Lynis: быстрая проверка Linux на защищенность от хакеров
Свободный проект Lynis — настоящий подарок всем тем линуксоидам, которые серьезно относятся к вопросам безопасности. Программа проведет аудит, покажет все потенциально уязвимые места операционной системы и выдаст рекомендации по их устранению.
Проверка безопасности Linux с помощью Lynis
Lynis представляет собой скрипт, который проводит около сотни проверок, пока вы пьете чай, и выдает предупреждения и рекомендации. Проверяется в системе буквально все:
- не подменен ли загрузчик;
- нет ли среди сервисов в автозагрузке чего лишнего;
- не запущены ли несанкционированные процессы;
- проверяется версия ядра;
- серьезная проверка ждет все файлы: корректно ли указан владелец, группа и т.д.;
- сетевые интерфейсы проверяются на работу в неразборчивом режиме (свидетельство работы сниффера);
- проверяются настройки файервола;
- системные службы проверяются на наличие паролей по умолчанию (admin/admin, root/password и т.п.);
- проверяются системные журналы на наличие подозрительной активности;
- проверяется файловая система на наличие вредоносных файлов;
- проверяются настройки доступа по SSH;
- нет ли в системе учетных записей с правами суперпользователя, но с именем, отличным от root;
- не используются ли для вычисления парольных хэшей слабые криптоалгоритмы;
- проверяется корректность настройки таких популярных служб, как Apache, MySQL и др.;
- и еще свыше сотни проверок.
После 1-2 минут работы Lynis в директории /var/log генерируется файл lynis.log с рекомендациями. В нем указываются потенциально опасные места, выставляется оценка угрозы и дается рекомендация по устранению.
Как установить и использовать Lynis
Для работы с Lynix потребуется загрузить комплект скриптов с официального сайта, перенести их в директорию /opt/lynis и установить собственника на все файлы root:root.
Запуск полной проверки осуществляется с помощью команды:
lynis --check-all -Q
Рекомендуется добавить вызов Lynis в crontab для регулярного и автоматического сканирования. Предупреждения можно автоматически перенаправлять на почту:
cat /var/log/lynis.log | grep Warning | mail -s "Каккер детектед" root
Используя Lynix и выполняя все рекомендации, вы не оставляете хакеру ни единого шанса изнасиловать ваш компьютер.
Комментарии
pomodor
27 октября, 2014 - 18:03
Проверил тестовую Убуку и Debian 7 на экспериментальном сервере. У Убунты индекс защищенности 59, а у Debian всего 48. ;)
Texnoline
27 октября, 2014 - 19:49
Автор, вас подменили? А как же сверхзащищенный православный и горячо любимый Вами, Debian! Ну не может эта Убука его опередить в плане защищенности, не верю!?
pomodor
27 октября, 2014 - 20:32
Не может, конечно. ;) Просто на сервере больше потенциально уязвимых сервисов, поэтому и рейтинг безопасности ниже. Например, Lynis сообщил об одной активированной опции PHP, которая может выдать часть информации о используемых версиях ПО. В Убуке это предупреждение отсутствовало, так как десктопу PHP не нужен.
Texnoline
27 октября, 2014 - 21:28
а можно вопрос, а нужен так хреновый пхп, или можно подумать о альтернативах в виде других языков для веба!, в угоду безопасности и стойкости к уязвимостям?;) я как-то уже писал на страницах этого ресурса, если не ошибаюсь о вреде использования ПыХа?:)
pomodor
27 октября, 2014 - 21:34
PHP мерзкий, зато быстрый и отшлифованный. Ведь это не уязвимость в нем найдена, а пользователю предоставляется опция, определяющая поведение PHP. Lynis выявил, что значение этой опции установлено не самое оптимальное, только и всего.
Texnoline
27 октября, 2014 - 21:42
быстрый ли? отшлифованный!? Автор, при всем моем уважении к Вам, вы меня пугаете, а мне скоро спать ложиться! кстати написал Вам в личку!;) Еще раз извеняюсь за своего племяника!:(
pomodor
28 октября, 2014 - 13:28
Очень быстрый. В десятки раз быстрее Ruby, например. Лично засекал, может быть будет пост на эту тему. Напоминаю, самые высоконагруженные проекты типа Вконтакта и Фейсбука были на PHP и лишь относительно недавно перешли на С/C++.
Даже не знаю, что на это можно ответить. :) Если Вы всего пугаетесь, могу посоветовать начать борьбу с собственной пугливостью с приема контрастного душа. Ну, знаете, включаете холодную воду и стоите, ничего не пугаетесь, хотя и хочется выпрыгнуть из ванной. Далее полученный экспириенс использовать при столкновении с другими «опасностями».
Fohroer
28 октября, 2014 - 22:00
Новый Либератум обрёл новую прекрасность. Плашки нужно продолжать вставлять.
А ещё нужно добавить функцию, чтобы посты по Ctrl+Enter можно было отправлять.
M_o_n_g_o_l
5 сентября, 2015 - 18:42
Тоже проверил: Hardening index : [65], неплохо. Спасибки! ))
Комментировать