Audyt dostępu do plików systemu Linux. Najlepsze narzędzia do audytu bezpieczeństwa systemu Linux. Usługa ta obejmuje

Bezpieczeństwo Serwery linuksowe jest bardzo ważne, aby chronić swoje dane, własność intelektualną i czas przed hakerami. Administrator systemu jest odpowiedzialny za bezpieczeństwo systemu operacyjnego Linux. W tym artykule przyjrzymy się dwudziestu rzeczom, które musisz zrobić w systemie operacyjnym Linux, aby był on zawsze bezpieczny. Jeśli to komputer domowy, wtedy może nie ma sensu tak bardzo martwić się o bezpieczeństwo, wystarczą mocne hasła i blokada dostępu do portów z Internetu. Jednak w przypadku serwera publicznego należy zwrócić uwagę na zapewnienie jego ochrony.

Te instrukcje są odpowiednie dla dowolnej dystrybucji, niezależnie od tego, czy używasz CentOS, Red Hat, czy Ubuntu, Debian.

1. Szyfrowanie komunikacji

Wszystkie dane przesyłane przez sieć są otwarte do monitorowania. Dlatego konieczne jest szyfrowanie przesyłanych danych, jeśli to możliwe, przy użyciu haseł, kluczy lub certyfikatów.

Do przesyłania plików użyj scp, ssh, rsync lub sftp. Możliwe jest również zamontowanie zdalnego systemu plików w katalogu domowym za pomocą narzędzi takich jak shhfs.

GnuPG umożliwia szyfrowanie i podpisywanie danych przy użyciu specjalnego prywatny klucz. Istnieją również funkcje zarządzania kluczami i dostępu do kluczy publicznych.

Fugu to graficzne narzędzie do przesyłania plików za pomocą protokołu SFTP. SFTP jest bardzo podobny do FTP, ale cała sesja jest szyfrowana. Oznacza to, że nie są wysyłane żadne hasła ani polecenia otwarta forma. Dlatego takie transfery są mniej podatne na ataki osób trzecich. Możesz także użyć FileZilla, jest ona wieloplatformowa Klient FTP z obsługą FTS przez SSH/TLS i SSH Transfer plików Protokół (SFTP).

OpenVPN to wydajny i lekki klient VPN z obsługą szyfrowania SSH.

2. Staraj się nie używać FTP, Telnetu, Rlogin i RSH

W większości sieci nazwy użytkowników, hasła z FTP, Telnet i RSH mogą zostać przechwycone przez dowolną osobę w tej samej sieci za pomocą sniffera pakietów. Wspólna decyzja Ten problem dotyczy korzystania z OpenSSH, SFTP lub SFTP, które dodaje SSL lub TLS do zwykłego FTP. Uruchom to polecenie, aby usunąć NIS, RSH i inne starsze usługi:

mniam usuń inetd xinetd ypserv serwer tftp serwer telnet rsh-serve

3. Zmniejsz ilość oprogramowania

Czy naprawdę potrzebujesz zainstalowanych wszystkich usług internetowych? Nie instaluj niepotrzebnych rzeczy oprogramowanie aby uniknąć luk w tych programach. Użyj menedżera pakietów, aby zobaczyć zainstalowane programy i usuń wszystkie niepotrzebne:

mniam, lista zainstalowana
Pakiet listy $ mniam
$ mniam usuń pakiet

dpkg --lista
$ dpkg --pakiet informacyjny
$ apt-get usuń pakiet

4. Jeden samochód - jedna usługa

Uruchamiaj różne usługi na oddzielnych serwerach lub wirtualne maszyny. Ogranicza to liczbę usług, które mogą zostać naruszone. Na przykład, jeśli atakującemu uda się zhakować Apache, uzyska dostęp do całego serwera. Obejmuje usługi takie jak MySQL, serwer e-mail i tak dalej. Do wirtualizacji możesz użyć oprogramowania takiego jak XEN lub OpenVZ.

5. Aktualizuj jądro Linuksa i oprogramowanie

Stosowanie poprawek zabezpieczeń jest bardzo ważną częścią zapewnienia bezpieczeństwa serwera Linux. System operacyjny zapewnia wszystkie narzędzia umożliwiające aktualizację systemu i aktualizację do nowych wersji. Wszystkie aktualizacje zabezpieczeń należy zastosować jak najszybciej. Tutaj również musisz skorzystać z menedżera pakietów. Na przykład:

Lub dla systemów opartych na Debianie:

aktualizacja sudo apt i aktualizacja sudo apt

Możesz skonfigurować Red Hat lub Fedorę tak, aby powiadamiała Cię e-mailem o dostępności nowych aktualizacji zabezpieczeń. Możesz także skonfigurować automatyczna aktualizacja przez cron lub możesz użyć aptcron Debiana, aby powiadomić cię, gdy system wymaga aktualizacji.

6. Użyj rozszerzeń bezpieczeństwa w systemie Linux

System operacyjny Linux zawiera różne poprawki zabezpieczeń, które można wykorzystać do ochrony przed błędną konfiguracją lub złośliwym oprogramowaniem. Ale możesz także skorzystać z dodatkowych systemów kontroli dostępu do aplikacji, takich jak SELinux lub AppArmor.

SELinux zapewnia różne zasady bezpieczeństwa dla jądra Linuksa. Tutaj możesz kontrolować dostęp do dowolnych zasobów systemowych za pomocą ról. Tylko program, którego rola na to pozwala, może uzyskać dostęp do określonego zasobu i nawet uprawnienia administratora nie mają znaczenia. SELinux znacznie zwiększa bezpieczeństwo systemu Linux, ponieważ brany jest pod uwagę nawet root zwykły użytkownik. Więcej szczegółów opisaliśmy w osobnym artykule.

7. Konta użytkowników i silne hasła

Polecenia useradd i usermod służą do tworzenia i obsługi kont użytkowników. Upewnij się, że masz dobre i mocne hasło, powinno zawierać co najmniej osiem znaków, najlepiej w innej wielkości liter, wśród których powinno znajdować się Specjalne symbole lub liczby. Na przykład 8 znaków, z czego siedem to litery, a jeden to symbol lub cyfra. Użyj narzędzi takich jak John the Ripper, aby znaleźć słabe hasła użytkowników na serwerze i skonfiguruj pam_cracklib.so, aby egzekwować politykę haseł.

8. Od czasu do czasu zmieniaj hasła

Polecenie zmiany umożliwia określenie liczby dni do daty wymuszonej zmiany hasła. Informacje te są wykorzystywane przez system do określenia, kiedy użytkownik powinien je zmienić. Ustawienia te znajdują się w pliku /etc/login.defs. Aby wyłączyć starzenie się hasła, wpisz następującą komendę:

zmień -l nazwa użytkownika

Aby uzyskać informację o ciągu ważności hasła należy wpisać komendę:

Możesz także skonfigurować wszystko ręcznie w pliku /etc/shadow:

(hasło użytkownika): (Ostatnia zmiana):(maksymalna_dni): (minimum_dniowa): (Ostrzeżenie):(dezaktywować):(linia ważności):

  • Minimalne dni- minimalny odstęp pomiędzy zmianami hasła, czyli jak często użytkownik może zmieniać hasło.
  • Maksymalna liczba dni- ile dni będzie ważne hasło, po tym okresie użytkownik będzie zmuszony zmienić hasło.
  • Ostrzeżenie- liczba dni, po upływie których użytkownik zostanie ostrzeżony o konieczności zmiany hasła.
  • Linia ważności- liczba dni od 1 stycznia 1970 roku, kiedy konto zostanie całkowicie wyłączone.

chage -M 60 -m 7 -W 7 nazwa użytkownika

Wskazane jest również, aby uniemożliwić użytkownikom używanie starych haseł, w przeciwnym razie wszelkie próby wymuszenia na nich zmiany hasła zostaną zniweczone.

9. Blokuj konta po nieudanych próbach logowania

W systemie operacyjnym Linux można użyć polecenia Faillog, aby wyświetlić nieudane próby logowania użytkowników. Za jego pomocą możesz także ustawić limit nieudane próby wejście. Wszystkie informacje o nieudanych próbach logowania przechowywane są w pliku /var/log/faillog. Aby go wyświetlić, wpisz:

Aby ustawić limit prób logowania dla konkretnego konta, użyj:

dziennik awarii -r -u użytkownik

Możesz także ręcznie blokować lub odblokowywać konta za pomocą polecenia passwd. Aby zablokować użycie:

hasło -l użytkownik

I aby odblokować:

passwd -u użytkownik

Warto także sprawdzić, czy w systemie nie ma kont z pustymi hasłami. Aby to zrobić, uruchom:

awk -F: "($2 == "") (drukuj)" /etc/shadow

Sprawdź także, czy są jacyś użytkownicy z grupą lub identyfikatorem 0. Powinien być tylko jeden taki użytkownik, a jest nim root. Możesz sprawdzić za pomocą tego polecenia:

awk -F: "($3 == "0") (drukuj)" /etc/passwd

Powinien być tylko jeden wiersz:

root:x:0:0:root:/root:/bin/bash

Jeśli są inne, usuń je. Użytkownicy, a zwłaszcza ich słabe hasła, są jedną z najbardziej bezbronnych rzeczy, które mogą złamać zabezpieczenia systemu Linux.

10. Wyłącz logowanie roota

Aby zachować bezpieczeństwo systemu Linux, nigdy nie loguj się jako użytkownik root. Możesz użyć sudo, aby uzyskać niezbędne uprawnienia i uruchomić właściwe polecenie w imieniu superużytkownika. Polecenie to pozwala nie ujawniać hasła superużytkownika innym administratorom, a także zawiera narzędzia do monitorowania, ograniczania i śledzenia działań.

11. Bezpieczeństwo fizyczne serwera

Bezpieczeństwo serwera Linux musi obejmować bezpieczeństwo fizyczne. Należy ograniczyć fizyczny dostęp do konsoli serwera. Skonfiguruj BIOS tak, aby rozruch z nośników zewnętrznych, takich jak DVD, CD, USB, nie był obsługiwany. Ustaw także hasło w programie ładującym BIOS i GRUB, aby chronić ich ustawienia.

12. Wyłącz niepotrzebne usługi

Wyłącz wszystkie nieużywane usługi i demony. Nie zapomnij także usunąć tych usług przy uruchomieniu. Możesz wyświetlić listę wszystkich aktywnych usług w systemach Red Hat za pomocą polecenia:

chkconfig --lista | grep „3:wł.”

Aby wyłączyć korzystanie z usługi:

przystanek serwisowy
$ usługa chkconfig wyłączona

Znajdź wszystkie porty otwarte przez programy:

To samo można zrobić za pomocą skanera nmap:

nmap -sT -O host lokalny

Użyj iptables, aby zamknąć wszystkie porty, które nie powinny być dostępne z sieci. Lub zatrzymaj niepotrzebne usługi, jak opisano powyżej.

13. Usuń serwer X

Serwer X na serwerze jest całkowicie opcjonalny. Nie musisz uruchamiać środowiska graficznego na dedykowanym serwerze Apache lub e-mail. Usuń to oprogramowanie, aby poprawić bezpieczeństwo i wydajność.

14. Skonfiguruj Iptables

iptables to program przestrzeni użytkownika służący do konfigurowania zapory sieciowej Netfilter wbudowanej w jądro. Pozwala filtrować cały ruch i zezwalać tylko na określone typy ruchu. Użyj także TCPWrappers - systemu ACL do filtrowania dostępu do Internetu. Za pomocą iptables możesz zapobiec wielu rodzajom ataków DOS. Bezpieczeństwo sieci w systemie Linux jest bardzo ważnym aspektem ogólnego bezpieczeństwa systemu.

15. Skonfiguruj jądro

Plik /etc/sysctl.conf przechowuje ustawienia jądra, które są ładowane i stosowane podczas uruchamiania systemu.

Włącz ochronę przed przepełnieniem bufora execshield:

kernel.exec-shield=1
kernel.randomize_va_space=1

Włącz ochronę przed fałszowaniem adresów IP:

net.ipv4.conf.all.rp_filter=1

Wyłącz przekierowanie adresu IP:

net.ipv4.conf.all.accept_source_route=0

Ignoruj ​​żądania transmisji:

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

Zaloguj wszystkie sfałszowane paczki:

net.ipv4.conf.all.log_martians = 1

16. Podziel dysk twardy na partycje

Podział dysku twardego na partycje w zależności od przeznaczenia plików poprawia bezpieczeństwo systemów operacyjnych Linux. Zalecane jest utworzenie oddzielnych sekcji dla następujących katalogów:

  • /dom
  • /var i /var/tmp

Utwórz osobne partycje dla katalogów głównych Apache i Serwery FTP. Otwórz plik /etc/fstab i ustaw specjalne opcje dla wymaganych partycji:

  • noexec- nie uruchamiaj żadnych programów ani plików wykonywalnych na tej partycji, dozwolone są tylko skrypty
  • węzeł- nie zezwalaj na urządzenia symboliczne lub specjalne na tej partycji.
  • nosid- nie zezwalaj na dostęp SUID/SGID dla programów z tej sekcji.

17. Korzystaj z limitów miejsca na dysku

Ogranicz dostępną przestrzeń dyskową dla użytkowników. Aby to zrobić, utwórz przydział dysku w /etc/fstab, ponownie zamontuj systemy plików i utwórz bazę danych przydziałów dysku. Poprawi to bezpieczeństwo w systemie Linux.

18. Wyłącz IPv6

Protokół internetowy nowej generacji IPv6 w przyszłości zastąpi używany już protokół IPv4. Ale dalej ten moment Nie ma narzędzi pozwalających sprawdzić bezpieczeństwo sieci opartej na protokole IPv6. Wiele Dystrybucje Linuksa Domyślnie zezwól na korzystanie z protokołu IPv6. Hakerzy mogą wysyłać niechciany ruch bez możliwości śledzenia go przez administratorów. Jeśli więc nie potrzebujesz tej usługi, wyłącz ją.

19. Wyłącz nieużywane pliki binarne SUID i SGID

Wszystkie pliki wykonywalne, dla których włączona jest flaga SUID lub SGID, są potencjalnie niebezpieczne. Ta flaga oznacza, że ​​program zostanie wykonany z uprawnieniami administratora. Oznacza to, że jeśli w programie występuje jakakolwiek luka lub błąd, to lokalny lub użytkownik zdalny będzie mógł korzystać z tego pliku. Znajdź wszystkie takie pliki za pomocą następującego polecenia:

znajdź / -perm +4000

Znajdź pliki z ustawioną flagą SGID:

znajdź / -perm +2000

Lub połączmy to wszystko w jednym poleceniu:

znajdź / \(-perm -4000 -o -perm -2000 \) -print
$ find / -path -prune -o -type f -perm +6000 -ls

Będziesz musiał szczegółowo przestudiować każdy znaleziony plik, aby zrozumieć, jak potrzebny jest dany plik.

20. Akta publiczne

Wskazane jest również znalezienie plików, które mogą modyfikować wszyscy użytkownicy systemu. Aby to zrobić, użyj następującego polecenia:

znajdź /dir -xdev -type d \(-perm -0002 -a ! -perm -1000 \) -print

Teraz musisz sprawdzić, czy uprawnienia grupy i właściciela każdego pliku są ustawione prawidłowo i czy nie stwarza to zagrożenia bezpieczeństwa.

Wskazane jest również odnalezienie wszystkich plików, które nie należą do nikogo:

znajdź /dir -xdev \(-nouser -o -nogroup \) -print

21. Korzystaj ze scentralizowanego systemu uwierzytelniania

Bez scentralizowanego systemu uwierzytelniania dane użytkowników stają się niespójne, co może prowadzić do dezaktualizacji danych uwierzytelniających i zapomnienia kont, które powinny zostać usunięte dawno temu. Scentralizowana usługa pozwoli Ci zachować kontrolę nad kontami użytkowników i danymi uwierzytelniającymi w różnych miejscach Systemy linuksowe i Uniksa. Możesz synchronizować dane uwierzytelniające pomiędzy serwerami. Ale nie korzystaj z usługi NIS, lepiej spójrz na Open DAP.

Jedną z ciekawych implementacji takiego systemu jest Kerberos. Umożliwia uwierzytelnianie użytkowników przy użyciu klucza prywatnego w sieciach, w których można przechwytywać i modyfikować pakiety. Kerberos wykorzystuje klucz symetryczny do szyfrowania danych i do działania wymaga centrum zarządzania kluczami. Możesz skonfigurować zdalne logowanie, zdalne kopiowanie, bezpieczne kopiowanie plików pomiędzy systemami i inne zadania o wysokim poziomie bezpieczeństwa.

22. Rejestrowanie i audytowanie

Skonfiguruj rejestrowanie i inspekcję, aby zbierać i zapisywać wszystkie nieudane logowania i próby włamań. Domyślnie wszystkie logi, a przynajmniej większość z nich, znajdują się w folderze /var/log/. O tym, za co odpowiadają określone osoby, pisaliśmy bardziej szczegółowo w osobnym artykule.

Dzienniki można przeglądać za pomocą narzędzi takich jak logwatch lub logcheck. Bardzo ułatwiają czytanie logów. Możesz przeglądać nie cały plik, a jedynie te wydarzenia, które Cię interesują, a także wysłać sobie powiadomienie e-mailem.

Monitoruj system za pomocą usługi audytu. Program zapisuje na dysk wszystkie interesujące Cię zdarzenia audytu. Wszystkie ustawienia audytu zapisywane są w pliku /etc/audit.rules.Przy uruchomieniu systemu usługa odczytuje wszystkie reguły z tego pliku. Możesz go otworzyć i skonfigurować wszystko według potrzeb lub użyć osobne narzędzie- audytctl. Możesz skonfigurować następujące opcje:

  • Zdarzenia związane z uruchamianiem i zamykaniem systemu
  • Data i godzina wydarzenia
  • Zdarzenia użytkownika (na przykład dostęp do konkretnego pliku)
  • Typ zdarzenia (edycja, dostęp, usuwanie, zapis, aktualizacja itp.)
  • Sukces lub porażka podczas wykonywania zdarzenia
  • Rejestrowanie zdarzeń zmieniających ustawienia sieciowe
  • Rejestruj zmiany w użytkownikach i grupach
  • Monitorowanie zmian w plikach

23. Zabezpiecz swój serwer OpenSSH

Zezwalaj tylko na użycie protokołu 2:

Wyłącz logowanie jako superużytkownik:

24. Zainstaluj IDS

IDS lub system wykrywania włamań próbuje wykryć podejrzane, złośliwe działania, takie jak Atak DOS, skanowanie portów, a nawet próba włamania się do komputera poprzez monitorowanie ruchu sieciowego.

Dobrą praktyką jest wdrażanie takiego oprogramowania przed udostępnieniem systemu w Internecie. Możesz zainstalować AIDE, który jest HIDS (identyfikatorem opartym na hoście), który może monitorować wszystkie aspekty wewnętrzne systemu.

Snort to oprogramowanie służące do wykrywania prób włamań do sieci. Potrafi analizować i rejestrować pakiety oraz analizować ruch sieciowy w czasie rzeczywistym.

25. Chroń swoje pliki i katalogi

Linux posiada doskonałą ochronę przed nieautoryzowanym dostępem do plików. Jednak uprawnienia nadawane przez Linuksa i system plików nic nie znaczą, gdy osoba atakująca ma fizyczny dostęp do komputera i może po prostu się połączyć dysk twardy komputera do innego systemu w celu skopiowania danych. Możesz jednak łatwo chronić swoje pliki za pomocą szyfrowania:

  • Aby zaszyfrować i odszyfrować plik za pomocą hasła, użyj GPG
  • Możesz także chronić pliki za pomocą OpenSSL
  • Szyfrowanie katalogów odbywa się za pomocą ecryptfs
  • TrueCrypt to bezpłatne narzędzie do szyfrowania dysku dla systemów Windows i Linux

wnioski

Teraz bezpieczeństwo systemu operacyjnego Linux na Twoim komputerze zostanie znacznie zwiększone. Nie zapomnij od czasu do czasu ustawić skomplikowanych haseł. Wpisz w komentarzu swoje ulubione narzędzie zabezpieczające system.

Ochrona informacji jest kwestią priorytetową dla każdej firmy działającej w Internecie. Infekcje wirusowe i ataki zewnętrzne, a także nieuprawniony dostęp do informacji – wszystko to niesie ze sobą duże ryzyko finansowe i reputacyjne. Dlatego przy wyborze platformy serwerowej właściciele firm zawsze interesują się stopniem bezpieczeństwa zasobów.
Natomiast aby sprawdzić jak dobrze działa system bezpieczeństwa i czy nie ma w nim żadnych podatności lub dziur warto przynajmniej raz w miesiącu przeprowadzić audyt bezpieczeństwa serwera.

Co obejmuje audyt bezpieczeństwa serwera

Nawet pozornie nieistotny czynnik, taki jak nieprawidłowe ustawienia samego serwera lub nieaktualne oprogramowanie, może stać się zagrożeniem bezpieczeństwa. Audyt pomaga zidentyfikować słabe punkty bezpieczeństwa i podjąć w porę działania mające na celu ich wyeliminowanie, zanim nastąpi infekcja lub kradzież danych.
Administrator serwera sprawdza zainstalowane oprogramowanie i jego zgodność najnowsze aktualizacje, ocenia ustawienia zabezpieczeń serwera i eliminuje ewentualne błędy, a także analizuje zgodność ustawień praw dostępu pracowników do określonych zasobów.

Jak samodzielnie przeprowadzić audyt wirtualnego serwera dedykowanego

Bezpieczeństwo serwerów na platformie Windows lub Linux może sprawdzić każdy użytkownik, do tego nie jest konieczna specjalistyczna wiedza programistyczna.
Kontrolę bezpieczeństwa można podzielić na kilka etapów:

Dostęp fizyczny

W przypadku serwera dedykowanego fizyczny dostęp do serwera osób trzecich jest domyślnie ograniczony, zapewnia to centrum danych. Ale użytkownik może dodatkowo ustawić hasło dostępu do BIOS-u.

Zapora sieciowa

Aby móc stale monitorować oprogramowanie i porty, należy je poprawnie skonfigurować i włączyć. Zapora systemu Windows. W przypadku systemu Linux do kontroli dostępu można wykorzystać system SELinux. Możesz także wypożyczyć od nas zaporę sprzętową Cisco ASA lub Fortinet FortiGate 60D.

System plików

Sprawdź aktualizacje

Skonfiguruj serwer tak, aby automatycznie odbierał i instalował aktualizacje.

Polityka haseł

Zainstaluj za pomocą polityki lokalne Bezpieczeństwo Windowsa Obowiązkowe jest wymaganie skomplikowanych haseł, ich okresu ważności, a także blokowanie konta po kilku nieudanych autoryzacjach lub wpisaniu pustego hasła.

Kontrola logów

Włącz rejestrowanie segmentów infrastruktury krytycznej i regularnie je sprawdzaj.

Bezpieczeństwo sieci

Zaleca się używanie VPN i VLAN do segmentacji hostów i bezpieczeństwa łącza.
Należy także zmienić ustawienia domyślne i przekierować porty serwisowe sprzętu sieciowego.
Do szyfrowania ruchu można używać usługi IPsec. Aby wyświetlić otwarte porty, użyj narzędzia Netstat.

Kontrola dostępu

Ogranicz prawa dostępu użytkowników do krytycznych plików, wyłącz dostęp gości i użytkowników z pustymi hasłami. Wyłącz nieużywane role i aplikacje na serwerze.

Kopia zapasowa

Skorzystaj z usługi tworzenia kopii zapasowych plików, jest to opłacalne i niezawodne. Nie przechowuj niezaszyfrowanych kopii zapasowych. Jeśli wynajmujesz od nas serwer, możesz wybrać lokalizację na kopie zapasowe.

Dostęp do bazy danych

Krytyczne bazy danych powinny być przechowywane na różnych serwerach SQL. Musisz skonfigurować uruchomienie jako użytkownik z minimalnymi uprawnieniami lub ze wstępnie skonfigurowanej białej listy adresów IP.

Ochrona antywirusowa

Aby uruchomić serwer Instalacja Windowsa W przypadku pracy z pamięcią masową w sieci zaleca się automatycznie aktualizowane oprogramowanie antywirusowe. Dla Instalacja Linuksa nie jest wymagany żaden program antywirusowy, pod warunkiem, że bezpieczeństwo serwera jest regularnie monitorowane i kontrolowany jest nieuprawniony dostęp. Przydatne może być do tego narzędzie Tiger.

Taki audyt raz w miesiącu pozwoli sprawdzić poprawność działania serwera, wyeliminować podatności i monitorować bezpieczeństwo infrastruktury sieciowej.

Większość systemów korporacyjnych i wieloskładnikowych, takich jak SOK ROŚLINNY , Baza danych Oracle używane na ich platformie system operacyjny oparte na Linuksa . W związku z tym zwracają na nie szczególną uwagę audytorzy IT. Dziś w tym artykule przedstawimy Waszej uwadze kilka bezpłatnych narzędzi prezentowanych w formie skryptów i wykorzystujących standardowe mechanizmy systemu operacyjnego w celu zapewnienia ekspresowego audytu konfiguracji zabezpieczeń.

Polecenia i skrypty systemowe opisane poniżej, używane do ekspresowej kontroli opcji zabezpieczeń systemów operacyjnych Linux, opierają się na zaleceniach dotyczących weryfikacji bezpieczeństwa opublikowanych przez społeczność ISACA w podręczniku Programu audytu/zapewniania bezpieczeństwa systemu operacyjnego UNIX/LINUX.

1.Weryfikacja konta

1.1 Lista wszystkich użytkowników
Lista użytkowników jest przechowywana w pliku /etc/passwdfile. Aby uzyskać listę użytkowników, możesz użyć następującego skryptu:

  1. bin/bash
  2. #userslistinthesystem.sh
  3. # count i Wyświetla listę istniejących „prawdziwych” użytkowników w systemie.
  4. echo „[*] Istniejący użytkownicy (posortowani alfabetycznie):”
  5. grep '/bin/bash' /etc/passwd | grep -v 'root' | cięcie -f1
  6. -d':' | sortować
  7. echo -n „[*] Liczba znalezionych rzeczywistych użytkowników: „
  8. grep '/bin/bash' /etc/passwd | grep -v 'root' | wc -l
1.2 Lista zablokowanych kont
Podczas audytu konieczne jest sprawdzenie listy zablokowanych i odblokowanych użytkowników ( Nazwa konta ). W tym celu zadziała następujące polecenie:
  1. #!/bin/bash
  2. # passwd – nazwa konta

1.3 Wyświetl statystyki wszystkich użytkowników

  • Audytor musi upewnić się, że zespół AC zawarte w systemie przeglądu działań użytkowników:
    1. #!/bin/bash
    Aby wyświetlić aktywność sesji połączenia użytkownika wraz z sumą za każdy dzień, użyj polecenia:
    1. #!/bin/bash
    2. # ac -d
    Aby wyświetlić informacje o aktywności sesji (w godzinach) połączenia użytkownika "użytkownik" :
    1. #!/bin/bash
    2. # użytkownik AC
    1.4 Przeglądanie aktywności użytkownika
    Uruchamiają się aplikacje systemowe psacct lub acct tło i monitoruj aktywność każdego użytkownika w systemie, a także zużywane przez niego zasoby. Aby sprawdzić aktywność użytkowników w systemie, uruchom następujący skrypt:
    1. #!/usr/bin/envksh
    2. ostatni -Fa|awk’
    3. /rozpoczyna się wtmp/ (następny; )
    4. /nadal zalogowany/ (następny; )
    5. $0 == ponowne uruchomienie (następny;)
    6. NF > 0 (
    7. jeśli(NR > 1)
    8. printf("
      ”);
    9. printf("Użytkownik:t%s
      ”, 1 USD); #użytkownik
    10. printf („Start: t%s %s %s %s
      ”, $3, $4, $5, $6);
    11. if(9 $ == „w dół”)
    12. printf("Koniec: wyłączenie
      ”);
    13. printf („Koniec: t%s %s %s %s
      ”, $9, $10, $11, $12);
    14. if(substr ($NF, 1, 1) == „(”)
    15. t = $NF;
    16. h = „lokalny host”;
    17. t = $(NF-1);
    18. h = $NF;
    19. gsub(“[()]”, “”, t);
    20. printf("Czas włączenia: t%s
      ", T);
    21. printf("Host zdalny:t%s
      ", H);

    • 2. Sprawdzenie polityki haseł

    2.1 Konta z pustym hasłem
    Podczas audytu należy upewnić się, że w systemie nie istnieją lub są zablokowane konta umożliwiające zalogowanie się do systemu bez konieczności podawania hasła. Regułę tę można sprawdzić za pomocą polecenia:

    # kot /etc/cień | awk -F: ($2==””)(drukuj $1)’

    2.2 Sprawdzanie złożoności hasła
    Podczas audytu konieczne jest sprawdzenie ustawień złożoności hasła, aby ograniczyć ryzyko ataków typu brute force (brute force) lub słownikowych na hasło. Aby ustawić tę regułę w swoim systemie, musisz użyć modułów uwierzytelniających wtyczek (PAM).
    Audytor może sprawdzić odpowiednie ustawienie w pliku konfiguracyjnym:

    # vi /etc/pam.d/system-auth

    2.3 Sprawdzenie daty ważności hasła

    Podczas audytu należy sprawdzić ustawienie ważności hasła. Aby sprawdzić datę ważności hasła należy użyć komendy zmiana. Polecenie to wyświetla szczegółowe informacje o dacie ważności hasła, a także o dacie jego ostatniej zmiany.
    Do przeglądania informacji o „wieku” haseł służy następujące polecenie:

    #chage -l nazwa użytkownika

    Aby zmienić okres ważności hasła dla konkretnego użytkownika, możesz skorzystać z poniższych poleceń:

    #chage -M 60 nazwa użytkownika
    #chage -M 60 -m 7 -W 7 nazwaużytkownika

    Opcje (aby ustawić datę ważności hasła):
    -M – maksymalny okres ważności w dniach.
    -m – minimalny okres ważności w dniach.
    -W – ustawienie ostrzeżenia w dniach.

    2.4 Używanie zduplikowanych haseł
    Ustawienia autoryzacji systemu muszą być zgodne z polityką haseł. Plik zawierający historię haseł znajduje się w /etc/security/opaswd. Aby to sprawdzić, wykonaj następujące kroki:

    dla RHEL: otwórz plik „/etc/pam.d/system-auth”:

    # vi /etc/pam.d/system-auth

    dla Ubuntu/Debian/Linux Mint: otwórz plik „/etc/pam.d/common-password”:

    # vi /etc/pam.d/common-password

    Dodaj następujący wiersz do sekcji „auth”:

    wystarczające uwierzytelnienie pam_unix.so likeauthnullok

    Aby zapobiec użyciu ostatnich sześciu haseł, dodaj następujący wiersz:

    Hasło wystarczające pam_unix.so nullokuse_authtok md5 cień zapamiętaj = 6

    Po wykonaniu polecenia system zapisze historię sześciu poprzednich haseł i jeśli jakikolwiek użytkownik spróbuje zaktualizować hasło przy użyciu któregokolwiek z ostatnich sześciu, otrzyma komunikat o błędzie.

    3. Bezpieczne ustawienia połączenia
    Protokoły Zdalne połączenie do systemu Telnet i Rlogin są bardzo stare i podatne na ataki ze względu na transmisję hasła przez sieć w postaci niezaszyfrowanej. Aby uzyskać zdalne i bezpieczne połączenie, należy użyć bezpiecznego protokołu Bezpieczna powłoka (SSH). Audytor musi również upewnić się, że opcja ta jest dostępna logowanie roota wyłączony, domyślny port SSH zmieniony, zdalny dostęp ograniczone wyłącznie do określonych autoryzowanych użytkowników. Sprawdzane ustawienia znajdują się w pliku konfiguracyjnym SSH:

    1. # vi /etc/ssh/sshd_config

    3.1 Zaloguj się jako superużytkownik (logowanie root)

    Podczas audytu audytor ma obowiązek sprawdzić zakaz zdalne logowanie do systemu z uprawnieniami administratora root.

    # PermitRootLogin = tak
    3.2 Sprawdzenie konta usługi logowania SSH

    Podczas audytu audytor musi sprawdzić konto usługi z wartością logowania SSH bez hasła. Zazwyczaj, administratorzy systemu użyj tej funkcji dla zaprogramowanych kopie zapasowe, przesyłanie plików i uruchamianie skryptów w trybie zdalnego sterowania.

    Sprawdź, czy ustawienia sshd_config (/etc/ssh/sshd_config) są poprawne po raz ostatni.

    # PermitRootLogin bez hasła

    # Uwierzytelnianie RSAA = tak

    # Uwierzytelnianie Pubkey = tak

    3.3 Sprawdzanie list dostępu w DenyHosts i Fail2ban
    Podczas audytu należy sprawdzić ustawienia listy dostępowej Odmów Hostom I Fail2ban . Są to skrypty służące do monitorowania i analizowania logów dostępu SSH oraz ochrony przed atakami typu brute-force za pomocą hasła.

    Funkcje DenyHosts:

    • zapisuje i śledzi logi z pliku /var/log/bezpieczne , zapisując wszystkie udane i nieudane próby logowania i filtrując je.
    • monitoruje nieudane próby logowania
    • wysyła przez e-mail powiadomienie o zablokowanych hostach i podejrzane próby wejście
    Funkcje Fail2ban:
    • Zapisuje i śledzi logi z plików /var/log/bezpieczne I /var/log/auth.log , /var/log/pwdfail
    • wysoce konfigurowalny i wielowątkowy
    • regularnie monitoruje pliki dziennika

    4. Sprawdzanie logów systemowych
    Podczas audytu należy upewnić się, że demon SysLog jest uruchomiony, a wszystkie istotne zdarzenia zachodzące w systemie są rejestrowane w dziennikach zdarzeń. Podczas audytu należy także zadbać o to, aby polityka przechowywania dzienników zdarzeń uwzględniała wymagania obowiązującego ustawodawstwa oraz polityki bezpieczeństwa

    4.1 Dzienniki zdarzeń w systemie Linux:

    /var/log/auth.log – log systemu autoryzacji (logowania i mechanizm uwierzytelniania).
    /var/log/dpkg.log – dziennik instalacji/usuwania pakietów przy użyciu dpkg.
    /var/log/yum.log – log instalacji/usuwania pakietów przy użyciu yum.
    /var/log/faillog – rejestr nieudanych prób logowania i ich maksymalna liczba dla każdego konta.
    /var/log/kern.log – dziennik jądra (szczegółowy dziennik komunikatów z jądra Linuksa).
    /var/log/maillog lub /var/log/mail.log – dziennik serwera pocztowego.
    /var/log/wtmp – log logowania (czas rejestracji i czas pracy wszystkich użytkowników systemu).
    /var/run/utmp – informacja o użytkownikach aktualnie zarejestrowanych w systemie.
    /var/log/lastlog – zapisy poprzednich logowań.
    /var/log/boot – informacje rejestrowane podczas uruchamiania systemu

    5. Chroń pliki systemowe

    5.1 Ochrona bootloadera GRUB

    Aby chronić moduł ładujący GRUB, administrator musi użyć szyfrowania hasłem w formacie MD5 :

    # grub-md5-crypt

    Po wykonaniu polecenia administrator musi otworzyć plik /boot/grub/menu.lst Lub /boot/grub/grub.conf i dodaj hasło MD5:

    # vi /boot/grub/menu.lst

    # vi /boot/grub/grub.conf

    Można dodać nowo utworzone hasło MD5 plik konfiguracyjnyŻARCIE.

    5.2 Ochrona katalogu startowego /BOOT

    Podczas audytu konieczne jest sprawdzenie stanu katalogu /uruchomić ponieważ jądro systemu i powiązane pliki znajdują się w katalogu /uruchomić. Musisz upewnić się, że ten katalog ma dostęp tylko do odczytu, aby zapobiec nieautoryzowanym modyfikacjom. ważne pliki w systemie. Aby to sprawdzić, otwórz plik /etc/fstab i sprawdź konfigurację:

    Plik musi zawierać linię:

    LABEL=/boot /boot ext2 domyślnie,ro 1 2

    5.3 Sprawdzanie otwartych portów i aktywnych połączeń

    Do sprawdzenia usług uruchomionych w systemie można użyć następującego skryptu:

    #!/bin/bash
    if (($(ps -ef | grep -v grep | grep $usługa | wc -l) > 0))
    Następnie
    echo „$usługa działa!!!”
    w przeciwnym razie
    Uruchomienie /etc/init.d/$usługi
    Fi

    Pogląd połączenia sieciowe

    # netstat -anop
    Lub
    # lsof -i(lsof -ni)
    Lub
    #iptraf

    Porty nasłuchowe
    Za pomocą polecenia Netstat można wyświetlić wszystkie otwarte porty i powiązane z nimi polecenia. Przykładowy skrypt:

    #netstat–tulpn
    Skrypt do skanowania portów to:
    skanowanie() (
    jeśli [[ -z $1 || -z $2 ]]; Następnie
    echo „Użycie: $0
    powrót
    fi
    host lokalny = 1 USD
    porty lokalne=()
    sprawa 2 dolary
    *-*)
    IFS=- czytaj początek i koniec<<< “$2”
    for ((port=start; port<= end; port++)); do
    porty+=($port)
    zrobione
    ;;
    *,*)
    IFS=, czytaj -ra porty<<< “$2”
    ;; *)
    porty+=(2$) ;;
    esac
    dla portu w „$(ports[@])”; Do
    alarm 1 „echo >/dev/tcp/$host/$port” &&
    echo „port $port jest otwarty” ||
    echo „port $port jest zamknięty”
    zrobione
    }

    Zapora ogniowa iptables

    Podczas audytu należy sprawdzić konfigurację zapory sieciowej Linux, aby zapobiec nieautoryzowanemu dostępowi. Aby kontrolować ruch, w iptables należy utworzyć reguły, które będą filtrować przychodzące, wychodzące i przekazywane pakiety na podstawie adresu IP i numeru portu TCP/UDP.

    # iptables -n -L -v --numery-linii

    Żądania ICMP/rozgłaszania

    Podczas audytu konieczne jest sprawdzenie, czy systemy są skonfigurowane tak, aby ignorowały żądania ping i rozgłaszania. Aby to zrobić, upewnij się, że w pliku „/etc/sysctl.conf” dodano następujące wiersze:

    # ignoruj ​​żądania ICMP:
    net.ipv4.icmp_echo_ignore_all = 1
    # ignoruj ​​żądania transmisji:
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    5.4 Sprawdzanie zainstalowanych aktualizacji

    W systemie muszą być zainstalowane najnowsze aktualizacje:

    # mniam aktualizacje
    # mniam, aktualizacja kontrolna

    6. Sprawdzanie automatycznie wykonywanych zadań CRON

    Audytor musi sprawdzić, kto może, a kto nie może wykonywać zadań cron. Dostęp do cron jest kontrolowany za pomocą plików /etc/cron.allow I /etc/cron.deny.

    # echo WSZYSTKIE >>/etc/cron.deny

    7. Testowanie wymuszonego trybu bezpieczeństwa SELINUX

    Podczas audytu ważne jest sprawdzenie statusu SELinux . Mechanizm ten musi być włączony w systemie.
    Istnieją trzy tryby SELinux :

    • Egzekwowanie: Polityka SELinux jest wymuszona. SELinux odmawia dostępu w oparciu o zasady polityki SELinux.
    • Zezwalający: Polityka SELinux nie jest egzekwowana. SELinux nie odmawia dostępu, ale odmowy są rejestrowane jako akcje, które zostałyby odrzucone, gdyby polityka została przełączona w tryb wymuszania.
    • Wyłączone: SELinux jest wyłączony. Używane są tylko dyskretne reguły DAC.

    Podczas audytu możesz użyć poniższego skryptu, aby sprawdzić status SELinux lub użyć poleceń system-configselinux, getenforce lub sestatus:

    WŁĄCZONE=`cat /selinux/enforce`
    if [„$WŁĄCZONE” == 1 ]; Następnie
    echo „SELinux jest włączony, wyłączyć? (tak nie):"
    przeczytaj wyłącz
    if [ $wyłącz == „tak” ]; Następnie
    echo „wyłączanie selinux”
    ustaw siłę 0
    fi
    fi

    Skrypt LBSA sprawdzający podstawowe opcje bezpieczeństwa

    LBSA (podstawowy skrypt audytu bezpieczeństwa systemu Linux) to podstawowy skrypt służący do audytowania konfiguracji zabezpieczeń systemów Linux. Skrypt należy uruchomić z wiersza poleceń z uprawnieniami źródło lub najlepiej uruchamiać według regularnego harmonogramu, korzystając z harmonogramu cron w celu systematycznego sprawdzania zmian w konfiguracji.

    Celem tego skryptu jest szybki audyt ustawień zabezpieczeń i przesłanie raportu opisującego możliwe parametry, które można zmienić, aby zapewnić wyższy stopień bezpieczeństwa. Jeśli nie ma zaleceń dla żadnej opcji, skrypt po prostu wyświetla jedną linię z przetwarzaniem czeku, a ostateczna decyzja zawsze pozostaje w gestii administratora. Przed uruchomieniem skanowania twórcy zdecydowanie zalecają przeczytanie instrukcji i przestudiowanie zalecanych sekcji, aby uzyskać więcej informacji.

    W aktualnej edycji (wersja 1.0.49) skrypt skanuje następujące opcje:

    • luki w ustawieniach konta
    • luki w ustawieniach SSH
    • podatności w katalogach tymczasowych i katalogach systemu plików ładowanych do RAM (na przykład w /tmp, /var/tmp /dev/)
    • uprawnienia do plików, stan katalogów systemowych
    • rkonfiguracja usług DRBD i Hearbeat

    Skrypt jest dość duży, dlatego nie umieściliśmy go na stronie.

    W tym materiale zapoznamy się z głównymi narzędziami do hartowania Linuksa. W języku rosyjskim nazywa się to „sprawdzaniem poziomu bezpieczeństwa systemów Linux i oceną poprawności konfiguracji z punktu widzenia bezpieczeństwa informacji”. Oczywiście nie tylko dokonamy przeglądu programów, ale także podamy przykłady ich użycia.

    Twój własny audytor lub własne bezpieczeństwo

    Administratorzy, a tym bardziej audytorzy bezpieczeństwa informacji, często stają przed zadaniem sprawdzenia bezpieczeństwa dużej liczby hostów w bardzo krótkim czasie. I oczywiście, aby rozwiązać te problemy w segmencie Enterprise, istnieją wyspecjalizowane narzędzia, takie jak na przykład skanery bezpieczeństwa sieci. Jestem pewien, że wszystkie - od open source'owego silnika OpenVAS po produkty komercyjne, takie jak Nessus czy Nexpose - są znane naszym czytelnikom. Jednak tego oprogramowania zwykle używa się do wyszukiwania przestarzałego, a zatem podatnego na ataki oprogramowania, a następnie do zarządzania poprawkami. Ponadto nie wszystkie skanery uwzględniają pewne specyficzne cechy wbudowanych mechanizmów ochronnych systemu Linux i innych produktów typu open source. No i wreszcie cena emisji jest istotna, bo na produkty komercyjne mogą sobie pozwolić jedynie firmy, które przeznaczają budżety na ten biznes.

    Dlatego dzisiaj porozmawiamy o wyspecjalizowanym zestawie swobodnie dystrybuowanych narzędzi, które potrafią zdiagnozować aktualny poziom bezpieczeństwa systemu, ocenić potencjalne zagrożenia, na przykład „dodatkowe usługi” wystające w Internecie lub niepewną domyślną konfigurację, a nawet oferować możliwości skorygowania znalezionych wad. Kolejną zaletą wykorzystania tych narzędzi jest możliwość replikowania standardowych scenariuszy testów farmy z dowolnej liczby systemów Linux i tworzenia udokumentowanej bazy testów w postaci logów i indywidualnych raportów.

    Praktyczne aspekty audytu bezpieczeństwa

    Jeśli spojrzeć oczami audytora, podejście do testowania można podzielić na dwa typy.

    Pierwszy- jest to zgodność z tzw. wymaganiami zgodności, tutaj sprawdzana jest obecność obowiązkowych elementów bezpieczeństwa przewidzianych w dowolnej międzynarodowej normie lub „najlepszych praktykach”. Klasycznym przykładem są wymagania PCI DSS dla systemów informatycznych płatności, serii SOX404, NIST-800.

    Drugi- To podejście czysto racjonalne, oparte na pytaniu: „Co jeszcze można zrobić, aby wzmocnić bezpieczeństwo?” Nie ma żadnych obowiązkowych wymagań - tylko Twoja wiedza, jasna głowa i zręczne ręce. Na przykład jest to aktualizacja wersji jądra i/lub pakietów aplikacji, włączenie, wymuszenie, skonfigurowanie zapory ogniowej.

    Wszystko, co wiąże się z drugim podejściem, nazywa się zwykle terminem specjalnym Hartowanie, które można również zdefiniować jako „działania mające na celu podniesienie poziomu początkowego bezpieczeństwa systemu operacyjnego (lub programu) przede wszystkim przy użyciu standardowych środków”.

    Zgodność z wymogami zgodności jest zwykle sprawdzana w ramach przygotowań do poddania się obowiązkowemu audytowi, takiemu jak PCI DSS lub inny audyt certyfikujący. Zwrócimy większą uwagę na komponent Hartowanie. Wszyscy główni programiści oferują swoje produkty Wytyczne dotyczące hartowania- poradniki zawierające wskazówki i rekomendacje, jak wzmocnić bezpieczeństwo, uwzględniając standardowe mechanizmy bezpieczeństwa i specyfikę oprogramowania. Tak więc Red Hat, Debian, Oracle, Cisco mają podobne przewodniki.

    INFORMACJE

    Hartowanie to termin ze świata bezpieczeństwa informacji, który odnosi się do procesu zapewnienia bezpieczeństwa systemu (programu) poprzez zmniejszenie jego podatności i z reguły wykorzystanie wyłącznie standardowych narzędzi lub mechanizmów ochronnych.

    Sudo apt-get update sudo apt-get install lynis

    Oraz dla dystrybucji zorientowanych na RPM (po dodaniu odpowiednich repozytoriów):

    Mniam, zainstaluj linusa -y

    Instalacja na macOS:

    $ napar szukaj lynis $ napar zainstaluj lynis

    Aby uruchomić Lynis, wystarczy podać co najmniej jeden klucz. Na przykład, aby uruchomić wszystkie dostępne testy, należy określić przełącznik -c (sprawdź wszystko):

    # Typowy zestaw testów Sudo Lynis Audit System # Pełny zestaw testów Sudo Lynis Audit System -c # Skanowanie zdalnego systemu kontroli hosta







    Przed audytem zawsze warto sprawdzić, czy dostępna jest nowa wersja programu Lynis:

    Informacje o aktualizacji Lynis i sprawdzenie aktualizacji Lynis

    Narzędzie Lynis, oprócz standardowego, ma jeszcze jeden tryb - nieuprzywilejowany start:

    Audyt Lynisa – pentest

    Jeżeli chcesz podać nazwisko audytora, który rozpoczął testowanie, po prostu dodaj parametr -auditor :

    Sudo lynis audyt systemu -c -auditor Tatuś

    Na każdym etapie audytu proces weryfikacji można kontynuować (Enter) lub przymusowo zakończyć (Ctrl+C). Wyniki przeprowadzonych testów zostaną zapisane w dzienniku Lynis w pliku /var/log/lynis.log . Należy pamiętać, że dziennik zostanie nadpisany przy każdym uruchomieniu narzędzia.

    Aby systematycznie testować w trybie automatycznym, możesz przypisać odpowiednie zadanie do harmonogramu Cron za pomocą przełącznika -cronjob. W takim przypadku narzędzie zostanie uruchomione zgodnie z określonym szablonem (konfiguracją) i nie będzie wyświetlać żadnych interaktywnych komunikatów, pytań ani ostrzeżeń. Wszystkie wyniki zostaną zapisane w logu. Na przykład, oto skrypt uruchamiający narzędzie z domyślną konfiguracją raz w miesiącu:

    #!/bin/sh AUDITOR="automatyczne" DATE=$(data +%Y%m%d) HOST=$(nazwa hosta) LOG_DIR="/var/log/lynis" REPORT="$LOG_DIR/raport-$( HOST).$(DATA)" DATA="$LOG_DIR/dane-raportu-$(HOST).$(DATE).txt" cd /usr/local/lynis ./lynis -c –auditor "$(AUDYTOR)" –cronjob > $(RAPORT) mv /var/log/lynis-report.dat $(DANE) # Koniec

    Zapisz ten skrypt w katalogu /etc/cron.monthly/lynis. I nie zapomnij dodać ścieżek do zapisywania logów (/usr/local/lynis i /var/log/lynis), w przeciwnym razie może to nie działać poprawnie.

    Możesz zobaczyć listę wszystkich poleceń dostępnych do wywołania:

    Lynis pokazuje polecenia

    Ci, którzy są szczególnie ciekawi, mogą przyjrzeć się ustawieniom z domyślnej konfiguracji:

    Lynis pokaż ustawienia

    Krótka instrukcja korzystania z narzędzia:

    Człowieku Lynis

    Opcje możliwych statusów na podstawie wyników kontroli ograniczają się do poniższej listy: BRAK, SŁABY, GOTOWE, ZNALEZIONO, NIEZNALEZIONO, OK, OSTRZEŻENIE.


    Uruchamianie indywidualnych testów w Lynis

    W praktyce może okazać się konieczne przeprowadzenie jedynie kilku testów. Na przykład, jeśli Twój serwer obsługuje tylko funkcje serwera pocztowego lub Apache. W tym celu możemy użyć parametru -tests. Składnia polecenia jest następująca:

    Lynis – testy „Test-ID”

    Jeśli trudno Ci to zrozumieć ze względu na dużą liczbę identyfikatorów testów, możesz użyć parametru grupowego -kategoria-testu. Dzięki tej opcji Lynis uruchamia tylko identyfikatory testowe należące do określonej kategorii. Na przykład planujemy przeprowadzić testy zapory ogniowej i jądra:

    ./lynis -kategoria-testów "jądro zapory ogniowej"

    Dodatkowo funkcjonalność Lynisa rozszerzają różne wtyczki, które możesz dodać samodzielnie lub dodać nowe do istniejącego katalogu.

    Propozycje poprawek

    Wszystkie ostrzeżenia zostaną wyświetlone po wynikach. Każdy z nich zaczyna się od tekstu ostrzegawczego, a następnie w nawiasie obok niego wskazany jest test, który go wygenerował. Następny wiersz sugeruje rozwiązanie problemu, jeśli takie istnieje. Tak naprawdę ostatnia linia to adres URL, pod którym można wyświetlić szczegóły i znaleźć dodatkowe zalecenia dotyczące rozwiązania problemu.

    Profile

    Profile zarządzające audytem zdefiniowane są w plikach z rozszerzeniem .prf, znajdujący się w katalogu /etc/lynis. Domyślny profil ma przewidywalną nazwę: default.prf . Twórcy nie zalecają bezpośredniej edycji: lepiej jest dodać wszelkie zmiany, jakie chcesz wprowadzić w audycie, do pliku custom.prf, znajdującego się w tym samym katalogu.

    Kontynuacja jest dostępna tylko dla członków

    Opcja 1. Dołącz do społeczności „site”, aby zapoznać się ze wszystkimi materiałami w serwisie

    Członkostwo w społeczności w określonym terminie zapewni Ci dostęp do WSZYSTKICH materiałów Hackera, zwiększy Twoją osobistą zniżkę kumulacyjną i pozwoli Ci zgromadzić profesjonalną ocenę Xakep Score!