А вы уверены в безопасности своего Линукса?

Всего один неприкрытый порт - и вы уже на прицеле у зловредного хакера, который не упустит возможности устроить вам проникновение через задний проход (т.н. backdoor). Легкомысленность в этих вопросах недопустима. Но как узнать, насколько надежно сконфигурирован ваш Линукс? Особенно, если вы не являетесь специалистом по компьютерной безопасности.

И тут на помощь приходит мощное средство для проведения security-аудита Lynis. Программа проста в использовании, но умеет то, чего от бесплатного продукта никто и не ожидал, что ранее было доступно только в серьезном профессиональном софте за многие тысячи долларов:

  • проверка системных файлов на подмену;
  • проверка загрузчика и сервисов из автозагрузки на наличие посторонних закладок;
  • проверка ядра, модулей, конфигурации на соответствие самым жестким политикам безопасности;
  • мониторинг процессов в ОЗУ и потоков ввода-вывода;
  • контроль пользовательских аккаунтов и полномочий;
  • проверка прав доступа для всех файловых систем: как локальных (Ext3/Ext4/Btrfs), так и сетевых (NFS, Samba и др);
  • контроль за USB-портами и подключенными к ним устройствами;
  • аудит установленных программных пакетов, online-проверка по базе данных уязвимостей, оперативное вмешательство;
  • проверка корректности настроек файервола (выявление малозаметных ошибок в конфигурационных файлах iptables);
  • регулярный мониторинг заданий в планировщике cron;
  • оценка уровня безопасности при использовании криптографических инструментов (например, контроль за датой действия SSL-сертификатов);
  • сканер вредоносного ПО;
  • система проверки целостности данных (помогает эффективно предотвратить несанкционированное изменение файлов).

Установив комплекс безопасности Lynis, вы перестанете бояться хакеров, а хакеры начнут бояться вас.

Установка Lynis

Установка осуществляется штатными средствами дистрибутива:

sudo apt-get install lynis

Работа с Lynis

Программа имеет текстовой интерфейс. После ее запуска, пользователь должен дождаться завершения проведения комплексной проверки, в результате которой будет создан подробный отчет о проблемных местах с советами по их устранению.

Запуск:

sudo lynis -c

Ознакомление с отчетом:

sudo nano /var/log/lynis.log
Ваша оценка: Нет Средняя оценка: 4 (4 votes)
Опубликовал pomidorium в 25 Апрель, 2013 - 00:45
  • 1198 просмотра
Комментирует Шерлок Холмс (25 Апрель, 2013 - 01:47) #41238

а не лучше отчет смотреть через less /var/log/lynis.log?

Ваша оценка: Нет
comrade
Комментирует comrade (25 Апрель, 2013 - 10:25) #41242

Опечатка!
Надо:
sudo lynis -c

А может и
sudo lynis -c -Q
Чтобы она не требовала [Enter] нажимать 30 раз, раз уж всё равно лог будем смотреть...
(Лог большой, там можно потом поискать Warning и vulnerable)

У меня вроде не нашла ничего страшного:
обнаружила, что пора пару пакетов обновить,
и что демон синхронизации времени, NTP, почему-то не был установлен.

Ваша оценка: Нет Средняя оценка: 4 (2 votes)
pomidorium
Комментирует pomidorium (25 Апрель, 2013 - 19:34) #41247

Спасибо, поправил. Можно еще в крон засунуть, лог автоматически пропускать через grep, а замечания, если найдутся, отсылать на email или в Твиттер.

Ваша оценка: Нет
Комментирует MrBison (25 Апрель, 2013 - 19:40) #41248

RT @exampleSecurity 2 vulnerable services to update on example.com: ...

Думаю, отсылать инфу об уязвимостях в соцсеть, где всё доступно всем -- не самая лучшая идея.

Ваша оценка: Нет
pomidorium
Комментирует pomidorium (25 Апрель, 2013 - 19:49) #41249

Об уязвимостях отсылать ничего и не надо. Хитрее надо быть. Например: "@Васенька, проверь имэил, там тебе по поводу администрирования системы что-то написали". И если Василий заядлый твиттераст, то ему может показаться такая форма уведомлений более удобной своей оперативностью. Я соглашусь с Вами, что отсылать сообщения вида "Чуваки, а у меня телнет не прикрыт" опрометчиво. ;)

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Комментирует Шерлок Холмс (27 Апрель, 2013 - 20:26) #41266

Сканирует сеть уже 7 часов, завило же? Алсо такие жуткие уязвимость найдены как /tmp, доступный всем для записи и ббит запуска без рута на /bin/ping. Прямо дрожь берёт.

Ваша оценка: Нет
Комментирует Шерлок Холмс (27 Апрель, 2013 - 23:00) #41269

Еще стоит пользоваться rkhunter и chkrootkit.

Ваша оценка: Нет
Комментирует MrBison (29 Апрель, 2013 - 12:41) #41277

Собственно говоря, не знаю, причём тут открытые порты. Уязвимостей такого рода уже с года эдак 2003-го не допускает ни один серьёзный разработчик.

Программа, впрочем, всё равно довольно полезная.

Ваша оценка: Нет
pomidorium
Комментирует pomidorium (30 Апрель, 2013 - 12:45) #41284

Вы опять обчитались перед сном пресс-релизов от фирмы Microsoft? :)

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Комментирует MrBison (30 Апрель, 2013 - 14:55) #41285

А причём тут Microsoft? Я ни разу название этой компании тут вообще не упомянул. И да, мне теперь нельзя говорить и про то, что линуксы тоже безопасные?

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
Intercessio
Комментирует Intercessio (30 Апрель, 2013 - 00:43) #41281

Я уверен.
Поясню старым анекдотом.
По прерии скачут два ковбоя, один другому и говорит:
- Смотри, смотри, вон неуловимый Джо скачет!
- Вижу, а почему же он неуловимый? Его никто словить не может?
- Не, кому он нах нужен?
В винде-то попадёшь однажды всё равно.
А в линуксе перестраховка не помешает. Lynis однозначно полезна.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Яндекс.Метрика