Вступление
Lynis - это приложение для аудита безопасности с открытым исходным кодом, которое может оценивать профиль безопасности и состояние Linux и других UNIX-подобных операционных систем.
В этом руководстве вы будете устанавливать Lynis и использовать его для аудита безопасности вашего сервера Ubuntu 16.04. Затем вы изучите результаты выборочного аудита и сконфигурируете Lynis для пропуска тестов, которые не соответствуют вашим потребностям.
Lynis не будет автоматически выполнять закаливание системы. но он предложит рекомендации, которые покажут вам, как вы можете самостоятельно укрепить систему. Таким образом, будет полезно, если у вас есть фундаментальные знания о безопасности системы Linux. Вы также должны быть знакомы со службами, запущенными на компьютере, который вы планируете проверять, такими как веб-серверы, базы данных и другие службы, которые Lynis может сканировать по умолчанию. Это поможет вам определить результаты, которые вы можете игнорировать.
Предпосылки
Для завершения этой статьи вам понадобится:
-
Один сервер Ubuntu 16.04, сконфигурированный с пользователем без полномочий root с привилегиями sudo и брандмауэром, как показано в https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04 Учебник [Начальная настройка сервера с Ubuntu 16.04].
Шаг 1 - Установка Lynis на ваш сервер
Есть несколько способов установить Lynis. Вы можете скомпилировать его из исходного кода, загрузить и скопировать двоичный файл в соответствующее место в системе или установить его с помощью менеджера пакетов. Использование диспетчера пакетов - это самый простой способ установить Lynis и поддерживать его в актуальном состоянии, поэтому мы будем использовать этот метод.
Однако в Ubuntu 16.04 версия, доступная в репозитории, не самая последняя версия. Чтобы получить доступ к самым последним функциям, мы установим Lynis из официального репозитория проекта.
Репозиторий программного обеспечения Lynis использует протокол HTTPS, поэтому нам нужно убедиться, что установлена поддержка HTTPS для менеджера пакетов. Используйте следующую команду для проверки:
dpkg -s apt-transport-https | grep -i statusЕсли он установлен, вывод этой команды должен быть:
OutputStatus: install ok installedЕсли вывод говорит, что он не установлен, установите его с помощью + sudo apt-get install apt-transport-https +
Теперь, когда установлена одинокая зависимость, мы установим Lynis. Чтобы начать этот процесс, добавьте ключ хранилища:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5FВы увидите следующий вывод, указывающий, что ключ был успешно добавлен:
OutputExecuting: /tmp/tmp.AnVzwb6Mq8/gpg.1.sh --keyserver
keyserver.ubuntu.com
--recv-keys
C80E383C3DE9F082E01391A0366C67DE91CA5D5F
gpg: requesting key 91CA5D5F from hkp server keyserver.ubuntu.com
gpg: key 91CA5D5F: public key "CISOfy Software (signed software packages) <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)Затем добавьте репозиторий Lynis в список доступных для менеджера пакетов:
sudo add-apt-repository "deb [arch=amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main"Чтобы сделать пакеты в недавно добавленном репозитории доступными для системы, обновите базу данных пакетов:
sudo apt-get updateНаконец, установите Lynis:
sudo apt-get install lynisПосле завершения установки у вас должен быть доступ к команде + lynis + и ее подкомандам. Давайте посмотрим, как использовать Lynis дальше.
Шаг 2 - Выполнение аудита
После завершения установки вы теперь можете использовать Lynis для проведения аудита безопасности вашей системы. Давайте начнем с просмотра списка действий, которые вы можете выполнять с помощью Lynis. Выполните следующую команду:
lynis show commandsВы увидите следующий вывод:
Output
Commands:
lynis audit
lynis configure
lynis show
lynis update
lynis upload-onlyАудит Lynis стал возможен благодаря использованию профилей, которые похожи на файлы конфигурации с настройками, которые контролируют, как Lynis проводит аудит. Просмотрите настройки для профиля по умолчанию:
lynis show settingsВы увидите вывод, подобный следующему:
Output# Colored screen output
colors=1
# Compressed uploads
compressed-uploads=0
# Use non-zero exit code if one or more warnings were found
error-on-warnings=0
...
# Upload server (ip or hostname)
upload-server=[not configured]
# Data upload after scanning
upload=no
# Verbose output
verbose=0
# Add --brief to hide descriptions, --configured-only to show configured items only, or --nocolors to remove colorsПеред проверкой всегда полезно проверить, доступна ли новая версия. Таким образом, вы будете получать самые свежие предложения и информацию. Выполните следующую команду, чтобы проверить наличие обновлений:
lynis update infoВывод должен быть похож на следующий, который показывает, что версия Lynis является самой последней:
Output == Lynis ==
Version : 2.4.8
Status : Up-to-date
Release date : 2017-03-29
Update location : https://cisofy.com/lynis/
2007-2017, CISOfy - https://cisofy.com/lynis/В качестве альтернативы вы можете набрать + lynis update check +, которая генерирует следующий однострочный вывод:
Outputstatus=up-to-dateЕсли версия требует обновления, используйте менеджер пакетов для выполнения обновления.
Чтобы запустить аудит вашей системы, используйте команду + lynis audit system. Вы можете запускать Lynis в привилегированном и непривилегированном (пентест) режимах. В последнем режиме некоторые тесты, требующие прав суперпользователя, пропускаются. В результате вы должны запустить аудит в привилегированном режиме с помощью + sudo +. Выполните эту команду, чтобы выполнить ваш первый аудит:
sudo lynis audit systemПосле аутентификации Lynis запустит свои тесты и передаст результаты на ваш экран. Аудит Lynis обычно занимает минуту или меньше.
Когда Lynis выполняет аудит, он проходит ряд тестов, разделенных на категории. После каждого аудита результаты теста, отладочная информация и предложения по усилению защиты системы записываются в стандартный вывод (экран). Более подробная информация записывается в + / var / log / lynis.log +, а данные отчета сохраняются в + / var / log / lynis-report.dat +. Данные отчета содержат общую информацию о сервере и самом приложении, поэтому вам следует обратить внимание на файл журнала. Файл журнала очищается (перезаписывается) при каждом аудите, поэтому результаты предыдущего аудита не сохраняются.
После завершения аудита вы просмотрите результаты, предупреждения и предложения, а затем внедрите любое из соответствующих предложений.
Давайте посмотрим на результаты аудита Lynis, проведенного на компьютере, на котором был написан этот учебник. Результаты, которые вы видите в своем аудите, могут отличаться, но вы все равно сможете следить за ними.
Первая значимая часть результатов аудита Lynis является чисто информационной. Он сообщает вам результаты каждого теста, сгруппированные по категориям. Информация принимает форму ключевых слов, таких как * NONE *, * WEAK *, * DONE *, * FOUND *, * NOT_FOUND *, * OK * и * WARNING *.
Output[+] Boot and services
------------------------------------
- Service Manager [ systemd ]
- Checking UEFI boot [ DISABLED ]
- Checking presence GRUB [ OK ]
- Checking presence GRUB2 [ FOUND ]
- Checking for password protection [ WARNING ]
..
[+] File systems
------------------------------------
- Checking mount points
- Checking /home mount point [ SUGGESTION ]
- Checking /tmp mount point [ SUGGESTION ]
- Checking /var mount point [ OK ]
- Query swap partitions (fstab) [ NONE ]
- Testing swap partitions [ OK ]
- Testing /proc mount (hidepid) [ SUGGESTION ]
- Checking for old files in /tmp [ OK ]
- Checking /tmp sticky bit [ OK ]
- ACL support root file system [ ENABLED ]
- Mount options of / [ OK ]
- Checking Locate database [ FOUND ]
- Disable kernel support of some filesystems
- Discovered kernel modules: udf
...
[+] Hardening
------------------------------------
- Installed compiler(s) [ FOUND ]
- Installed malware scanner [ NOT FOUND ]
- Installed malware scanner [ NOT FOUND ]
...
[+] Printers and Spools
------------------------------------
- Checking cups daemon [ NOT FOUND ]
- Checking lp daemon [ NOT RUNNING ]Хотя Lynis выполняет более 200 тестов из коробки, не все они необходимы для вашего сервера. Как вы можете определить, какие тесты необходимы, а какие нет? Вот тут-то и вступают в игру некоторые знания о том, что должно или не должно работать на сервере. Например, если вы проверите раздел результатов типичного аудита Lynis, вы найдете два теста в категории * Printers and Spools *:
Output[+] Printers and Spools
------------------------------------
- Checking cups daemon [ NOT FOUND ]
- Checking lp daemon [ NOT RUNNING ]Вы действительно используете сервер печати на сервере Ubuntu 16.04? Если вы не используете облачный сервер печати, вам не нужно, чтобы Lynis запускал этот тест каждый раз.
Хотя это прекрасный пример теста, который вы можете пропустить, другие не так очевидны. Возьмите этот частичный раздел результатов, например:
Output[+] Insecure services
------------------------------------
- Checking inetd status [ NOT ACTIVE ]Эти выходные данные говорят, что + inetd + не активен, но это ожидается на сервере Ubuntu 16.04, потому что Ubuntu заменил + inetd + на + systemd +. Зная это, вы можете пометить этот тест как тест, который Lynis не должен выполнять в рамках аудита на вашем сервере.
По мере рассмотрения каждого из результатов теста вы получите довольно хороший список лишних тестов. Имея этот список в руках, вы можете настроить Lynis так, чтобы он игнорировался в будущих аудитах. Вы узнаете, как это сделать на шаге 5.
В следующих разделах мы рассмотрим различные части результатов аудита Lynis, чтобы вы лучше поняли, как правильно проводить аудит вашей системы с помощью Lynis. Давайте сначала посмотрим, как поступить с предупреждениями Lynis.
Шаг 3 - Исправление предупреждений аудита Lynis
Результаты аудита Lynis не всегда содержат раздел с предупреждениями, но когда это произойдет, вы узнаете, как устранить проблемы, возникшие после прочтения этого раздела.
Предупреждения перечислены после раздела результатов. Каждое предупреждение начинается с самого текста предупреждения, с теста, который выдает предупреждение в той же строке в скобках. Следующая строка будет содержать предлагаемое решение, если оно существует. Последняя строка - это URL-адрес управления безопасностью, где вы можете найти некоторые рекомендации по предупреждению. К сожалению, URL-адрес не всегда предлагает объяснение, поэтому вам может потребоваться провести дополнительное исследование.
Следующий вывод взят из раздела предупреждений аудита Lynis, выполненного на сервере, используемом в этой статье. Давайте пройдемся по каждому предупреждению и посмотрим, как его исправить или исправить:
OutputWarnings (3):
----------------------------
! Version of Lynis is very old and should be updated [LYNIS]
https://cisofy.com/controls/LYNIS/
! Reboot of system is most likely needed [KRNL-5830]
- Solution : reboot
https://cisofy.com/controls/KRNL-5830/
! Found one or more vulnerable packages. [PKGS-7392]
https://cisofy.com/controls/PKGS-7392/Первое предупреждение говорит о том, что Lynis необходимо обновить. Это также означает, что в этом аудите использовалась версия Lynis, поэтому результаты могут быть неполными. Этого можно было бы избежать, если бы мы выполнили базовую проверку версии перед запуском результатов, как показано на шаге 3. Исправить это легко: обновите Lynis.
Второе предупреждение указывает на необходимость перезагрузки сервера. Возможно, это связано с тем, что недавно было выполнено обновление системы, включающее обновление ядра. Решением здесь является перезагрузка системы.
Если у вас возникли сомнения по поводу какого-либо предупреждения или какого-либо результата теста, вы можете получить дополнительную информацию о тесте, запросив у Lynis идентификатор теста. Команда для выполнения, которая принимает эту форму:
sudo lynis show detailsТаким образом, для второго предупреждения, которое имеет тестовый идентификатор * KRNL-5830 *, мы могли бы выполнить эту команду:
sudo lynis show details KRNL-5830Выходные данные для этого конкретного теста следующие. Это дает вам представление о процессе, который проходит Lynis для каждого теста, который он выполняет. Из этого вывода Lynis даже дает конкретную информацию об элементе, вызвавшем предупреждение:
Output2017-03-21 01:50:03 Performing test ID KRNL-5830 (Checking if system is running on the latest installed kernel)
2017-03-21 01:50:04 Test: Checking presence /var/run/reboot-required.pkgs
2017-03-21 01:50:04 Result: file /var/run/reboot-required.pkgs exists
2017-03-21 01:50:04 Result: reboot is needed, related to 5 packages
2017-03-21 01:50:04 Package: 5
2017-03-21 01:50:04 Result: /boot exists, performing more tests from here
2017-03-21 01:50:04 Result: /boot/vmlinuz not on disk, trying to find /boot/vmlinuz*
2017-03-21 01:50:04 Result: using 4.4.0.64 as my kernel version (stripped)
2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-64-generic
2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-65-generic
2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-66-generic
2017-03-21 01:50:04 Action: checking relevant kernels
2017-03-21 01:50:04 Output: 4.4.0.64 4.4.0.65 4.4.0.66
2017-03-21 01:50:04 Result: Found 4.4.0.64 (= our kernel)
2017-03-21 01:50:04 Result: found a kernel (4.4.0.65) later than running one (4.4.0.64)
2017-03-21 01:50:04 Result: Found 4.4.0.65
2017-03-21 01:50:04 Result: found a kernel (4.4.0.66) later than running one (4.4.0.64)
2017-03-21 01:50:04 Result: Found 4.4.0.66
2017-03-21 01:50:04 Warning: Reboot of system is most likely needed [test:KRNL-5830] [details:] [solution:text:reboot]
2017-03-21 01:50:04 Hardening: assigned partial number of hardening points (0 of 5). Currently having 7 points (out of 14)
2017-03-21 01:50:04 Checking permissions of /usr/share/lynis/include/tests_memory_processes
2017-03-21 01:50:04 File permissions are OK
2017-03-21 01:50:04 ===---------------------------------------------------------------===Для третьего предупреждения * PKGS-7392 *, касающегося уязвимых пакетов, мы запустили бы эту команду:
sudo lynis show details PKGS-7392Вывод дает нам больше информации относительно пакетов, которые необходимо обновить:
Output2017-03-21 01:39:53 Performing test ID PKGS-7392 (Check for Debian/Ubuntu security updates)
2017-03-21 01:39:53 Action: updating repository with apt-get
2017-03-21 01:40:03 Result: apt-get finished
2017-03-21 01:40:03 Test: Checking if /usr/lib/update-notifier/apt-check exists
2017-03-21 01:40:03 Result: found /usr/lib/update-notifier/apt-check
2017-03-21 01:40:03 Test: checking if any of the updates contain security updates
2017-03-21 01:40:04 Result: found 7 security updates via apt-check
2017-03-21 01:40:04 Hardening: assigned partial number of hardening points (0 of 25). Currently having 96 points (out of 149)
2017-03-21 01:40:05 Result: found vulnerable package(s) via apt-get (-security channel)
2017-03-21 01:40:05 Found vulnerable package: libc-bin
2017-03-21 01:40:05 Found vulnerable package: libc-dev-bin
2017-03-21 01:40:05 Found vulnerable package: libc6
2017-03-21 01:40:05 Found vulnerable package: libc6-dev
2017-03-21 01:40:05 Found vulnerable package: libfreetype6
2017-03-21 01:40:05 Found vulnerable package: locales
2017-03-21 01:40:05 Found vulnerable package: multiarch-support
2017-03-21 01:40:05 Warning: Found one or more vulnerable packages. [test:PKGS-7392] [details:-] [solution:-]
2017-03-21 01:40:05 Suggestion: Update your system with apt-get update, apt-get upgrade, apt-get dist-upgrade and/or unattended-upgrades [test:PKGS-7392] [details:-] [solution:-]
2017-03-21 01:40:05 ===---------------------------------------------------------------===Решением для этого является обновление базы данных пакетов и обновление системы.
После исправления элемента, который привел к предупреждению, вы должны снова запустить аудит. Последующие проверки должны быть свободны от того же предупреждения, хотя могут появиться новые предупреждения. В этом случае повторите процесс, показанный на этом шаге, и исправьте предупреждения.
Теперь, когда вы знаете, как читать и исправлять предупреждения, генерируемые Lynis, давайте посмотрим, как реализовать предложения, предлагаемые Lynis.
Шаг 4 - Реализация предложений по аудиту Lynis
После раздела предупреждений вы увидите ряд предложений, которые, если они будут реализованы, могут сделать ваш сервер менее уязвимым для атак и вредоносных программ. На этом шаге вы узнаете, как реализовать некоторые предложения, сгенерированные Lynis после аудита тестового сервера Ubuntu 16.04. Процесс для этого идентичен шагам в предыдущем разделе.
Конкретное предложение начинается с самого предложения, за которым следует идентификатор теста. Затем, в зависимости от теста, в следующей строке будет указано, какие именно изменения необходимо внести в файл конфигурации уязвимой службы. Последняя строка - это URL-адрес управления безопасностью, где вы можете найти больше информации о предмете.
Вот, например, раздел частичного предложения из аудита Lynis, показывающий предложения, относящиеся к службе SSH:
OutputSuggestions (36):
----------------------------
* Consider hardening SSH configuration [SSH-7408]
- Details : ClientAliveCountMax (3 --> 2)
https://cisofy.com/controls/SSH-7408/
* Consider hardening SSH configuration [SSH-7408]
- Details : PermitRootLogin (YES --> NO)
https://cisofy.com/controls/SSH-7408/
* Consider hardening SSH configuration [SSH-7408]
- Details : Port (22 --> )
https://cisofy.com/controls/SSH-7408/
* Consider hardening SSH configuration [SSH-7408]
- Details : TCPKeepAlive (YES --> NO)
https://cisofy.com/controls/SSH-7408/
* Consider hardening SSH configuration [SSH-7408]
- Details : UsePrivilegeSeparation (YES --> SANDBOX)
https://cisofy.com/controls/SSH-7408/
...В зависимости от вашей среды все эти предложения безопасны для реализации. Однако, чтобы сделать это определение, вы должны знать, что означает каждая директива. Поскольку они относятся к SSH-серверу, все изменения должны быть сделаны в файле конфигурации демонов SSH, + / etc / ssh / sshd_config +. Если у вас есть какие-либо сомнения по поводу каких-либо предложений относительно SSH, предоставленных Lynis, найдите директиву с помощью + man sshd_config +. Эта информация также available online.
В одном из предложений предлагается изменить порт SSH по умолчанию с «+ 22 +». Если вы сделаете это изменение, и у вас настроен брандмауэр, обязательно вставьте правило для доступа SSH через этот новый порт.
Как и в разделе предупреждений, вы можете получить более подробную информацию о предложении, запросив Lynis для идентификатора теста, используя + sudo lynis show details +.
Другие предложения требуют установки дополнительного программного обеспечения на вашем сервере. Возьмите это, например:
Output* Harden the system by installing at least one malware scanner, to perform periodic file system scans [HRDN-7230]
- Solution : Install a tool like rkhunter, chkrootkit, OSSEC
https://cisofy.com/controls/HRDN-7230/Рекомендуется установить + rkhunter +, + chkrootkit + или OSSEC для выполнения теста на стойкость (HRDN-7230). OSSEC - это основанная на хосте система обнаружения вторжений, которая может генерировать и отправлять оповещения. Это очень хорошее приложение для обеспечения безопасности, которое поможет с некоторыми тестами, выполненными Lynis. Вы можете узнать больше об этом инструменте in этих учебников DigitalOcean. Однако установка OSSEC сама по себе не приводит к прохождению этого конкретного теста. Установка + chkrootkit + наконец проходит успешно. Это еще один случай, когда вам иногда придется провести дополнительные исследования помимо того, что предлагает Lynis.
Давайте посмотрим на другой пример. Вот предложение, отображаемое в результате проверки целостности файла.
Output* Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350]
https://cisofy.com/controls/FINT-4350/В предложении, приведенном в URL-адресе управления безопасностью, не упоминается программа OSSEC, упомянутая в предыдущем предложении, но ее установки было достаточно, чтобы пройти тест при последующей проверке. Это потому, что OSSEC - довольно хороший инструмент для мониторинга целостности файлов.
Вы можете игнорировать некоторые предложения, которые не относятся к вам. Вот пример:
Output* To decrease the impact of a full /home file system, place /home on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/
* To decrease the impact of a full /tmp file system, place /tmp on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/Исторически основные файловые системы Linux, такие как + / home,` + / tmp`, + / var и` + / usr`, монтировались в отдельном разделе, чтобы минимизировать влияние на весь сервер, когда они заканчиваются. дисковое пространство. Это не так часто, особенно на облачных серверах. Эти файловые системы теперь просто монтируются как каталог в том же корневом разделе. Но если вы выполните аудит Lynis в такой системе, вы получите пару предложений, подобных тем, которые показаны в предыдущем выводе. Если у вас нет возможности реализовать предложения, вы, вероятно, захотите проигнорировать их и настроить Lynis, чтобы тест, вызвавший их создание, не выполнялся в будущих аудитах.
Выполнение аудита безопасности с использованием Lynis включает в себя не только исправление предупреждений и реализацию предложений; это также включает в себя выявление лишних тестов. На следующем шаге вы узнаете, как настроить профиль по умолчанию, чтобы игнорировать такие тесты.
Шаг 5 - Настройка аудита безопасности Lynis
В этом разделе вы узнаете, как настроить Lynis так, чтобы он запускал только те тесты, которые необходимы для вашего сервера. Профили, определяющие порядок выполнения аудита, определяются в файлах с расширением + .prf + в каталоге + / etc / lynis +. Профиль по умолчанию точно называется + default.prf +. Вы не редактируете этот профиль по умолчанию напрямую. Вместо этого вы добавляете любые необходимые изменения в файл + custom.prf + в том же каталоге, что и определение профиля.
Создайте новый файл с именем + / etc / lynis / custom.prf +, используя ваш текстовый редактор:
sudo nano /etc/lynis/custom.prfДавайте используем этот файл, чтобы Lynis пропустил некоторые тесты. Вот тесты, которые мы хотим пропустить:
-
* FILE-6310 *: Используется для проверки разделения разделов.
-
* HTTP-6622 *: используется для проверки установки веб-сервера Nginx.
-
* HTTP-6702 *: используется для проверки установки веб-сервера Apache. Этот тест и тест Nginx выше выполняются по умолчанию. Поэтому, если у вас установлен Nginx, а не Apache, вы можете пропустить тест Apache.
-
* PRNT-2307 * и * PRNT-2308 *: Используется для проверки сервера печати.
-
* TOOL-5002 *: Используйте для проверки средств автоматизации, таких как Puppet и Salt. Если вам не нужны такие инструменты на вашем сервере, все в порядке, чтобы пропустить этот тест.
-
* SSH-7408: tcpkeepalive *: несколько тестов Lynis могут быть сгруппированы под одним идентификатором теста. Если в этом тестовом идентификаторе есть тест, который вы хотите пропустить, вот как его указать.
Чтобы игнорировать тест, вы передаете директиву * skip-test * идентификатор теста, который вы хотите игнорировать, по одному на строку. Добавьте следующий код в ваш файл:
/etc/lynis/custom.prf
# Lines starting with "#" are comments
# Skip a test (one per line)
# This will ignore separation of partitions test
skip-test=FILE-6310
# Is Nginx installed?
skip-test=HTTP-6622
# Is Apache installed?
skip-test=HTTP-6702
# Skip checking print-related services
skip-test=PRNT-2307
skip-test=PRNT-2308
# If a test id includes more than one test use this form to ignore a particular test
skip-test=SSH-7408:tcpkeepaliveСохраните и закройте файл.
В следующий раз, когда вы выполните аудит, Lynis пропустит тесты, соответствующие идентификаторам тестов, настроенным вами в пользовательском профиле. Тесты будут опущены в разделе результатов результатов аудита, а также в разделе предложений.
Файл + / etc / lynis / custom.prf + также позволяет вам изменять любые настройки в профиле. Для этого скопируйте параметр из + / etc / lynis / default.prf + в + / etc / lynis / custom.prf + и измените его там. Вам редко потребуется изменять эти настройки, поэтому сосредоточьте свои усилия на поиске тестов, которые вы можете пропустить.
Далее, давайте посмотрим на то, что Lynis называет hardening index.
Шаг 6 - Интерпретация индекса твердения
В нижнем разделе каждого вывода аудита Lynis, чуть ниже раздела предложений, вы найдете раздел, который выглядит следующим образом:
OutputLynis security scan details:
Hardening index :
Tests performed : 206
Plugins enabled : 0Эти выходные данные сообщают вам, сколько тестов было выполнено, наряду с hardening index, числом, которое Lynis предоставляет, чтобы дать вам представление о том, насколько защищен ваш сервер. Этот номер уникален для Lynis. Индекс защиты будет меняться в зависимости от предупреждений, которые вы исправляете, и предложений, которые вы реализуете. Этот вывод, который показывает, что система имеет индекс защиты 64, взят из первой проверки Lynis на новом сервере Ubuntu 16.04.
После исправления предупреждений и реализации большинства предложений новый аудит дал следующий результат. Вы можете видеть, что индекс упрочнения немного выше:
OutputLynis security scan details:
Hardening index : 86 [################# ]
Tests performed : 205
Plugins enabled : 0Индекс защиты не является точной оценкой того, насколько защищен сервер, а является лишь мерой того, насколько хорошо сервер настроен (или усилен) на основе тестов, выполненных Lynis. И, как вы видели, чем выше индекс, тем лучше. Целью аудита безопасности Lynis является не только получение высокого показателя защиты, но и исправление генерируемых предупреждений и предложений.
Заключение
В этом руководстве вы установили Lynis, использовали его для проведения аудита безопасности сервера Ubuntu 16.04, изучили, как исправить предупреждения и предложения, которые он генерирует, и как настроить тесты, которые выполняет Lynis.
Это займет немного больше времени и усилий, но стоит того, чтобы сделать вашу машину более безопасной, и Lynis значительно упростит этот процесс.
Для получения дополнительной информации о Lynis ознакомьтесь с Get Started with Lynis в официальной документации. Lynis - это проект с открытым исходным кодом, поэтому, если вы хотите внести свой вклад, посетите страницу проекта GitHub.