Регулярная проверка своих устройств или корпоративной инфраструктуры является неотъемлемой частью в обеспечении их безопасности. Такой процесс называют аудитом, когда необходимо по соответствующим критериям оценить, то насколько совпадает защищенность устройства заявленным требованиям.
Чтобы не оценивать вручную каждую машину был разработан скрипт, который позволяет автоматизировать проверку ОС. В данном материале рассмотрим одну из таких утилит, которая позволит за несколько минут оценить защищенность устройства и дать оценку.
Что такое Lynis?
Lynis это утилита аудита или соответствия критериям безопасности ОС, которую можно представить, как сканер системы. Ее задача определить, что за ОС передней и провести в соответствии с профилем сканирование, а после чего выдать оценку насколько защищено устройство.
На текущий момент утилита является Open-Source решением, существует ее аналогичная коммерческая версия с большим пулом возможностей.
Данное решение находится практически во всех репозиториях популярных дистрибутивов Linux, поэтому скачивание не должно вызвать проблем. Для этого будем использовать любой пакетный менеджер:
Синтаксис достаточно прост, необходимо указать команду для запуска утилиты lynis, дополнительные суб-команды и опции к ней:
Данная команда позволяет просмотреть список доступных суб-команд, которые можно выполнить:
- audit представляет собой непосредственно модуль для сканирования системы, а так же воркеров виртуальных сред, точнее Dockerfile.
- configuration команда позволяет настроить тесты и режимы, которые будут использоваться, при сканировании профиля;
- generate позволяет сгенерировать конфиги для поднятия службы в виде lynis, который периодически будет проводить тест системы;
- show команда позволяет просмотреть навигацию по утилите, а так же краткие сведения об устройстве;
- update команда позволит проверить ПО на наличие новых версий и в случае устаревания текущей отметит это.
Для базовой проверки достаточно набора тестов и профилей, по умолчанию. Основное отличие от типовых сканеров заключается, в том что Lynis сначала определяет какое ПО на текущий момент работает, на какой ОС и т.д. А только потом начинает сканирование модулями, относящимися к выявленному ПО.
Аудит утилитой Lynis
Чтобы провести базовую проверку по в заранее подготовленным модулям необходимо прописать команду:
После проверки ОС инициализируются профили, а так же выводится доп.информация, о том где искать результаты сканирования. А так же из какой директории подтянуться плагины. После этого следует детальнейший отчет, для того чтобы запустить его в фоне можно использовать опцию -q:
Или если такого отчета недостаточно, то более подробный через опцию –verbose:
В отчете будут представлены основные категории связанные с ПО, файловой системой, оболочками и т.д. По каждому из будет расписан критерий опроса:
Зеленым указаны требования, которые совпали с настройками на машине. Желтые подразумевают изменения для повышения уровня безопасности, которые будут предложены ниже. А красные полное не соответствие, которое необходимо устранить. Так же можно провести сканирование в режиме pentest и forensics, соответствующими опциями:
В результатах мы увидим оценку защищенности нашего устройства относительно best practice, которые позволят понять, какие меры нужно предпринять для защиты.
В каждой из них будет напрямую, либо с указанием на справку, где описано, как необходимо захардерить устройство. Но не все настройки могут подойти под ваши тех.процессы, к примеру, максимальное количество попыток входа упоминается от 3 до 6. Но обычно допустимым значением может быть 10 вполне, поэтому опирайтесь на данные рекомендации больше, как подсказку. Отдельно будут выделены критические проблемы:
В данном контексте, наружу торчит баннер почтовика, который выдает версию либо ОС, либо самого ПО и позволяет нарушителю попробовать поискать эксплойт на него. А так же представлено парочку уязвимых пакетов, которые можно найти по отчету и запатчить.
При нехватке собственных мощностей можно воспользоваться облачными серверами от Serverspace, для этого перейдем к созданию сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать:
После чего можно подключиться к серверу через протоколы удаленного управления к примеру SSH и работать с машиной!