כיצד לבדוק את האבטחה של מערכת לינוקס שלך עם Lynis

הנחיה מסוף במערכת לינוקס.

Fatmawati Achmad Zaenuri/Shutterstock



אם תבצע ביקורת אבטחה במחשב הלינוקס שלך עם Lynis, זה יבטיח שהמחשב שלך מוגן ככל האפשר. אבטחה היא הכל עבור מכשירים המחוברים לאינטרנט, אז הנה איך לוודא שהמכשירים שלך נעולים בבטחה.

כמה מאובטח מחשב הלינוקס שלך?

ליניס מבצעת חבילה של בדיקות אוטומטיות שבודקים ביסודיות רכיבי מערכת והגדרות רבים של מערכת ההפעלה לינוקס שלך. הוא מציג את ממצאיו בקוד צבע ASCII דווח כרשימה של אזהרות, הצעות ופעולות מדורגות שיש לנקוט.





אבטחת סייבר היא פעולת איזון. פרנויה מוחלטת לא מועילה לאף אחד, אז עד כמה אתה מודאג? אם אתה מבקר רק באתרי אינטרנט בעלי מוניטין, לא פותח קבצים מצורפים או עוקב אחר קישורים באימיילים לא רצויים, ומשתמש בסיסמאות שונות וחזקות עבור כל המערכות שאתה נכנס אליהן, איזו סכנה נשארת? במיוחד כשאתה משתמש בלינוקס?

בוא נתייחס לאלו הפוך. לינוקס אינה חסינה מפני תוכנות זדוניות. למעשה, הראשון תולעת מחשב תוכנן לכוון למחשבי יוניקס ב-1988. ערכות שורשים נקראו על שם משתמש-העל של יוניקס (שורש) ואוסף התוכנות (ערכות) שאיתם הם מתקינים את עצמם כדי להתחמק מגילוי. זה נותן למשתמש העל גישה לשחקן האיום (כלומר, האיש הרע).



מדוע הם נקראים על שם השורש? כי ה-rootkit הראשון שוחרר ב-1990 ומיועד ל סאן מיקרוסיסטמס מפעיל את SunOS יוניקס.

פרסומת

אז תוכנות זדוניות התחילו ב-Unix. הוא קפץ מהגדר כשחלונות המריאו והדביק את אור הזרקורים. אבל עכשיו זה לינוקס מנהלת את העולם , זה חזר. מערכות הפעלה לינוקס ו-Unix, כמו macOS, זוכות למלוא תשומת הלב של גורמי האיומים.

איזו סכנה נשארת אם אתה זהיר, הגיוני ומודע כשאתה משתמש במחשב שלך? התשובה ארוכה ומפורטת. כדי לדחות את זה מעט, התקפות סייבר הן רבות ומגוונות. הם מסוגלים לעשות דברים שלפני זמן קצר נחשבו בלתי אפשריים.



Rootkits, כמו ריוק , יכול להדביק מחשבים כשהם כבויים על ידי פגיעה ב- התעוררות ב-LAN פונקציות ניטור. קוד הוכחת מושג פותחה גם. התקפה מוצלחת הוכחה על ידי חוקרים ב אוניברסיטת בן-גוריון בנגב שיאפשר לשחקני איומים לחלץ נתונים מ- מחשב מרווח אוויר .

אי אפשר לחזות למה איומי סייבר יהיו מסוגלים בעתיד. עם זאת, אנו מבינים אילו נקודות בהגנות של מחשב פגיעות. ללא קשר לאופי ההתקפות הנוכחיות או העתידיות, זה רק הגיוני לסתום את הפערים הללו מראש.

מתוך המספר הכולל של התקפות סייבר, רק אחוז קטן ממוקד במודע לארגונים או אנשים ספציפיים. רוב האיומים הם חסרי הבחנה מכיוון שלתוכנות זדוניות לא אכפת מי אתה. סריקת יציאות אוטומטית וטכניקות אחרות פשוט מחפשות מערכות פגיעות ותוקפות אותן. אתה מציין את עצמך כקורבן בהיותך פגיע.

וכאן נכנס ליניס.

מתקין את ליניס

כדי להתקין את Lynis באובונטו, הפעל את הפקודה הבאה:

pacman

ב-Fedora, הקלד:

postfix

במנג'רו, אתה משתמש ב-|_+_|:

gedit

עריכת ביקורת

Lynis מבוסס על טרמינלים, כך שאין ממשק משתמש. כדי להתחיל ביקורת, פתח חלון מסוף. לחץ וגרור אותו לקצה הצג כדי לגרום לו להצמד לגובה מלא או למתוח אותו לגובה ככל שהוא יכול להגיע. יש הרבה פלט מליניס, כך שככל שחלון הטרמינל גבוה יותר, כך יהיה קל יותר לסקור אותו.

פרסומת

זה גם נוח יותר אם אתה פותח חלון מסוף במיוחד עבור Lynis. אתה תגלול למעלה ולמטה הרבה, כך שלא תצטרך להתמודד עם העומס של הפקודות הקודמות יקל על הניווט בפלט Lynis.

כדי להתחיל את הביקורת, הקלד פקודה פשוטה ומרעננת זו:

postfix

שמות קטגוריות, כותרות מבחנים ותוצאות יגלו בחלון הטרמינל עם השלמת כל קטגוריה של מבחנים. ביקורת אורכת רק כמה דקות לכל היותר. כשזה יסתיים, תוחזר לשורת הפקודה. כדי לסקור את הממצאים, פשוט גלול בחלון המסוף.

החלק הראשון של הביקורת מזהה את גרסת לינוקס, מהדורת הליבה ופרטי מערכת אחרים.

אזורים שצריך להסתכל עליהם מסומנים בצבע ענבר (הצעות) ואדום (אזהרות שיש להתייחס אליהם).

להלן דוגמה לאזהרה. ליניס ניתח את |_+_| תצורת שרת הדואר וסימון משהו שקשור לבאנר. נוכל לקבל פרטים נוספים על מה בדיוק הוא מצא ומדוע זה עשוי להיות בעיה מאוחר יותר.

להלן, ליניס מזהיר אותנו שחומת האש אינה מוגדרת במכונה הוירטואלית של אובונטו שבה אנו משתמשים.

פרסומת

גלול בתוצאות שלך כדי לראות מה לניס סימן. בתחתית דוח הביקורת, תראה מסך סיכום.

מדד ההקשחה הוא ציון הבחינה שלך. קיבלנו 56 מתוך 100, וזה לא נהדר. בוצעו 222 בדיקות ותוסף Lynis אחד מופעל. אם אתה הולך לפלאגין מהדורת הקהילה של ליניס דף הורדה והירשם לניוזלטר, תקבל קישורים לתוספים נוספים.

ישנם תוספים רבים, כולל כמה לביקורת מול תקנים, כגון GDPR , ISO27001 , ו PCI-DSS .

V ירוק מייצג סימן ביקורת. ייתכן שתראה גם סימני שאלה ענבריים ו-X אדומים.

יש לנו סימני ביקורת ירוקים כי יש לנו חומת אש וסורק תוכנות זדוניות. למטרות בדיקה, התקנו גם rkhunter , גלאי rootkit, כדי לראות אם ליניס יגלה אותו. כפי שאתה יכול לראות לעיל, זה קרה; קיבלנו סימן ביקורת ירוק ליד Malware Scanner.

סטטוס התאימות אינו ידוע מכיוון שהביקורת לא השתמשה בתוסף תאימות. בבדיקה זו נעשה שימוש במודולי האבטחה והפגיעות.

פרסומת

נוצרים שני קבצים: יומן וקובץ נתונים. קובץ הנתונים, הממוקם בכתובת /var/log/lynis-report.dat, הוא הקובץ שאנו מעוניינים בו. הוא יכיל עותק של התוצאות (ללא הדגשת הצבע) שנוכל לראות בחלון הטרמינל. אלה שימושיים כדי לראות כיצד מדד ההתקשות שלך משתפר עם הזמן.

אם תגלול אחורה בחלון הטרמינל, תראה רשימה של הצעות ועוד אזהרות. האזהרות הן פריטי הכרטיסים הגדולים, אז נבחן אותם.

אלו חמש האזהרות:

    הגרסה של ליניס ישנה מאוד ויש לעדכן אותה:זוהי למעשה הגרסה החדשה ביותר של Lynis במאגרי אובונטו. למרות שזה רק בן 4 חודשים, ליניס מחשיב את זה לישן מאוד. הגרסאות בחבילות Manjaro ו-Fedora היו חדשות יותר. סביר להניח שעדכונים במנהלי החבילות יהיו מעט מאחור. אם אתה באמת רוצה את הגרסה העדכנית ביותר אתה יכול לשכפל את הפרויקט מ- GitHub ולשמור אותו מסונכרן. לא הוגדרה סיסמה למצב יחיד:Single הוא מצב שחזור ותחזוקה שבו רק משתמש השורש פועל. לא מוגדרת סיסמה למצב זה כברירת מחדל. לא ניתן היה למצוא 2 שרתי שמות רספונסיביים:ליניס ניסתה לתקשר עם שני שרתי DNS , אך לא הצליח. זוהי אזהרה שאם שרת ה-DNS הנוכחי נכשל, לא תהיה מעבר אוטומטי לאחר. מצאתי קצת גילוי מידע בבאנר SMTP:חשיפת מידע מתרחשת כאשר יישומים או ציוד רשת מוסרים את מספרי היצרן והדגם שלהם (או מידע אחר) בתשובות סטנדרטיות. זה יכול לתת לשחקני איומים או תוכנות זדוניות אוטומטיות תובנות לגבי סוגי הפגיעות שיש לבדוק. לאחר שהם זיהו את התוכנה או המכשיר שאליהם התחברו, חיפוש פשוט ימצא את הפגיעויות שהם יכולים לנסות לנצל. מודולי iptables נטענו, אך אין כללים פעילים:חומת האש של לינוקס פועלת, אך לא נקבעו כללים עבורה.

אזהרות ניקוי

לכל אזהרה יש קישור לדף אינטרנט שמתאר את הבעיה ומה אתה יכול לעשות כדי לתקן אותה. פשוט העבר את מצביע העכבר מעל אחד הקישורים, ולאחר מכן הקש Ctrl ולחץ עליו. דפדפן ברירת המחדל שלך ייפתח בדף האינטרנט עבור אותה הודעה או אזהרה.

העמוד למטה נפתח עבורנו כאשר Ctrl+לחצנו על הקישור לאזהרה הרביעית שסקרנו בסעיף הקודם.

דף אינטרנט אזהרת ביקורת של ליניס.

אתה יכול לעיין בכל אחד מאלה ולהחליט באילו אזהרות לטפל.

דף האינטרנט שלמעלה מסביר שקטע ברירת המחדל של מידע (הבאנר) שנשלח למערכת מרוחקת כאשר הוא מתחבר לשרת הדואר postfix המוגדר במחשב אובונטו שלנו הוא מילולי מדי. אין שום תועלת בהצעת מידע רב מדי - למעשה, הוא משמש לעתים קרובות נגדך.

פרסומת

דף האינטרנט גם אומר לנו שהבאנר נמצא ב- /etc/postfix/main.cf. זה מייעץ לנו שיש לקצץ אותו כדי להציג רק $myhostname ESMTP.

אנו מקלידים את הדברים הבאים כדי לערוך את הקובץ כפי שלינס ממליץ:

postfix

אנו מאתרים את השורה בקובץ שמגדירה את הבאנר.

אנו עורכים אותו כך שיציג רק את הטקסט שהמליץ ​​ליניס.

אנו שומרים את השינויים שלנו וסוגרים |_+_|. כעת עלינו להפעיל מחדש את |_+_| שרת דואר כדי שהשינויים ייכנסו לתוקף:

sudo apt-get install lynis

כעת, בואו נריץ את Lynis פעם נוספת ונראה אם ​​השינויים שלנו השפיעו.

פרסומת

קטע האזהרות מציג כעת רק ארבע. זה שמתייחס אל |_+_| נעלם.

ירידה אחת, ורק עוד ארבע אזהרות ו-50 הצעות לסיום!

כמה רחוק כדאי ללכת?

אם מעולם לא ביצעת הקשחת מערכת כלשהי במחשב שלך, סביר להניח שיהיו לך בערך אותו מספר של אזהרות והצעות. עליך לסקור את כולם, ובהנחיית דפי האינטרנט של Lynis עבור כל אחד מהם, לבצע שיחת שיקול דעת אם לטפל בזה.

שיטת ספרי הלימוד, כמובן, תהיה לנסות לנקות את כולם. עם זאת, זה אולי קל יותר לומר מאשר לעשות. בנוסף, חלק מההצעות עשויות להיות מוגזמות עבור המחשב הביתי הממוצע.

לרשום שחור את מנהלי ההתקן של ליבת ה-USB כדי להשבית את גישת ה-USB כאשר אינך משתמש בו? עבור מחשב קריטי למשימה המספק שירות עסקי רגיש, זה עשוי להיות נחוץ. אבל למחשב ביתי של אובונטו? כנראה שלא.

קרא את הבא תמונת פרופיל עבור דייב מקיי דייב מקיי
דייב מקיי השתמש לראשונה במחשבים כשסרט נייר מחורר היה באופנה, ומאז הוא מתכנת. לאחר למעלה מ-30 שנה בתעשיית ה-IT, הוא כעת עיתונאי טכנולוגיה במשרה מלאה. במהלך הקריירה שלו, הוא עבד כמתכנת עצמאי, מנהל צוות פיתוח תוכנה בינלאומי, מנהל פרויקטים של שירותי IT, ולאחרונה כמנהל הגנת מידע. הכתיבה שלו פורסמה על ידי howtogeek.com, cloudsavvyit.com, itenterpriser.com ו-opensource.com. דייב הוא אוונגליסט של לינוקס ותומך בקוד פתוח.
קרא את הביוגרפיה המלאה

מאמרים מעניינים