Lynis

Teoriaa

Mikä on Lynis?

Lynis on avoimen lähdekoodin tietoturva-auditointityökalu Linux- ja Unix-järjestelmille. Sen tarkoituksena on suorittaa järjestelmän tarkastuksia ja antaa raportteja mahdollisista tietoturvariskeistä sekä noudattamattomista parhaista käytännöistä. Lynis voi auttaa järjestelmänvalvojia ja tietoturva-asiantuntijoita tunnistamaan ja korjaamaan haavoittuvuuksia, parantamaan tietoturvaa ja noudattamaan parhaita käytäntöjä.

Lyniksen tärkeimmät ominaisuudet

Järjestelmän tarkastus: Lynis suorittaa laajan järjestelmätarkastuksen, joka kattaa monia eri osa-alueita, kuten käyttöjärjestelmän asetukset, verkon asetukset, tiedostojärjestelmät, palvelut ja prosessit.

Säädettävyys: Käyttäjät voivat muokata Lyniksen asetuksia ja konfigurointia vastaamaan organisaation tietoturvakäytäntöjä. Tämä mahdollistaa tarkastusten mukauttamisen erityistarpeisiin.

Raportointi: Lynis tuottaa kattavat raportit tarkastustuloksista, jotka sisältävät havaitut riskit, huomiot ja mahdolliset parannusehdotukset. Raportit voidaan tallentaa eri muodoissa, kuten teksti- tai HTML-muodossa.

Jatkuva valvonta: Lynis voi toimia jatkuvana valvontatyökaluna, joka tarkkailee järjestelmää ajan mittaan ja antaa ilmoituksia mahdollisista tietoturvaongelmista.

Parannusehdotukset: Lynis antaa konkreettisia parannusehdotuksia ja toimenpidesuosituksia havaittujen tietoturvariskien korjaamiseksi.

Yhteensopivuus ja tuki: Lynis tukee useita Linux- ja Unix-pohjaisia käyttöjärjestelmiä, kuten Debian, Ubuntu, Red Hat, CentOS, FreeBSD ja Solaris. Se on laajalti käytetty tietoturvatyökalu yhteisöissä ja ammattimaisissa ympäristöissä.

Harjoitus

Suoritetaan seuraavaksi harjoitus, jossa ladataan Lynis-ohjelma ja ajetaan tämä meidän Kali-koneelle. Katsotaan sitten, mitä kovennuksia meidän kannattaisi tämän mukaan tehdä ja katsotaan miten nämä vaikuttavat Lyniksen antamaan arvioon. Käynnistä alla oleva harjoitus ja toista perässä.

Lyniksen lataaminen ja ajaminen

Ajetaan seuraavat komennot ja Lynis lähtee käyntiin.

 git clone https://github.com/CISOfy/lynis
 cd lynis && ./lynis audit system

Kun Lynis on ajanut, se antaa meille pisteen, jota kutsutaan Hardening index. Tämä antaa meille indikaation siitä, onko järjestelmää esimerkiksi kovennettu ollenkaan.

Lynis antaa meille myös paljon suosituksia, miten voimme parantaa järjestelmän tietoturvaa.

Yksi näistä suosituksista on antivirus-ohjelman asentaminen. Asennetaan yksi näistä ja katsotaan, miten tämä vaikuttaa pisteisiimme.

Asensimme rkhunter-ohjelmiston ja ajoimme uudestaan Lynis-tarkistuksen.

Toki näissä on aina pidettävä mielessä, että on meidän vastuulla ymmärtää miten näitä ohjelmia ja kovennuksia käytetään parhaalla tavalla, eikä esimerkiksi pelkän antivirus-ohjelman kuten clamav tai rkhunterin riitä, vaan sitä pitää myös käyttää oikein. Lynis kertoo meille, että tämä ei vaikuttanut pisteisiimme ja tämä johtuukin nimenomaan siitä, että meillä ei ole aktiivista tarkastusta, eikä kyseinen työkalu välttämättä sitä edes huomaisi vaikka olisi.

Otetaan seuraava mielenkiintoinen suositus, eli debsums-ohjelman asennus.

Nopea googlaus kertoo meille, mitä kyseinen ohjelma tekee:

debsums can verify the integrity of installed package files against MD5 checksums installed by the package, or generated from a .deb archive.

Eli käytännössä ohjelma tarkistaa, että asennetut paketit vastaavat aitoja paketteja, eikä niissä ole tapahtunut muutoksia. Asennetaan työkalu ja ajetaan Lynis uudestaan.

Pisteemme kasvoi 2 pisteellä. Voit nyt jatkaa ja kokeilla halutessasi, kuinka korkeaksi kykenet saamaan pisteet harjoituslabrassa. Hyvä pitää mielessä, että labraympäristössä on rajallisesti asioita, joita tälle voi tehdä eivätkä kaikki kovennukset ole välttämättä mahdollisia.

Löydät myös lisää tietoa havainnoista ja tuloksista /var/log/lynis* tiedostoista.

Kysymyksiä