Como auditar a segurança do seu sistema Linux com o Lynis

Um prompt de terminal em um sistema Linux.
Fatmawati Achmad Zaenuri / Shutterstock

Se você realizar uma auditoria de segurança em seu computador Linux com o Lynis, isso garantirá que sua máquina esteja o mais protegida possível. Segurança é tudo para dispositivos conectados à Internet, então veja como garantir que os seus estejam bloqueados com segurança.

Quão seguro é o seu computador Linux?

Lynis executa um conjunto de testes automatizados que inspecionam completamente muitos componentes do sistema e configurações do seu sistema operacional Linux. Ele apresenta suas descobertas em um relatório ASCII codificado por cores como uma lista de advertências, sugestões e ações que devem ser tomadas.

A segurança cibernética é um ato de equilíbrio. A paranóia absoluta não é útil para ninguém, então o quanto você deveria se preocupar? Se você apenas visita sites confiáveis, não abre anexos ou segue links em e-mails não solicitados e usa senhas diferentes e robustas para todos os sistemas nos quais você faz login, qual o perigo que permanece? Especialmente quando você está usando Linux?

Vamos tratar disso ao contrário. O Linux não está imune a malware. Na verdade, o primeiro worm de computador  foi projetado para ter como alvo computadores Unix em 1988. Os rootkits foram nomeados em homenagem ao superusuário Unix (root) e à coleção de softwares (kits) com os quais eles se instalam para evitar a detecção. Isso dá ao superusuário acesso ao ator da ameaça (ou seja, o bandido).

Por que eles têm o nome de raiz? Porque o primeiro rootkit foi lançado em 1990 e direcionado à Sun Microsystems  executando o SunOS Unix.

Portanto, o malware começou no Unix. Ele pulou a cerca quando o Windows decolou e monopolizou os holofotes. Mas agora que o Linux comanda o mundo , ele está de volta. Linux e sistemas operacionais semelhantes ao Unix, como o macOS, estão recebendo toda a atenção dos agentes de ameaças.

Que perigo permanece se você for cuidadoso, sensato e atento ao usar o computador? A resposta é longa e detalhada. Para condensar um pouco, os ataques cibernéticos são muitos e variados. Eles são capazes de fazer coisas que, até pouco tempo atrás, eram consideradas impossíveis.

Rootkits, como  Ryuk , podem infectar computadores quando são desligados, comprometendo as funções de monitoramento de wake-on-LAN . Código de prova de conceito  também foi desenvolvido. Um “ataque” bem-sucedido foi demonstrado por pesquisadores da Universidade Ben-Gurion de Negev,  que permitiria que os agentes de ameaça exfiltrassem dados de um  computador com air-gap .

É impossível prever do que as ameaças cibernéticas serão capazes no futuro. No entanto, sabemos quais pontos nas defesas de um computador são vulneráveis. Independentemente da natureza dos ataques presentes ou futuros, só faz sentido preencher essas lacunas com antecedência.

Recomendado:  You Can Search Through a User’s Tweets on Twitter for iPhone

Do número total de ataques cibernéticos, apenas uma pequena porcentagem é direcionada conscientemente a organizações ou indivíduos específicos. A maioria das ameaças é indiscriminada porque o malware não se importa com quem você é. A varredura automatizada de portas e outras técnicas apenas procuram sistemas vulneráveis ​​e os atacam. Você se autodenomina vítima por ser vulnerável.

E é aí que entra Lynis.

Instalando Lynis

Para instalar o Lynis no Ubuntu, execute o seguinte comando:

sudo apt-get install lynis

sudo apt-get install lynis em uma janela de terminal.

No Fedora, digite:

sudo dnf install lynis

sudo dnf instale o lynis em uma janela de terminal.

No Manjaro, você usa pacman:

sudo pacman -Sy lynis

sudo pacman -Sy lynis em uma janela de terminal.

Realizando uma auditoria

Lynis é baseado em terminal, então não há GUI. Para iniciar uma auditoria, abra uma janela de terminal. Clique e arraste-o para a borda do monitor para ajustá-lo à altura total ou estique-o o máximo que puder. Há muitas saídas do Lynis, portanto, quanto mais alta for a janela do terminal, mais fácil será revisar.

Também é mais conveniente se você abrir uma janela de terminal especificamente para Lynis. Você vai rolar muito para cima e para baixo, portanto, não ter que lidar com a confusão de comandos anteriores tornará a navegação na saída do Lynis mais fácil.

Para iniciar a auditoria, digite este comando simples e refrescante:

sistema de auditoria sudo lynis

sistema de auditoria sudo lynis em uma janela de terminal.

Nomes de categorias, títulos de teste e resultados irão rolar na janela do terminal conforme cada categoria de testes é concluída. Uma auditoria leva apenas alguns minutos, no máximo. Quando terminar, você retornará ao prompt de comando. Para revisar as descobertas, basta rolar a janela do terminal.

A primeira seção da auditoria detecta a versão do Linux, lançamento do kernel e outros detalhes do sistema.

Seção de detecção do sistema de um relatório de auditoria Lynis em uma janela de terminal.

As áreas que precisam ser examinadas são destacadas em âmbar (sugestões) e vermelho (avisos que devem ser tratados).

Abaixo está um exemplo de um aviso. Lynis analisou postfix  configuração do servidor de e-mail e sinalizou algo a ver com o banner. Podemos obter mais detalhes sobre o que exatamente foi encontrado e por que isso pode ser um problema mais tarde.

A categoria de email e mensagem resulta em um relatório de auditoria do Lynis em uma janela de terminal.

Abaixo, Lynis nos avisa que o firewall não está configurado na máquina virtual Ubuntu que estamos usando.

A categoria Firewalls resulta em um relatório de auditoria do Lynis em uma janela de terminal.

Percorra seus resultados para ver o que Lynis sinalizou. Na parte inferior do relatório de auditoria, você verá uma tela de resumo.

Tela de resumo do relatório de auditoria do Lynis em uma janela de terminal.

O “Índice de Endurecimento” é a sua pontuação no exame. Conseguimos 56 de 100, o que não é ótimo. Foram 222 testes realizados e um plugin do Lynis está habilitado. Se você acessar a página de download do plug-in Lynis Community Edition e assinar o boletim informativo, obterá links para mais plug-ins.

Recomendado:  Os melhores reprodutores de MP3 de 2023

Existem muitos plug-ins, incluindo alguns para auditoria em relação a padrões, como GDPR , ISO27001 e PCI-DSS .

Um V verde representa uma marca de seleção. Você também pode ver pontos de interrogação âmbar e X vermelhos.

Temos marcas de seleção verdes porque temos um firewall e scanner de malware. Para fins de teste, também instalamos o rkhunter , um detector de rootkit, para ver se Lynis o descobriria. Como você pode ver acima, sim; temos uma marca de seleção verde ao lado de “Malware Scanner”.

O status de conformidade é desconhecido porque a auditoria não usou um plugin de conformidade. Os módulos de segurança e vulnerabilidade foram usados ​​neste teste.

Dois arquivos são gerados: um arquivo de log e de dados. O arquivo de dados, localizado em “/var/log/lynis-report.dat”, é o que nos interessa. Ele conterá uma cópia dos resultados (sem o destaque de cor) que podemos ver na janela do terminal . Eles são úteis para ver como o índice de endurecimento melhora com o tempo.

Se você rolar para trás na janela do terminal, verá uma lista de sugestões e outra de avisos. Os avisos são os itens “importantes”, então vamos dar uma olhada neles.

Uma seção de avisos em um relatório de auditoria Lynis em uma janela de terminal.

Estes são os cinco avisos:

  • “A versão do Lynis é muito antiga e deve ser atualizada”:  Esta é na verdade a versão mais recente do Lynis nos repositórios do Ubuntu. Embora tenha apenas 4 meses, Lynis considera isso muito antigo. As versões dos pacotes Manjaro e Fedora eram mais recentes. As atualizações nos gerenciadores de pacotes sempre estão um pouco atrasadas. Se você realmente deseja a versão mais recente, pode  clonar o projeto do GitHub  e mantê-lo sincronizado.
  • “Nenhuma senha definida para modo único”:  Único é um modo de recuperação e manutenção em que apenas o usuário root está operacional. Nenhuma senha é definida para este modo por padrão.
  • “Não foi possível encontrar 2 nameservers responsivos”:  Lynis tentou se comunicar com dois servidores DNS , mas não teve sucesso. Este é um aviso de que se o servidor DNS atual falhar, não haverá transferência automática para outro.
  • “Encontrei alguma divulgação de informações no banner SMTP”: a  divulgação de informações acontece quando aplicativos ou equipamentos de rede revelam seus números de marca e modelo (ou outras informações) em respostas padrão. Isso pode fornecer aos agentes de ameaças ou percepção automatizada de malware sobre os tipos de vulnerabilidade a serem verificados. Depois de identificarem o software ou dispositivo ao qual se conectaram, uma pesquisa simples encontrará as vulnerabilidades que eles podem tentar explorar.
  • “Módulo (s) iptables carregado (s), mas nenhuma regra ativa”:  O firewall Linux está instalado e funcionando, mas não há regras definidas para ele.
Recomendado:  Como ver todos os estilos de parágrafo usados ​​em seu documento do Word

Limpando Avisos

Cada aviso possui um link para uma página da web que descreve o problema e o que você pode fazer para corrigi-lo. Basta passar o ponteiro do mouse sobre um dos links e, em seguida, pressionar Ctrl e clicar nele. Seu navegador padrão será aberto na página da web para essa mensagem ou aviso.

A página abaixo se abriu para nós quando Ctrl + clicamos no link do quarto aviso que abordamos na seção anterior.

Uma página da web de aviso de auditoria do Lynis.

Você pode revisar cada um deles e decidir quais avisos abordar.

A página da web acima explica que o snippet de informação padrão (o “banner”) enviado para um sistema remoto quando ele se conecta ao servidor de correio postfix configurado em nosso computador Ubuntu é muito prolixo. Não há vantagem em oferecer muitas informações – na verdade, elas costumam ser usadas contra você.

A página da web também nos diz que o banner está em “/etc/postfix/main.cf.” Ele nos avisa que deve ser cortado para mostrar apenas “$ myhostname ESMTP”.

Nós digitamos o seguinte para editar o arquivo como Lynis recomenda:

sudo gedit /etc/postfix/main.cf

sudo gedit /etc/postfix/main.cf em uma janela de terminal.

Localizamos a linha no arquivo que define o banner.

Postfix arquivo main.cf em um editor gedit com a linha smtp_banner destacada.

Nós o editamos para mostrar apenas o texto recomendado por Lynis.

Postfix arquivo main.cf em um editor gedit com a linha smtp_banner editada destacada.

Nós salvamos nossas alterações e fechamos gedit. Agora precisamos reiniciar o postfixservidor de e-mail para que as alterações tenham efeito:

sudo systemctl restart postfix

sistema de auditoria sudo lynis em uma janela de terminal.

Agora, vamos executar o Lynis mais uma vez e ver se nossas alterações surtiram efeito.

sistema de auditoria sudo lynis em uma janela de terminal.

A seção “Avisos” agora mostra apenas quatro. Aquele a que se refere postfix se foi.

seção de avisos de um relatório de auditoria Lynis, em uma janela de terminal.

Um já foi, e apenas mais quatro avisos e 50 sugestões para terminar!

Quão longe você deve ir?

Se você nunca fez qualquer proteção do sistema em seu computador, provavelmente terá aproximadamente o mesmo número de avisos e sugestões. Você deve revisar todos eles e, guiado pelas páginas da Web do Lynis para cada um, fazer uma avaliação sobre se deve abordá-los.

O método dos livros didáticos, é claro, seria tentar eliminá-los todos. Isso pode ser mais fácil dizer do que fazer, no entanto. Além disso, algumas das sugestões podem ser exageradas para o computador doméstico comum.

Blacklist os drivers do kernel USB para desativar o acesso USB quando você não estiver usando? Para um computador de missão crítica que fornece um serviço comercial confidencial, isso pode ser necessário. Mas para um PC doméstico com Ubuntu? Provavelmente não.