Cách kiểm tra bảo mật hệ thống Linux của bạn với Lynis

Một dấu nhắc đầu cuối trên hệ thống Linux.

Fatmawati Achmad Zaenuri / Shutterstock



Nếu bạn thực hiện kiểm tra bảo mật trên máy tính Linux của mình bằng Lynis, nó sẽ đảm bảo máy của bạn được bảo vệ hết mức có thể. Bảo mật là mọi thứ dành cho các thiết bị được kết nối internet, vì vậy, đây là cách đảm bảo thiết bị của bạn được khóa an toàn.

Máy tính Linux của bạn an toàn như thế nào?

Lynis thực hiện một bộ các bài kiểm tra tự động kiểm tra kỹ lưỡng nhiều thành phần hệ thống và cài đặt của hệ điều hành Linux của bạn. Nó trình bày những phát hiện của mình dưới dạng mã màu ASCII báo cáo dưới dạng danh sách các cảnh báo, đề xuất và hành động được phân loại cần thực hiện.





An ninh mạng là một hành động cân bằng. Hoang tưởng hoàn toàn không hữu ích cho bất kỳ ai, vì vậy bạn nên lo lắng đến mức nào? Nếu bạn chỉ truy cập các trang web có uy tín, không mở tệp đính kèm hoặc nhấp vào các liên kết trong email không được yêu cầu và sử dụng các mật khẩu khác nhau, mạnh mẽ cho tất cả các hệ thống bạn đăng nhập, thì mối nguy hiểm nào còn lại? Đặc biệt là khi bạn đang sử dụng Linux?

Hãy giải quyết những vấn đề đó ngược lại. Linux không miễn nhiễm với phần mềm độc hại. Trong thực tế, đầu tiên sâu máy tính được thiết kế để nhắm mục tiêu vào máy tính Unix vào năm 1988. Rootkit được đặt tên theo siêu người dùng Unix (gốc) và bộ sưu tập phần mềm (bộ dụng cụ) mà chúng tự cài đặt để tránh bị phát hiện. Điều này cho phép siêu người dùng truy cập vào tác nhân đe dọa (tức là kẻ xấu).



Tại sao chúng được đặt theo tên gốc? Bởi vì rootkit đầu tiên được phát hành vào năm 1990 và nhắm mục tiêu vào Sun Microsystems chạy SunOS Unix.

Quảng cáo

Vì vậy, phần mềm độc hại đã bắt đầu xuất hiện trên Unix. Nó đã nhảy qua hàng rào khi Windows cất cánh và thu hút ánh đèn sân khấu. Nhưng bây giờ điều đó Linux điều hành thế giới , nó đã trở lại. Các hệ điều hành giống Linux và Unix, như macOS, đang nhận được sự quan tâm đầy đủ của các tác nhân đe dọa.

Nguy hiểm nào còn nếu bạn cẩn thận, nhạy bén và lưu tâm khi sử dụng máy tính của mình? Câu trả lời dài và chi tiết. Để cô đọng lại phần nào, các cuộc tấn công mạng rất nhiều và đa dạng. Họ có khả năng làm những điều mà chỉ một thời gian ngắn trước đây, được coi là không thể.



Rootkit, như Ryuk , có thể lây nhiễm vào máy tính khi chúng bị tắt bằng cách xâm phạm đánh thức trên mạng LAN các chức năng giám sát. Mã chứng minh khái niệm cũng đã được phát triển. Một cuộc tấn công thành công đã được chứng minh bởi các nhà nghiên cứu tại Đại học Ben-Gurion của Negev điều đó sẽ cho phép các tác nhân đe dọa lấy dữ liệu từ một máy tính có ga .

Không thể dự đoán được những nguy cơ đe dọa trực tuyến sẽ có khả năng xảy ra trong tương lai. Tuy nhiên, chúng tôi hiểu những điểm nào trong hệ thống phòng thủ của máy tính dễ bị tấn công. Bất kể bản chất của các cuộc tấn công hiện tại hay trong tương lai, chỉ có ý nghĩa là bịt trước những khoảng trống đó.

Trong tổng số các cuộc tấn công mạng, chỉ có một tỷ lệ nhỏ được nhắm mục tiêu một cách có ý thức vào các tổ chức hoặc cá nhân cụ thể. Hầu hết các mối đe dọa là bừa bãi vì phần mềm độc hại không quan tâm bạn là ai. Tự động quét cổng và các kỹ thuật khác chỉ cần tìm ra các hệ thống dễ bị tấn công và tấn công chúng. Bạn tự coi mình là nạn nhân bởi sự dễ bị tổn thương.

Và đó là nơi Lynis bước vào.

Cài đặt Lynis

Để cài đặt Lynis trên Ubuntu, hãy chạy lệnh sau:

pacman

Trên Fedora, nhập:

postfix

Trên Manjaro, bạn sử dụng gedit:

postfix

Thực hiện một cuộc kiểm tra

Lynis dựa trên thiết bị đầu cuối nên không có GUI. Để bắt đầu kiểm tra, hãy mở cửa sổ dòng lệnh. Nhấp và kéo nó vào cạnh màn hình của bạn để làm cho nó nhanh hết cỡ hoặc kéo nó ra cao hết mức có thể. Có rất nhiều đầu ra từ Lynis, vì vậy cửa sổ đầu cuối càng cao thì việc xem xét càng dễ dàng.

Quảng cáo

Sẽ thuận tiện hơn nếu bạn mở cửa sổ dòng lệnh dành riêng cho Lynis. Bạn sẽ phải cuộn lên và cuộn xuống rất nhiều, vì vậy việc không phải đối phó với đống lệnh trước đó sẽ giúp điều hướng đầu ra Lynis dễ dàng hơn.

Để bắt đầu kiểm tra, hãy nhập lệnh dễ làm mới này:

postfix

Tên hạng mục, tiêu đề kiểm tra và kết quả sẽ cuộn trong cửa sổ đầu cuối khi từng hạng mục kiểm tra được hoàn thành. Việc kiểm tra chỉ mất tối đa vài phút. Khi quá trình hoàn tất, bạn sẽ được quay lại dấu nhắc lệnh. Để xem lại kết quả, chỉ cần cuộn cửa sổ dòng lệnh.

Phần đầu tiên của kiểm tra phát hiện phiên bản Linux, bản phát hành hạt nhân và các chi tiết hệ thống khác.

Các khu vực cần được xem xét được đánh dấu bằng màu hổ phách (gợi ý) và màu đỏ (cảnh báo cần được giải quyết).

Dưới đây là một ví dụ về cảnh báo. Lynis đã phân tích

sudo apt-get install lynis
cấu hình máy chủ thư và gắn cờ điều gì đó liên quan đến biểu ngữ. Chúng tôi có thể biết thêm chi tiết về chính xác những gì nó tìm thấy và lý do tại sao nó có thể là một vấn đề sau này.

Dưới đây, Lynis cảnh báo chúng tôi rằng tường lửa không được định cấu hình trên máy ảo Ubuntu mà chúng tôi đang sử dụng.

Quảng cáo

Cuộn qua kết quả của bạn để xem những gì Lynis đã gắn cờ. Ở cuối báo cáo kiểm toán, bạn sẽ thấy một màn hình tóm tắt.

Chỉ số Khó khăn là điểm thi của bạn. Chúng tôi có 56 trong số 100, điều này không tuyệt vời. Đã có 222 bài kiểm tra được thực hiện và một plugin Lynis được kích hoạt. Nếu bạn truy cập plugin Lynis Community Edition trang tải xuống và đăng ký nhận bản tin, bạn sẽ nhận được liên kết đến nhiều plugin hơn.

Có nhiều plugin, bao gồm một số plugin để kiểm tra các tiêu chuẩn, chẳng hạn như GDPR , ISO27001 , và PCI DSS .

V màu xanh lục thể hiện dấu kiểm. Bạn cũng có thể thấy các dấu chấm hỏi màu hổ phách và chữ X màu đỏ.

Chúng tôi có dấu kiểm màu xanh lục vì chúng tôi có tường lửa và trình quét phần mềm độc hại. Với mục đích thử nghiệm, chúng tôi cũng đã cài đặt rkhunter , một công cụ dò rootkit, để xem liệu Lynis có phát hiện ra nó hay không. Như bạn có thể thấy ở trên, nó đã làm; chúng tôi có một dấu kiểm màu xanh lá cây bên cạnh Trình quét phần mềm độc hại.

Trạng thái tuân thủ không xác định vì quá trình kiểm tra không sử dụng plugin tuân thủ. Các mô-đun bảo mật và lỗ hổng bảo mật đã được sử dụng trong thử nghiệm này.

Quảng cáo

Hai tệp được tạo: một tệp nhật ký và tệp dữ liệu. Tệp dữ liệu có tại /var/log/lynis-report.dat, là tệp chúng tôi quan tâm. Tệp này sẽ chứa một bản sao kết quả (không có tô màu) mà chúng tôi có thể thấy trong cửa sổ dòng lệnh. Những điều này rất hữu ích để xem chỉ số cứng của bạn cải thiện như thế nào theo thời gian.

Nếu cuộn ngược lại trong cửa sổ dòng lệnh, bạn sẽ thấy một danh sách các đề xuất và một cảnh báo khác. Các cảnh báo là những mục có giá trị lớn, vì vậy chúng tôi sẽ xem xét những cảnh báo đó.

Đây là năm cảnh báo:

    Phiên bản của Lynis đã rất cũ và cần được cập nhật:Đây thực sự là phiên bản mới nhất của Lynis trong kho lưu trữ Ubuntu. Mặc dù mới 4 tháng tuổi nhưng Lynis cho rằng điều này rất cũ. Các phiên bản trong gói Manjaro và Fedora mới hơn. Các bản cập nhật trong trình quản lý gói luôn có khả năng bị chậm hơn một chút. Nếu bạn thực sự muốn có phiên bản mới nhất, bạn có thể sao chép dự án từ GitHub và giữ cho nó được đồng bộ hóa. Không có mật khẩu nào được đặt cho chế độ duy nhất:Single là một chế độ phục hồi và bảo trì trong đó chỉ người dùng root mới có thể hoạt động. Không có mật khẩu nào được đặt cho chế độ này theo mặc định. Không thể tìm thấy 2 máy chủ định danh đáp ứng:Lynis đã cố gắng giao tiếp với hai máy chủ DNS , nhưng đã không thành công. Đây là một cảnh báo rằng nếu máy chủ DNS hiện tại bị lỗi, sẽ không có quá trình tự động chuyển sang máy chủ khác. Tìm thấy một số tiết lộ thông tin trong biểu ngữ SMTP:Tiết lộ thông tin xảy ra khi các ứng dụng hoặc thiết bị mạng cung cấp số hiệu và kiểu máy (hoặc thông tin khác) trong các câu trả lời tiêu chuẩn. Điều này có thể cung cấp cho các tác nhân đe dọa hoặc phần mềm độc hại tự động thông tin chi tiết về các loại lỗ hổng bảo mật cần kiểm tra. Khi họ đã xác định được phần mềm hoặc thiết bị mà họ đã kết nối, một thao tác tra cứu đơn giản sẽ tìm thấy các lỗ hổng bảo mật mà họ có thể cố gắng khai thác. Đã tải (các) mô-đun iptables, nhưng không có quy tắc nào hoạt động:Tường lửa Linux đang hoạt động, nhưng không có quy tắc nào được thiết lập cho nó.

Xóa cảnh báo

Mỗi cảnh báo có một liên kết đến trang web mô tả sự cố và bạn có thể làm gì để khắc phục sự cố. Chỉ cần di con trỏ chuột qua một trong các liên kết, sau đó nhấn Ctrl và nhấp vào liên kết đó. Trình duyệt mặc định của bạn sẽ mở trên trang web cho thông báo hoặc cảnh báo đó.

Trang bên dưới đã mở ra cho chúng tôi khi chúng tôi Ctrl + nhấp vào liên kết cho cảnh báo thứ tư mà chúng tôi đã đề cập trong phần trước.

Trang web cảnh báo kiểm toán Lynis.

Bạn có thể xem xét từng điều này và quyết định những cảnh báo nào cần giải quyết.

Trang web ở trên giải thích rằng đoạn mã thông tin mặc định (biểu ngữ) được gửi đến hệ thống từ xa khi nó kết nối với máy chủ thư postfix được định cấu hình trên máy tính Ubuntu của chúng tôi quá dài dòng. Không có lợi gì khi cung cấp quá nhiều thông tin — trên thực tế, thông tin đó thường được sử dụng để chống lại bạn.

Quảng cáo

Trang web cũng cho chúng ta biết biểu ngữ nằm trong /etc/postfix/main.cf. Nó khuyên chúng tôi rằng nó nên được cắt lại để chỉ hiển thị $ myhostname ESMTP.

Chúng tôi nhập thông tin sau để chỉnh sửa tệp theo lời khuyên của Lynis:

sudo dnf install lynis

Chúng tôi định vị dòng trong tệp xác định biểu ngữ.

Chúng tôi chỉnh sửa nó để chỉ hiển thị văn bản mà Lynis đề xuất.

Chúng tôi lưu các thay đổi của mình và đóng

sudo pacman -Sy lynis
. Bây giờ chúng ta cần khởi động lại
sudo lynis audit system
máy chủ thư để các thay đổi có hiệu lực:

sudo gedit /etc/postfix/main.cf

Bây giờ, hãy chạy Lynis một lần nữa và xem liệu các thay đổi của chúng tôi có ảnh hưởng gì không.

Quảng cáo

Phần Cảnh báo bây giờ chỉ hiển thị bốn. Người đề cập đến

sudo systemctl restart postfix
đã biến mất.

Một xuống, và chỉ còn bốn cảnh báo và 50 đề xuất để bắt đầu!

Bạn nên đi bao xa?

Nếu bạn chưa bao giờ thực hiện bất kỳ quá trình làm cứng hệ thống nào trên máy tính của mình, bạn có thể sẽ có số lượng cảnh báo và đề xuất gần giống nhau. Bạn nên xem lại tất cả chúng và được hướng dẫn bởi các trang web Lynis cho từng trang, đưa ra phán đoán về việc có nên giải quyết vấn đề đó hay không.

Tất nhiên, phương pháp sách giáo khoa sẽ là cố gắng xóa tất cả. Tuy nhiên, điều đó có thể nói dễ hơn làm. Thêm vào đó, một số đề xuất có thể là quá mức cần thiết đối với máy tính gia đình trung bình.

Danh sách đen các trình điều khiển nhân USB để vô hiệu hóa quyền truy cập USB khi bạn không sử dụng nó? Đối với một máy tính quan trọng cung cấp dịch vụ kinh doanh nhạy cảm, điều này có thể cần thiết. Nhưng đối với một máy tính gia đình Ubuntu? Chắc là không.

ĐỌC TIẾP Ảnh hồ sơ cho Dave McKay Dave McKay
Dave McKay lần đầu tiên sử dụng máy tính khi băng giấy đục lỗ đang thịnh hành, và anh ấy đã lập trình kể từ đó. Sau hơn 30 năm trong ngành CNTT, anh hiện là một nhà báo công nghệ toàn thời gian. Trong sự nghiệp của mình, anh ấy đã làm việc với tư cách là một lập trình viên tự do, quản lý nhóm phát triển phần mềm quốc tế, quản lý dự án dịch vụ CNTT và gần đây nhất là Nhân viên bảo vệ dữ liệu. Bài viết của anh đã được xuất bản bởi howtogeek.com, cloudavvyit.com, itenterpriser.com và opensource.com. Dave là một nhà truyền giáo Linux và người ủng hộ nguồn mở.
Đọc đầy đủ tiểu sử

Bài ViếT Thú Vị