So überprüfen Sie die Sicherheit Ihres Linux-Systems mit Lynis

So überprüfen Sie die Sicherheit Ihres Linux-Systems mit Lynis

How Audit Your Linux System S Security With Lynis

Eine Terminal-Eingabeaufforderung auf einem Linux-System.

Fatmawati Achmad Zaenuri/Shutterstock

Wenn Sie mit Lynis eine Sicherheitsüberprüfung auf Ihrem Linux-Computer durchführen, wird sichergestellt, dass Ihr Computer so gut wie möglich geschützt ist. Sicherheit ist alles für mit dem Internet verbundene Geräte. So stellen Sie sicher, dass Ihre Geräte sicher gesperrt sind.



Wie sicher ist Ihr Linux-Computer?

Lynis führt eine Reihe von automatisierten Tests durch die viele Systemkomponenten und Einstellungen Ihres Linux-Betriebssystems gründlich überprüfen. Es präsentiert seine Ergebnisse in einem farbcodierten ASCII Bericht als Liste mit abgestuften Warnungen, Vorschlägen und Maßnahmen, die ergriffen werden sollten.

Cybersicherheit ist ein Balanceakt. Offene Paranoia ist für niemanden nützlich, also wie besorgt sollten Sie sein? Wenn Sie nur seriöse Websites besuchen, keine Anhänge öffnen oder Links in unerwünschten E-Mails folgen und unterschiedliche, robuste Passwörter für alle Systeme verwenden, bei denen Sie sich anmelden, welche Gefahr bleibt dann bestehen? Vor allem, wenn Sie Linux verwenden?

Lassen Sie uns diese umgekehrt ansprechen. Linux ist nicht immun gegen Malware. Tatsächlich der allererste Computerwurm wurde 1988 für Unix-Computer entwickelt. Rootkits wurden nach dem Unix-Superuser (root) und der Sammlung von Software (Kits) benannt, mit der sie sich selbst installieren, um einer Entdeckung zu entgehen. Dadurch erhält der Superuser Zugriff auf den Bedrohungsakteur (d. h. den Bösewicht).

Warum sind sie nach root benannt? Denn das erste Rootkit wurde 1990 veröffentlicht und zielte auf Sonne Mikrosysteme das laufen lassen SunOS Unix.

Anzeige

Malware hat also unter Unix ihren Anfang genommen. Es sprang über den Zaun, als Windows abhob und das Rampenlicht in Beschlag nahm. Aber jetzt das Linux regiert die Welt , es ist zurück. Linux- und Unix-ähnliche Betriebssysteme wie macOS erhalten die volle Aufmerksamkeit der Bedrohungsakteure.

Welche Gefahr bleibt, wenn Sie vorsichtig, vernünftig und achtsam mit Ihrem Computer umgehen? Die Antwort ist lang und detailliert. Um es etwas zusammenzufassen, Cyberangriffe sind vielfältig. Sie sind in der Lage, Dinge zu tun, die noch vor kurzem als unmöglich galten.

Rootkits, wie Ryuk , können Computer infizieren, wenn sie ausgeschaltet sind, indem sie die Wake on LAN Überwachungsfunktionen. Proof-of-Concept-Code wurde auch entwickelt. Ein erfolgreicher Angriff wurde von Forschern von nachgewiesen Ben-Gurion-Universität des Negev Dies würde es Bedrohungsakteuren ermöglichen, Daten aus einem Computer mit Luftspalt .

Es ist unmöglich vorherzusagen, wozu Cyberbedrohungen in der Zukunft fähig sein werden. Wir verstehen jedoch, welche Punkte in der Abwehr eines Computers anfällig sind. Unabhängig von der Art gegenwärtiger oder zukünftiger Angriffe ist es nur sinnvoll, diese Lücken im Voraus zu schließen.

Von der Gesamtzahl der Cyberangriffe richtet sich nur ein kleiner Prozentsatz bewusst gegen bestimmte Organisationen oder Einzelpersonen. Die meisten Bedrohungen sind wahllos, weil Malware sich nicht darum kümmert, wer Sie sind. Automatisiertes Port-Scanning und andere Techniken suchen einfach nach verwundbaren Systemen und greifen sie an. Sie nominieren sich selbst als Opfer, indem Sie verletzlich sind.

Und hier kommt Lynis ins Spiel.

Lynis installieren

Führen Sie den folgenden Befehl aus, um Lynis unter Ubuntu zu installieren:

pacman

Geben Sie auf Fedora Folgendes ein:

postfix

Auf Manjaro verwenden Sie |_+_|:

gedit

Durchführung eines Audits

Lynis ist terminalbasiert, daher gibt es keine GUI. Um ein Audit zu starten, öffnen Sie ein Terminalfenster. Klicken und ziehen Sie es an den Rand Ihres Monitors, um es auf die volle Höhe einzurasten oder so hoch wie möglich zu strecken. Es gibt viele Ausgaben von Lynis. Je größer das Terminalfenster ist, desto einfacher ist es also, es zu überprüfen.

Anzeige

Es ist auch bequemer, wenn Sie ein Terminalfenster speziell für Lynis öffnen. Sie werden viel nach oben und unten scrollen, sodass Sie sich nicht mit dem Durcheinander der vorherigen Befehle auseinandersetzen müssen, um die Navigation in der Lynis-Ausgabe zu erleichtern.

was meinen wir

Um das Audit zu starten, geben Sie diesen erfrischend einfachen Befehl ein:

postfix

Kategorienamen, Testtitel und Ergebnisse werden im Terminalfenster gescrollt, wenn jede Testkategorie abgeschlossen ist. Ein Audit dauert höchstens wenige Minuten. Wenn es fertig ist, kehren Sie zur Eingabeaufforderung zurück. Um die Ergebnisse zu überprüfen, scrollen Sie einfach durch das Terminalfenster.

Der erste Abschnitt des Audits erkennt die Linux-Version, die Kernel-Release und andere Systemdetails.

Bereiche, die überprüft werden müssen, sind gelb (Vorschläge) und rot (Warnungen, die angegangen werden sollten) hervorgehoben.

Unten sehen Sie ein Beispiel für eine Warnung. Lynis hat analysiert die |_+_| Mailserver-Konfiguration und markiert etwas, das mit dem Banner zu tun hat. Wir können später mehr Details darüber erfahren, was genau gefunden wurde und warum es ein Problem sein könnte.

Unten warnt uns Lynis, dass die Firewall auf der von uns verwendeten virtuellen Ubuntu-Maschine nicht konfiguriert ist.

Anzeige

Scrollen Sie durch Ihre Ergebnisse, um zu sehen, was Lynis gemeldet hat. Unten im Auditbericht sehen Sie einen Zusammenfassungsbildschirm.

Der Härteindex ist Ihr Prüfungsergebnis. Wir haben 56 von 100 bekommen, was nicht so toll ist. Es wurden 222 Tests durchgeführt und ein Lynis-Plugin ist aktiviert. Wenn Sie das Lynis Community Edition-Plugin aufrufen Download-Seite und den Newsletter abonnieren, erhalten Sie Links zu weiteren Plugins.

Es gibt viele Plugins, darunter auch einige für die Prüfung anhand von Standards, wie z DSGVO , ISO27001 , und PCI-DSS .

Ein grünes V steht für ein Häkchen. Möglicherweise sehen Sie auch bernsteinfarbene Fragezeichen und rote X.

Wir haben grüne Häkchen, weil wir eine Firewall und einen Malware-Scanner haben. Zu Testzwecken haben wir auch installiert rkhunter , einen Rootkit-Detektor, um zu sehen, ob Lynis es entdecken würde. Wie Sie oben sehen können, war dies der Fall; Wir haben ein grünes Häkchen neben Malware Scanner.

Der Compliance-Status ist unbekannt, da bei der Prüfung kein Compliance-Plugin verwendet wurde. In diesem Test wurden die Module Security und Vulnerability verwendet.

Anzeige

Es werden zwei Dateien generiert: eine Protokoll- und eine Datendatei. Die Datendatei, die sich unter /var/log/lynis-report.dat befindet, ist diejenige, an der wir interessiert sind. Sie enthält eine Kopie der Ergebnisse (ohne farbliche Hervorhebung), die wir im Terminalfenster sehen können. Diese sind praktisch, um zu sehen, wie sich Ihr Härteindex im Laufe der Zeit verbessert.

Wenn Sie im Terminalfenster rückwärts scrollen, sehen Sie eine Liste mit Vorschlägen und eine weitere mit Warnungen. Die Warnungen sind die wichtigsten Punkte, also werden wir uns diese ansehen.

Dies sind die fünf Warnungen:

So überprüfen Sie die iPad-Version
    Version von Lynis ist sehr alt und sollte aktualisiert werden:Dies ist tatsächlich die neueste Version von Lynis in den Ubuntu-Repositorys. Obwohl es erst 4 Monate alt ist, hält Lynis es für sehr alt. Die Versionen in den Manjaro- und Fedora-Paketen waren neuer. Updates in Paketmanagern sind wahrscheinlich immer etwas zurückgeblieben. Wenn Sie wirklich die neueste Version wollen, können Sie Klonen Sie das Projekt von GitHub und halten Sie es synchronisiert. Kein Passwort für den Einzelmodus festgelegt:Single ist ein Wiederherstellungs- und Wartungsmodus, in dem nur der Root-Benutzer betriebsbereit ist. Für diesen Modus ist standardmäßig kein Passwort festgelegt. Konnte 2 responsive Nameserver nicht finden:Lynis versuchte es mit zwei DNS-Servern kommunizieren , war aber erfolglos. Dies ist eine Warnung, dass bei einem Ausfall des aktuellen DNS-Servers kein automatisches Rollover auf einen anderen erfolgt. Einige Informationen im SMTP-Banner gefunden:Die Offenlegung von Informationen erfolgt, wenn Anwendungen oder Netzwerkgeräte ihre Marken- und Modellnummern (oder andere Informationen) in Standardantworten angeben. Dies kann Bedrohungsakteuren oder automatisierter Malware einen Einblick in die Arten von Schwachstellen geben, auf die überprüft werden muss. Sobald sie die Software oder das Gerät identifiziert haben, mit dem sie verbunden sind, findet eine einfache Suche die Schwachstellen, die sie ausnutzen können. iptables-Modul(e) geladen, aber keine Regeln aktiv:Die Linux-Firewall ist in Betrieb, aber es sind keine Regeln dafür festgelegt.

Warnungen löschen

Jede Warnung enthält einen Link zu einer Webseite, die das Problem beschreibt und was Sie tun können, um es zu beheben. Bewegen Sie einfach Ihren Mauszeiger über einen der Links, drücken Sie dann die Strg-Taste und klicken Sie darauf. Ihr Standardbrowser wird auf der Webseite für diese Nachricht oder Warnung geöffnet.

Die folgende Seite öffnete sich für uns, als wir bei gedrückter Strg-Taste auf den Link für die vierte Warnung geklickt haben, die wir im vorherigen Abschnitt behandelt haben.

So kopieren Sie auf Windows

Eine Lynis-Warnungs-Webseite.

Sie können jede dieser Warnungen überprüfen und entscheiden, welche Warnungen Sie adressieren.

Die obige Webseite erklärt, dass das standardmäßige Informations-Snippet (das Banner), das an ein Remote-System gesendet wird, wenn es sich mit dem auf unserem Ubuntu-Computer konfigurierten Postfix-Mailserver verbindet, zu ausführlich ist. Es hat keinen Vorteil, zu viele Informationen anzubieten – tatsächlich werden diese oft gegen Sie verwendet.

Anzeige

Die Webseite sagt uns auch, dass sich das Banner in /etc/postfix/main.cf befindet. Es weist uns darauf hin, dass es so gekürzt werden sollte, dass nur $myhostname ESMTP angezeigt wird.

Wir geben Folgendes ein, um die Datei gemäß den Empfehlungen von Lynis zu bearbeiten:

postfix

Wir suchen die Zeile in der Datei, die das Banner definiert.

Wir bearbeiten es so, dass nur der von Lynis empfohlene Text angezeigt wird.

Wir speichern unsere Änderungen und schließen |_+_|. Wir müssen jetzt das |_+_| . neu starten Mailserver, damit die Änderungen wirksam werden:

sudo apt-get install lynis

Lassen Sie uns nun Lynis noch einmal ausführen und sehen, ob sich unsere Änderungen ausgewirkt haben.

Anzeige

Im Abschnitt Warnungen werden jetzt nur noch vier angezeigt. Der, der sich auf |_+_| . bezieht ist weg.

Ein Fehler, und nur noch vier weitere Warnungen und 50 Vorschläge zum Mitnehmen!

Wie weit sollten Sie gehen?

Wenn Sie auf Ihrem Computer noch nie eine Systemhärtung durchgeführt haben, werden Sie wahrscheinlich ungefähr die gleiche Anzahl von Warnungen und Vorschlägen erhalten. Sie sollten sie alle durchgehen und, geleitet von den Lynis-Webseiten für jede, eine Entscheidung treffen, ob sie angegangen werden sollen.

Die Lehrbuchmethode wäre natürlich, zu versuchen, sie alle zu löschen. Das ist aber vielleicht leichter gesagt als getan. Außerdem könnten einige der Vorschläge für den durchschnittlichen Heimcomputer übertrieben sein.

Die USB-Kernel-Treiber auf die schwarze Liste setzen, um den USB-Zugriff zu deaktivieren, wenn Sie ihn nicht verwenden? Für einen geschäftskritischen Computer, der einen sensiblen Geschäftsservice bereitstellt, kann dies erforderlich sein. Aber für einen Ubuntu-Heim-PC? Wahrscheinlich nicht.

WEITER LESEN Profilfoto von Dave McKay Dave McKay
Dave McKay benutzte zum ersten Mal Computer, als Lochstreifen in Mode waren, und programmiert seitdem. Nach über 30 Jahren in der IT-Branche ist er heute hauptberuflich Technologiejournalist. Im Laufe seiner Karriere war er als freiberuflicher Programmierer, Leiter eines internationalen Softwareentwicklungsteams, Projektleiter für IT-Services und zuletzt als Datenschutzbeauftragter tätig. Sein Schreiben wurde von howtogeek.com, cloudavvyit.com, itenterpriser.com und opensource.com veröffentlicht. Dave ist ein Linux-Evangelist und Open-Source-Verfechter.
Vollständige Biografie lesen