
Установка lynis в Unix/Linux
Lynis — это инструмент для аудита безопасности в Unix и Linux ОС. Он выполняет глубокие проверки безопасности, практически без настройки. Обычно используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты Unix/Linux систем. Он работает на самом хосте, поэтому он выполняет более обширные проверки безопасности, чем сканеры уязвимостей.
Поддерживаемые ОС
Lynis работает практически во всех Unix системах, включая:
- AIX;
- FreeBSD;
- HP-UX;
- Linux;
- Mac OS X;
- NetBSD;
- OpenBSD;
- Solaris;
- Raspberry PI;
- QNAP
- И другие.
Установка lynis на CentOS/RedHat/Fedora
-=== СПОСОБ 1 — Использовать установщик yum===-
Установка очень простая и примитивная:
# yum install lynis -y
-=== СПОСОБ 2 — Использовать git===-
Выполняем:
# git clone https://github.com/CISOfy/lynis-sdk && ./lynis-devkit build rpm
-=== СПОСОБ 3 — Использовать репозиторий===-
Установим вспомогательные пакеты:
# yum update ca-certificates curl nss openssl -y
Создаем репо-файл:
# vim /etc/yum.repos.d/cisofy-lynis.repo
И, вставляем в него:
[lynis] name=CISOfy Software - Lynis package baseurl=https://packages.cisofy.com/community/lynis/rpm/ enabled=1 gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key gpgcheck=1
Следующий шаг — установка Lynis:
# yum makecache fast lynis -y
Как-то так.
Установка lynis на Debian/Ubuntu
-=== СПОСОБ 1 — Использовать установщик apt-get===-
Установка очень простая и примитивная:
# apt-get install lynis -y
-=== СПОСОБ 2 — Использовать git===-
Выполняем:
# git clone https://github.com/CISOfy/lynis-sdk && ./lynis-devkit build rpm
-=== СПОСОБ 3 — Использовать репозиторий===-
Скачиваем ключ:
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Или:
# wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | apt-key add -
Установим вспомогательные пакеты:
# apt install apt-transport-https -y
Использование программного обеспечения на английском языке? Затем настройте APT, чтобы пропустить загрузку переводов. Это экономит полосу пропускания и предотвращает дополнительную нагрузку на серверы репозитория:
$ echo 'Acquire::Languages "none";' > /etc/apt/apt.conf.d/99disable-translations
Далее, добавляем репозиторий:
Версия | Команда |
Debian 7 | echo «deb https://packages.cisofy.com/community/lynis/deb/ wheezy main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Debian 8 | echo «deb https://packages.cisofy.com/community/lynis/deb/ jessie main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Debian 9 | echo «deb https://packages.cisofy.com/community/lynis/deb/ stretch main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Др. Debian | echo «deb https://packages.cisofy.com/community/lynis/deb/ stable main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Ubuntu 16.04 | echo «deb https://packages.cisofy.com/community/lynis/deb/ xenial main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Др Ubuntu | echo «deb https://packages.cisofy.com/community/lynis/deb/ stable main» > /etc/apt/sources.list.d/cisofy-lynis.list |
Обновите локальную базу данных пакетов новыми данными репозитория:
# apt update -y
Выполняем установку:
# apt install lynis -y
Как-то так.
Установка lynis на MacOS X
-=== СПОСОБ 1 — Использовать установщик brew===-
Устанавливаем homebrew, если не знаете как, можно ознакомиться тут:
После чего выполняем поиск (для подтверждения наличия пакета в ОС):
$ brew search lynis
И если есть, выполняем установку:
$ brew install lynis
-=== СПОСОБ 2 — Использовать git===-
Я опишу процесс установки ниже.
Установка lynis в других Unix/Linux ОС
Исходный код можно скачать следующим образом:
# mkdir /usr/local/lynis && cd /usr/local/lynis && wget https://cisofy.com/files/lynis-2.5.7.tar.gz && tar -xvf lynis-*.tar.gz
Используйте следующую команду для запуска сканирования:
# ./lynis --check-all
Можно скачать с github:
# git clone https://github.com/CISOfy/Lynis
И выполняем:
$ cd lynis; ./lynis audit system
Использование lynis в Unix/Linux
Lynis выполняет сотни отдельных тестов, чтобы определить состояние безопасности системы. Сама проверка безопасности состоит в выполнении набора шагов от инициализации программы до его отчета:
- Определяет операционную систему.
- Поиск доступных инструментов и утилит.
- Проверка Lynis обновлений.
- Запуск тестов для включенных плагинов.
- Запуск тестов безопасности для каждой категории.
- Состояние отчета проверки безопасности.
Во время сканирования технические данные о сканировании хранятся в лог-файл. В то же время результаты (предупреждения, предложения, сбор данных) хранятся в файле отчета.
Оппортунистическое сканирование
Сканирование Lynis является оппортунистическим: оно использует то, что может найти.
Например, если он видит, что вы используете Apache, он будет выполнять начальный раунд тест связанныq с Apache. Если во время сканирования Apache, он также обнаружит SSL/TLS конфигурацию, то он будет выполнять дополнительные шаги для аудита. При этом он будет собирать обнаруженные сертификаты, чтобы впоследствии их можно было отсканировать.
Углубленное сканирование безопасности
Выполняя оппортунистическое сканирование, инструмент может работать практически без зависимостей. Чем больше он найдет, тем глубже будет аудит. Другими словами, Lynis всегда будет выполнять сканирование, настроенное для вашей системы.
Плагины для Lynis
- Docker Containers.
- File Integrity.
- File sytems.
- Firewalls.
- Memory.
- Processes plugin.
- Software plugin.
Для подробной информации, используйте:
# man lynis
Выполним полную проверку системы в «тихом» режиме (иначе после каждого блока проверок придется подтверждать действия вводом с клавиатуры):
# lynis -c -Q
По завершению сканирования, внимательно изучаем отчет. Желательно в первую очередь исправить все Warnings и по мере возможности, выполнить рекомендации секции Suggestions. Также порадовал параметр Hardening index, который отображает числовое значение уровня защищенности сервера.
Некоторые полезные опции:
- —checkall, -c : Запуск сканирования.
- —check-update : Проврка обновлений для Lynis.
- —cronjob : Запускает Lynis как cronjob (включает в себя «-c» и «-Q» опции).
- —help, -h : Показывает помощь.
- —quick, -Q : Не ждите ввода пользователя, кроме ошибок.
- —version, -V : Выводит Lynis версию.
Создание Lynis Cronjobs
Если вы хотите создать ежедневный отчет о проверке своей системы, вам нужно установить для него задание cron:
# crontab -e
Добавьте следующее задание cron с параметром -crontab, все специальные символы будут проигнорированы из вывода, и сканирование будет полностью автоматизировано:
00 12 * * * root lynis -c -Q --auditor "automated" --cronjob
Данная задание будет выполнятся каждый день, в 12.00 и будут вести отчет в /var/log/lynis.log файл.
Обновление Lynis
Если вы хотите обновить lynis, просто введите следующую команду, чтобы загрузить и установить последнюю версию lynis:
# lynis --check-update
Вот и все, статья «Установка lynis в Unix/Linux» завершена.
Жалко, что он на почту не умеет отправлять цветной репорт