT
3. Kā novērst Lynis Ubuntu Server ģenerētos brīdinājumus
Brīdinājums (brīdinājums) ļauj mums būt uzmanīgiem pret ievainojamībām, kas var parādīties operētājsistēmā. Parasti brīdinājums ietver risinājumu.
1. darbība
Viens no veidiem, kā Lynis var detalizētāk analizēt brīdinājumu, ir izmantot šādu sintaksi:
sudo lynis rādīt informāciju (kods)2. solis
Piemēram, ja mēs vēlamies detalizēti uzzināt FIRE-4512 koda brīdinājumu, mēs izpildīsim sekojošo:
sudo lynis parādīt detaļas FIRE-4512
PALIELINĀT
4. Kā ieviest Lynis padomus Ubuntu serverī
Mēs redzam, ka attiecīgajā audita analīzē rīks piedāvā dažādus ieteikumus (ieteikumus), lai uzlabotu servera drošības līmeni.
Ieteikums ir šāds:
- Ieteikumu informācija.
- Ieteikuma ID.
- Beidzot risinājums.
Tāpat kā ar brīdinājumiem, mēs varam izmantot līniju sudo lynis rādīt detaļas lai iegūtu vairāk informācijas:
PALIELINĀT
Šajā gadījumā mēs redzam, ka piedāvātais risinājums ir serverī instalēt pretvīrusu programmatūru. Tādējādi katrs ieteikums ietver risinājumu.
5. Kā pielāgot Lynis auditus Ubuntu serverī
Kā jau minējām sākumā, Lynis paļaujas uz profiliem, lai veiktu revīzijas, un tam ir iepriekš definēts profils.
Šiem profiliem ir paplašinājums .prf, un tie tiek mitināti ceļā:
/ etc / lynis.
1. darbība
Lai izveidotu jaunu profilu un pateiktu, ka Lynis pārbauda tikai to, kas mums nepieciešams, nevis visu sistēmu, mēs izveidosim jaunu failu ar nosaukumu solvetic, izpildot tālāk norādītās darbības.
sudo nano /etc/lynis/solvetic.prf2. solis
Šajā failā mēs pievienosim testus, kurus vēlamies izlaist:
- FILE-6310: To izmanto, lai pārbaudītu nodalījumu statusu.
- HTTP-6622: To izmanto, lai apstiprinātu Nginx tīmekļa servera instalācijā.
- HTTP-6702: Izmanto, lai pārbaudītu Apache.
- PRNT-2307 un PRNT-2308: Izmanto, lai pārbaudītu drukas serverus.
- Rīks-5002: To izmanto, lai pārbaudītu automātiskos rīkus, piemēram, leļļu un sāls.
- SSH-7408: tcpkeepalive: To izmanto, lai veiktu pamata pārbaudes.
3. solis
Šajā failā mēs pievienosim sekojošo:
# Līnijas, kas sākas ar " #", ir komentāri # Izlaist testu (viens katrā rindā) # Tas ignorēs starpsienu atdalīšanas testu skip-test = FILE-6310 # Vai Nginx ir instalēts? skip-test = HTTP-6622 # Vai Apache ir instalēts? skip-test = HTTP-6702 # Izlaist ar drukāšanu saistītu pakalpojumu pārbaudi skip-test = PRNT-2307 izlaist testu = PRNT-2308 # Ja testa ID ietver vairāk nekā vienu testu, izmantojiet šo veidlapu, lai ignorētu konkrētu testa izlaišanas testu = SSH-7408: tcpepalive
PALIELINĀT
4. solis
Mēs paturam izmaiņas, izmantojot taustiņu kombināciju:
Ctrl + O
Y mēs izgājām ārā no redaktora, izmantojot:
Ctrl + X
Tādā veidā nākamajā reizē, kad veiksim auditu, šie parametri tiks izlaisti.
Mēs esam sapratuši, kā Lynis tas kļūst par lielisku sabiedroto visiem administratoriem un darbiniekiem, kuri vēlas kontrolēt dažādu Linux izplatību drošības līmeņus. Pastāv arī iespēja to izmantot citos izplatījumos, un tāpēc mēs iesakām veikt revīziju ar Lynis vietnē CentOS 7.
Lynis CentOS revīzija