Lynis — ещё одна очень хорошая утилита для аудита безопасности. Анализатор выполняет проверку всех компонентов системы, выявляет её слабые места и очевидные проблемы, формирует отчёт для администратора в котором содержатся предупреждения и рекомендации по увеличению уровня безопасности на сервере. Интересно что в ходе проверки, Lynis вычисляет некий индекс защищённости, на который можно ориентироваться при выполнении тех или иных рекомендаций.
Hardening index : 75 [############### ] Tests performed : 226 Plugins enabled : 0
Кроме этого, в Lynis предусмотрена система плагинов, которыми можно расширить возможности анализатора при проверке севера. Плагины можно написать самому, а можно воспользоваться тем, что уже подготовлено участниками сообщества.
Для установки разработчики подготовили собственные репозитории, в которых доступны пакеты для всех операционных систем. Я работаю с CentOS, так что и ставить утилиту буду соответствующим образом.
На самом деле Lynis так же доступен и в EPEL, однако на момент написания этой статьи из репозитория разработчиков ставилась более свежая версия утилиты.
1. В файл /etc/yum.repos.d/cisofy-lynis.repo прописываем данные репозитория:
[lynis] name=CISOfy Software - Lynis package baseurl=https://packages.cisofy.com/community/lynis/rpm/ enabled=1 gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key gpgcheck=1
2. Устанавливаем Lynis:
yum install lynis
3. Запускаем анализ ситуации на сервере:
lynis audit system
Выглядеть всё будет примерно так:
В отчёте довольно таки много информации, на которую сканер обращает внимание администратора — проверяются настройки загрузки, настройки ядра, фаервола, параметры сети, активные порты, установленное ПО, доступные и запущенные сервисы… В зависимости от того какой набор ПО установлен на сервере, Lynis даст необходимые рекомендации по тому что стоит проверить или изменить в настойках системы.
Актуальную версию плагинов от сообщества, можно скачать с соответствующей страницы на сайте. Узнать в какой директории необходимо расположить плагины можно, например, вот так…
grep -i plugin /var/log/lynis.log
При необходимости, можно настроить регулярную проверку сервера по крону, делается это, вот таким скриптом:
# cat /etc/cron.daily/lynis
#!/bin/sh
AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"
/usr/bin/lynis audit system --auditor "${AUDITOR}" --cronjob > ${REPORT}
if [ -f /var/log/lynis-report.dat ]; then
mv /var/log/lynis-report.dat ${DATA}
fi
Возможно пути до директории с lynis и логами будут отличаться в зависимости от ОС.
Вместо заключения… Lynis — удобный и функциональный инструмент для аудита безопасности системы. Со своими задачами справляется отлично. В рабочем процессе использую его вместе с такими утилитами как rkhunter и chkrootkit и, рекомендую его к использованию другим администраторам.
One thought on “Аудит безопасности с помощью Lynis.”