Lynis là một công cụ kiểm tra bảo mật mã nguồn mở và miễn phí, được phát hành dưới dạng dự án được cấp phép GPL và có sẵn cho các hệ điều hành dựa trên Linux và Unix như MacOS, FreeBSD, NetBSD, OpenBSD, v.v. Mọi người nói chung không biết rằng chúng ta cũng có thể sử dụng Lynis để kiểm tra hệ thống từ xa. Theo cách này, chúng ta có thể cài đặt Lynis trên một hệ thống và tiến hành kiểm tra trên các hệ thống từ xa khác.
Trên hệ thống Kali Linux, chúng tôi có một thiết lập Lynis đang hoạt động. Chúng tôi đã cài đặt Lynis bằng công cụ ‘Git’ do đó chúng tôi sẽ chạy nó từ thư mục ‘lynis’ đã tải về. Các lệnh lynis của chúng tôi sẽ bắt đầu từ tiền tố: ‘./lynis’. Nếu bạn đã cài đặt nó bằng trình quản lý gói apt, bạn có thể gọi nó từ bất kỳ đâu và trực tiếp bằng cách sử dụng tên của công cụ: ‘lynis’.
Ubuntu 20.04 là hệ thống từ xa mà chúng tôi sẽ tiến hành kiểm tra. Cấu hình IP của các máy này như sau:
Bước 1. Bắt đầu bằng cách đăng nhập vào hệ thống Kali Linux của bạn. Bây giờ chúng ta cần lấy các tệp thiết lập Lynis từ kho lưu trữ GitHub, vì vậy hãy mở một thiết bị đầu cuối và thực hiện lệnh bên dưới:
$ git clone https://github.com/CISOfy/lynis
Bước 2. Sau khi các tệp git được lấy, một thư mục có tên là ‘lynis’ sẽ xuất hiện trên hệ thống của bạn:
$ ls
Bây giờ hãy di chuyển đến thư mục ‘lynis’ và tạo một thư mục ‘files’:
$ cd files && mkdir files
Bước 3. Tạo một tệp tar của thư mục lynis bằng cách thực hiện các lệnh bên dưới từ ‘bên ngoài’ thư mục này:
$ cd ..
$ tar czf ./lynis/files/lynis-remote.tar.gz --exclude=files/lynis-remote.tar.gz ./lynis
Bây giờ hãy di chuyển lại vào bên trong thư mục lynis và kiểm tra xem tệp có tên ‘lynis-remote.tar.gz’ có nằm trong thư mục ‘files’ không:
$ cd lynis && ls files/
Bước 4. Đã đến lúc sao chép tệp tar ở trên vào máy mục tiêu của chúng ta, tức là Ubuntu với địa chỉ 192.168.199.150/24. Chúng tôi đang sử dụng lệnh ‘scp’ cho tác vụ này:
$ scp -q ./files/lynis-remote.tar.gz ‘YOUR_USERNAME’@192.168.199.150:~/tmp-lynis-remote.tgz
Lưu ý: Trong mọi lệnh, hãy thay thế ‘YOUR_USERNAME’ và địa chỉ IP bằng tên người dùng và địa chỉ IP của hệ thống đích.
Xác nhận tính xác thực của hệ thống đích và nhập mật khẩu của hệ thống đó để quá trình chuyển dữ liệu diễn ra.
Bước 5. Sau khi chạy lệnh trên, một thư mục có tên là ‘tmp-lynis-remote.tgz' sẽ xuất hiện trên hệ thống đích.
Bước 6. Tuyệt vời, tệp tar của chúng ta hiện đã đến được máy đích, bây giờ chúng ta cần chạy lệnh bên dưới để bắt đầu quét máy đích:
$ ssh ‘YOUR_USERNAME’@192.168.199.150 "mkdir -p ~/tmp-lynis && cd ~/tmp-lynis && tar xzf ../tmp-lynis-remote.tgz && rm ../tmp-lynis-remote.tgz && cd lynis && ./lynis audit system"
Sẽ mất một khoảng thời gian, tùy thuộc vào kích thước quét, để hoàn tất quá trình quét, vì vậy hãy kiên nhẫn. Trong hầu hết các trường hợp, quá trình này kéo dài trong 2 phút. Trên thiết bị đầu cuối, bạn có thể thấy nhiều bài kiểm tra khác nhau được Lynis thực hiện:
Đầu ra mẫu:
[+] Kernel
------------------------------------
- Kiểm tra mức chạy mặc định [RUNLEVEL 5]
- Kiểm tra hỗ trợ CPU (NX/PAE)
Hỗ trợ CPU: PAE và/hoặc NoeXecute được hỗ trợ [ FOUND]
- Kiểm tra phiên bản và bản phát hành của kernel [ DONE]
- Kiểm tra loại kernel [ DONE]
- Đang kiểm tra các mô-đun hạt nhân đã tải [ HOÀN THÀNH ]
Đã tìm thấy 147 mô-đun đang hoạt động
- Đang kiểm tra tệp cấu hình hạt nhân Linux [ ĐÃ TÌM THẤY ]
- Đang kiểm tra trình lập lịch hạt nhân I/O mặc định [ KHÔNG TÌM THẤY ]
- Đang kiểm tra bản cập nhật hạt nhân khả dụng [ OK ]
- Đang kiểm tra cấu hình bản sao lưu lõi
- cấu hình trong các tệp cấu hình systemd [ MẶC ĐỊNH ]
- cấu hình trong etc/profile [ MẶC ĐỊNH ]
- cấu hình 'cứng' trong security/limits.conf [ MẶC ĐỊNH ]
- cấu hình 'mềm' trong security/limits.conf [ MẶC ĐỊNH ]
- Kiểm tra cấu hình setuid core dumps [ PROTECTED ]
- Kiểm tra xem có cần khởi động lại không [ KHÔNG ]
[+] Bộ nhớ và quy trình
Bước 7. Sau khi quá trình quét hoàn tất, chúng ta có thể dọn sạch thư mục 'tmp-lynis' đã trích xuất trên máy từ xa của bước 6.
$ ssh ‘YOUR_USERNAME’@192.168.199.150 "rm -rf ~/tmp-lynis"
Bước 8. Kết quả quét được hiển thị trên thiết bị đầu cuối Kali Linux. Chúng ta cũng có thể lấy nhật ký quét và báo cáo từ máy từ xa bằng cách sử dụng:
scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis.log ./files/192.168.199.150-lynis.log
scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis-report.dat ./files/192.168.199.150-lynis-report.dat
Bước 9: Để dọn dẹp các tệp nhật ký lynis (khi sử dụng tài khoản không có đặc quyền) được tạo trên hệ thống từ xa, hãy chạy lệnh:
ssh ‘YOUR_USERNAME’@192.168.199.150 "rm ~/lynis.log ~/lynis-report.dat"
Vậy là xong. Chúng ta đã quét thành công hệ thống từ xa của mình.
Chúng ta sẽ khám phá điều gì ở đây?
Trong hướng dẫn này, chúng tôi sẽ cung cấp hướng dẫn về cách thực hiện kiểm tra bảo mật Lynis trên hệ thống từ xa. Bây giờ chúng ta hãy bắt đầu với HowTo này.Điều kiện tiên quyết
- ‘Git’ và ‘Lynis’ phải được cài đặt trên hệ thống Kali Linux.
- Kết nối ‘SSH’ phải được thiết lập giữa hai hệ thống.
- Kết nối Internet cho hai hệ thống.
Thiết lập thử nghiệm
Trong hướng dẫn này, chúng tôi sử dụng hai hệ thống Linux: 1) Kali Linux 2) Ubuntu 20.04.Trên hệ thống Kali Linux, chúng tôi có một thiết lập Lynis đang hoạt động. Chúng tôi đã cài đặt Lynis bằng công cụ ‘Git’ do đó chúng tôi sẽ chạy nó từ thư mục ‘lynis’ đã tải về. Các lệnh lynis của chúng tôi sẽ bắt đầu từ tiền tố: ‘./lynis’. Nếu bạn đã cài đặt nó bằng trình quản lý gói apt, bạn có thể gọi nó từ bất kỳ đâu và trực tiếp bằng cách sử dụng tên của công cụ: ‘lynis’.
Ubuntu 20.04 là hệ thống từ xa mà chúng tôi sẽ tiến hành kiểm tra. Cấu hình IP của các máy này như sau:
- Kali Linux: 192.168.199.161/24
- Ubuntu: 192.168.199.150/24
Các bước để kiểm tra hệ thống từ xa
Bây giờ chúng ta sẽ tiến hành theo các bước dưới đây để thực hiện kiểm tra hệ thống bảo mật trên mục tiêu từ xa của mình.Bước 1. Bắt đầu bằng cách đăng nhập vào hệ thống Kali Linux của bạn. Bây giờ chúng ta cần lấy các tệp thiết lập Lynis từ kho lưu trữ GitHub, vì vậy hãy mở một thiết bị đầu cuối và thực hiện lệnh bên dưới:
$ git clone https://github.com/CISOfy/lynis
Bước 2. Sau khi các tệp git được lấy, một thư mục có tên là ‘lynis’ sẽ xuất hiện trên hệ thống của bạn:
$ ls
Bây giờ hãy di chuyển đến thư mục ‘lynis’ và tạo một thư mục ‘files’:
$ cd files && mkdir files
Bước 3. Tạo một tệp tar của thư mục lynis bằng cách thực hiện các lệnh bên dưới từ ‘bên ngoài’ thư mục này:
$ cd ..
$ tar czf ./lynis/files/lynis-remote.tar.gz --exclude=files/lynis-remote.tar.gz ./lynis
Bây giờ hãy di chuyển lại vào bên trong thư mục lynis và kiểm tra xem tệp có tên ‘lynis-remote.tar.gz’ có nằm trong thư mục ‘files’ không:
$ cd lynis && ls files/
Bước 4. Đã đến lúc sao chép tệp tar ở trên vào máy mục tiêu của chúng ta, tức là Ubuntu với địa chỉ 192.168.199.150/24. Chúng tôi đang sử dụng lệnh ‘scp’ cho tác vụ này:
$ scp -q ./files/lynis-remote.tar.gz ‘YOUR_USERNAME’@192.168.199.150:~/tmp-lynis-remote.tgz
Lưu ý: Trong mọi lệnh, hãy thay thế ‘YOUR_USERNAME’ và địa chỉ IP bằng tên người dùng và địa chỉ IP của hệ thống đích.
Xác nhận tính xác thực của hệ thống đích và nhập mật khẩu của hệ thống đó để quá trình chuyển dữ liệu diễn ra.
Bước 5. Sau khi chạy lệnh trên, một thư mục có tên là ‘tmp-lynis-remote.tgz' sẽ xuất hiện trên hệ thống đích.
Bước 6. Tuyệt vời, tệp tar của chúng ta hiện đã đến được máy đích, bây giờ chúng ta cần chạy lệnh bên dưới để bắt đầu quét máy đích:
$ ssh ‘YOUR_USERNAME’@192.168.199.150 "mkdir -p ~/tmp-lynis && cd ~/tmp-lynis && tar xzf ../tmp-lynis-remote.tgz && rm ../tmp-lynis-remote.tgz && cd lynis && ./lynis audit system"
Sẽ mất một khoảng thời gian, tùy thuộc vào kích thước quét, để hoàn tất quá trình quét, vì vậy hãy kiên nhẫn. Trong hầu hết các trường hợp, quá trình này kéo dài trong 2 phút. Trên thiết bị đầu cuối, bạn có thể thấy nhiều bài kiểm tra khác nhau được Lynis thực hiện:
Đầu ra mẫu:
[+] Kernel
------------------------------------
- Kiểm tra mức chạy mặc định [RUNLEVEL 5]
- Kiểm tra hỗ trợ CPU (NX/PAE)
Hỗ trợ CPU: PAE và/hoặc NoeXecute được hỗ trợ [ FOUND]
- Kiểm tra phiên bản và bản phát hành của kernel [ DONE]
- Kiểm tra loại kernel [ DONE]
- Đang kiểm tra các mô-đun hạt nhân đã tải [ HOÀN THÀNH ]
Đã tìm thấy 147 mô-đun đang hoạt động
- Đang kiểm tra tệp cấu hình hạt nhân Linux [ ĐÃ TÌM THẤY ]
- Đang kiểm tra trình lập lịch hạt nhân I/O mặc định [ KHÔNG TÌM THẤY ]
- Đang kiểm tra bản cập nhật hạt nhân khả dụng [ OK ]
- Đang kiểm tra cấu hình bản sao lưu lõi
- cấu hình trong các tệp cấu hình systemd [ MẶC ĐỊNH ]
- cấu hình trong etc/profile [ MẶC ĐỊNH ]
- cấu hình 'cứng' trong security/limits.conf [ MẶC ĐỊNH ]
- cấu hình 'mềm' trong security/limits.conf [ MẶC ĐỊNH ]
- Kiểm tra cấu hình setuid core dumps [ PROTECTED ]
- Kiểm tra xem có cần khởi động lại không [ KHÔNG ]
[+] Bộ nhớ và quy trình
Bước 7. Sau khi quá trình quét hoàn tất, chúng ta có thể dọn sạch thư mục 'tmp-lynis' đã trích xuất trên máy từ xa của bước 6.
$ ssh ‘YOUR_USERNAME’@192.168.199.150 "rm -rf ~/tmp-lynis"
Bước 8. Kết quả quét được hiển thị trên thiết bị đầu cuối Kali Linux. Chúng ta cũng có thể lấy nhật ký quét và báo cáo từ máy từ xa bằng cách sử dụng:
scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis.log ./files/192.168.199.150-lynis.log
scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis-report.dat ./files/192.168.199.150-lynis-report.dat
Bước 9: Để dọn dẹp các tệp nhật ký lynis (khi sử dụng tài khoản không có đặc quyền) được tạo trên hệ thống từ xa, hãy chạy lệnh:
ssh ‘YOUR_USERNAME’@192.168.199.150 "rm ~/lynis.log ~/lynis-report.dat"
Vậy là xong. Chúng ta đã quét thành công hệ thống từ xa của mình.
