Questo post riguarda il controllo della sicurezza con Lynis
Introduzione
Inizialmente avevo intenzione di scrivere su come proteggere un sistema server/workstation. Tuttavia, ho cambiato idea dopo aver realizzato che esiste già questo strumento testato in battaglia chiamato lynis che fa l'auditing per noi e anche
ci fornisce suggerimenti.
Lynis è uno strumento di controllo della sicurezza per i sistemi operativi basati su Unix. In questo articolo, esaminerò la mia installazione predefinita di Debian 11 con lynis e prova a metterti al sicuro. Lynis esegue una scansione approfondita del sistema. Ciò include controlli di base come i permessi nel filesystem per eseguire anche test specifici del software e delle librerie installate su un sistema.
In questo modo, utilizza e testa solo i componenti interessati dal sistema su cui sta eseguendo la scansione. Ad esempio, per un server web includerà solo i test relativi al servizio web dopo aver eseguito il controllo generale.
Controllo di sicurezza con Lynis:installazione ed esecuzione di controlli
Lynis è un software popolare. In quanto tale, lo installiamo facilmente su vari sistemi. Su Debian, posso installarlo usando apt :
doas apt install -y lynis
Ora è il momento di provarlo. Ci vengono forniti un sacco di comandi. Possiamo leggere su di loro dalla sua pagina di manuale. Per chiedere a lynis per eseguire un controllo del sistema:
sudo lynis audit system
Ci vorrà del tempo.
Lynis assegna al nostro sistema un punteggio di 61 , il che significa che ha bisogno di un po' di lavoro. Ci ha anche fornito due file di registro da esaminare. Il lynis.log memorizza tutti i dettagli tecnici della scansione e il lynis-report.dat contiene gli avvisi e i suggerimenti da esaminare. Quindi, diamo un'occhiata ai suggerimenti che Lynis ci ha fornito. Ci saranno un sacco di suggerimenti.
Impostazione di una password per il bootloader
Uno dei suggerimenti forniti da Lynis qui è impostare una password per il bootloader. È risaputo che puoi andare al menu del tuo bootloader, modificare i parametri del kernel impostando init=/bin/bash e reimposta facilmente la tua password di root. A volte, questo può rappresentare una minaccia alla sicurezza. È possibile che si desideri garantire che nessun principal non autorizzato possa modificare i parametri di avvio. A condizione, l'impostazione di una password del bootloader non garantisce necessariamente tutto. È un livello richiesto nei molteplici livelli di sicurezza che un sistema dovrebbe avere.
Abbiamo già trattato questo argomento sul nostro blog. Tuttavia, la tecnologia si sta evolvendo rapidamente e alcuni comandi sono obsoleti. Pertanto, includerò solo le ultime tecniche qui.
Ecco come impostare una password per grub. Esegui grub-mkpasswd-pbkdf2 comando e fornire una password.
Ora copia il testo che grub dice essere la tua password e aggiungi quanto segue a /etc/grub.d/40_custom , sostituendo i valori appropriati:
set superusers="<username>"
password_pbkdf2 <username> <copied password>
Ora cambia i permessi del file di configurazione in modo che sia modificabile solo da root (doas è proprio come sudo ):
doas chmod 600 /etc/grub.d/40_custom
Rigenera i file di configurazione di grub:
doas grub-mkconfig -o /boot/grub/grub.cfg
Quindi se riavviamo il sistema e proviamo a modificare i parametri di avvio inserendo e nel menu del bootloader, GRUB ci chiederà il nome utente e la password.
La protezione di un sistema è un processo molto lungo. Ergo, ho deciso di non coprire tutti i suggerimenti che Lynis mi ha dato in questo singolo articolo. Piuttosto, sarà una specie di serie di articoli in più parti in cui esaminerò i suggerimenti forniti da lynis e procedi per proteggere ulteriormente il mio sistema. Per ora è tutto; restate sintonizzati per saperne di più!
Riferimenti
- Sito ufficiale
- Lynis – SourceForge
- Suggerimenti e trucchi per GRUB – Arch Wiki