Als u met Lynis een beveiligingsaudit uitvoert op uw Linux-computer, zorgt dit ervoor dat uw machine zo goed mogelijk beschermd is. Beveiliging is alles voor met internet verbonden apparaten, dus hier is hoe u ervoor kunt zorgen dat die van u veilig zijn vergrendeld.
Hoe veilig is uw Linux-computer?
Lynis voert een reeks geautomatiseerde tests uit die veel systeemcomponenten en instellingen van uw Linux-besturingssysteem grondig inspecteren. Het presenteert zijn bevindingen in een kleurgecodeerd ASCII-rapport als een lijst met gesorteerde waarschuwingen, suggesties en acties die moeten worden ondernomen.
Cybersecurity is een evenwichtsoefening. Ronduit paranoia is voor niemand nuttig, dus hoe bezorgd moet je zijn? Als u alleen gerenommeerde websites bezoekt, geen bijlagen opent of links in ongevraagde e-mails volgt en verschillende, robuuste wachtwoorden gebruikt voor alle systemen waarop u inlogt, welk gevaar blijft er dan over? Vooral als je Linux gebruikt?
Laten we die in omgekeerde volgorde aanpakken. Linux is niet immuun voor malware. In feite werd de allereerste computerworm in 1988 ontworpen voor Unix-computers. Rootkits werden genoemd naar de Unix-superuser (root) en de verzameling software (kits) waarmee ze zichzelf installeren om detectie te omzeilen. Dit geeft de superuser toegang tot de bedreigingsacteur (dwz de slechterik).
Waarom zijn ze vernoemd naar root? Omdat de eerste rootkit in 1990 werd uitgebracht en gericht was op Sun Microsystems met de SunOS Unix.
Dus malware begon op Unix. Het sprong over het hek toen Windows vertrok en in de schijnwerpers kwam te staan. Maar nu Linux de wereld bestuurt, is het terug. Linux en Unix-achtige besturingssystemen, zoals macOS, krijgen de volledige aandacht van bedreigingsactoren.
Welk gevaar blijft er over als u voorzichtig, verstandig en bedachtzaam bent wanneer u uw computer gebruikt? Het antwoord is lang en gedetailleerd. Om het enigszins te beknotten, cyberaanvallen zijn talrijk en gevarieerd. Ze zijn in staat om dingen te doen die nog maar kort geleden als onmogelijk werden beschouwd.
Rootkits, zoals Ryuk, kunnen computers infecteren wanneer ze zijn uitgeschakeld door de wake-on-LAN-bewakingsfuncties in gevaar te brengen. Er is ook proof-of-concept-code ontwikkeld. Een succesvolle “aanval” werd gedemonstreerd door onderzoekers van de Ben-Gurion Universiteit van de Negev, waardoor bedreigingsactoren gegevens konden exfiltreren van een computer met luchtopeningen.
Het is onmogelijk te voorspellen waartoe cyberdreigingen in de toekomst in staat zullen zijn. We begrijpen echter welke punten in de verdediging van een computer kwetsbaar zijn. Ongeacht de aard van de huidige of toekomstige aanvallen, heeft het alleen zin om die hiaten van tevoren te dichten.
Van het totaal aantal cyberaanvallen is slechts een klein percentage bewust gericht op specifieke organisaties of individuen. De meeste bedreigingen zijn willekeurig, omdat het malware niet kan schelen wie u bent. Geautomatiseerde poortscanning en andere technieken zoeken gewoon naar kwetsbare systemen en vallen ze aan. Je nomineert jezelf als slachtoffer door kwetsbaar te zijn.
En dat is waar Lynis binnenkomt.
Lynis installeren
Om Lynis op Ubuntu te installeren, voert u de volgende opdracht uit:
sudo apt-get install lynis
Typ op Fedora:
sudo dnf install lynis
Op Manjaro gebruik je pacman
:
sudo pacman -Sy lynis
Een audit uitvoeren
Lynis is terminalgebaseerd, dus er is geen GUI. Open een terminalvenster om een ​​audit te starten. Klik en sleep het naar de rand van uw monitor om het op volledige hoogte te laten klikken of om het zo lang mogelijk uit te rekken. Er is veel output van Lynis, dus hoe groter het terminalvenster, hoe gemakkelijker het zal zijn om te beoordelen.
Het is ook handiger als u een terminalvenster specifiek voor Lynis opent. U zult veel op en neer scrollen, dus als u niet te maken hebt met de warboel van eerdere opdrachten, wordt het navigeren door de Lynis-uitvoer gemakkelijker.
Typ deze verfrissend eenvoudige opdracht om de audit te starten:
sudo lynis audit system
Categorienamen, testtitels en resultaten scrollen in het terminalvenster wanneer elke categorie tests is voltooid. Een audit duurt maximaal een paar minuten. Als het klaar is, keert u terug naar de opdrachtprompt. Blader door het terminalvenster om de bevindingen te bekijken.
Het eerste deel van de audit detecteert de versie van Linux, kernelrelease en andere systeemdetails.
Gebieden die moeten worden bekeken, worden gemarkeerd in oranje (suggesties) en rood (waarschuwingen die moeten worden aangepakt).
Hieronder ziet u een voorbeeld van een waarschuwing. Lynis heeft het postfix
mailserverconfiguratie en markeerde iets dat met de banner te maken heeft. We kunnen later meer informatie krijgen over wat het precies heeft gevonden en waarom dit een probleem kan zijn.
Hieronder waarschuwt Lynis ons dat de firewall niet is geconfigureerd op de virtuele Ubuntu-machine die we gebruiken.
Blader door uw resultaten om te zien wat Lynis heeft gemarkeerd. Onderaan het auditrapport ziet u een overzichtsscherm.
De “Hardening Index” is uw examenscore. We hebben 56 van de 100, wat niet geweldig is. Er zijn 222 tests uitgevoerd en er is één Lynis-plug-in ingeschakeld. Als u naar de downloadpagina van de Lynis Community Edition-plug-in gaat en u abonneert op de nieuwsbrief, krijgt u links naar meer plug-ins.
Er zijn veel plug-ins, waaronder enkele voor audits aan de hand van normen, zoals GDPR, ISO27001 en PCI-DSS.
Een groene V staat voor een vinkje. Mogelijk ziet u ook oranje vraagtekens en rode kruisjes.
We hebben groene vinkjes omdat we een firewall en malwarescanner hebben. Voor testdoeleinden hebben we ook rkhunter geïnstalleerd, een rootkit-detector, om te kijken of Lynis het zou ontdekken. Zoals je hierboven kunt zien, deed het dat; we hebben een groen vinkje naast ‘Malwarescanner’.
De compliancestatus is onbekend omdat de audit geen compliance-plug-in heeft gebruikt. Bij deze test zijn de beveiligings- en kwetsbaarheidsmodules gebruikt.
Er worden twee bestanden gegenereerd: een logboek en een gegevensbestand. Het gegevensbestand op “/var/log/lynis-report.dat” is het bestand waarin we geïnteresseerd zijn. Het bevat een kopie van de resultaten (zonder de kleuraccentuering) die we kunnen zien in het terminalvenster . Deze zijn handig om te zien hoe uw verhardingsindex in de loop van de tijd verbetert.
Als u achteruit scrolt in het terminalvenster, ziet u een lijst met suggesties en nog een met waarschuwingen. De waarschuwingen zijn de “big ticket” -items, dus daar zullen we naar kijken.
Dit zijn de vijf waarschuwingen:
- “Versie van Lynis is erg oud en moet worden bijgewerkt”: Dit is eigenlijk de nieuwste versie van Lynis in de Ubuntu-repositories. Hoewel het pas 4 maanden oud is, beschouwt Lynis dit als erg oud. De versies in de Manjaro- en Fedora-pakketten waren nieuwer. Updates in pakketbeheerders lopen waarschijnlijk altijd een beetje achter. Als je echt de nieuwste versie wilt, kun je het project klonen vanuit GitHub en het gesynchroniseerd houden.
- “Geen wachtwoord ingesteld voor enkele modus”: Single is een herstel- en onderhoudsmodus waarin alleen de rootgebruiker actief is. Er is standaard geen wachtwoord ingesteld voor deze modus.
- ‘Kan twee responsieve naamservers niet vinden’: Lynis probeerde te communiceren met twee DNS-servers, maar dat lukte niet. Dit is een waarschuwing dat als de huidige DNS-server uitvalt, er geen automatische roll-over naar een andere plaatsvindt.
- “Informatie openbaarmaking gevonden in SMTP-banner”: Het vrijgeven van informatie vindt plaats wanneer applicaties of netwerkapparatuur hun merk- en modelnummers (of andere informatie) in standaardantwoorden weggeven. Dit kan bedreigingsactoren of geautomatiseerde malware inzicht geven in de soorten kwetsbaarheid waarop moet worden gecontroleerd. Zodra ze de software of het apparaat hebben geïdentificeerd waarmee ze verbinding hebben gemaakt, kan een eenvoudige zoekopdracht de kwetsbaarheden vinden die ze kunnen proberen te misbruiken.
- “Iptables module (s) geladen, maar geen regels actief”: De Linux-firewall is actief, maar er zijn geen regels voor ingesteld.
Waarschuwingen wissen
Elke waarschuwing heeft een link naar een webpagina die het probleem beschrijft en wat u kunt doen om het te verhelpen. Beweeg uw muisaanwijzer over een van de koppelingen, druk op Ctrl en klik erop. Uw standaardbrowser wordt geopend op de webpagina voor dat bericht of die waarschuwing.
De onderstaande pagina werd voor ons geopend toen we Ctrl + klikten op de link voor de vierde waarschuwing die we in de vorige sectie hebben behandeld.
U kunt elk van deze bekijken en beslissen welke waarschuwingen u moet behandelen.
De webpagina hierboven legt uit dat het standaardfragment met informatie (de “banner”) dat naar een systeem op afstand wordt gestuurd wanneer het verbinding maakt met de postfix-mailserver die op onze Ubuntu-computer is geconfigureerd, te uitgebreid is. Het heeft geen zin om te veel informatie aan te bieden – in feite wordt het vaak tegen u gebruikt.
De webpagina vertelt ons ook dat de banner zich in “/etc/postfix/main.cf” bevindt. Het adviseert ons dat het moet worden ingekort om alleen “$ mijnhostnaam ESMTP” weer te geven.
We typen het volgende om het bestand te bewerken zoals Lynis aanbeveelt:
sudo gedit /etc/postfix/main.cf
We zoeken de regel in het bestand die de banner definieert.
We bewerken het om alleen de tekst weer te geven die Lynis heeft aanbevolen.
We slaan onze wijzigingen op en sluiten gedit
. We moeten nu het postfix
mailserver om de wijzigingen door te voeren:
sudo systemctl restart postfix
Laten we Lynis nu nog een keer starten en kijken of onze wijzigingen effect hebben gehad.
De sectie “Waarschuwingen” toont nu slechts vier. Degene die verwijst naar postfix
is weg.
Een down, en nog maar vier waarschuwingen en 50 suggesties te gaan!
Hoe ver moet je gaan?
Als u nog nooit een systeemverharding op uw computer hebt uitgevoerd, krijgt u waarschijnlijk ongeveer hetzelfde aantal waarschuwingen en suggesties. U moet ze allemaal doornemen en, geleid door de Lynis-webpagina’s voor elk, een oordeel vellen over het al dan niet aanpakken.
De leerboekmethode zou natuurlijk zijn om te proberen ze allemaal op te ruimen. Dat is misschien gemakkelijker gezegd dan gedaan. Bovendien zijn sommige van de suggesties misschien overdreven voor de gemiddelde thuiscomputer.
Blacklist de USB-kerneldrivers om USB-toegang uit te schakelen wanneer u deze niet gebruikt? Voor een bedrijfskritische computer die een gevoelige zakelijke service biedt, kan dit nodig zijn. Maar voor een Ubuntu-thuis-pc? Waarschijnlijk niet.