如果使用Lynis在Linux计算机上执行安全审核,它将确保您的计算机受到尽可能多的保护。安全性是连接互联网的设备的全部要素,因此这是确保安全锁定您的方法。
Linux计算机的安全性如何?
Lynis执行一套自动化测试,以彻底检查Linux操作系统的许多系统组件和设置。它以彩色编码的ASCII报告形式显示其发现结果,作为分级的警告,建议和应采取的措施的列表。
网络安全是一种平衡行为。彻底的妄想症对任何人都没有用,那么您应该如何关注?如果您仅访问信誉良好的网站,请勿打开附件或跟踪未经请求的电子邮件中的链接,并为登录的所有系统使用不同的功能强大的密码,那么仍然存在危险吗?特别是在使用Linux时?
让我们反向解决这些问题。Linux无法幸免于恶意软件。实际上,第一个计算机蠕虫 是在1988年针对Unix计算机设计的。Rootkit以Unix超级用户(root)和安装了其软件的软件(套件)的名称命名,它们可以自行安装以逃避检测。这使超级用户可以访问威胁参与者(即坏人)。
他们为什么以根命名?因为第一个rootkit于1990年发布,并且针对 运行SunOS Unix的Sun Microsystems。
因此,恶意软件始于Unix。Windows起飞时,它跳出篱笆,成为众人瞩目的焦点。但是现在Linux运转了,它又回来了。像macOS这样的Linux和Unix之类的操作系统正受到威胁参与者的充分关注。
如果您在使用计算机时谨慎,明智和专心,仍然会遇到什么危险?答案是冗长而详尽的。为了进行某种程度的压缩,网络攻击是多种多样的。他们有能力做不久前被认为是不可能的事情。
像Ryuk一样,Rootkit 在关闭计算机时也可以通过危及LAN唤醒监视功能来感染计算机。 还开发了概念验证代码。内盖夫本古里安大学的研究人员证明了一次成功的“攻击” ,它使威胁者能够从一台气隙不堪的计算机中窃取数据 。
无法预测未来的网络威胁将具有什么样的能力。但是,我们确实了解计算机防御中的哪一点是易受攻击的。无论当前或将来的攻击的性质如何,只有事先填补这些空白才有意义。
在网络攻击的总数中,只有一小部分有意识地针对特定组织或个人。大多数威胁是不分青红皂白的,因为恶意软件并不关心您是谁。自动化的端口扫描和其他技术只是找出易受攻击的系统并对其进行攻击。您因脆弱而提名自己为受害者。
这就是Lynis的用武之地。
安装Lynis
要在Ubuntu上安装Lynis,请运行以下命令:
须藤apt-get install lynis
在Fedora上,输入:
须藤dnf安装lynis
在Manjaro上,您可以使用pacman:
苏多·帕克曼-Sy lynis
进行审核
Lynis是基于终端的,因此没有GUI。要开始审核,请打开一个终端窗口。单击并将其拖动到显示器的边缘,使其捕捉到最大高度或将其拉伸到可能的高度。Lynis的输出很多,因此终端窗口越高,审查起来就越容易。
如果打开专门用于Lynis的终端窗口,也将更加方便。您将上下滚动很多次,因此不必处理先前命令的混乱情况,将使Lynis输出的导航更加容易。
要开始审核,请键入以下令人耳目一新的简单命令:
sudo lynis审核系统
每个测试类别完成后,类别名称,测试标题和结果将在终端窗口中滚动。审核最多只需要几分钟。完成后,您将返回到命令提示符。要查看结果,只需滚动终端窗口。
审核的第一部分将检测Linux的版本,内核发行版和其他系统详细信息。
需注意的区域以琥珀色(建议)和红色(建议注意的警告)突出显示。
以下是警告示例。Lynis分析了 postfix 邮件服务器的配置,并标记了与横幅有关的内容。我们将获得更多有关其发现内容的详细信息以及以后可能会导致问题的原因。
下面,Lynis警告我们在使用的Ubuntu虚拟机上未配置防火墙。
滚动浏览结果以查看Lynis标记的内容。在审核报告的底部,您会看到一个摘要屏幕。
“强化指数”是您的考试成绩。我们的100分中有56分,这不是很好。进行了222个测试,并启用了一个Lynis插件。如果您转到Lynis Community Edition插件下载页面并订阅新闻通讯,则将获得指向更多插件的链接。
有许多插件,其中包括一些用于根据标准审核的插件,例如GDPR,ISO27001和PCI-DSS。
绿色的V表示复选标记。您可能还会看到琥珀色的问号和红色的X。
我们有绿色的复选标记,因为我们有防火墙和恶意软件扫描程序。为了进行测试,我们还安装了rootkit检测器rkhunter,以查看Lynis是否会发现它。如您在上面看到的,它确实做到了;我们在“恶意软件扫描程序”旁边显示了一个绿色的复选标记。
由于审核未使用合规性插件,因此合规性状态未知。此测试中使用了安全性和漏洞模块。
生成两个文件:日志文件和数据文件。数据文件位于“ /var/log/lynis-report.dat”,是我们感兴趣的文件。它将包含结果的副本(不突出显示颜色),我们可以在终端窗口中看到该文件。 。这些将很方便地查看您的硬化指数如何随时间提高。
如果在终端窗口中向后滚动,则会看到建议列表和其他警告。警告是“大问题”项目,因此我们将对其进行研究。
以下是五个警告:
- “ Lynis的版本非常老,应该进行更新”: 实际上,这是Ubuntu存储库中Lynis的最新版本。虽然只有4个月大,但Lynis认为这很老。Manjaro和Fedora软件包中的版本较新。程序包管理器中的更新总是很可能会落后一些。如果您确实想要最新版本,则可以 从GitHub克隆项目 并使其保持同步。
- “未为单一模式设置密码”: 单一是一种恢复和维护模式,其中只有root用户可以操作。默认情况下,没有为该模式设置密码。
- “找不到2个响应性名称服务器”: Lynis尝试与两个DNS服务器通信,但未成功。这是一个警告,如果当前的DNS服务器出现故障,则不会自动将其移到另一台。
- “在SMTP标语中找到了一些信息泄露”: 当应用程序或网络设备在标准答复中放弃其制造商和型号(或其他信息)时,就会发生信息泄露。这可以使威胁参与者或自动恶意软件洞悉要检查的漏洞类型。一旦他们确定了已连接的软件或设备,就可以通过简单的查找找到可以尝试利用的漏洞。
- “已加载iptables模块,但未激活任何规则”: Linux防火墙已启动并正在运行,但未为其设置任何规则。
清除警告
每个警告都有指向该问题的网页链接,以及描述您可以采取的措施。只需将鼠标指针悬停在链接之一上,然后按Ctrl并单击它。您的默认浏览器将在网页上打开,显示该消息或警告。
当我们Ctrl +单击上一节中涉及的第四个警告的链接时,下面的页面为我们打开了。
您可以查看所有这些警告并确定要解决的警告。
上面的网页说明,当连接到我们的Ubuntu计算机上配置的postfix邮件服务器时,发送到远程系统的默认信息片段(“横幅”)太冗长。提供过多的信息没有任何好处-实际上,这经常对您不利。
该网页还告诉我们标语位于“ /etc/postfix/main.cf”中。它建议我们将其修剪为仅显示“ $ myhostname ESMTP”。
我们按照Lynis的建议键入以下内容来编辑文件:
须藤gedit /etc/postfix/main.cf
我们在定义横幅的文件中找到该行。
我们对其进行编辑以仅显示Lynis建议的文本。
我们保存更改并关闭gedit。现在,我们需要重新启动postfix邮件服务器,以使更改生效:
sudo systemctl重新启动后缀
现在,让我们再次运行Lynis,看看我们的更改是否生效。
现在,“警告”部分仅显示四个。指的那个postfix 不见了。
一倒,只有四个警告和50条建议可以解决!
你应该走多远?
如果您从未在计算机上进行过任何系统强化,则警告和建议的数量可能大致相同。您应该仔细阅读所有内容,并在Lynis网页的指导下,对是否解决进行判断。
当然,教科书的方法是尝试清除所有内容。不过,说起来容易做起来难。另外,对于一般的家用计算机来说,其中一些建议可能会显得过大。
将USB内核驱动程序列入黑名单,以在不使用USB时禁用它?对于提供敏感业务服务的关键任务计算机,这可能是必需的。但是对于Ubuntu家用PC?可能不是。