Lynis là một công cụ kiểm tra bảo mật mã nguồn mở và miễn phí, được phát hành dưới dạng dự án được cấp phép GPL và có sẵn cho các hệ điều hành dựa trên Linux và Unix như MacOS, FreeBSD, NetBSD, OpenBSD, v.v.
Trong giai đoạn khởi tạo, Lynis thực hiện thao tác kiểm tra cơ bản như phát hiện loại hệ điều hành, phiên bản hạt nhân, kiến trúc CPU, phiên bản Lynis đã cài đặt, tên kiểm toán viên, kiểm tra bản cập nhật Lynis khả dụng, v.v. Nhìn chung, giai đoạn này chỉ cung cấp thông tin hệ thống và chương trình tĩnh.
Lynis cung cấp các plugin để nâng cao hơn nữa quy trình kiểm tra. Ví dụ: plugin Tường lửa cung cấp các dịch vụ dành riêng cho tường lửa. Các plugin này bao gồm một hoặc nhiều bài kiểm tra, một số trong đó phải trả phí và chỉ khả dụng với phiên bản doanh nghiệp của Lynis.
Như đã đề cập trong bài kiểm tra, bài kiểm tra này sẽ kiểm tra các tiện ích hệ thống cần thiết cho các bài kiểm tra Debian. Ví dụ: bản quét ở trên báo cáo rằng 'libpam-tmpdir' chưa được cài đặt. Khi chúng tôi cài đặt gói này, thông báo tương ứng sẽ thay đổi từ 'Chưa cài đặt' thành 'Đã cài đặt và bật' như hiển thị bên dưới:
Phần này cung cấp thông tin về loại trình quản lý dịch vụ (systemd trong trường hợp này), dịch vụ đang chạy và dịch vụ hỗ trợ khởi động, v.v. Quan trọng nhất là nó dán nhãn các dịch vụ dựa trên mức độ bảo mật của chúng: Không an toàn, Bị phơi bày, Được bảo vệ, Trung bình.
Tại đây, Lynis thực hiện kiểm tra các tham số cụ thể của kernel như mức chạy, phiên bản kernel và loại, v.v.
Trong phần này, Lynis kiểm tra trạng thái của các quy trình, tức là chúng đã chết hay đang ở trạng thái chờ.
Theo một mô hình tương tự, Lynis kiểm tra các phần khác nhau của hệ thống như dịch vụ, phần mềm, mạng, cơ sở dữ liệu, v.v. Việc mô tả từng bước sẽ là một nhiệm vụ rất dài. Nhìn chung, nó tạo ra các đề xuất và cảnh báo cho mọi phần mà nó kiểm tra. Việc khắc phục các cảnh báo này và áp dụng các đề xuất tiếp theo giúp chúng tôi củng cố thêm hệ thống của mình. Bây giờ chúng ta sẽ tập trung vào việc thiết lập một số gợi ý.
Nó cho thấy có tổng cộng khoảng 46 gợi ý và 1 cảnh báo. Nó cũng mô tả gợi ý đầu tiên để cài đặt gói apt-listchanges và bên dưới có liên kết đến phần 'Điều khiển' của trang web CISOfy. Chúng ta hãy thử áp dụng một số gợi ý sau:
Lynis đang báo cáo rằng không có trình quét phần mềm độc hại nào được cài đặt trên hệ thống của chúng tôi. Nó cũng đưa ra ví dụ về các công cụ như rkhunter, chkrootkit và OSSEC. Hãy cài đặt rkhunter trên Kali Linux của chúng tôi:
Phát hiện này gợi ý cài đặt mô-đun PAM để cho phép kiểm tra độ mạnh của mật khẩu. Đối với các hệ thống dựa trên debian, gói 'libpam-cracklib' được sử dụng cho mục đích này. Cài đặt công cụ này bằng:
Chúng ta hãy cài đặt tất cả các gói trên và chạy lại bản kiểm tra Lynis để xem có bất kỳ sự giảm sút nào về số lượng đề xuất không:
Sau khi các gói này được cài đặt, hãy chạy lại kiểm tra:
Lần này chúng ta có thể thấy số lượng đề xuất đã giảm xuống còn 44. Chỉ số tăng cường bảo mật cũng tăng từ 62 lên 65. Lưu ý rằng khi chúng ta cài đặt các plugin mới (phiên bản Lynis Enterprise) hoặc khắc phục một số sự cố bằng cách cài đặt các gói mới, thời gian kiểm tra có thể tăng lên, đây là những gì đã xảy ra trong trường hợp này. Bạn càng giải quyết các sự cố và áp dụng các đề xuất thì quá trình kiểm tra của bạn càng trở nên toàn diện và hệ thống của bạn càng được tăng cường bảo mật hơn.
Lưu ý: Trong khi khám phá một đề xuất hoặc cảnh báo, lệnh 'show details' có thể được sử dụng để xem mô tả đầy đủ bằng cách sử dụng 'test-id'. Ví dụ: để khám phá ‘KRNL-5830’ hãy sử dụng lệnh:
Ngoài ra, bạn có thể sử dụng liên kết bên dưới mỗi test-id để xem mô tả của chúng từ các trang web CISOfy.
Chúng ta sẽ khám phá điều gì ở đây?
Trong hướng dẫn này, chúng ta sẽ cố gắng khám phá báo cáo kiểm tra Lynis và tìm hiểu cách áp dụng một số cải cách mà báo cáo gợi ý. Bây giờ chúng ta hãy bắt đầu với hướng dẫn này.Hiểu về Báo cáo kiểm tra Lynis
Bài đăng quét lynis đã cung cấp cho chúng ta bản tóm tắt khổng lồ về các thử nghiệm đã thực hiện. Để hưởng lợi từ những kết quả này, điều quan trọng là phải hiểu chúng và áp dụng các hành động bổ sung cụ thể. Trước tiên, chúng tôi sẽ tóm tắt ngắn gọn về một số phần của bản kiểm tra và sau đó chuyển sang các phần gợi ý. Theo cách này, chúng ta sẽ có ý tưởng về ý nghĩa của từng bài kiểm tra cụ thể và cách áp dụng các đề xuất.1. Khởi tạo chương trình
Trong giai đoạn khởi tạo, Lynis thực hiện thao tác kiểm tra cơ bản như phát hiện loại hệ điều hành, phiên bản hạt nhân, kiến trúc CPU, phiên bản Lynis đã cài đặt, tên kiểm toán viên, kiểm tra bản cập nhật Lynis khả dụng, v.v. Nhìn chung, giai đoạn này chỉ cung cấp thông tin hệ thống và chương trình tĩnh.
2. Plugin
Lynis cung cấp các plugin để nâng cao hơn nữa quy trình kiểm tra. Ví dụ: plugin Tường lửa cung cấp các dịch vụ dành riêng cho tường lửa. Các plugin này bao gồm một hoặc nhiều bài kiểm tra, một số trong đó phải trả phí và chỉ khả dụng với phiên bản doanh nghiệp của Lynis.
3. Kiểm tra Debian
Như đã đề cập trong bài kiểm tra, bài kiểm tra này sẽ kiểm tra các tiện ích hệ thống cần thiết cho các bài kiểm tra Debian. Ví dụ: bản quét ở trên báo cáo rằng 'libpam-tmpdir' chưa được cài đặt. Khi chúng tôi cài đặt gói này, thông báo tương ứng sẽ thay đổi từ 'Chưa cài đặt' thành 'Đã cài đặt và bật' như hiển thị bên dưới:
4. Khởi động và Dịch vụ
Phần này cung cấp thông tin về loại trình quản lý dịch vụ (systemd trong trường hợp này), dịch vụ đang chạy và dịch vụ hỗ trợ khởi động, v.v. Quan trọng nhất là nó dán nhãn các dịch vụ dựa trên mức độ bảo mật của chúng: Không an toàn, Bị phơi bày, Được bảo vệ, Trung bình.
5. Kernel
Tại đây, Lynis thực hiện kiểm tra các tham số cụ thể của kernel như mức chạy, phiên bản kernel và loại, v.v.
6. Bộ nhớ và quy trình
Trong phần này, Lynis kiểm tra trạng thái của các quy trình, tức là chúng đã chết hay đang ở trạng thái chờ.
Theo một mô hình tương tự, Lynis kiểm tra các phần khác nhau của hệ thống như dịch vụ, phần mềm, mạng, cơ sở dữ liệu, v.v. Việc mô tả từng bước sẽ là một nhiệm vụ rất dài. Nhìn chung, nó tạo ra các đề xuất và cảnh báo cho mọi phần mà nó kiểm tra. Việc khắc phục các cảnh báo này và áp dụng các đề xuất tiếp theo giúp chúng tôi củng cố thêm hệ thống của mình. Bây giờ chúng ta sẽ tập trung vào việc thiết lập một số gợi ý.
Sửa lỗi…
Như đã đề cập ở phần trước, Lynis điền kết quả quét vào thiết bị đầu cuối, nó cũng tạo tệp nhật ký (lynis.log) và tệp báo cáo (lynis-report.dat). Bạn có thể nhận thấy rằng mọi cảnh báo và gợi ý đều kèm theo một mô tả ngắn và liên kết đến phần 'Điều khiển' của trang web CISOfy. Ví dụ: hãy xem hình ảnh bên dưới:Nó cho thấy có tổng cộng khoảng 46 gợi ý và 1 cảnh báo. Nó cũng mô tả gợi ý đầu tiên để cài đặt gói apt-listchanges và bên dưới có liên kết đến phần 'Điều khiển' của trang web CISOfy. Chúng ta hãy thử áp dụng một số gợi ý sau:
1. Cài đặt gói apt-listchanges
Gói này so sánh phiên bản của gói đã cài đặt với gói mới có sẵn. Để cài đặt gói này, hãy sử dụng:
Mã:
$ sudo apt apt-listchanges2. Trình quét phần mềm độc hại
Lynis đang báo cáo rằng không có trình quét phần mềm độc hại nào được cài đặt trên hệ thống của chúng tôi. Nó cũng đưa ra ví dụ về các công cụ như rkhunter, chkrootkit và OSSEC. Hãy cài đặt rkhunter trên Kali Linux của chúng tôi:
Mã:
$ sudo apt install rkhunter3. Cài đặt mô-đun bảo mật PAM
Phát hiện này gợi ý cài đặt mô-đun PAM để cho phép kiểm tra độ mạnh của mật khẩu. Đối với các hệ thống dựa trên debian, gói 'libpam-cracklib' được sử dụng cho mục đích này. Cài đặt công cụ này bằng:
Mã:
$ sudo apt install libpam-cracklibSau khi các gói này được cài đặt, hãy chạy lại kiểm tra:
Mã:
$ sudo ./lynis audit systemLần này chúng ta có thể thấy số lượng đề xuất đã giảm xuống còn 44. Chỉ số tăng cường bảo mật cũng tăng từ 62 lên 65. Lưu ý rằng khi chúng ta cài đặt các plugin mới (phiên bản Lynis Enterprise) hoặc khắc phục một số sự cố bằng cách cài đặt các gói mới, thời gian kiểm tra có thể tăng lên, đây là những gì đã xảy ra trong trường hợp này. Bạn càng giải quyết các sự cố và áp dụng các đề xuất thì quá trình kiểm tra của bạn càng trở nên toàn diện và hệ thống của bạn càng được tăng cường bảo mật hơn.
Lưu ý: Trong khi khám phá một đề xuất hoặc cảnh báo, lệnh 'show details' có thể được sử dụng để xem mô tả đầy đủ bằng cách sử dụng 'test-id'. Ví dụ: để khám phá ‘KRNL-5830’ hãy sử dụng lệnh:
Mã:
sudo lynis show details KRNL-5830