Come controllare la sicurezza del tuo sistema Linux con Lynis
Pubblicato: 2022-01-29Se esegui un controllo di sicurezza sul tuo computer Linux con Lynis, assicurerà che il tuo computer sia il più protetto possibile. La sicurezza è tutto per i dispositivi connessi a Internet, quindi ecco come assicurarti che i tuoi siano bloccati in sicurezza.
Quanto è sicuro il tuo computer Linux?
Lynis esegue una suite di test automatizzati che esaminano a fondo molti componenti di sistema e impostazioni del sistema operativo Linux. Presenta i risultati in un report ASCII con codice colore come elenco di avvertenze, suggerimenti e azioni da intraprendere.
La sicurezza informatica è un atto di equilibrio. La paranoia assoluta non è utile a nessuno, quindi quanto dovresti essere preoccupato? Se visiti solo siti Web affidabili, non apri allegati o non segui collegamenti in e-mail non richieste e utilizzi password diverse e robuste per tutti i sistemi a cui accedi, quale pericolo rimane? Soprattutto quando usi Linux?
Affrontiamo quelli al contrario. Linux non è immune al malware. In effetti, il primo vero worm per computer è stato progettato per prendere di mira i computer Unix nel 1988. I rootkit prendono il nome dal superutente Unix (root) e dalla raccolta di software (kit) con cui si installano per eludere il rilevamento. Questo dà al superutente l'accesso all'attore della minaccia (cioè il cattivo).
Perché prendono il nome dalla radice? Perché il primo rootkit è stato rilasciato nel 1990 e mirato a Sun Microsystems che esegue SunOS Unix.
Quindi, il malware ha avuto inizio su Unix. Ha scavalcato la recinzione quando Windows è decollato e ha conquistato le luci della ribalta. Ma ora che Linux gestisce il mondo, è tornato. I sistemi operativi simili a Linux e Unix, come macOS, stanno ottenendo la piena attenzione degli attori delle minacce.
Quale pericolo rimane se sei attento, ragionevole e consapevole quando usi il tuo computer? La risposta è lunga e dettagliata. Per condensare un po', gli attacchi informatici sono molti e vari. Sono capaci di fare cose che fino a poco tempo fa erano considerate impossibili.
I rootkit, come Ryuk, possono infettare i computer quando sono spenti compromettendo le funzioni di monitoraggio della riattivazione LAN. È stato anche sviluppato un codice di prova del concetto. Un "attacco" riuscito è stato dimostrato dai ricercatori dell'Università Ben-Gurion del Negev che consentirebbe agli attori delle minacce di esfiltrare i dati da un computer con un vuoto d'aria.
È impossibile prevedere di cosa saranno capaci le minacce informatiche in futuro. Tuttavia, capiamo quali punti nelle difese di un computer sono vulnerabili. Indipendentemente dalla natura degli attacchi presenti o futuri, ha senso solo colmare queste lacune in anticipo.
Del numero totale di attacchi informatici, solo una piccola percentuale è mirata consapevolmente a organizzazioni o individui specifici. La maggior parte delle minacce è indiscriminata perché al malware non interessa chi sei. La scansione automatizzata delle porte e altre tecniche cercano semplicemente i sistemi vulnerabili e li attaccano. Ti nomini come una vittima essendo vulnerabile.
Ed è qui che entra in gioco Lynis.
Installazione di Lynis
Per installare Lynis su Ubuntu, eseguire il comando seguente:
sudo apt-get install lynis
Su Fedora, digita:
sudo dnf install lynis
Su Manjaro, usi pacman
:
sudo pacman -Sy lynis
Conduzione di un audit
Lynis è basato su terminale, quindi non c'è la GUI. Per avviare un controllo, aprire una finestra del terminale. Fare clic e trascinarlo sul bordo del monitor per farlo scattare a tutta altezza o allungarlo il più in alto possibile. C'è molto output da Lynis, quindi più alta è la finestra del terminale, più facile sarà la revisione.
È anche più conveniente se apri una finestra di terminale specifica per Lynis. Scorrerai molto su e giù, quindi non dover affrontare il disordine dei comandi precedenti renderà più semplice la navigazione nell'output di Lynis.
Per avviare l'audit, digita questo comando semplice e rinfrescante:
sistema di audit sudo lynis
I nomi delle categorie, i titoli dei test e i risultati scorreranno nella finestra del terminale man mano che ogni categoria di test viene completata. Un audit richiede solo pochi minuti al massimo. Al termine, verrai riportato al prompt dei comandi. Per rivedere i risultati, basta scorrere la finestra del terminale.
La prima sezione dell'audit rileva la versione di Linux, il rilascio del kernel e altri dettagli di sistema.
Le aree che devono essere esaminate sono evidenziate in ambra (suggerimenti) e in rosso (avvertenze che dovrebbero essere affrontate).
Di seguito è riportato un esempio di avviso. Lynis ha analizzato la configurazione del server di posta di postfix
e ha segnalato qualcosa che ha a che fare con il banner. Possiamo ottenere maggiori dettagli su cosa ha trovato esattamente e perché potrebbe essere un problema in seguito.
Di seguito, Lynis ci avverte che il firewall non è configurato sulla macchina virtuale Ubuntu che stiamo utilizzando.
Scorri i risultati per vedere cosa ha segnalato Lynis. Nella parte inferiore del rapporto di controllo, vedrai una schermata di riepilogo.
L'"Indice di indurimento" è il punteggio dell'esame. Ne abbiamo presi 56 su 100, il che non è eccezionale. Sono stati eseguiti 222 test e un plug-in Lynis è abilitato. Se vai alla pagina di download del plug-in Lynis Community Edition e ti iscrivi alla newsletter, otterrai collegamenti a più plug-in.
Esistono molti plug-in, inclusi alcuni per il controllo rispetto agli standard, come GDPR, ISO27001 e PCI-DSS.
Una V verde rappresenta un segno di spunta. Potresti anche vedere punti interrogativi color ambra e X rosse.
Abbiamo segni di spunta verdi perché abbiamo un firewall e uno scanner di malware. A scopo di test, abbiamo anche installato rkhunter, un rilevatore di rootkit, per vedere se Lynis lo avrebbe scoperto. Come puoi vedere sopra, lo ha fatto; abbiamo un segno di spunta verde accanto a "Scanner malware".
Lo stato di conformità è sconosciuto perché l'audit non ha utilizzato un plug-in di conformità. In questo test sono stati utilizzati i moduli di sicurezza e vulnerabilità.
Vengono generati due file: un log e un file di dati. Il file di dati, che si trova in "/var/log/lynis-report.dat", è quello che ci interessa. Conterrà una copia dei risultati (senza l'evidenziazione del colore) che possiamo vedere nella finestra del terminale . Questi sono utili per vedere come il tuo indice di indurimento migliora nel tempo.
Se scorri all'indietro nella finestra del terminale, vedrai un elenco di suggerimenti e un altro di avvisi. Gli avvisi sono gli elementi del "biglietto grosso", quindi li esamineremo.
Questi sono i cinque avvertimenti:
- "La versione di Lynis è molto vecchia e dovrebbe essere aggiornata": questa è in realtà la versione più recente di Lynis nei repository di Ubuntu. Sebbene abbia solo 4 mesi, Lynis lo considera molto vecchio. Le versioni nei pacchetti Manjaro e Fedora erano più recenti. È probabile che gli aggiornamenti nei gestori di pacchetti siano sempre leggermente indietro. Se vuoi davvero l'ultima versione puoi clonare il progetto da GitHub e mantenerlo sincronizzato.
- “Nessuna password impostata per modalità singola”: Singola è una modalità di ripristino e manutenzione in cui è operativo solo l'utente root. Nessuna password è impostata per questa modalità per impostazione predefinita.
- "Impossibile trovare 2 server dei nomi reattivi": Lynis ha tentato di comunicare con due server DNS, ma senza successo. Questo è un avviso che se il server DNS corrente si guasta, non ci sarebbe il rollover automatico su un altro.
- "Trovato un po' di divulgazione di informazioni nel banner SMTP": la divulgazione di informazioni avviene quando applicazioni o apparecchiature di rete rivelano la loro marca e numero di modello (o altre informazioni) nelle risposte standard. Ciò può fornire agli attori delle minacce o al malware automatizzato informazioni dettagliate sui tipi di vulnerabilità da verificare. Una volta identificato il software o il dispositivo a cui si sono connessi, una semplice ricerca troverà le vulnerabilità che possono tentare di sfruttare.
- "modulo/i iptables caricato, ma nessuna regola attiva": il firewall Linux è attivo e funzionante, ma non ci sono regole impostate per esso.
Avvisi di cancellazione
Ogni avviso ha un collegamento a una pagina Web che descrive il problema e cosa è possibile fare per risolverlo. Passa il puntatore del mouse su uno dei collegamenti, quindi premi Ctrl e fai clic su di esso. Il tuo browser predefinito si aprirà sulla pagina web per quel messaggio o avviso.
La pagina seguente si è aperta per noi quando abbiamo fatto Ctrl+clic sul collegamento per il quarto avviso di cui abbiamo parlato nella sezione precedente.
Puoi esaminare ciascuno di questi e decidere quali avvisi affrontare.
La pagina web sopra spiega che lo snippet predefinito di informazioni (il "banner") inviato a un sistema remoto quando si connette al server di posta postfix configurato sul nostro computer Ubuntu è troppo dettagliato. Non c'è alcun vantaggio nell'offrire troppe informazioni, anzi, queste vengono spesso usate contro di te.
La pagina web ci dice anche che il banner risiede in "/etc/postfix/main.cf." Ci avvisa che dovrebbe essere ridotto per mostrare solo "$myhostname ESMTP".
Digitiamo quanto segue per modificare il file come consiglia Lynis:
sudo gedit /etc/postfix/main.cf
Individuiamo la riga nel file che definisce il banner.
Lo modifichiamo per mostrare solo il testo consigliato da Lynis.
Salviamo le nostre modifiche e chiudiamo gedit
. Ora è necessario riavviare il server di posta postfix
affinché le modifiche abbiano effetto:
sudo systemctl restart postfix
Ora, eseguiamo ancora una volta Lynis e vediamo se le nostre modifiche hanno avuto effetto.
La sezione "Avvisi" ora ne mostra solo quattro. Quello che si riferisce a postfix
è sparito.
Uno in meno e solo altri quattro avvisi e 50 suggerimenti per andare!
Quanto lontano dovresti andare?
Se non hai mai eseguito alcun rafforzamento del sistema sul tuo computer, probabilmente avrai all'incirca lo stesso numero di avvisi e suggerimenti. Dovresti esaminarli tutti e, guidato dalle pagine Web Lynis per ciascuno, esprimere un giudizio sull'opportunità di affrontarlo.
Il metodo da manuale, ovviamente, sarebbe provare a cancellarli tutti. Potrebbe essere più facile a dirsi che a farsi, però. Inoltre, alcuni dei suggerimenti potrebbero essere eccessivi per il computer di casa medio.
Metti nella lista nera i driver del kernel USB per disabilitare l'accesso USB quando non lo stai utilizzando? Per un computer mission-critical che fornisce un servizio aziendale sensibile, questo potrebbe essere necessario. Ma per un PC di casa Ubuntu? Probabilmente no.