Lynis Sicherheits-Audit Bericht erklärt
Lynis ist ein freies und quelloffenes Sicherheitsaudit-Tool, das als GPL-lizenziertes Projekt veröffentlicht wurde und für Linux und Unix-basierte Betriebssysteme wie MacOS, FreeBSD, NetBSD, OpenBSD usw. verfügbar ist.
Was werden wir hier erforschen?
In diesem Lernprogramm werden wir versuchen, den Lynis-Audit-Bericht zu erforschen und lernen, einige der darin vorgeschlagenen Reformen anzuwenden. Fangen wir also mit diesem Leitfaden an.
Die Lynis Audit-Berichte verstehen
Der Post-Lynis-Scan hat uns eine enorme Zusammenfassung der durchgeführten Prüfungen hinterlassen. Um von diesen Ergebnissen zu profitieren, ist es wichtig, sie zu verstehen und spezifische Zusatzmaßnahmen anzuwenden. Wir werden zunächst eine kurze Zusammenfassung einiger Abschnitte des Audits geben und dann zu den Abschnitten mit den Vorschlägen springen. Auf diese Weise bekommen wir eine Vorstellung davon, was jeder einzelne Test bedeutet und wie wir die Vorschläge anwenden können.
1. Initialisierung des Programms
In der Initialisierungsphase führt Lynis die grundlegenden Prüfvorgänge durch, wie z. B. die Erkennung des Betriebssystems, der Kernelversion, der CPU-Architektur, der installierten Lynis-Version, des Auditorennamens, die Prüfung auf verfügbare Lynis-Updates usw. Insgesamt liefert diese Phase nur statische System- und Programminformationen.
2. Plugins
Lynis stellt Plugins zur Verfügung, um den Audit-Prozess weiter zu verbessern. Das Firewall-Plugin bietet z.B. Firewall-spezifische Dienste. Diese Plugins beinhalten einen oder mehrere Tests, von denen einige kostenpflichtig sind und nur mit der Enterprise Edition von Lynis zur Verfügung stehen.
3. Debian-Tests
Wie schon beim Test erwähnt, wird hier nach den Systemdienstprogrammen gesucht, die von den Debian-Tests benötigt werden. Der obige Scan meldet z.B., dass „libpam-tmpdir“ nicht installiert ist. Wenn wir dieses Paket installieren, ändert sich die entsprechende Meldung von „Nicht installiert“ in „Installiert und aktiviert“, wie unten gezeigt:
4. Boot und Dienste
Dieser Abschnitt enthält Informationen über den Typ des Dienstmanagers (in diesem Fall systemd), den laufenden und den gebooteten Dienst usw. Vor allem aber werden die Dienste nach ihrer Sicherheitsstufe gekennzeichnet: Unsicher, Gefährdet, Geschützt, Mittel.
5. Kernel
Hier prüft Lynis verschiedene kernelspezifische Parameter wie Runlevel, Kernelversion und -typ usw.
6. Speicher und Prozesse
In diesem Abschnitt prüft Lynis den Status der Prozesse, d.h. ob sie tot sind oder sich im Wartezustand befinden.
Nach einem ähnlichen Muster prüft Lynis verschiedene Bereiche des Systems wie Dienste, Software, Netzwerke, Datenbanken und so weiter. Jeden einzelnen Schritt zu beschreiben, wäre eine sehr langwierige Aufgabe. Insgesamt werden für jeden geprüften Bereich Vorschläge und Warnungen ausgegeben. Die Behebung dieser Warnungen und die Anwendung der nachfolgenden Vorschläge helfen uns, unsere Systeme weiter abzusichern. Wir werden uns jetzt darauf konzentrieren, ein paar Vorschläge zu machen.
Behebung der Probleme…
Wie im vorigen Abschnitt erwähnt, füllt Lynis das Terminal mit den Scan-Ergebnissen und erstellt eine Protokolldatei (lynis.log) und eine Berichtsdatei (lynis-report.dat). Du hast sicher bemerkt, dass auf jede Warnung und jeden Vorschlag eine kurze Beschreibung und ein Link zum Abschnitt „Kontrollen“ auf der CISOfy-Website folgt. Schau dir z.B. das folgende Bild an:
Es zeigt, dass es insgesamt 46 Vorschläge und 1 Warnung gibt. Es zeigt auch den ersten Vorschlag, das Paket apt-listchanges zu installieren, und darunter befindet sich ein Link zum Abschnitt „Controls“ auf der CISOfy-Website. Lass uns versuchen, einige dieser Vorschläge umzusetzen:
1. Installiere das Paket apt-listchanges
Dieses Paket vergleicht die Version eines installierten Pakets mit der neuen verfügbaren Version. Um dieses Paket zu installieren, benutze:
$ sudo apt apt-listchanges
2. Malware-Scanner
Lynis meldet, dass auf unserem System kein Malware-Scanner installiert ist. Es gibt auch Beispiele für solche Tools wie rkhunter, chkrootkit und OSSEC. Lass uns rkhunter auf unserem Kali Linux installieren:
$ sudo apt install rkhunter
3. Installation des PAM-Sicherheitsmoduls
Es wird vorgeschlagen, ein PAM-Modul zu installieren, um die Passwortstärke zu überprüfen. Für debianbasierte Systeme wird das Paket „libpam-cracklib“ für diesen Zweck verwendet. Installiere dieses Tool mit:
$ sudo apt install libpam-cracklib
Installiere alle oben genannten Pakete und führe die Lynis-Prüfung erneut durch, um zu sehen, ob sich die Anzahl der Vorschläge verringert hat:
Sobald die Pakete installiert sind, führen wir die Prüfung erneut durch:
$ sudo ./lynis audit system
Diesmal sehen wir, dass die Anzahl der Vorschläge auf 44 gesunken ist. Auch der Härtungsindex ist von 62 auf 65 gestiegen. Wenn wir neue Plugins (Lynis Enterprise Edition) installieren oder ein Problem durch die Installation neuer Pakete beheben, kann die Auditzeit ansteigen, so wie in diesem Fall. Je mehr Probleme du behebst und die Vorschläge anwendest, desto umfangreicher wird dein Audit und desto härter wird dein System.
Hinweis: Wenn du einen Vorschlag oder eine Warnung untersuchst, kannst du den Befehl „Details anzeigen“ verwenden, um die vollständige Beschreibung anhand der „test-id“ zu sehen. Um z.B. „KRNL-5830“ zu untersuchen, verwende den Befehl:
sudo lynis show details KRNL-5830
Du kannst auch den Link unter jeder Test-ID verwenden, um die Beschreibung auf den CISOfy-Webseiten zu sehen.
Fazit
Es kann sein, dass man Angst bekommt, wenn man zum ersten Mal viele Vorschläge im Prüfungsergebnis sieht. Aber das ist kein Grund zur Sorge. Sieh es als einen Leitfaden für die Abbildung der Sicherheit deines Systems. Bei einigen Vorschlägen reicht es aus, ein Paket zu installieren oder einen einfachen Befehl auszuführen, während du bei anderen mehrere Konfigurationsdateien ändern musst. Identifiziere einfach die Probleme und behebe jede Schwachstelle, die du entdeckst.