Sử dụng tool Lynis để audit và kiểm tra bảo mật Linux
Giới thiệu
Trang chủ : https://cisofy.com/
Trang download : https://cisofy.com/download/lynis/
Danh sách các category : https://cisofy.com/lynis-controls/
Blog : http://linux-audit.com/
– Audit = Ai làm gì với dữ liệu nào khi nào và bằng cách nào hay còn gọi là kiểm toán công nghệ thông tin.
– Lynis là một phần mềm mã nguồn mở dùng để audit bảo mật hệ thống Linux hay Unix, kiểm tra sơ bộ các vấn đề lỗi bảo mật thường gặp dựa trên CSDL riêng.
– Phần mềm thường được sử dụng bởi các quản trị viên hệ thống Linux, các chuyên viên auditor,…
– Lynis có phiên bản Enterprise với việc cung cấp các plugins hữu ích cho các doanh nghiệp.
Cách thức hoạt động
– Lynis sẽ thực hiện các bài kiểm tra cá nhân dựa trên danh sách CSDL hành vi thực hiện thao tác theo các bước sau:
+ Xác định hệ điều hành.
+ Tìm kiếm các công cụ đang có để thực hiện kiểm tra.
+ Kiểm tra update Lynis.
+ Chạy kiểm tra với các plugins được kích hoạt nếu có.
+ Chạy kiểm tra bảo mật quy trình với từng nhóm phân loại.
+ Xuất report đối với quá trình scan bảo mật vừa qua.
Các nhóm phân loại bảo mật của Lynis:
- System tools: system binaries
- Boot and services: boot loaders, startup services
- Kernel: run level, loaded modules, kernel configuration, core dumps
- Memory and processes: zombie processes, IO waiting processes
- Users, groups and authentication: group IDs, sudoers, PAM configuration, password aging, default mask
- Shells
- File systems: mount points, /tmp files, root file system
- Storage: usb-storage, firewire ohci
- NFS
- Software: name services: DNS search domain, BIND
- Ports and packages: vulnerable/upgradable packages, security repository
- Networking: nameservers, promiscuous interfaces, connections
- Printers and spools: cups configuration
- Software: e-mail and messaging
- Software: firewalls: iptables, pf
- Software: webserver: Apache, nginx
- SSH support: SSH configuration
- SNMP support
- Databases: MySQL root password
- LDAP services
- Software: php: php options
- Squid support
- Logging and files: syslog daemon, log directories
- Insecure services: inetd
- Banners and identification
- Scheduled tasks: crontab/cronjob, atd
- Accounting: sysstat data, auditd
- Time and synchronization: ntp daemon
- Cryptography: SSL certificate expiration
- Virtualization
- Security frameworks: AppArmor, SELinux, grsecurity status
- Software: file integrity
- Software: malware scanners
- Home directories: shell history files
1. Download phần mềm Lynis
$ cd /opt/ $ wget https://cisofy.com/files/lynis-2.1.1.tar.gz $ tar xvf lynis-2.1.1.tar.gz
– Để chạy Lynis bạn cần đảm bảo quyền ghi (write access) đối với 2 director /var/log và /tmp .
2. Sử dụng Lynis để thực hiện scan hệ thống
$ ./lynis
Usage: lynis [options] mode
Mode:
audit
audit system : Perform security scan
audit dockerfile <file> : Analyze Dockerfile
update
update info : Show update details
update release : Update Lynis release
....
$ ./lynis audit system -Q
Sau đây là một số hình ảnh minh hoạ:
3. Các lưu ý khác
– Sau khi quá trình quét tìm lỗi hoàn tất, thì bản báo cáo quá trình auditing của hệ thống sẽ được khởi tạo và lưu lại tại đường dẫn : /var/log/lynis.log
– Tìm các thông tin cảnh báo “Warning” về khả năng lỗ hổng được tìm thấy từ file report :
$ grep “Warning” /var/log/lynis.log
– Tìm các thông tin “Suggestions” nhằm giúp cải thiện tính bảo mật hệ thống.
$ grep “Suggestion” /var/log/lynis.log
Chúc các bạn thành công !
