Pentru a garanta o protecție maximă a computerului tău Linux, este esențial să efectuezi un audit de securitate cu ajutorul Lynis. Securitatea este primordială pentru dispozitivele conectate la internet, așadar, iată cum poți consolida securitatea echipamentelor tale.
Cât de bine este securizat sistemul tău Linux?
Lynis rulează o serie de teste automate, analizând în profunzime diverse aspecte și setări ale sistemului tău de operare Linux. Rezultatele sunt prezentate sub forma unui raport ASCII, codificat colorat, care include o listă de avertismente, sugestii și acțiuni recomandate.
Securitatea cibernetică presupune un echilibru delicat. Paranoia excesivă nu este benefică, așa că, cât de mult ar trebui să îți faci griji? Dacă frecventezi doar site-uri web de încredere, eviți deschiderea atașamentelor sau accesarea linkurilor din e-mailuri suspecte și folosești parole unice și puternice pentru toate conturile tale, cât de mare mai este riscul, mai ales când utilizezi Linux?
Să analizăm situația invers. Linux nu este imun la amenințările cibernetice. De fapt, primul vierme informatic a vizat computerele Unix în 1988. Rootkit-urile, denumite după superutilizatorul Unix (root) și setul de software cu care se instalează pentru a evita detectarea, oferă infractorilor acces neautorizat la sistem.
De ce poartă numele de root? Deoarece primul rootkit, lansat în 1990, a avut ca țintă sistemele Sun Microsystems care rulau SunOS, o versiune Unix.
Așadar, malware-ul a apărut inițial pe Unix, dar a migrat ulterior odată cu popularizarea Windows. Acum, odată cu ascensiunea Linux, atenția infractorilor cibernetici s-a reorientat spre sistemele de operare Linux și Unix, precum macOS.
Ce riscuri mai există dacă ești prudent și atent în utilizarea computerului? Răspunsul este complex. Pe scurt, atacurile cibernetice sunt diverse și sofisticate, fiind capabile de acțiuni care, acum ceva timp, păreau imposibile.
Rootkit-uri, ca de exemplu Ryuk, pot infecta computerele chiar și atunci când sunt oprite, prin exploatarea funcțiilor wake-on-LAN. S-au dezvoltat chiar și proiecte de tip „proof of concept”. Cercetătorii de la Universitatea Ben-Gurion din Negev au demonstrat cum se poate exfiltra date dintr-un sistem izolat (air-gapped).
Este imposibil să anticipăm evoluția amenințărilor cibernetice. Totuși, cunoaștem punctele vulnerabile ale unui computer. Prin urmare, este logic să fortificăm aceste puncte slabe în avans, indiferent de natura atacurilor.
Doar un mic procent din atacurile cibernetice sunt îndreptate intenționat către organizații sau persoane specifice. Majoritatea amenințărilor sunt aleatorii, deoarece programele malware nu țin cont de identitatea victimelor. Scanarea automată a porturilor și alte tehnici caută pur și simplu sisteme vulnerabile și le atacă. Cu alte cuvinte, devii o țintă prin vulnerabilitatea ta.
Aici intervine Lynis.
Instalarea Lynis
Pentru a instala Lynis pe Ubuntu, folosește următoarea comandă:
sudo apt-get install lynis
Pe Fedora, introdu:
sudo dnf install lynis
Pe Manjaro, utilizează pacman:
sudo pacman -Sy lynis
Efectuarea unui audit
Lynis funcționează în terminal, fără interfață grafică. Pentru a iniția un audit, deschide o fereastră de terminal. Mărește dimensiunea acesteia pentru a afișa cât mai multe rezultate. Un terminal dedicat pentru Lynis este mai convenabil, evitând aglomerația cu comenzile anterioare, ceea ce facilitează navigarea prin rezultate.
Pentru a începe auditul, tastează această comandă simplă:
sudo lynis audit system
Denumirile categoriilor, titlurile testelor și rezultatele se vor derula în terminal, pe măsură ce fiecare categorie este analizată. Un audit durează câteva minute. După finalizare, vei reveni la promptul de comandă. Pentru a analiza rezultatele, derulează fereastra terminalului.
Prima secțiune identifică versiunea Linux, versiunea kernelului și alte detalii de sistem.
Aspectele care necesită atenție sunt evidențiate cu galben (sugestii) și roșu (avertismente care trebuie luate în considerare).
Următorul exemplu ilustrează un avertisment. Lynis a analizat configurația serverului de e-mail postfix și a semnalat o problemă legată de banner. Vom investiga mai târziu ce anume a identificat și de ce reprezintă o problemă.
Mai jos, Lynis ne avertizează că firewall-ul nu este configurat pe mașina virtuală Ubuntu pe care o folosim.
Parcurge rezultatele pentru a observa ce a semnalat Lynis. La finalul raportului, vei vedea un ecran rezumativ.
„Indexul de întărire” reprezintă scorul obținut. Un scor de 56 din 100 nu este ideal. S-au efectuat 222 de teste și un plugin Lynis este activ. Abonându-te la newsletter pe pagina de descărcare a pluginului Lynis Community Edition, vei primi link-uri către plugin-uri suplimentare.
Există numeroase plugin-uri, unele destinate auditării conform standardelor GDPR, ISO27001 și PCI-DSS.
Un „V” verde indică un test reușit. Poți vedea și semne de întrebare galbene și „X”-uri roșii.
Avem bife verzi pentru că avem un firewall și un scaner de malware. Am instalat rkhunter, un detector de rootkit, pentru a verifica dacă Lynis îl va detecta. După cum poți observa mai sus, acesta a fost detectat, iar lângă „Scaner malware” apare o bifă verde.
Starea de conformitate este necunoscută, deoarece auditul nu a folosit un plugin de conformitate. În cadrul acestui test s-au folosit modulele de securitate și vulnerabilitate.
Sunt generate două fișiere: un fișier jurnal și un fișier de date. Fișierul de date, localizat în „/var/log/lynis-report.dat”, este de interes pentru noi. Acesta conține o copie a rezultatelor (fără evidențierea culorilor), utile pentru monitorizarea îmbunătățirii indexului de întărire de-a lungul timpului.
Derulând înapoi în terminal, vei găsi o listă de sugestii și o listă de avertismente. Avertismentele necesită o atenție specială, așa că ne vom concentra pe acestea.
Acestea sunt cele cinci avertismente:
- „Versiunea de Lynis este foarte veche și ar trebui actualizată”: Deși aceasta este cea mai nouă versiune din arhivele Ubuntu, Lynis o consideră învechită. Pachetele Manjaro și Fedora conțin versiuni mai recente. Actualizările din managerii de pachete sunt de obicei în urma lansărilor recente. Pentru a avea cea mai nouă versiune, poți clona proiectul de pe GitHub.
- „Nicio parolă setată pentru modul unic”: Modul unic este un mod de recuperare și întreținere, unde doar utilizatorul root este activ. Implicit, nu este setată nicio parolă pentru acest mod.
- „Nu s-au putut găsi 2 servere de nume receptive”: Lynis a încercat să comunice cu două servere DNS, dar nu a reușit. Acest lucru indică faptul că, dacă serverul DNS actual cedează, nu va exista o tranziție automată la altul.
- „S-a descoperit o dezvăluire de informații în bannerul SMTP”: Dezvăluirea informațiilor se produce atunci când aplicațiile sau echipamentele de rețea expun informații despre marcă și model în răspunsurile standard. Aceste informații pot ajuta infractorii sau programele malware să identifice vulnerabilitățile existente.
- „Modulele iptables încărcate, dar nu există reguli active”: Firewall-ul Linux este activ, dar nu are reguli definite.
Rezolvarea avertismentelor
Fiecare avertisment are un link către o pagină web cu descrierea problemei și soluții. Pentru a accesa linkul, ține apăsat „Ctrl” și dă clic pe link. Browserul implicit va afișa pagina corespunzătoare.
Am accesat pagina de mai jos după ce am dat Ctrl+clic pe link-ul pentru al patrulea avertisment menționat anterior.
Analizează fiecare avertisment și decide ce măsuri să iei.
Pagina web explică faptul că informațiile implicite (bannerul) trimise către un sistem de la distanță când se conectează la serverul postfix sunt prea detaliate. Oferirea unui exces de informații poate fi dăunătoare.
Pagina web menționează că bannerul se află în „/etc/postfix/main.cf”. Recomandarea este să fie redus pentru a afișa doar „$myhostname ESMTP”.
Pentru a edita fișierul conform recomandărilor Lynis, introdu:
sudo gedit /etc/postfix/main.cf
Localizează linia care definește bannerul.
Editează linia pentru a afișa doar textul recomandat de Lynis.
Salvează modificările și închide gedit. Repornește serverul de e-mail postfix pentru ca modificările să se aplice:
sudo systemctl restart postfix
Rulează din nou Lynis pentru a observa dacă modificările au avut efect.
Secțiunea „Avertismente” afișează acum doar patru erori. Cea legată de postfix a dispărut.
Un avertisment a fost rezolvat. Mai rămân încă patru avertismente și 50 de sugestii!
Cât de departe ar trebui să mergi?
Dacă nu ai mai efectuat niciodată o fortificare a securității sistemului, probabil vei avea un număr similar de avertismente și sugestii. Analizează-le cu atenție, consultă paginile web Lynis pentru fiecare aspect și decide care dintre ele necesită acțiune.
Metoda manuală presupune încercarea de a elimina toate erorile. Dar poate fi dificil de realizat. În plus, unele sugestii ar putea fi exagerate pentru un computer obișnuit de acasă.
Dezactivarea accesului USB prin introducerea pe lista neagră a driverelor USB? Pentru un computer care oferă un serviciu critic, acest lucru ar fi necesar. Dar pentru un computer de acasă cu Ubuntu? Probabil că nu este cazul.