Piekļuves Linux failiem audits. Labākie Linux drošības audita rīki. Šis pakalpojums ietver

Drošība Linux serveri ir ļoti svarīgi, lai aizsargātu savus datus, intelektuālo īpašumu un laiku no hakeru rokām. Sistēmas administrators ir atbildīgs par Linux operētājsistēmas drošību. Šajā rakstā mēs apskatīsim divdesmit lietas, kas jums jādara ar savu Linux operētājsistēmu, lai tā vienmēr būtu droša. Ja šis mājas dators, tad var nebūt jēgas tik ļoti uztraukties par drošību, pietiks ar spēcīgām parolēm un piekļuves portiem bloķēšanu no interneta. Bet publiskā servera gadījumā ir vērts pievērst uzmanību tā aizsardzības nodrošināšanai.

Šīs instrukcijas ir piemērotas jebkuram izplatīšanai neatkarīgi no tā, vai izmantojat CentOS, Red Hat vai Ubuntu, Debian.

1. Sakaru šifrēšana

Visi tīklā pārsūtītie dati ir atvērti uzraudzībai. Tāpēc ir nepieciešams pārsūtītos datus šifrēt, ja iespējams, izmantojot paroles, atslēgas vai sertifikātus.

Failu pārsūtīšanai izmantojiet scp, ssh, rsync vai sftp. Ir iespējams arī uzstādīt attālo failu sistēmu savā mājas direktorijā, izmantojot tādus rīkus kā shhfs.

GnuPG ļauj šifrēt un parakstīt savus datus, izmantojot īpašu privātā atslēga. Ir arī funkcijas atslēgu pārvaldībai un piekļuvei publiskajām atslēgām.

Fugu ir grafisks rīks failu pārsūtīšanai, izmantojot SFTP protokolu. SFTP ir ļoti līdzīgs FTP, taču visa sesija ir šifrēta. Tas nozīmē, ka paroles vai komandas netiek sūtītas uz atvērta forma. Tādēļ šāda pārsūtīšana ir mazāk neaizsargāta pret trešajām personām. Varat arī izmantot FileZilla, tā ir starpplatforma FTP klients ar atbalstu FTS, izmantojot SSH/TLS un SSH Failu pārsūtīšana Protokols (SFTP).

OpenVPN ir efektīvs un viegls VPN klients ar SSH šifrēšanas atbalstu.

2. Centieties neizmantot FTP, Telnet, Rlogin un RSH

Lielākajā daļā tīklu lietotājvārdus, paroles no FTP, Telnet, RSH komandas var pārtvert ikviens tajā pašā tīklā, izmantojot pakešu sniffer. Kopīgs lēmumsŠī problēma rodas, izmantojot OpenSSH, SFTP vai SFTP, kas parastajam FTP pievieno SSL vai TLS. Palaidiet šo komandu, lai noņemtu NIS, RSH un citus mantotos pakalpojumus:

yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve

3. Samaziniet programmatūras daudzumu

Vai jums tiešām ir jāinstalē visi tīmekļa pakalpojumi? Neinstalējiet nevajadzīgas lietas programmatūra lai izvairītos no šo programmu ievainojamībām. Lai redzētu, izmantojiet pakotņu pārvaldnieku instalētās programmas un noņemiet visus nevajadzīgos:

yum saraksts ir instalēts
$yum saraksta pakotne
$yum noņemt pakotni

dpkg -- saraksts
$ dpkg -- informācijas pakotne
$ apt-get noņemt pakotni

4. Viena automašīna - viens serviss

Darbiniet dažādus pakalpojumus atsevišķos serveros vai virtuālās mašīnas. Tas ierobežo to pakalpojumu skaitu, kurus var apdraudēt. Piemēram, ja uzbrucējs var uzlauzt Apache, viņš iegūs piekļuvi visam serverim. Tostarp tādi pakalpojumi kā MySQL, e-pasta serveris un tā tālāk. Virtualizācijai varat izmantot tādu programmatūru kā XEN vai OpenVZ.

5. Atjauniniet savu Linux kodolu un programmatūru

Drošības ielāpu uzlikšana ir ļoti svarīga Linux servera drošības uzturēšanas sastāvdaļa. Operētājsistēma nodrošina visus rīkus, lai sistēmu atjauninātu un atjauninātu uz jaunām versijām. Visi drošības atjauninājumi ir jāpiemēro pēc iespējas ātrāk. Arī šeit jums ir jāizmanto pakotņu pārvaldnieks. Piemēram:

Vai uz Debian balstītām sistēmām:

sudo apt atjauninājums un sudo apt jauninājums

Varat konfigurēt Red Hat vai Fedora, lai tas paziņotu jums pa e-pastu, kad ir pieejami jauni drošības atjauninājumi. Varat arī konfigurēt automātiskā atjaunināšana izmantojot cron, vai arī varat izmantot Debian aptcron, lai paziņotu, kad sistēma ir jāatjaunina.

6. Izmantojiet drošības paplašinājumus operētājsistēmā Linux

Linux operētājsistēmai ir dažādi drošības ielāpi, kurus var izmantot, lai aizsargātu pret nepareizu konfigurāciju vai ļaunprātīgu programmatūru. Taču varat izmantot arī papildu lietojumprogrammu piekļuves kontroles sistēmas, piemēram, SELinux vai AppArrmor.

SELinux nodrošina dažādas drošības politikas Linux kodolam. Šeit jūs varat kontrolēt piekļuvi visiem sistēmas resursiem, izmantojot lomas. Tikai programma, kuras loma to atļauj, var piekļūt konkrētam resursam, un pat superlietotāja tiesībām nav nozīmes. SELinux ievērojami palielina Linux sistēmas drošību, jo tiek ņemta vērā pat sakne parasts lietotājs. Sīkāka informācija ir aprakstīta atsevišķā rakstā.

7. Lietotāju konti un spēcīgas paroles

Izmantojiet komandas useradd un usermod, lai izveidotu un uzturētu lietotāju kontus. Pārliecinieties, ka jums ir laba un spēcīga parole, tajā jābūt vismaz astoņām rakstzīmēm, vēlams citos burtos, starp kuriem jābūt Īpaši simboli vai cipariem. Piemēram, 8 rakstzīmes, no kurām septiņas ir burti un viena ir simbols vai cipars. Izmantojiet tādus rīkus kā Jānis kaut kas lielisks, lai serverī atrastu vājas lietotāju paroles, un konfigurējiet pam_cracklib.so, lai ieviestu paroļu politiku.

8. Ik pa laikam mainiet paroles

Mainīšanas komanda ļauj norādīt dienu skaitu pirms piespiedu paroles maiņas datuma. Šo informāciju sistēma izmanto, lai noteiktu, kad lietotājam tā jāmaina. Šie iestatījumi atrodas mapē /etc/login.defs. Lai atspējotu paroles novecošanu, ievadiet šādu komandu:

mainiet lietotājvārdu -l

Lai iegūtu informāciju par paroles beigu virkni, ievadiet komandu:

Visu var konfigurēt arī manuāli failā /etc/shadow:

(lietotājs): (parole): (pēdējā_izmaiņa):(maximum_days): (minimālās_dienas): (Brīdinājums):(deaktivizēt):(derīguma_rindiņa):

  • Minimālās dienas- minimālais intervāls starp paroles maiņu, tas ir, cik bieži lietotājs var mainīt paroli.
  • Maksimālais dienu skaits- cik dienas parole būs derīga, pēc šī perioda lietotājs būs spiests paroli nomainīt.
  • Brīdinājums- dienu skaits, pēc kura lietotājs tiks brīdināts, ka viņam ir jāmaina parole.
  • Derīguma termiņš- dienu skaits no 1970. gada 1. janvāra, kad konts tiks pilnībā atspējots.

chage -M 60 -m 7 -W 7 lietotājvārds

Vēlams arī neļaut lietotājiem izmantot vecās paroles, pretējā gadījumā visi centieni viņus piespiest mainīt paroles tiks anulēti.

9. Bloķējiet kontus pēc neveiksmīgiem pieteikšanās mēģinājumiem

Operētājsistēmā Linux varat izmantot faillog komandu, lai skatītu neveiksmīgos lietotāju pieteikšanās mēģinājumus. Izmantojot to, varat arī iestatīt ierobežojumu neveiksmīgi mēģinājumi ieeja. Visa informācija par neveiksmīgiem pieteikšanās mēģinājumiem tiek saglabāta failā /var/log/faillog. Lai to apskatītu, ierakstiet:

Un, lai iestatītu ierobežojumu pieteikšanās mēģinājumiem konkrētam kontam, izmantojiet:

faillog -r -u lietotājs

Varat arī manuāli bloķēt vai atbloķēt kontus, izmantojot komandu passwd. Lai bloķētu lietošanu:

passwd -l lietotājs

Un, lai atbloķētu:

passwd -u lietotājs

Vēlams arī pārbaudīt, vai sistēmā nav konti ar tukšām parolēm. Lai to izdarītu, palaidiet:

awk -F: "($2 == "") (drukāt)" /etc/shadow

Pārbaudiet arī, vai nav lietotāju ar grupu vai ID 0. Šādam lietotājam jābūt tikai vienam, un tas ir root. Jūs varat pārbaudīt, izmantojot šo komandu:

awk -F: "($3 == "0") (drukāt)" /etc/passwd

Jābūt tikai vienai rindai:

root:x:0:0:root:/root:/bin/bash

Ja ir citi, izdzēsiet tos. Lietotāji un jo īpaši viņu vājās paroles ir viena no visneaizsargātākajām lietām, kas var sabojāt Linux drošību.

10. Atspējot root pieteikšanos

Lai uzturētu savas Linux sistēmas drošību, nekad nepiesakieties kā root lietotājs. Varat izmantot sudo, lai iegūtu nepieciešamās atļaujas un palaistu pareizā komanda superlietotāja vārdā. Šī komanda ļauj neizpaust superlietotāja paroli citiem administratoriem, kā arī satur rīkus darbību uzraudzībai, ierobežošanai un izsekošanai.

11. Servera fiziskā drošība

Linux servera drošībai ir jāietver fiziska drošība. Jums jāierobežo fiziskā piekļuve servera konsolei. Konfigurējiet BIOS tā, lai netiktu atbalstīta sāknēšana no ārējiem datu nesējiem, piemēram, DVD, CD, USB. Iestatiet arī paroli BIOS un GRUB sāknēšanas ielādētājā, lai aizsargātu to iestatījumus.

12. Atspējojiet nevajadzīgos pakalpojumus

Atspējojiet visus neizmantotos pakalpojumus un dēmonus. Tāpat neaizmirstiet noņemt šos pakalpojumus no startēšanas. Visu Red Hat sistēmu aktīvo pakalpojumu sarakstu var apskatīt ar komandu:

chkconfig --list | grep "3:on"

Lai atspējotu pakalpojuma izmantošanu:

servisa servisa apstāšanās
$ chkconfig pakalpojums ir izslēgts

Atrodiet visus portus, ko atver programmas:

To pašu var izdarīt, izmantojot nmap skeneri:

nmap -sT -O localhost

Izmantojiet iptables, lai aizvērtu visus portus, kuriem nevajadzētu būt pieejamiem no tīkla. Vai arī pārtrauciet nevajadzīgos pakalpojumus, kā aprakstīts iepriekš.

13. Noņemiet X serveri

X serveris servera datorā nav obligāts. Jums nav nepieciešams palaist grafisko vidi īpašā Apache vai e-pasta serverī. Noņemiet šo programmatūru, lai uzlabotu drošību un veiktspēju.

14. Konfigurējiet Iptables

iptables ir lietotāja kosmosa programma kodolā iebūvētā Netfilter ugunsmūra konfigurēšanai. Tas ļauj filtrēt visu trafiku un atļaut tikai noteiktus trafika veidus. Izmantojiet arī TCPWrappers — ACL sistēmu, lai filtrētu piekļuvi internetam. Izmantojot iptables, varat novērst daudzu veidu DOS uzbrukumus. Tīkla drošība operētājsistēmā Linux ir ļoti svarīgs vispārējās sistēmas drošības aspekts.

15. Konfigurējiet kodolu

/etc/sysctl.conf failā tiek glabāti kodola iestatījumi, kas tiek ielādēti un lietoti sistēmas startēšanas laikā.

Iespējot bufera pārpildes aizsardzības execshieldu:

kernel.exec-shield=1
kernel.randomize_va_space=1

Iespējot aizsardzību pret IP viltošanu:

net.ipv4.conf.all.rp_filter=1

Atspējot IP adreses novirzīšanu:

net.ipv4.conf.all.accept_source_route=0

Ignorēt apraides pieprasījumus:

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

Reģistrēt visus viltotos iepakojumus:

net.ipv4.conf.all.log_martians = 1

16. Sadaliet cieto disku

Cietā diska sadalīšana nodalījumos, pamatojoties uz failu mērķi, uzlabo Linux operētājsistēmu drošību. Ieteicams izveidot atsevišķas sadaļas šādiem direktorijiem:

  • /mājas
  • /var un /var/tmp

Izveidojiet atsevišķus nodalījumus Apache saknes direktorijiem un FTP serveri. Atveriet failu /etc/fstab un iestatiet īpašas opcijas nepieciešamajiem nodalījumiem:

  • noexec- šajā nodalījumā nepalaidiet nekādas programmas vai izpildāmos failus, ir atļauti tikai skripti
  • nodev- šajā nodalījumā neatļaut simboliskas vai īpašas ierīces.
  • nosuid- neatļaut SUID/SGID piekļuvi programmām no šīs sadaļas.

17. Izmantojiet diska vietas ierobežojumus

Ierobežojiet lietotājiem pieejamo diska vietu. Lai to izdarītu, mapē /etc/fstab izveidojiet diska kvotu, atkārtoti uzstādiet failu sistēmas un izveidojiet diska kvotu datu bāzi. Tas uzlabos drošību operētājsistēmā Linux.

18. Atspējojiet IPv6

Nākamās paaudzes interneta protokols IPv6 nākotnē aizstās jau izmantoto IPv4. Bet tālāk Šis brīdis Nav rīku, lai pārbaudītu uz IPv6 balstīta tīkla drošību. Daudzi Linux izplatījumi Atļaut izmantot IPv6 pēc noklusējuma. Hakeri var nosūtīt nevēlamu trafiku, administratoriem nevarot to izsekot. Tātad, ja jums nav nepieciešams šis pakalpojums, atspējojiet to.

19. Atspējojiet neizmantotos SUID un SGID bināros failus

Visi izpildāmie faili, kuriem ir iespējots SUID vai SGID karodziņš, ir potenciāli bīstami. Šis karodziņš nozīmē, ka programma tiks izpildīta ar superlietotāja tiesībām. Tas nozīmē, ka, ja programmā ir kāda ievainojamība vai kļūda, tad vietējā vai attālais lietotājs varēs izmantot šo failu. Atrodiet visus šādus failus, izmantojot šo komandu:

atrast / -perm +4000

Atrodiet failus ar SGID karogu:

atrast / -perm +2000

Vai arī apvienosim to visu vienā komandā:

atrast / \(-perm -4000 -o -perm -2000 \) -print
$ atrast / -ceļš -plūme -o -tipa f -perm +6000 -ls

Jums būs detalizēti jāizpēta katrs atrastais fails, lai saprastu, cik nepieciešams ir konkrēts fails.

20. Publiskie faili

Ir arī ieteicams atrast failus, kurus var modificēt visi sistēmas lietotāji. Lai to izdarītu, izmantojiet šādu komandu:

atrast /dir -xdev -type d \(-perm -0002 -a ! -perm -1000 \) -print

Tagad jums ir jāpārbauda, ​​vai katra faila grupas un īpašnieka tiesības ir iestatītas pareizi un vai tas nerada drošības risku.

Ir arī ieteicams atrast visus failus, kas nevienam nepieder:

atrast /dir -xdev \(-nouser -o -nogroup \) -print

21. Izmantot centralizētu autentifikācijas sistēmu

Ja nav centralizētas autentifikācijas sistēmas, lietotāja dati kļūst nekonsekventi, kā rezultātā var novecot akreditācijas dati un aizmirst konti, kurus jau sen vajadzēja dzēst. Centralizēts pakalpojums ļaus jums saglabāt kontroli pār lietotāju kontiem un autentifikācijas datiem dažādos veidos Linux sistēmas un Unix. Varat sinhronizēt autentifikācijas datus starp serveriem. Bet neizmantojiet NIS pakalpojumu, labāk meklējiet Open DAP.

Viena no interesantajām šādas sistēmas ieviešanām ir Kerberos. Tas ļauj lietotājiem autentificēties, izmantojot privāto atslēgu tīklos, kur paketes var pārtvert un modificēt. Kerberos izmanto simetrisku atslēgu, lai šifrētu datus, un, lai darbotos, ir nepieciešams atslēgu pārvaldības centrs. Varat konfigurēt attālo pieteikšanos, attālo kopēšanu, drošu failu kopēšanu starp sistēmām un citus uzdevumus ar augstu drošības līmeni.

22. Mežizstrāde un audits

Iestatiet reģistrēšanu un auditēšanu, lai apkopotu un saglabātu visus neveiksmīgos pieteikšanās un uzlaušanas mēģinājumus. Pēc noklusējuma visi žurnāli vai vismaz lielākā daļa no tiem atrodas mapē /var/log/. Par to, par ko ir atbildīgi daži cilvēki, mēs runājām sīkāk atsevišķā rakstā.

Varat skatīties žurnālus, izmantojot tādas utilītas kā logwatch vai logcheck. Tie ļoti atvieglo žurnālu lasīšanu. Varat skatīt nevis visu failu, bet tikai jūs interesējošos notikumus, kā arī nosūtīt sev paziņojumu pa e-pastu.

Pārraugiet sistēmu, izmantojot auditēto pakalpojumu. Programma ieraksta diskā visus audita notikumus, kas jūs interesē. Visi audita iestatījumi tiek saglabāti failā /etc/audit.rules. Kad sistēma startē, pakalpojums nolasa visus noteikumus no šī faila. Varat to atvērt un konfigurēt visu pēc vajadzības vai izmantot atsevišķa utilīta- auditctl. Varat konfigurēt sekojošo:

  • Sistēmas palaišanas un izslēgšanas notikumi
  • Pasākuma datums un laiks
  • Lietotāja notikumi (piemēram, piekļuve noteiktam failam)
  • Notikuma veids (rediģēt, piekļūt, dzēst, rakstīt, atjaunināt utt.)
  • Veiksme vai neveiksme pasākuma izpildē
  • Ierakstīšanas tīkla iestatījumi maina notikumus
  • Ierakstiet lietotāju un grupu izmaiņas
  • Failu izmaiņu uzraudzība

23. Nodrošiniet savu OpenSSH serveri

Atļaut izmantot tikai 2. protokolu:

Atspējot pieteikšanos kā superlietotājam:

24. Instalējiet IDS

IDS vai ielaušanās noteikšanas sistēma mēģina atklāt aizdomīgas, ļaunprātīgas darbības, piemēram, DOS uzbrukums, portu skenēšana vai pat mēģinājums uzlauzt datoru, uzraugot tīkla trafiku.

Laba prakse ir izvietot šādu programmatūru, pirms sistēma tiek pakļauta internetam. Varat instalēt AIDE, kas ir HIDS (uz resursdatora balstīta IDS), kas var pārraudzīt visus jūsu sistēmas iekšējos aspektus.

Snort ir programmatūra tīkla ielaušanās mēģinājumu noteikšanai. Tas spēj analizēt un reģistrēt paketes un analizēt tīkla trafiku reālajā laikā.

25. Aizsargājiet savus failus un direktorijus

Linux ir lieliska aizsardzība pret nesankcionētu piekļuvi failiem. Tomēr Linux un failu sistēmas noteiktās atļaujas neko nenozīmē, ja uzbrucējam ir fiziska piekļuve datoram un viņš var vienkārši izveidot savienojumu. HDD datoru uz citu sistēmu, lai kopētu savus datus. Bet jūs varat viegli aizsargāt savus failus ar šifrēšanu:

  • Lai šifrētu un atšifrētu failu, izmantojot paroli, izmantojiet GPG
  • Varat arī aizsargāt failus, izmantojot OpenSSL
  • Direktoriju šifrēšana tiek veikta, izmantojot ecryptfs
  • TrueCrypt ir bezmaksas diska šifrēšanas rīks operētājsistēmām Windows un Linux

secinājumus

Tagad Linux OS drošība jūsu datorā tiks ievērojami palielināta. Neaizmirstiet laiku pa laikam iestatīt sarežģītas paroles. Komentāros ierakstiet savu iecienītāko sistēmas drošības rīku.

Informācijas aizsardzība ir prioritārs jautājums jebkuram uzņēmumam, kas darbojas internetā. Vīrusu infekcijas un ārējie uzbrukumi, kā arī nesankcionēta piekļuve informācijai - tas viss rada lielus finansiālus un reputācijas riskus. Tāpēc, izvēloties servera platformu, uzņēmumu īpašnieki vienmēr interesējas par resursu drošības pakāpi.
Un, lai pārbaudītu, cik labi darbojas drošības sistēma un vai tajā nav ievainojamību vai caurumu, ieteicams vismaz reizi mēnesī veikt servera drošības auditu.

Kas ir iekļauts servera drošības auditā

Pat šķietami nenozīmīgs faktors, piemēram, nepareizi paša servera iestatījumi vai novecojusi programmatūra, var kļūt par drošības apdraudējumu. Audits palīdz identificēt drošības nepilnības un savlaicīgi veikt pasākumus to novēršanai pirms inficēšanās vai datu zādzības.
Servera administrators pārbauda instalēto programmatūru un tās atbilstību jaunākie atjauninājumi, novērtē servera drošības iestatījumus un novērš kļūdas, ja tādas ir, kā arī analizē darbinieku piekļuves tiesību iestatījumu atbilstību noteiktiem resursiem.

Kā pats pārbaudīt virtuālo serveri

Katrs lietotājs var pārbaudīt serveru drošību uz Windows vai Linux platformām, lai to izdarītu, nav nepieciešamas speciālas programmēšanas zināšanas.
Drošības pārbaudi var iedalīt vairākos posmos:

Fiziskā piekļuve

Izdalītā servera gadījumā fiziskā piekļuve trešo pušu serverim pēc noklusējuma ir ierobežota; to nodrošina datu centrs. Bet lietotājs var papildus iestatīt paroli, lai piekļūtu BIOS.

Ugunsmūris

Lai nepārtraukti uzraudzītu programmatūru un portus, tai jābūt pareizi konfigurētai un iespējotai. Windows ugunsmūris. Linux sistēmā piekļuves kontrolei varat izmantot SELinux sistēmu. Pie mums varat arī iznomāt Cisco ASA vai Fortinet FortiGate 60D aparatūras ugunsmūri.

Failu sistēma

Meklēt atjauninājumus

Konfigurējiet serveri, lai automātiski saņemtu un instalētu atjauninājumus.

Paroles politika

Instalējiet, izmantojot vietējās politikas Windows drošība Obligāti ir jāpieprasa sarežģītas paroles, to derīguma termiņš, kā arī konta bloķēšana pēc vairākām neveiksmīgām autorizācijām vai tukšas paroles ievadīšanas.

Baļķu kontrole

Iespējojiet kritiskās infrastruktūras segmentu reģistrēšanu un regulāri pārbaudiet tos.

Tīkla drošība

Ieteicams izmantot VPN un VLAN resursdatora segmentēšanai un saišu drošībai.
Jāmaina arī noklusējuma iestatījumi un jāpārsūta tīkla aprīkojuma apkalpošanas porti.
Varat izmantot pakalpojumu IPsec, lai šifrētu trafiku. Un, lai skatītu atvērtos portus, izmantojiet Netstat utilītu.

Piekļuves kontrole

Ierobežojiet lietotāju piekļuves tiesības kritiskiem failiem, atspējojiet viesa piekļuvi un lietotājus ar tukšām parolēm. Atspējojiet neizmantotās lomas un lietojumprogrammas serverī.

Dublējums

Izmantojiet failu dublēšanas pakalpojumu, tas ir izdevīgi un uzticami. Neglabājiet dublējumkopijas nešifrētās. Ja nomājat serveri no mums, varat izvēlēties vietu dublēšanai.

Piekļuve datu bāzei

Kritiskās datu bāzes jāglabā dažādos SQL serveros. Palaišana ir jākonfigurē kā lietotājam ar minimālām tiesībām vai no iepriekš konfigurēta IP adrešu baltā saraksta.

Pretvīrusu aizsardzība

Lai darbinātu serveri Windows instalēšana Ja lietotāji strādā ar tīkla krātuvi, ieteicams automātiski atjaunināt pretvīrusu programmatūru. Priekš Linux instalēšana nav nepieciešams antivīruss, ja tiek regulāri uzraudzīta servera drošība un kontrolēta nesankcionēta piekļuve. Šim nolūkam var būt noderīga utilīta Tiger.

Šāds audits reizi mēnesī palīdzēs pārbaudīt servera pareizu darbību, novērst ievainojamības un uzraudzīt tīkla infrastruktūras drošību.

Lielākā daļa uzņēmumu un daudzkomponentu sistēmu, piemēram, SAP , Oracle DB izmanto savā platformā operētājsistēma balstoties uz Linux . Ņemot to vērā, viņiem tiek pievērsta tik liela IT auditoru uzmanība. Šodien šajā rakstā mēs iepazīstināsim jūsu uzmanību ar vairākiem bezmaksas rīkiem, kas tiek piedāvāti skriptu veidā un izmantojot standarta OS mehānismus, lai nodrošinātu ātru drošības konfigurācijas auditu.

Tālāk aprakstītās sistēmas komandas un skripti, kas tiek izmantoti Linux OS sistēmu drošības opciju tūlītējai pārbaudei, ir balstīti uz drošības pārbaudes ieteikumiem, ko ISACA kopiena publicējusi UNIX/LINUX operētājsistēmas drošības audita/nodrošināšanas programmas rokasgrāmatā.

1. Konta pārbaude

1.1. Saraksta visus lietotājus
Lietotāju saraksts tiek saglabāts failā /etc/passwdfile. Lai iegūtu lietotāju sarakstu, varat izmantot šādu skriptu:

  1. bin/bash
  2. # Userlistinthesystem.sh
  3. # skaits un uzskaita esošos “īstos” lietotājus sistēmā.
  4. echo “[*] Esošie lietotāji (kārtoti alfabēta secībā):”
  5. grep '/bin/bash' /etc/passwd | grep -v 'sakne' | izgriezt -f1
  6. -d':' | kārtot
  7. echo -n “[*] Atrasto reālo lietotāju skaits: “
  8. grep '/bin/bash' /etc/passwd | grep -v 'sakne' | wc -l
1.2. Bloķēto kontu saraksts
Audita laikā ir nepieciešams pārbaudīt bloķēto un atbloķēto lietotāju sarakstu ( konta vārds ). Šim nolūkam darbosies šāda komanda:
  1. #!/bin/bash
  2. # passwd –s accountName

1.3 Skatīt statistiku par visiem lietotājiem

  • Revidentam ir jānodrošina, ka komanda ac iekļauts sistēmā, lai pārskatītu lietotāja darbības:
    1. #!/bin/bash
    Lai skatītu lietotāja savienojuma sesijas aktivitātes ar katras dienas kopsummu, izmantojiet komandu:
    1. #!/bin/bash
    2. # ac -d
    Lai parādītu informāciju par lietotāja savienojuma sesijas aktivitāti (stundās). "lietotājs" :
    1. #!/bin/bash
    2. # maiņstrāvas lietotājs
    1.4. Lietotāja darbību skatīšana
    Tiek palaists psacct vai acct sistēmas lietojumprogrammas fons un uzraudzīt katra lietotāja darbību sistēmā, kā arī viņa patērētos resursus. Lai pārbaudītu lietotāja darbību sistēmā, palaidiet šādu skriptu:
    1. #!/usr/bin/envksh
    2. pēdējais -Fa|awk ‘
    3. /wtmp sākas/ (nākamais; )
    4. /joprojām pieteicies/ (nākamais; )
    5. $0 == atsāknēšana (nākamais; )
    6. NF > 0 (
    7. ja(NR > 1)
    8. printf("
      ”);
    9. printf("Lietotājs:t%s
      ”, 1 USD); #lietotājs
    10. printf (“Sākt:t%s %s %s %s
      ”, $3, $4, $5, $6);
    11. if ($9 == "uz leju")
    12. printf("Beigas:tshutdown
      ”);
    13. printf (“Beigas:t%s %s %s %s
      ”, $9, $10, $11, $12);
    14. if(substr ($NF, 1, 1) == "(")
    15. t = $NF;
    16. h = “localhost”;
    17. t = $(NF-1);
    18. h = $NF;
    19. gsub("[()]", "", t);
    20. printf("Ieslēgšanās laiks:t%s
      ”, t);
    21. printf("Attālais resursdators:t%s
      ”, h);

    • 2. Paroles politikas pārbaude

    2.1. Konti ar tukšu paroli
    Audita laikā ir jāpārliecinās, vai sistēmā nav vai nav bloķēti konti, kas ļauj pieteikties sistēmā, neievadot paroli. Šo noteikumu var pārbaudīt ar komandu:

    # kaķis /etc/shadow | awk -F: ($2==””)(drukāt $1)'

    2.2 Paroles sarežģītības pārbaude
    Audita laikā ir nepieciešams pārbaudīt paroles sarežģītības iestatījumus, lai samazinātu brutāla spēka (brutāla spēka) vai vārdnīcas uzbrukumu risku parolei. Lai iestatītu šo noteikumu savā sistēmā, jums ir jāizmanto spraudņu autentifikācijas moduļi (PAM).
    Auditors var pārbaudīt atbilstošo iestatījumu konfigurācijas failā:

    # vi /etc/pam.d/system-auth

    2.3 Paroles derīguma termiņa pārbaude

    Audita laikā jums jāpārbauda paroles derīguma termiņa iestatījums. Lai pārbaudītu paroles derīguma termiņu, jums jāizmanto komanda mainīt. Šī komanda parāda detalizētu informāciju par paroles derīguma termiņu, kā arī datumu, kad tā pēdējo reizi mainīta.
    Lai skatītu informāciju par paroļu “vecumu”, tiek izmantota šāda komanda:

    #chage -l lietotājvārds

    Lai mainītu paroles derīguma termiņu konkrētam lietotājam, varat izmantot tālāk norādītās komandas:

    #chage -M 60 lietotājvārds
    #chage -M 60 -m 7 -W 7 lietotājvārds

    Iespējas (lai iestatītu paroles derīguma termiņu):
    -M – maksimālais derīguma termiņš dienās.
    -m – minimālais derīguma termiņš dienās.
    -W – brīdinājuma iestatījums dienās.

    2.4 Dublētu paroļu izmantošana
    Sistēmas autorizācijas iestatījumiem jāatbilst paroles politikai. Fails, kurā ir paroles vēsture, atrodas /etc/security/opaswd. Lai pārbaudītu, jums jāveic šādas darbības:

    RHEL: atveriet failu "/etc/pam.d/system-auth":

    # vi /etc/pam.d/system-auth

    Ubuntu/Debian/Linux Mint: atveriet failu “/etc/pam.d/common-password”:

    # vi /etc/pam.d/common-password

    Sadaļai “auth” pievienojiet šādu rindiņu:

    auth pietiekams pam_unix.so likeauthnullok

    Lai novērstu pēdējo sešu paroļu izmantošanu, pievienojiet šādu rindiņu:

    Parole pietiekama pam_unix.so nullokuse_authtok md5 shadow Remember=6

    Pēc komandas izpildes sistēma saglabās iepriekšējo sešu paroļu vēsturi, un, ja kāds lietotājs mēģinās atjaunināt paroli, izmantojot kādu no pēdējām sešām, viņš saņems kļūdas ziņojumu.

    3. Droša savienojuma iestatījumi
    Protokoli attālais savienojums Telnet un Rlogin sistēmai ir ļoti veci un neaizsargāti, jo parole tiek pārraidīta tīklā nešifrētā veidā. Attālinātam un drošam savienojumam ir jāizmanto drošs protokols Secure Shell (SSH). Revidentam arī jānodrošina šī iespēja root pieteikšanās atspējots, mainīts noklusējuma SSH ports, attālā piekļuve attiecas tikai uz konkrētiem autorizētiem lietotājiem. Pārbaudāmie iestatījumi atrodas SSH konfigurācijas failā:

    1. # vi /etc/ssh/sshd_config

    3.1. Pieteikšanās kā superlietotājs (saknes pieteikšanās)

    Revīzijas laikā revidentam ir jāpārbauda aizliegums attālā pieteikšanās sistēmā ar root superlietotāja tiesībām.

    # PermitRootLogin = jā
    3.2. SSH pieteikšanās pakalpojuma konta pārbaude

    Audita laikā auditoram ir jāpārbauda pakalpojuma konts ar bezparoles SSH pieteikšanās vērtību. Parasti, sistēmas administratori izmantojiet šo funkciju ieprogrammētajiem rezerves kopijas, pārsūtot failus un palaižot skriptus tālvadības pults režīmā.

    Pēdējo reizi pārbaudiet, vai sshd_config iestatījumi (/etc/ssh/sshd_config) ir pareizi.

    # AtļautRootLogin bez paroles

    # RSAAautentifikācija = jā

    # PubkeyAuthentication = jā

    3.3. Piekļuves sarakstu pārbaude programmās DenyHosts un Fail2ban
    Audita laikā jums jāpārbauda piekļuves saraksta iestatījumi DenyHosts Un Fail2ban . Tie ir skripti, ko izmanto, lai uzraudzītu un analizētu SSH piekļuves žurnālus un aizsargātu pret paroles brutālā spēka uzbrukumiem.

    DenyHosts funkcijas:

    • saglabā un izseko žurnālus no faila /var/log/secure , atzīmējot visus veiksmīgos un neveiksmīgos pieteikšanās mēģinājumus, un filtrē tos.
    • uzrauga neveiksmīgos pieteikšanās mēģinājumus
    • sūta pa e-pasts paziņojums par bloķētiem saimniekiem un aizdomīgi mēģinājumi ieeja
    Fail2ban funkcijas:
    • Saglabā un izseko žurnālus no failiem /var/log/secure Un /var/log/auth.log , /var/log/pwdfail
    • ļoti pielāgojama un ar vairākiem pavedieniem
    • regulāri uzrauga žurnālfailus

    4. Sistēmas žurnālu pārbaude
    Audita laikā jums jāpārliecinās, vai darbojas SysLog dēmons un visi būtiskie notikumi, kas notiek sistēmā, tiek reģistrēti notikumu žurnālos. Audita laikā ir arī jāpārliecinās, ka notikumu žurnālu glabāšanas politikā tiek ņemtas vērā spēkā esošās likumdošanas un drošības politikas prasības.

    4.1 Notikumu žurnāli operētājsistēmā Linux:

    /var/log/auth.log – autorizācijas sistēmas žurnāls (pieteikšanās un autentifikācijas mehānisms).
    /var/log/dpkg.log – pakotņu instalēšanas/noņemšanas žurnāls, izmantojot dpkg.
    /var/log/yum.log – pakotņu instalēšanas/noņemšanas žurnāls, izmantojot yum.
    /var/log/faillog – neveiksmīgo pieteikšanās mēģinājumu žurnāls un to maksimālais skaits katram kontam.
    /var/log/kern.log — kodola žurnāls (detalizēts Linux kodola ziņojumu žurnāls).
    /var/log/maillog vai /var/log/mail.log – pasta servera žurnāls.
    /var/log/wtmp – pieteikšanās žurnāls (visu sistēmas lietotāju reģistrācijas laiks un darba ilgums).
    /var/run/utmp – informācija par šobrīd sistēmā reģistrētajiem lietotājiem.
    /var/log/lastlog – iepriekšējo pieteikšanos ieraksti.
    /var/log/boot – informācija, kas tiek reģistrēta sistēmas sāknēšanas laikā

    5. Aizsargājiet sistēmas failus

    5.1. GRUB sāknēšanas ielādētāja aizsardzība

    Lai aizsargātu GRUB sāknēšanas ielādētāju, administratoram ir jāizmanto paroles šifrēšana MD5 formāts :

    # grub-md5-crypt

    Pēc komandas izpildīšanas administratoram ir jāatver fails /boot/grub/menu.lst vai /boot/grub/grub.conf un pievienojiet MD5 paroli:

    # vi /boot/grub/menu.lst

    # vi /boot/grub/grub.conf

    Var pievienot jaunizveidoto MD5 paroli konfigurācijas fails GRUB.

    5.2 Sāknēšanas direktorija /BOOT aizsardzība

    Audita laikā ir nepieciešams pārbaudīt direktorijas statusu /boot jo sistēmas kodols un saistītie faili atrodas direktorijā /boot. Lai novērstu nesankcionētu modifikāciju, šim direktorijam ir jānodrošina tikai lasīšanas piekļuve. svarīgi faili sistēmā. Lai pārbaudītu, atveriet /etc/fstab failu un pārbaudiet konfigurāciju:

    Failā jāsatur rindiņa:

    LABEL=/boot /boot ext2 defaults,ro 1 2

    5.3 Atvērto portu un aktīvo savienojumu pārbaude

    Lai pārbaudītu sistēmā darbotos pakalpojumus, var izmantot šādu skriptu:

    #!/bin/bash
    if (($(ps -ef | grep -v grep | grep $service | wc -l) > 0))
    tad
    echo “$service darbojas!!!”
    cits
    /etc/init.d/$service start
    Fi

    Skatīt tīkla savienojumi

    # netstat -anop
    vai
    # lsof -i(lsof -ni)
    vai
    # iptraf

    Klausīšanās porti
    Izmantojot Netstat komandu, varat apskatīt visus atvērtos portus un ar tiem saistītās komandas. Skripta piemērs:

    #netstat–tulpn
    Portu skenēšanas skripts ir:
    skenēt() (
    ja [[ -z $1 || -z $2 ]]; tad
    echo “Lietošana: 0 $
    atgriezties
    fi
    vietējais saimniekdators = 1 $
    vietējās ostas=()
    korpuss 2 collas
    *-*)
    IFS=- lasīt sākuma beigas<<< “$2”
    for ((ports=sākt; ports<= end; port++)); do
    porti+=($ports)
    darīts
    ;;
    *,*)
    IFS=, lasīt -ra porti<<< “$2”
    ;; *)
    porti+=($2) ;;
    esac
    portam “$(ports[@])”; darīt
    trauksme 1 “echo >/dev/tcp/$host/$port” &&
    echo “ports $port ir atvērts” ||
    echo “ports $ports ir slēgts”
    darīts
    }

    Ugunsmūris iptables

    Audita laikā jums jāpārbauda Linux ugunsmūra konfigurācija, lai novērstu nesankcionētu piekļuvi. Lai kontrolētu trafiku, iptables ir jāizveido noteikumi, kas filtrēs ienākošās, izejošās un pārsūtītās paketes, pamatojoties uz IP adresi un TCP/UDP porta numuru.

    # iptables -n -L -v --rindas numuri

    ICMP/apraides pieprasījumi

    Audita laikā ir jāpārbauda, ​​vai sistēmas ir konfigurētas, lai ignorētu ping un apraides pieprasījumus. Lai to izdarītu, pārliecinieties, ka failā “/etc/sysctl.conf” ir pievienotas šādas rindas:

    # ignorēt ICMP pieprasījumus:
    net.ipv4.icmp_echo_ignore_all = 1
    # ignorēt apraides pieprasījumus:
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    5.4 Instalēto atjauninājumu pārbaude

    Sistēmā ir jāinstalē jaunākie atjauninājumi:

    # jauki atjauninājumi
    # yum check-update

    6. Automātiski izpildīto CRON darbu pārbaude

    Revidentam ir jāpārbauda, ​​kam ir atļauts un kam nav atļauts veikt cron darbus. Piekļuve cron tiek kontrolēta, izmantojot failus /etc/cron.allow Un /etc/cron.deny.

    # echo ALL >>/etc/cron.deny

    7. SELINUX piespiedu drošības režīma pārbaude

    Audita laikā ir svarīgi pārbaudīt statusu SELinux . Šis mehānisms ir jāiespējo sistēmā.
    Ir trīs režīmi SELinux :

    • Piemērošana: SELinux politika ir piespiedu kārtā. SELinux liedz piekļuvi, pamatojoties uz SELinux politikas noteikumiem.
    • Atļauja: SELinux politika netiek īstenota. SELinux neaizliedz piekļuvi, taču atteikumi tiek reģistrēti kā darbības, kas tiktu liegtas, ja politika tiktu pārslēgta uz izpildes režīmu.
    • Atspējots: SELinux ir atspējots. Tiek izmantoti tikai diskrēti DAC noteikumi.

    Audita laikā varat izmantot šādu skriptu, lai pārbaudītu SELinux statusu vai izmantotu sistēmas-configselinux, getenforce vai sestatus komandas:

    ENABLED=`cat /selinux/enforce`
    ja [ “$ENABLED” == 1 ]; tad
    echo “SELinux ir iespējots, atspējot? (Jā nē):"
    lasīt atspējot
    if [ $disable == "jā" ]; tad
    echo “selinux atspējošana”
    iestatījums 0
    fi
    fi

    LBSA skripts, lai pārbaudītu pamata drošības opcijas

    LBSA (Linux pamata drošības audita skripts) ir pamata skripts Linux sistēmu drošības konfigurācijas auditēšanai. Skripts ir jāpalaiž no komandrindas ar privilēģijām sakne vai ideālā gadījumā palaist regulāri, izmantojot cron plānotāju, lai sistemātiski pārbaudītu konfigurācijas izmaiņas.

    Šī skripta mērķis ir nepārprotami pārbaudīt drošības iestatījumus un augšupielādēt ziņojumu, kurā aprakstīti iespējamie parametri, kurus var mainīt, lai nodrošinātu augstāku drošības pakāpi. Ja nevienai opcijai nav ieteikumu, skripts vienkārši parāda vienu rindiņu ar čeka apstrādi, un galīgais lēmums vienmēr paliek administratora ziņā. Pirms skenēšanas, izstrādātāji stingri iesaka izlasīt rokasgrāmatu un izpētīt ieteicamās sadaļas, lai iegūtu plašāku informāciju.

    Pašreizējā izdevumā (versija 1.0.49) skripts skenē šādas opcijas:

    • ievainojamības konta iestatījumos
    • ievainojamības SSH iestatījumos
    • ievainojamības pagaidu direktorijās un RAM ielādētās failu sistēmas direktorijos (piemēram, /tmp, /var/tmp /dev/)
    • failu atļaujas, sistēmas direktoriju stāvoklis
    • DRBD un Hearbeat pakalpojumu konfigurācija

    Skripts ir diezgan liels, tāpēc mēs to nelikām lapā.

    Šajā materiālā mēs iepazīsimies ar galvenajām Linux sacietēšanas utilītprogrammām. Krievu valodā to sauc par "Linux sistēmu drošības līmeņa pārbaudi un konfigurāciju pareizības novērtēšanu no informācijas drošības viedokļa". Protams, mēs ne tikai pārskatīsim programmas, bet arī sniegsim to izmantošanas piemērus.

    Savs auditors vai sava drošība

    Administratori un vēl jo vairāk informācijas drošības auditori bieži vien saskaras ar uzdevumu ļoti īsā laikā pārbaudīt liela skaita resursdatoru drošību. Un, protams, šo problēmu risināšanai Enterprise segmentā ir specializēti rīki, piemēram, piemēram, tīkla drošības skeneri. Esmu pārliecināts, ka tie visi — no atvērtā avota OpenVAS dzinēja līdz komerciāliem produktiem, piemēram, Nessus vai Nexpose – ir zināmi mūsu lasītājiem. Tomēr šī programmatūra parasti tiek izmantota, lai meklētu novecojušu un tāpēc neaizsargātu programmatūru un pēc tam palaistu ielāpu pārvaldību. Turklāt ne visi skeneri ņem vērā dažas īpašas Linux un citu atvērtā pirmkoda produktu iebūvēto aizsardzības mehānismu iezīmes. Un visbeidzot, svarīga ir emisijas cena, jo komerciālus produktus var atļauties tikai uzņēmumi, kas šim biznesam atvēl budžetu.

    Tāpēc šodien mēs runāsim par specializētu brīvi izplatītu utilītu komplektu, kas var diagnosticēt pašreizējo sistēmas drošības līmeni, novērtēt iespējamos riskus, piemēram, "papildu pakalpojumu" izkliedēšanu internetā vai nedrošu noklusējuma konfigurāciju un pat piedāvāt iespējas novērst konstatētos trūkumus. Vēl viena šo rīku izmantošanas priekšrocība ir iespēja replicēt standarta fermas testēšanas scenārijus no jebkura skaita Linux sistēmu un izveidot dokumentētu testa bāzi žurnālu un atsevišķu pārskatu veidā.

    Drošības audita praktiskie aspekti

    Ja paskatās ar auditora acīm, testēšanas pieeju var iedalīt divos veidos.

    Pirmkārt- tā ir atbilstība tā sauktajām atbilstības prasībām, šeit tiek pārbaudīta jebkurā starptautiskajā standartā vai “labākajā praksē” noteikto obligāto drošības elementu esamība. Klasisks piemērs ir PCI DSS prasības maksājumu IT sistēmām, SOX404, NIST-800 sērija,.

    Otrkārt- Šī ir tīri racionāla pieeja, kuras pamatā ir jautājums "Ko vēl var darīt, lai stiprinātu drošību?" Nav obligātu prasību – tikai tavas zināšanas, skaidra galva un izveicīgas rokas. Piemēram, tā ir kodola versijas un/vai lietojumprogrammu pakotņu atjaunināšana, ugunsmūra iespējošana, piespiešana un iestatīšana.

    Visu, kas attiecas uz otro pieeju, parasti sauc par īpašu terminu Rūdīšana, ko var definēt arī kā "darbības, kuru mērķis ir uzlabot operētājsistēmas (vai programmas) sākotnējās drošības līmeni, galvenokārt izmantojot standarta līdzekļus."

    Atbilstība atbilstības prasībām parasti tiek pārbaudīta, gatavojoties obligātajam auditam, piemēram, PCI DSS vai citam sertifikācijas auditam. Lielāku uzmanību pievērsīsim Hardening komponentam. Visi lielākie izstrādātāji piedāvā saviem produktiem Sacietēšanas vadlīnijas- rokasgrāmatas, kas satur padomus un ieteikumus, kā stiprināt drošību, ņemot vērā standarta drošības mehānismus un programmatūras specifiku. Tātad, Red Hat, Debian, Oracle, Cisco ir līdzīgas rokasgrāmatas.

    INFORMĀCIJA

    Sacietēšana ir termins no informācijas drošības pasaules, kas attiecas uz sistēmas (programmas) drošības nodrošināšanas procesu, samazinot tās ievainojamību un, kā likums, izmantojot tikai standarta utilītus vai aizsardzības mehānismus.

    Sudo apt-get atjauninājums sudo apt-get install lynis

    Un uz RPM orientētiem izplatījumiem (pēc atbilstošo repozitoriju pievienošanas):

    Yum instalējiet linus -y

    Instalēšana operētājsistēmā macOS:

    $ brew meklēt lynis $ brew instalēt Lynis

    Lai palaistu Lynis, jānorāda tikai viena atslēga. Piemēram, lai palaistu visus pieejamos testus, jānorāda slēdzis -c (pārbaudīt visu):

    # Tipisks testu komplekts sudo lynis audita sistēma # Pilns testu komplekts sudo lynis audit system -c # Attālās saimniekdatora audita sistēmas attālā skenēšana







    Pirms audita vienmēr ir ieteicams pārbaudīt, vai ir pieejama jauna Lynis versija:

    Lynis atjauninājumu informācija un Lynis atjauninājumu pārbaude

    Lynis utilītai papildus standartam ir vēl viens režīms - Nepriviliģēta palaišana:

    Lynis audits --pentest

    Ja vēlaties ievietot tā auditora vārdu, kurš sāka testēšanu, vienkārši pievienojiet parametru -auditor :

    Sudo lynis audita sistēma -c -auditor Daddy

    Jebkurā audita posmā verifikācijas procesu var turpināt (Enter) vai piespiedu kārtā pārtraukt (Ctrl+C). Veikto testu rezultāti tiks ierakstīti Lynis žurnālā /var/log/lynis.log . Lūdzu, ņemiet vērā, ka žurnāls tiks pārrakstīts katru reizi, kad tiek palaista utilīta.

    Lai sistemātiski pārbaudītu automātiskajā režīmā, varat piešķirt atbilstošo darbu Cron plānotājam, izmantojot slēdzi -cronjob. Šajā gadījumā utilīta tiks palaista saskaņā ar norādīto veidni (config), un tajā netiks rādīti nekādi interaktīvi ziņojumi, jautājumi vai brīdinājumi. Visi rezultāti tiks saglabāti žurnālā. Piemēram, šeit ir skripts utilīta palaišanai ar noklusējuma konfigurāciju reizi mēnesī:

    #!/bin/sh AUDITORS="automatizēts" DATE=$(datums +%Y%m%d) HOST=$(resursdatora nosaukums) LOG_DIR="/var/log/lynis" REPORT="$LOG_DIR/report-$( HOST).$(DATE)" DATA="$LOG_DIR/report-data-$(HOST).$(DATE).txt" cd /usr/local/lynis ./lynis -c –auditors "$(AUDITORS)" –cronjob > $(REPORT) mv /var/log/lynis-report.dat $(DATA) # End

    Saglabājiet šo skriptu direktorijā /etc/cron.monthly/lynis. Un neaizmirstiet pievienot ceļus žurnālu saglabāšanai (/usr/local/lynis un /var/log/lynis), pretējā gadījumā tas var nedarboties pareizi.

    Jūs varat redzēt visu zvanīšanai pieejamo komandu sarakstu:

    Lynis parāda komandas

    Īpaši ziņkārīgie var apskatīt iestatījumus no noklusējuma konfigurācijas:

    Lynis parāda iestatījumus

    Īsi norādījumi par utilīta lietošanu:

    Man lynis

    Iespējamo statusu opcijas, pamatojoties uz pārbaudes rezultātiem, ir ierobežotas ar šādu sarakstu: NAV, VĀJS, GATAVS, ATRAST, NOT_FOUND, OK, BRĪDINĀJUMS.


    Individuālo testu vadīšana Lynis

    Praksē var būt nepieciešams veikt tikai dažas pārbaudes. Piemēram, ja jūsu serveris veic tikai pasta servera vai Apache funkcijas. Šim nolūkam mēs varam izmantot parametru -tests. Komandas sintakse ir šāda:

    Lynis -pārbauda "Test-ID"

    Ja jums to ir grūti saprast lielā testa identifikatoru skaita dēļ, varat izmantot grupas parametru -test-category . Izmantojot šo opciju, Lynis palaiž tikai tos testa ID, kas ietilpst noteiktā kategorijā. Piemēram, mēs plānojam palaist ugunsmūra un kodola testus:

    ./lynis -tests-category "ugunsmūra kodols"

    Turklāt Lynis funkcionalitāti paplašina dažādi spraudņi, kurus varat pievienot pats, vai arī varat pievienot jaunus esošajam direktorijam.

    Ieteikumi korekcijai

    Visi brīdinājumi tiks uzskaitīti pēc rezultātiem. Katrs no tiem sākas ar brīdinājuma tekstu, pēc tam blakus iekavās tiek norādīts tests, kas to ģenerēja. Nākamajā rindā ir ieteikts problēmas risinājums, ja tāds pastāv. Faktiski pēdējā rindiņa ir URL, kurā varat skatīt detalizētu informāciju un atrast papildu ieteikumus, kā novērst problēmu.

    Profili

    Profili, kas pārvalda auditēšanu, ir definēti failos ar paplašinājumu .prf, kas atrodas direktorijā /etc/lynis. Noklusējuma profilam ir paredzams nosaukums: default.prf . Izstrādātāji neiesaka to tieši rediģēt: labāk ir pievienot visas izmaiņas, kuras vēlaties veikt auditā, custom.prf failā, kas atrodas tajā pašā direktorijā.

    Turpinājums pieejams tikai biedriem

    1. iespēja. Pievienojieties “vietnes” kopienai, lai lasītu visus vietnes materiālus

    Dalība kopienā noteiktajā laika posmā nodrošinās piekļuvi VISIEM Hacker materiāliem, palielinās jūsu personīgo kumulatīvo atlaidi un ļaus jums uzkrāt profesionālu Xakep Score vērtējumu!