Como auditar a segurança do seu sistema Linux com o Lynis


0

Um prompt de terminal em um sistema Linux.
Fatmawati Achmad Zaenuri / Shutterstock

Se você realizar uma auditoria de segurança em seu computador Linux com o Lynis, isso garantirá que sua máquina esteja o mais protegida possível. Segurança é tudo para dispositivos conectados à Internet, então veja como garantir que os seus estejam bloqueados com segurança.

Quão seguro é o seu computador Linux?

Lynis executa um conjunto de testes automatizados que inspecionam completamente muitos componentes do sistema e configurações do seu sistema operacional Linux. Ele apresenta suas descobertas em um relatório ASCII codificado por cores como uma lista de advertências, sugestões e ações que devem ser tomadas.

A segurança cibernética é um ato de equilíbrio. A paranóia absoluta não é útil para ninguém, então o quanto você deveria se preocupar? Se você apenas visita sites confiáveis, não abre anexos ou segue links em e-mails não solicitados e usa senhas diferentes e robustas para todos os sistemas nos quais você faz login, qual o perigo que permanece? Especialmente quando você está usando Linux?

Vamos tratar disso ao contrário. O Linux não está imune a malware. Na verdade, o primeiro worm de computador foi projetado para ter como alvo computadores Unix em 1988. Os rootkits foram nomeados em homenagem ao superusuário Unix (root) e à coleção de software (kits) com os quais se instalam para evitar a detecção. Isso dá ao superusuário acesso ao ator da ameaça (ou seja, o bandido).

Por que eles têm o nome de raiz? Porque o primeiro rootkit foi lançado em 1990 e direcionado à Sun Microsystems executando o SunOS Unix.

Portanto, o malware começou no Unix. Ele pulou a cerca quando o Windows decolou e monopolizou os holofotes. Mas agora que o Linux comanda o mundo, ele está de volta. Linux e sistemas operacionais semelhantes ao Unix, como o macOS, estão recebendo toda a atenção dos agentes de ameaças.

Que perigo permanece se você for cuidadoso, sensato e atento ao usar o computador? A resposta é longa e detalhada. Para condensar um pouco, os ataques cibernéticos são muitos e variados. Eles são capazes de fazer coisas que, até pouco tempo atrás, eram consideradas impossíveis.

Rootkits, como Ryuk, podem infectar computadores quando são desligados, comprometendo as funções de monitoramento de wake-on-LAN. Código de prova de conceito também foi desenvolvido. Um “ataque” bem-sucedido foi demonstrado por pesquisadores da Universidade Ben-Gurion do Negev, que permitiria aos agentes de ameaça exfiltrar dados de um computador com air-gap.

É impossível prever do que as ameaças cibernéticas serão capazes no futuro. No entanto, sabemos quais pontos nas defesas de um computador são vulneráveis. Independentemente da natureza dos ataques presentes ou futuros, só faz sentido preencher essas lacunas com antecedência.

Do número total de ataques cibernéticos, apenas uma pequena porcentagem é direcionada conscientemente a organizações ou indivíduos específicos. A maioria das ameaças é indiscriminada porque o malware não se importa com quem você é. A varredura automatizada de portas e outras técnicas apenas procuram sistemas vulneráveis ​​e os atacam. Você se autodenomina vítima por ser vulnerável.

E é aí que entra Lynis.

Instalando o Lynis

Para instalar o Lynis no Ubuntu, execute o seguinte comando:

sudo apt-get install lynis

sudo apt-get install lynis em uma janela de terminal.

No Fedora, digite:

sudo dnf install lynis

sudo dnf instale o lynis em uma janela de terminal.

No Manjaro, você usa pacman:

sudo pacman -Sy lynis

sudo pacman -Sy lynis em uma janela de terminal.

Realizando uma auditoria

Lynis é baseado em terminal, então não há GUI. Para iniciar uma auditoria, abra uma janela de terminal. Clique e arraste-o para a borda do monitor para ajustá-lo à altura total ou estique-o o máximo que puder. Há muitas saídas do Lynis, portanto, quanto mais alta for a janela do terminal, mais fácil será revisar.

Também é mais conveniente se você abrir uma janela de terminal especificamente para Lynis. Você irá rolar para cima e para baixo muito, portanto, não ter que lidar com a confusão de comandos anteriores tornará a navegação na saída do Lynis mais fácil.

Para iniciar a auditoria, digite este comando simples e refrescante:

sudo lynis audit system

sistema de auditoria sudo lynis em uma janela de terminal.

Nomes de categorias, títulos de teste e resultados irão rolar na janela do terminal conforme cada categoria de testes é concluída. Uma auditoria leva apenas alguns minutos, no máximo. Quando terminar, você retornará ao prompt de comando. Para revisar as descobertas, basta rolar a janela do terminal.

A primeira seção da auditoria detecta a versão do Linux, lançamento do kernel e outros detalhes do sistema.

Seção de detecção do sistema de um relatório de auditoria Lynis em uma janela de terminal.

As áreas que precisam ser examinadas são destacadas em âmbar (sugestões) e vermelho (avisos que devem ser tratados).

Abaixo está um exemplo de um aviso. Lynis analisou o postfix configuração do servidor de email e sinalizou algo a ver com o banner. Podemos obter mais detalhes sobre o que exatamente foi encontrado e por que isso pode ser um problema mais tarde.

A categoria de email e mensagem resulta em um relatório de auditoria do Lynis em uma janela de terminal.

Abaixo, Lynis nos avisa que o firewall não está configurado na máquina virtual Ubuntu que estamos usando.

A categoria Firewalls resulta em um relatório de auditoria do Lynis em uma janela de terminal.

Percorra seus resultados para ver o que Lynis sinalizou. Na parte inferior do relatório de auditoria, você verá uma tela de resumo.

Tela de resumo do relatório de auditoria do Lynis em uma janela de terminal.

O “Índice de Endurecimento” é a sua pontuação no exame. Conseguimos 56 de 100, o que não é ótimo. Foram 222 testes realizados e um plugin do Lynis está habilitado. Se você acessar a página de download do plug-in Lynis Community Edition e assinar o boletim informativo, obterá links para mais plug-ins.

Existem muitos plug-ins, incluindo alguns para auditoria em relação a padrões, como GDPR, ISO27001 e PCI-DSS.

Um V verde representa uma marca de seleção. Você também pode ver pontos de interrogação âmbar e X vermelhos.

Temos marcas de seleção verdes porque temos um firewall e scanner de malware. Para fins de teste, também instalamos o rkhunter, um detector de rootkit, para ver se Lynis o descobriria. Como você pode ver acima, sim; temos uma marca de seleção verde ao lado de “Malware Scanner”.

O status de conformidade é desconhecido porque a auditoria não usou um plugin de conformidade. Os módulos de segurança e vulnerabilidade foram usados ​​neste teste.

Dois arquivos são gerados: um arquivo de log e de dados. O arquivo de dados, localizado em “/var/log/lynis-report.dat,” é o que nos interessa. Ele conterá uma cópia dos resultados (sem o destaque de cor) que podemos ver na janela do terminal . Eles são úteis para ver como o índice de endurecimento melhora com o tempo.

Se você rolar para trás na janela do terminal, verá uma lista de sugestões e outra de avisos. Os avisos são os itens “importantes”, então vamos dar uma olhada neles.

Uma seção de avisos em um relatório de auditoria Lynis em uma janela de terminal.

Estes são os cinco avisos:

  • “A versão do Lynis é muito antiga e deve ser atualizada”: Esta é realmente a versão mais recente do Lynis nos repositórios do Ubuntu. Embora tenha apenas 4 meses, Lynis considera isso muito antigo. As versões dos pacotes Manjaro e Fedora eram mais recentes. As atualizações nos gerenciadores de pacotes sempre estão um pouco atrasadas. Se você realmente deseja a versão mais recente, pode clonar o projeto do GitHub e mantê-lo sincronizado.
  • “Nenhuma senha definida para modo único”: Único é um modo de recuperação e manutenção em que apenas o usuário root está operacional. Nenhuma senha é definida para este modo por padrão.
  • “Não foi possível encontrar 2 nameservers responsivos”: Lynis tentou se comunicar com dois servidores DNS, mas não teve êxito. Este é um aviso de que se o servidor DNS atual falhar, não haverá transferência automática para outro.
  • “Encontrou divulgação de informações no banner SMTP”: A divulgação de informações acontece quando os aplicativos ou equipamentos de rede fornecem seus números de marca e modelo (ou outras informações) em respostas padrão. Isso pode fornecer aos agentes de ameaças ou percepção automatizada de malware sobre os tipos de vulnerabilidade a serem verificados. Depois de identificar o software ou dispositivo ao qual se conectaram, uma simples pesquisa encontrará as vulnerabilidades que eles podem tentar explorar.
  • “Módulo (s) iptables carregados, mas nenhuma regra ativa”: O firewall do Linux está instalado e funcionando, mas não há regras definidas para ele.

Limpando Avisos

Cada aviso possui um link para uma página da web que descreve o problema e o que você pode fazer para corrigi-lo. Basta passar o ponteiro do mouse sobre um dos links e, em seguida, pressionar Ctrl e clicar nele. Seu navegador padrão será aberto na página da web para essa mensagem ou aviso.

A página abaixo se abriu para nós quando Ctrl + clicamos no link do quarto aviso que abordamos na seção anterior.

Uma página da web de aviso de auditoria do Lynis.

Você pode revisar cada um deles e decidir quais avisos abordar.

A página da web acima explica que o snippet de informação padrão (o “banner”) enviado a um sistema remoto quando ele se conecta ao servidor de correio postfix configurado em nosso computador Ubuntu é muito prolixo. Não há vantagem em oferecer muitas informações – na verdade, elas costumam ser usadas contra você.

A página da web também nos diz que o banner está em “/etc/postfix/main.cf.” Ele nos avisa que deve ser cortado para mostrar apenas “$ myhostname ESMTP”.

Nós digitamos o seguinte para editar o arquivo como Lynis recomenda:

sudo gedit /etc/postfix/main.cf

sudo gedit /etc/postfix/main.cf em uma janela de terminal.

Localizamos a linha no arquivo que define o banner.

Postfix arquivo main.cf em um editor gedit com a linha smtp_banner destacada.

Nós o editamos para mostrar apenas o texto recomendado por Lynis.

Postfix arquivo main.cf em um editor gedit com a linha smtp_banner editada destacada.

Nós salvamos nossas alterações e fechamos gedit. Agora precisamos reiniciar o postfix servidor de e-mail para que as alterações tenham efeito:

sudo systemctl restart postfix

sistema de auditoria sudo lynis em uma janela de terminal.

Agora, vamos executar o Lynis mais uma vez e ver se nossas alterações surtiram efeito.

sistema de auditoria sudo lynis em uma janela de terminal.

A seção “Avisos” agora mostra apenas quatro. Aquele que se refere a postfix se foi.

seção de avisos de um relatório de auditoria Lynis, em uma janela de terminal.

Um já foi, e apenas mais quatro avisos e 50 sugestões para terminar!

Quão longe você deve ir?

Se você nunca fez qualquer proteção do sistema em seu computador, provavelmente terá aproximadamente o mesmo número de avisos e sugestões. Você deve revisá-los todos e, guiado pelas páginas da Web do Lynis para cada um, fazer uma avaliação sobre se deve abordá-los.

O método do livro didático, é claro, seria tentar eliminá-los todos. Isso pode ser mais fácil dizer do que fazer, no entanto. Além disso, algumas das sugestões podem ser exageradas para o computador doméstico comum.

Blacklist os drivers do kernel USB para desativar o acesso USB quando você não estiver usando? Para um computador de missão crítica que fornece um serviço comercial confidencial, isso pode ser necessário. Mas para um PC doméstico com Ubuntu? Provavelmente não.


Like it? Share with your friends!

0

What's Your Reaction?

hate hate
0
hate
confused confused
0
confused
fail fail
0
fail
fun fun
0
fun
geeky geeky
0
geeky
love love
0
love
lol lol
0
lol
omg omg
0
omg
win win
0
win

0 Comments

Your email address will not be published. Required fields are marked *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format