So überprüfen Sie die Sicherheit Ihres Linux-Systems mit Lynis
Veröffentlicht: 2022-01-29Wenn Sie mit Lynis ein Sicherheitsaudit auf Ihrem Linux-Computer durchführen, wird sichergestellt, dass Ihr Computer so gut wie möglich geschützt ist. Sicherheit ist alles für mit dem Internet verbundene Geräte, also stellen Sie hier sicher, dass Ihre sicher gesperrt sind.
Wie sicher ist Ihr Linux-Computer?
Lynis führt eine Reihe automatisierter Tests durch, die viele Systemkomponenten und Einstellungen Ihres Linux-Betriebssystems gründlich untersuchen. Es präsentiert seine Ergebnisse in einem farbcodierten ASCII-Bericht als Liste mit abgestuften Warnungen, Vorschlägen und Maßnahmen, die ergriffen werden sollten.
Cybersicherheit ist ein Balanceakt. Offene Paranoia ist für niemanden nützlich, also wie besorgt sollten Sie sein? Wenn Sie nur seriöse Websites besuchen, keine Anhänge öffnen oder Links in unerwünschten E-Mails folgen und für alle Systeme, bei denen Sie sich anmelden, unterschiedliche, robuste Passwörter verwenden, welche Gefahr besteht dann noch? Vor allem, wenn Sie Linux verwenden?
Lassen Sie uns diese in umgekehrter Reihenfolge ansprechen. Linux ist nicht immun gegen Malware. Tatsächlich wurde der allererste Computerwurm 1988 entwickelt, um Unix-Computer anzugreifen. Rootkits wurden nach dem Unix-Superuser (root) und der Sammlung von Software (Kits) benannt, mit der sie sich installieren, um der Entdeckung zu entgehen. Dadurch erhält der Superuser Zugriff auf den Bedrohungsakteur (dh den Bösewicht).
Warum sind sie nach root benannt? Weil das erste Rootkit 1990 veröffentlicht wurde und auf Sun Microsystems abzielte, auf denen das SunOS-Unix ausgeführt wurde.
Malware hat also unter Unix begonnen. Es sprang über den Zaun, als Windows abhob und das Rampenlicht in Beschlag nahm. Aber jetzt, wo Linux die Welt regiert, ist es zurück. Linux und Unix-ähnliche Betriebssysteme wie macOS ziehen die volle Aufmerksamkeit von Bedrohungsakteuren auf sich.
Welche Gefahr bleibt, wenn Sie vorsichtig, vernünftig und achtsam mit Ihrem Computer umgehen? Die Antwort ist lang und ausführlich. Um es etwas zusammenzufassen: Cyberangriffe sind vielfältig. Sie sind in der Lage, Dinge zu tun, die noch vor kurzem als unmöglich galten.
Rootkits wie Ryuk können Computer infizieren, wenn sie ausgeschaltet sind, indem sie die Wake-on-LAN-Überwachungsfunktionen kompromittieren. Proof-of-Concept-Code wurde ebenfalls entwickelt. Forscher der Ben-Gurion-Universität des Negev haben einen erfolgreichen „Angriff“ demonstriert, der es Angreifern ermöglichen würde, Daten von einem Air-Gap-Computer zu exfiltrieren.
Es ist unmöglich vorherzusagen, wozu Cyberbedrohungen in der Zukunft fähig sein werden. Wir wissen jedoch, welche Punkte in der Abwehr eines Computers anfällig sind. Unabhängig von der Art aktueller oder zukünftiger Angriffe ist es nur sinnvoll, diese Lücken im Voraus zu schließen.
Von der Gesamtzahl der Cyberangriffe richtet sich nur ein kleiner Prozentsatz bewusst gegen bestimmte Organisationen oder Personen. Die meisten Bedrohungen erfolgen wahllos, da sich Malware nicht darum kümmert, wer Sie sind. Automatisiertes Port-Scanning und andere Techniken suchen einfach nach anfälligen Systemen und greifen sie an. Sie nominieren sich selbst als Opfer, indem Sie verwundbar sind.
Und hier kommt Lynis ins Spiel.
Lynis installieren
Führen Sie den folgenden Befehl aus, um Lynis unter Ubuntu zu installieren:
sudo apt-get install lynis
Geben Sie auf Fedora Folgendes ein:
sudo dnf installieren lynis
Auf Manjaro verwenden Sie pacman
:
sudo pacman-Sy lynis
Durchführung eines Audits
Lynis ist terminalbasiert, daher gibt es keine GUI. Um ein Audit zu starten, öffnen Sie ein Terminalfenster. Klicken Sie darauf und ziehen Sie es an den Rand Ihres Monitors, damit es in voller Höhe einrastet, oder strecken Sie es so hoch wie möglich. Es gibt viele Ausgaben von Lynis. Je größer das Terminalfenster ist, desto einfacher ist es zu überprüfen.
Es ist auch bequemer, wenn Sie ein Terminalfenster speziell für Lynis öffnen. Sie werden viel nach oben und unten scrollen, sodass Sie sich nicht mit dem Durcheinander früherer Befehle auseinandersetzen müssen, um die Navigation in der Lynis-Ausgabe zu vereinfachen.
Um das Audit zu starten, geben Sie diesen erfrischend unkomplizierten Befehl ein:
sudo lynis Audit-System
Kategorienamen, Testtitel und Ergebnisse werden im Terminalfenster angezeigt, wenn jede Testkategorie abgeschlossen ist. Ein Audit dauert höchstens wenige Minuten. Wenn es fertig ist, kehren Sie zur Eingabeaufforderung zurück. Um die Ergebnisse zu überprüfen, scrollen Sie einfach durch das Terminalfenster.
Der erste Abschnitt der Prüfung ermittelt die Linux-Version, die Kernel-Version und andere Systemdetails.
Bereiche, die überprüft werden müssen, sind gelb (Vorschläge) und rot (Warnungen, die beachtet werden sollten) hervorgehoben.
Nachfolgend finden Sie ein Beispiel für eine Warnung. Lynis hat die Konfiguration des postfix
-Mailservers analysiert und einen Zusammenhang mit dem Banner festgestellt. Wir können später mehr Details darüber erfahren, was genau gefunden wurde und warum es ein Problem sein könnte.
Unten warnt uns Lynis, dass die Firewall auf der von uns verwendeten virtuellen Ubuntu-Maschine nicht konfiguriert ist.
Blättern Sie durch Ihre Ergebnisse, um zu sehen, was Lynis markiert hat. Am Ende des Prüfberichts sehen Sie einen Zusammenfassungsbildschirm.
Der „Härtungsindex“ ist Ihr Prüfungsergebnis. Wir haben 56 von 100 bekommen, was nicht so toll ist. Es wurden 222 Tests durchgeführt und ein Lynis-Plugin ist aktiviert. Wenn Sie die Plug-in-Downloadseite von Lynis Community Edition aufrufen und den Newsletter abonnieren, erhalten Sie Links zu weiteren Plug-ins.
Es gibt viele Plugins, darunter einige für die Prüfung nach Standards wie GDPR, ISO27001 und PCI-DSS.
Ein grünes V steht für ein Häkchen. Möglicherweise sehen Sie auch gelbe Fragezeichen und rote Kreuze.
Wir haben grüne Häkchen, weil wir eine Firewall und einen Malware-Scanner haben. Zu Testzwecken installierten wir auch rkhunter, einen Rootkit-Detektor, um zu sehen, ob Lynis es entdecken würde. Wie Sie oben sehen können, hat es das getan; Wir haben ein grünes Häkchen neben „Malware Scanner“.
Der Compliance-Status ist unbekannt, da bei der Prüfung kein Compliance-Plugin verwendet wurde. In diesem Test wurden die Sicherheits- und Schwachstellenmodule verwendet.
Es werden zwei Dateien generiert: eine Protokoll- und eine Datendatei. Die Datendatei, die sich unter „/var/log/lynis-report.dat“ befindet, interessiert uns. Sie enthält eine Kopie der Ergebnisse (ohne Farbhervorhebung), die wir im Terminalfenster sehen können . Diese sind praktisch, um zu sehen, wie sich Ihr Härtungsindex im Laufe der Zeit verbessert.
Wenn Sie im Terminalfenster rückwärts scrollen, sehen Sie eine Liste mit Vorschlägen und eine weitere mit Warnungen. Die Warnungen sind die „wichtigsten“ Elemente, also werden wir uns diese ansehen.
Dies sind die fünf Warnungen:
- „Version von Lynis ist sehr alt und sollte aktualisiert werden“: Dies ist tatsächlich die neueste Version von Lynis in den Ubuntu-Repositories. Obwohl es erst 4 Monate alt ist, hält Lynis es für sehr alt. Die Versionen in den Manjaro- und Fedora-Paketen waren neuer. Aktualisierungen in Paketmanagern hinken wahrscheinlich immer etwas hinterher. Wenn Sie wirklich die neueste Version wollen, können Sie das Projekt von GitHub klonen und es synchron halten.
- „No password set for single mode“: Single ist ein Wiederherstellungs- und Wartungsmodus, in dem nur der Root-Benutzer betriebsbereit ist. Standardmäßig ist für diesen Modus kein Passwort festgelegt.
- „Konnte 2 responsive Nameserver nicht finden“: Lynis hat versucht, mit zwei DNS-Servern zu kommunizieren, war aber nicht erfolgreich. Dies ist eine Warnung, dass es bei einem Ausfall des aktuellen DNS-Servers kein automatisches Rollover zu einem anderen geben würde.
- „Offenlegung von Informationen im SMTP-Banner gefunden“: Die Offenlegung von Informationen erfolgt, wenn Anwendungen oder Netzwerkgeräte ihre Marken- und Modellnummern (oder andere Informationen) in Standardantworten preisgeben. Dies kann Bedrohungsakteuren oder automatisierter Malware einen Einblick in die Arten von Schwachstellen geben, nach denen gesucht werden muss. Sobald sie die Software oder das Gerät identifiziert haben, mit dem sie sich verbunden haben, findet eine einfache Suche die Schwachstellen, die sie ausnutzen können.
- „iptables-Modul(e) geladen, aber keine Regeln aktiv“: Die Linux-Firewall läuft, aber es sind keine Regeln dafür festgelegt.
Warnungen löschen
Jede Warnung enthält einen Link zu einer Webseite, die das Problem beschreibt und beschreibt, was Sie tun können, um es zu beheben. Bewegen Sie einfach Ihren Mauszeiger über einen der Links, drücken Sie dann die Strg-Taste und klicken Sie darauf. Ihr Standardbrowser wird auf der Webseite für diese Nachricht oder Warnung geöffnet.
Die folgende Seite öffnete sich für uns, als wir bei gedrückter Strg-Taste auf den Link für die vierte Warnung klickten, die wir im vorherigen Abschnitt behandelt haben.
Sie können jede davon überprüfen und entscheiden, welche Warnungen Sie adressieren möchten.
Die obige Webseite erklärt, dass das standardmäßige Informations-Snippet (das „Banner“), das an ein entferntes System gesendet wird, wenn es sich mit dem Postfix-Mailserver verbindet, der auf unserem Ubuntu-Computer konfiguriert ist, zu ausführlich ist. Es hat keinen Vorteil, zu viele Informationen anzubieten – tatsächlich wird das oft gegen Sie verwendet.
Die Webseite teilt uns auch mit, dass sich das Banner in „/etc/postfix/main.cf“ befindet. Es weist uns darauf hin, dass es zurückgeschnitten werden sollte, um nur „$myhostname ESMTP“ anzuzeigen.
Wir geben Folgendes ein, um die Datei wie von Lynis empfohlen zu bearbeiten:
sudo gedit /etc/postfix/main.cf
Wir suchen die Zeile in der Datei, die das Banner definiert.
Wir bearbeiten es so, dass nur der von Lynis empfohlene Text angezeigt wird.
Wir speichern unsere Änderungen und schließen gedit
. Wir müssen jetzt den postfix
-Mailserver neu starten, damit die Änderungen wirksam werden:
sudo systemctl postfix neu starten
Lassen Sie uns nun Lynis noch einmal ausführen und sehen, ob unsere Änderungen Wirkung gezeigt haben.
Der Abschnitt „Warnungen“ zeigt jetzt nur noch vier an. Derjenige, der sich auf postfix
bezieht, ist weg.
Eine nach unten und nur noch vier Warnungen und 50 Vorschläge!
Wie weit sollten Sie gehen?
Wenn Sie noch nie eine Systemhärtung auf Ihrem Computer durchgeführt haben, werden Sie wahrscheinlich ungefähr die gleiche Anzahl von Warnungen und Vorschlägen erhalten. Sie sollten sie alle überprüfen und anhand der jeweiligen Lynis-Webseiten entscheiden, ob Sie sie ansprechen möchten.
Die Lehrbuchmethode wäre natürlich, zu versuchen, sie alle zu löschen. Das ist aber vielleicht leichter gesagt als getan. Außerdem könnten einige der Vorschläge für den durchschnittlichen Heimcomputer übertrieben sein.
Die USB-Kernel-Treiber auf die schwarze Liste setzen, um den USB-Zugriff zu deaktivieren, wenn Sie ihn nicht verwenden? Für einen geschäftskritischen Computer, der einen sensiblen Geschäftsdienst bereitstellt, kann dies erforderlich sein. Aber für einen Ubuntu-Heim-PC? Wahrscheinlich nicht.