Lynis: Sistema de auditoria e segurança para Linux

Nesse artigo usarei o Lynis para mostrar como podemos gerar relatórios de auditoria de segurança em sistemas Linux.

[ Hits: 30.428 ]

Por: Cristian Alexandre Castaldi em 11/09/2008


Introdução



O Lynis é uma ferramenta desenvolvida para realizar testes de auditoria de sistemas baseados em Unix. Suas principais características são:
  • Checagem e auditoria da segurança do sistema;
  • Avaliação da integridade dos arquivos;
  • Sistema e arquivo forense;
  • Serviço de relatórios e monitoramentos;
  • Extensão para recursos de debug.

Para usar o Lynis você deve logar-se como usuário root ou equivalente (su para root ou usando sudo).

Instalação do Lynis

Baixe a última versão do Lynis no endereço abaixo. A versão que estamos usando neste artigo é a 1.2.1.
Descompacte o arquivo:

# tar -zxvf lynis-1.2.1.tar.gz

Usando o Lynis

Entre no diretório que foi criado e execute o Lynis:

# cd lynis-1.2.1
# sh lynis


Ou:

# ./lynis

[ Lynis 1.2.1 ]

Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
welcome to redistribute it under the terms of the GNU General Public License.
See LICENSE file for details about using this software.

Copyright 2007-2008 - Michael Boelen, http://www.rootkit.nl/

[+] Initializing program
------------------------------------
  Valid parameters:
    --auditor ""        : Auditor name
    --check-all (-c)          : Check system
    --check-update            : Check for updates
    --no-colors               : Don't use colors in output
    --no-log                  : Don't create a log file
    --profile        : Scan the system with the given profile file
    --quick (-Q)              : Quick mode, don't wait for user input
    --quiet (-q)              : No output, except warnings
    --reverse-colors          : Optimize color display for light backgrounds
    --tests ""         : Run only tests defined by
    --view-manpage (--man)    : View man page
    --version (-V)            : Display version number and quit

  Error: No parameters specified!
  See man page and documentation for all available options.

Observe que foi gerado um menu com várias opções e que podemos gerar nosso relatório de auditoria de algumas maneiras.

Vamos fazer uma checagem completa com o nome de quem fez a auditoria, observe:

# sh lynis --auditor "Cristian" -c

[+] Initializing program
--------------------------
  - Detecting OS...                                       [ DONE ]
  - Clearing log file (/var/log/lynis.log)...       [ DONE ]

  ---------------------
  Program version:           1.2.1
  Operating system:          Linux
  Operating system version:  2.6.18-4-486
  Kernel version:            2.6.18-4-486
  Hardware platform:         i686
  Hostname:                  debiandns
  Auditor:                   Cristian
  Profile:                   ./default.prf
  Log file:                  /var/log/lynis.log
  Report file:               /var/log/lynis-report.dat
  Report version:            1.0
  ---------------------

Pressione [ENTER] para continuar

[+] Boot and services
--------------------------
  - Checking boot loaders
    - Checking presence GRUB...                                [ OK ]
      - Checking for password protection...                  [ WARNING ]
    - Checking presence LILO...                                 [ NOT FOUND ]
    - Checking presence YABOOT...                            [ NOT FOUND ]

Observe que agora o Lynis está me informando que o meu gerenciador de boot ó GRUB e que o mesmo está sem a proteção de senha, ou seja, uma falha de segurança detectada.

[+] Users, Groups and Authentication
------------------------------------
  - Search administrator accounts...                          [ OK ]
  - Test group files (grpck)...                                    [ OK ]
  - Checking non unique group ID's...                       [ OK ]
  - Checking non unique group names...                   [ OK ]
  - Query system users (non daemons)...
  - Checking LDAP authentication support                [ NOT ENABLED ]
  - Checking NIS+ authentication support                [ NOT ENABLED ]
  - Checking NIS authentication support                  [ NOT ENABLED ]
  - Check sudoers file                                            [ NOT FOUND ]
  - Checking PAM password strength tools               [ SUGGESTION ]
  - Checking accounts without expire date               [ SUGGESTION ]

Na checagem de autenticação de grupos e usuários o Lynis sugere que eu utilize o PAM para aumentar o controle de autenticação no sistema, além de utilizar contas com expiração por data, pois o mesmo verificou que as contas do sistema nunca expiram.

Ao final da checagem será gerado um relatório de análise de riscos com o resultado de todas as correções que devem ser feitas e o impacto de cada uma no sistema. Por exemplo, observe que no meu sistema não existe um servidor ou cliente NTP para sincronizar o tempo e que desta maneira uma pessoa mal intencionada poderia aprontar no sistema e alterar a ordem cronológica dos fatos para se eximir de qualquer eventualidade que ocorresse em determinado tempo.

  -[ Lynis 1.2.1 Results ]-

  Tests performed: 65
  Warnings:
  ----------------------------
   - [15:11:07] Warning: No password set on GRUB bootloader [test:BOOT-5121] [impact:M]
   - [15:26:14] Warning: Nameserver 192.168.223.5 does not respond [test:NETW-2704] [impact:L]
   - [15:26:17] Warning: Nameserver 0.0.0.0 does not respond [test:NETW-2704] [impact:L]
   - [15:26:18] Warning: Couldn't find 2 responsive nameservers [test:NETW-2705] [impact:L]
   - [15:26:39] Warning: iptables module(s) loaded, but no rules active [test:FIRE-4512] [impact:L]
   - [15:27:31] Warning: No NTP daemon or client found [test:TIME-3104] [impact:M]

  Files:
  - Test and debug information      : /var/log/lynis.log.
  - Report data                     : /var/log/lynis-report.dat.

lynis: line 549: [: too many arguments
  Lynis 1.2.1
  Copyright 2007-2008 - Michael Boelen, http://www.rootkit.nl/

    Próxima página

Páginas do artigo
   1. Introdução
   2. Analisando os arquivos de log do Lynis
   3. Conclusão
Outros artigos deste autor

Usando partições e sistemas de arquivos

Criando, monitorando e terminando processos

Instalando e configurando o servidor Samba

Servidor CVS: Instalando, configurando e gerenciando no Linux

Trabalhando com coringas, filtros e expressões regulares no shell

Leitura recomendada

Cheops: uma ótima ferramenta de rede

Identificando dispositivos IoT usando Wireshark e criando uma estratégia interessante de visibilidade em Linux e Unix

Traduzindo plugins do OpenVAS/Nessus para português

Auditando senhas com John The Ripper

SDI (IDS) com o SNORT, MySQL, PHP e BASE em 15 minutos

  
Comentários
[1] Comentário enviado por removido em 11/09/2008 - 20:31h

Ô Crildo-banguela! O moço voltou e está arrebentando a boca do balão...
E este sorriso "cougati" tá gg: joinha, joinha...
;-)
rs...rs...

[2] Comentário enviado por cleysinhonv em 11/09/2008 - 20:53h

Boa está ferramenta, vou agora instala-la e testar para ver o que da aqui...

valeu crildo

[3] Comentário enviado por nariz em 11/09/2008 - 22:16h

hmm
boa ferramenta, instalar e testar
vlw

[4] Comentário enviado por crildo em 11/09/2008 - 23:11h

Valeu galera!!

Estou aproveitando que agora deu uma aliviada aqui no trampo para escrever alguns artigos... acvsilva eu fui no dentista e ele queria me cobrar os olhos da cara, então resolvi deixar os meus dois pontas e o centroavante hahahaha...

[5] Comentário enviado por grandmaster em 12/09/2008 - 21:31h

Realmente boa ferramenta

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[6] Comentário enviado por marcelovegano em 30/09/2008 - 20:01h

Valeu pelo esforço!!!!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts