Pokud vaše zabezpečení Linuxu chybí, je dobré provést audit systému. Skvělý způsob, jak spustit audit, je použít program, který testuje zabezpečení a nabízí konkrétní řešení. Jedním z takových kontrolních nástrojů je Lynis. Je to nástroj, který dokáže zkontrolovat bezpečnost počítače se systémem Linux. Prohledá jakýkoli počítač se systémem Linux, otestuje jeho zabezpečení a vytiskne seznam možných problémů a oprav. Nejlepší na tomto nástroji je, že se velmi snadno používá a může jej používat každý.
Table of Contents
Ubuntu/Debian
Lynis má vynikající podporu pro Debian a Ubuntu prostřednictvím jejich vlastního softwarového úložiště. Povolení tohoto softwarového úložiště se trochu liší od jiných softwarových zdrojů, protože se jedná o tradiční softwarové úložiště. Neexistují žádné PPA nebo tak něco. Lynis tak funguje bez problémů na Debianu i Ubuntu.
Chcete-li zahájit instalaci, spusťte okno terminálu a stáhněte si správný klíč GPG.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Když klíč funguje, přidejte do systému nový zdroj softwaru Lynis.
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Úložiště softwaru Lynis vyžaduje speciální balíček. Tento balíček umožní Ubuntu (nebo Debianu) komunikovat se zdroji softwaru HTTPS.
sudo apt install apt-transport-https
nebo
sudo apt-get install apt-transport-https
S balíčkem Apt-transport-https pracujícím na vašem systému je bezpečné obnovovat zdroje softwaru. Spusťte aktualizaci v terminálu.
sudo apt update
nebo
sudo apt-get update
Nakonec nainstalujte Lynis.
sudo apt install lynis
nebo
sudo apt-get install lynis
Arch Linux
Jako většina programů má Arch v AUR bezpečnostní nástroj Lynis. Chcete-li jej nainstalovat, spusťte terminál a nainstalujte Git a balíčky Base-devel. Poté stáhněte kód a vygenerujte nový balíček Arch.
Poznámka: Uvědomte si prosím, že instalace softwaru přímo z Arch AUR spíše než z oficiálních zdrojů softwaru znamená, že se někdy závislosti nenainstalují. Pokud k tomu dojde během instalačního procesu Lynis, budete možná muset nainstalovat tyto balíčky ručně. Závislosti naleznete ve spodní části tato stránka zde.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Fedora
Lynis podporuje Fedoru, i když k její instalaci vyžaduje zdroj softwaru třetí strany. Povolte zdroj softwaru spuštěním terminálu a pomocí příkazů touch a echo.
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Dále aktualizujte následující balíčky ve vašem systému:
sudo dnf update ca-certificates curl nss openssl -y
Nakonec nainstalujte Lynis pomocí instalace dnf.
sudo dnf install lynis -y
OpenSUSE
Nástroj Lynis má k dispozici softwarové úložiště pro všechny verze OpenSUSE. Zapněte jej pomocí následujících příkazů v okně terminálu.
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
S repo na Suse je čas obnovit systém.
sudo zypper refresh
Dokončete proces instalace pomocí Zypperu k instalaci Lynis.
sudo zypper install lynis
Obecný Linux
Auditní nástroj Lynis má obecný Tarball pro ty, kteří používají distribuce Linuxu, které nemají přímou podporu od vývojáře. Naštěstí tento archiv Tar ke stažení nevyžaduje žádnou kompilaci jakéhokoli druhu. Místo toho si jej uživatelé stahují a spouštějí program tak, jak je.
Chcete-li nainstalovat Lynis prostřednictvím stažitelného archivu Tar, použijte nástroj wget a stáhněte si balíček a poté jej rozbalte.
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Spusťte nástroj Lynis pomocí:
./lynis
Pomocí Lynis
Lynis je jednoduchý nástroj se spoustou možností. Pro běžného uživatele budou stačit základní možnosti. Nejzákladnější (a přesto komplexní) operací, kterou program umí, je provést kompletní audit systému. Chcete-li spustit audit, otevřete terminál a zadejte do něj následující příkaz.
lynis audit system
Spuštění výše uvedeného příkazu bez jakýchkoli oprávnění Sudoer prohledá mnoho aspektů systému. Nedostane však vše. Spuštění úplné kontroly vyžaduje sudo.
sudo lynis audit system --pentest
Potřebujete uložit výsledky na později? Přeneste je do textového souboru.
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Skenovat soubor Docker
Docker je na systémech Linux stále populárnější. Se všemi předem připravenými obrazy Dockeru k narušení bezpečnosti nutně dojde. Naštěstí Lynis umožňuje uživatelům skenovat soubory Docker a testovat je na problémy. Chcete-li spustit test, vyzkoušejte následující příkaz.
lynis audit dockerfile /home/username/path/to/dockerfile
Rychlá kontrola
Lynis může provádět mnoho různých typů skenování. Skenování, které může být užitečné, pokud spěcháte, je režim „rychlého“ skenování. Tento režim testuje základní oblasti systému pro výsledky půstu.
Spusťte rychlý audit systému pomocí:
lynis audit system -Q