Lynis - это инструмент аудита безопасности с открытым исходным кодом. Его основная задача - аудирование и упрочнение систем на базе Unix и Linux. Он сканирует систему, выполняя многие проверки контроля безопасности. Примеры включают поиск установленного программного обеспечения и определение возможных недостатков конфигурации.
Многие тесты являются составной частью общих принципов и стандартов безопасности, с новейшими дополнительными тестами безопасности. После сканирования будет отображаться отчет со всеми обнаруженными результатами.
Lynis является одним из самых надежных автоматизированных инструментов аудита для управления исправлениями программного обеспечения, сканирования вредоносных программ и обнаружения уязвимостей в системах на базе Unix/Linux. Этот инструмент полезен для аудиторов, сетевых и системных администраторов, специалистов в сфере безопасности, а также тестировщиков на проникновение.
Целевая аудитория:
Lynis сможет помочь аудиторам в проверке Basel II, GLBA, HIPAA, PCI DSS and SOX (Sarbanes-Oxley).
Данный инструмент отлично подойдет для специалистов в сфере безопасности, тестировщиков на проникновение, системных аудиторов, системных/ сетевых менеджеров, инженеров по безопасности.
Lynis совместим со многими операционными системами, такими как:
- AIX
- Arch Linux
- BackTrack Linux
- CentOS
- Debian, DragonFlyBSD
- Fedora Core, FreeBSD
- Gentoo
- HPUX
- Kali, Knoppix
- Linux Mint
- MacOS X, Mageia, Mandriva
- NetBSD
- OpenBSD, OpenSolaris, openSUSE, Oracle Linux
- PcBSD, PCLinuxOS
- Red Hat Enterprise Linux (RHEL) и все от него производные
- Sabayon, Scientific Linux, Slackware, Solaris 10, SuSE
- TrueOS
- Ubuntu и все от него производные
- Сервера баз данных: MySQL, Oracle, PostgreSQL
- Time daemons: dntpd, ntpd, timed
- Вебсерверы: Apache, Nginx
- Системные инструменты: системные двоичные файлы
- Загрузка и службы: загрузчики, службы запуска
- Ядро: уровень запуска, загруженные модули, конфигурация ядра, дампы ядра
- Память и процессы: процессы-зомби, процессы ожидания ввода-вывода
- Пользователи, группы и аутентификация: идентификаторы групп, sudoers, конфигурация PAM, старение паролей, маска по умолчанию
- Shells
- Файловые системы: точки монтирования, / tmp-файлы, корневая файловая система
- Хранилища: usb-хранилище, firewire ohci
- NFS
- Программное обеспечение: службы имен: домен DNS-поиска, BIND
- Порты и пакеты: уязвимые/обновляемые пакеты, репозиторий безопасности
- Сеть: имена серверов, смешанные интерфейсы, соединения
- Принтеры и спулы: cups конфигурации
- Программное обеспечение: электронная почта и обмен сообщениями
- Программное обеспечение: брандмауэры: iptables, pf
- Программное обеспечение: веб-сервер: Apache, nginx
- SSH поддержка: SSH конфигурации
- SNMP поддержка
- Базы данных: MySQL root пароль
- LDAP службы
- Программное обеспечение: php: php опции
- Squid поддержка
- Протоколирование ифайлы: Syslog демон, log директории
- Ненадежные службы: inetd
- Баннеры и идентификация
- Назначенные задания: crontab/cronjob, atd
- Учет: sysstat data, auditd
- Время и синхронизация: ntp демон
- Криптография: Срок действия сертификата SSL
- Виртуализация
- Фреймворки безопасности: AppArmor, SELinux, статус безопасности
- Программное обеспечение: целостность файла
- Программное обеспечение: сканеры вредоносных программ
- Домашние директории: файлы истории shell
В этом
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, чтобы запустить его в первый раз, рекомендуется использовать -cparamater. –c параметр означает выполнение всех тестов для проверки систем. Если вы хотите поместить имя аудитора, просто добавьте параметр -auditor. Вот некоторыеСкачайте и установите Lynis с
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Код:
git clone https://github.com/CISOfy/lynis
Код:
$ cd lynis-1.3.8
# ./lynisКак только вы завершите процесс установке, запустите программу, используя имя аудитора или пентестера.
Код:
# lynis -c –auditor “BALAJI”Рисунок 1. Инициализация
Рисунок 2. Системные инструменты
Рисунок 3. Загрузка и службы и ядро
Рисунок 4. Пользователи и группы
Рисунок 5. Shell и хранилище
Рисунок 6. Программное обеспечение, порты и пакеты
Рисунок 7. Сетевое оборудование и принтеры
Рисунок 8. Электронная почта, Брандмауэр и вебсервер
Рисунок 9. SSH, SNMP и базы данных
Рисунок 10. PHP, Squid прокси протоколирование
Рисунок 11. Inetd, Баннер и Cron
Рисунок 12. Учет, NTP и криптография
Рисунок 13. Виртуализация, фреймворки безопасности и целостность файла
Рисунок 14. Сканеры вредоносных программ, системный инструмент и домашний каталог
Рисунок 15. Укрепление ядра
Рисунок 16. Упрочнение, пользовательские тесты и результаты
Рисунок 17. Упрочнение индекса
Запуск настраиваемых тестов в Lynis
Возможно, вашей системе не нужно выполнять все тесты. Если ваш сервер не работает с веб-сервером, вам не нужно его проверять. Для этого мы можем использовать параметр -tests. Синтаксис выглядит следующим образом:
Код:
# lynis –tests “Test-IDs”- FILE-7502 (Проверка всех системных двоичных файлов)
- BOOT-5121 (Проверить наличие загрузчика GRUB).
- BOOT-5139 (Проверить наличие загрузчика LILO)
- BOOT-5142 (Проверить SPARC Улучшенный загрузчик (SILO))
- BOOT-5155 (Проверьте файл конфигурации загрузчика YABOOT)
- BOOT-5159 (Проверить наличие загрузчика OpenBSD i386)
- BOOT-5165 (Проверить наличие загрузочных служб FreeBSD)
- BOOT-5177 (Проверка загрузки и запуска Linux)
- BOOT-5180 (Проверка загрузочных служб Linux (Debian style))
- BOOT-5184 (Проверить разрешения для загрузочных файлов/скриптов)
- BOOT-5202 (Проверка работоспособности системы)
- KRNL-5677 (Проверьте параметры процессора и поддержку)
- KRNL-5695 (Определить версию ядра Linux и номер выпуска)
- KRNL-5723 (Определение того, является ли ядро Linux монолитным)
- KRNL-5726 (Проверка загруженных модулей ядра Linux)
- KRNL-5728 (Проверка конфигурации ядра Linux)
- KRNL-5745 (Проверка загруженных модулей ядра FreeBSD)
- [04:57:04] Причина пропуска: Тест отсутствует в списке тестов для выполнения (Reason to skip: Test not in list of tests to perform)
- KRNL-5770 (Проверка активных модулей ядра)
- KRNL-5788 (Проверка доступности нового ядра)
- KRNL-5820 (Проверка конфигурации дампов ядра)
Код:
# ./lynis –tests “BOOT-5202 KRNL-5820”
Для того чтобы получить больше идентификаторов тестов, вы сможете найти их в /var/log/lynis.log. Ниже приведен способ, как это сделать.
1. Для начала, нам необходимо запустить lynis с параметром -c (проверить все (check-all)).
Код:
# ./lynis -c -Q
Код:
# cat /var/log/lynis.log | grep KRNL
Ниже приведены полные ключевые слова идентификаторов тестов, доступных в Lynis.
Код:
BOOT
KRNL (ядро (kernel))
PROC (процессор (processor))
AUTH (аутентификация (authentication))
SHLL (shell)
FILE
STRG (хранилище (storage))
NAME (dns)
PKGS (пакетирование (packaging))
NETW (сеть (network))
PRNT (принтер (printer))
MAIL
FIRE (брандмауэр (firewall))
HTTP (вебсервер (webserver))
SSH
SNMP
DBS (база данных (database))
PHP
LDAP
SQD (squid proxy)
LOGG (протоколирование (logging))
INSE (insecure services – inetd)
SCHD (scheduling – cron job)
ACCT (учет (accounting))
TIME (time protocol – NTP)
CRYP (криптография (cryptography))
VIRT (виртуализация (virtualization))
MACF (AppArmor – SELINUX)
MALW (вредоносное ПО (malware))
HOME
HRDN (упрочнение (hardening))
Запуск lynis с категориями
Код:
# ./lynis –tests-category “firewalls kernel”
Запуск Lynis как Cronjob
Поскольку безопасность должна быть последовательной, вы можете автоматизировать работу Lynis, чтобы он запускался периодически. Скажем, вы хотите запускать его каждый месяц, чтобы увидеть, есть ли улучшения с момента последнего запуска Lynis.
Чтобы сделать это, мы можем запустить Lynis как cronjob. Вот пример cronjob для запуска его каждый месяц.
Код:
#!/bin/sh
AUDITOR=”automated”
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR=”/var/log/lynis”
REPORT=”$LOG_DIR/report-${HOST}.${DATE}”
DATA=”$LOG_DIR/report-data-${HOST}.${DATE}.txt”
cd /usr/local/lynis
./lynis -c –auditor “${AUDITOR}” –cronjob > ${REPORT}
mv /var/log/lynis-report.dat ${DATA}
# End