HowtoForge

Wie man ein entferntes Linux-System mit dem Lynis Security Tool überprüft

von ·

Lynis ist ein freies und quelloffenes Tool zur Sicherheitsüberprüfung, das als GPL-lizenziertes Projekt veröffentlicht wurde und für Linux und Unix-basierte Betriebssysteme wie MacOS, FreeBSD, NetBSD, OpenBSD usw. verfügbar ist. Viele Menschen wissen nicht, dass Lynis auch für die Fernüberwachung von Systemen eingesetzt werden kann. Auf diese Weise können wir Lynis auf einem System installieren und eine Prüfung auf anderen entfernten Systemen durchführen.

Was werden wir hier erforschen?

In diesem Lernprogramm werden wir erklären, wie man ein Lynis-Sicherheitsaudit auf einem entfernten System durchführt. Fangen wir mit diesem HowTo an.

Voraussetzungen

  • Git und Lynis sollten auf dem Kali Linux System installiert sein.
  • Eine SSH-Verbindung sollte zwischen den beiden Systemen eingerichtet sein.
  • Eine Internetverbindung zwischen den beiden Systemen.

Experimenteller Aufbau

In diesem Lehrgang verwenden wir zwei Linux-Systeme: 1) Kali Linux 2) Ubuntu 20.04.

Auf dem Kali Linux System haben wir ein funktionierendes Lynis-Setup. Wir haben Lynis mit dem Tool „Git“ installiert und werden es daher aus dem Verzeichnis „lynis“ ausführen. Unsere Lynis-Befehle beginnen mit dem Präfix: „./lynis“. Wenn du es mit dem apt-Paketmanager installiert hast, kannst du es von überall aus und direkt mit dem Namen des Tools aufrufen: „lynis“.

Ubuntu 20.04 ist unser Remote-System, auf dem wir unsere Prüfung durchführen werden. Die IP-Konfiguration dieser Rechner ist wie folgt:

  • Kali Linux: 192.168.199.161/24
  • Ubuntu: 192.168.199.150/24

Schritte zum Audit eines entfernten Systems

Nun führen wir die folgenden Schritte durch, um ein Sicherheitssystem-Audit auf unserem entfernten Ziel durchzuführen.

Schritt 1. Beginne damit, dich in dein Kali Linux System einzuloggen. Nun müssen wir die Lynis-Setup-Dateien aus dem GitHub-Repository holen. Öffne also ein Terminal und führe den folgenden Befehl aus:

$ git clone https://github.com/CISOfy/lynis

Holen der Lynis Setup-Dateien von GitHub

Schritt 2. Sobald die Git-Dateien geholt wurden, sollte ein Ordner mit dem Namen „Lynis“ auf deinem System erscheinen:

$ ls

Wechsle nun in den Ordner „lynis“ und erstelle einen Ordner „files“:

$ cd files && mkdir files

Schritt 3. Erstelle eine tar-Datei des Ordners ‚lynis‘, indem du die folgenden Befehle von ‚außerhalb‘ dieses Ordners ausführst:

$ cd ..

$ tar czf ./lynis/files/lynis-remote.tar.gz –exclude=files/lynis-remote.tar.gz ./lynis

Wechsle nun wieder in den lynis-Ordner und überprüfe, ob sich eine Datei namens „lynis-remote.tar.gz“ im Ordner „files“ befindet:

$ cd lynis && ls files/

Erstellen einer tar-Datei des lynis-Ordners

Schritt 4. Es ist an der Zeit, die oben genannte tar-Datei auf unseren Zielrechner zu kopieren, d.h. Ubuntu mit 192.168.199.150/24. Für diese Aufgabe verwenden wir den Befehl „scp“:

$ scp -q ./files/lynis-remote.tar.gz ‚YOUR_USERNAME’@192.168.199.150:~/tmp-lynis-remote.tgz

Hinweis: Ersetze in jedem Befehl ‚YOUR_USERNAME‘ und die IP-Adresse durch den Benutzernamen und die IP-Adresse des Zielsystems.

Bestätige die Authentizität des Zielsystems und gib sein Passwort ein, damit die Übertragung funktioniert.

Kopieren dertar -Datei auf unseren Zielrechner

Schritt 5. Nachdem du den obigen Befehl ausgeführt hast, sollte auf dem Zielsystem ein Ordner mit dem Namen „tmp-lynis-remote.tgz“ erscheinen.

Tar-Datei auf dem entfernten Rechner

Schritt 6. Toll, unsere tar-Datei ist jetzt auf dem Zielcomputer angekommen. Jetzt müssen wir den folgenden Befehl ausführen, um den Zielcomputer zu scannen:

$ ssh ‚YOUR_USERNAME’@192.168.199.150 „mkdir -p ~/tmp-lynis && cd ~/tmp-lynis && tar xzf ../tmp-lynis-remote.tgz && rm ../tmp-lynis-remote.tgz && cd lynis && ./lynis audit system“

Scannen der Zielmaschine

Je nach Umfang des Scans dauert es einige Zeit, bis der Scan abgeschlossen ist, also hab Geduld. In den meisten Fällen dauert er 2 Minuten. Auf dem Terminal kannst du verschiedene Tests sehen, die von Lynis durchgeführt werden:

Beispielhafte Ausgabe:

[+] Kernel

————————————

– Überprüfung der Standardausführungsebene [ RUNLEVEL 5 ]

– Überprüfung der CPU-Unterstützung (NX/PAE)

CPU-Unterstützung: PAE und/oder NoeXecute werden unterstützt [ FOUND ]

– Überprüfen der Kernel-Version und -Version [ FERTIG ]

– Überprüfen des Kernel-Typs [ FERTIG ]

– Überprüfen der geladenen Kernelmodule [ FERTIG ]

147 aktive Module gefunden

– Überprüfung der Linux-Kernel-Konfigurationsdatei [ FUNDEN ]

– Standard-I/O-Kernel-Scheduler prüfen [ NICHT GEFUNDEN ]

– Prüfen auf verfügbare Kernel-Updates [ OK ]

– Überprüfen der Kerndump-Konfiguration

– Konfiguration in systemd conf-Dateien [ DEFAULT ]

– Konfiguration in etc/profile [ DEFAULT ]

– ‚harte‘ Konfiguration in security/limits.conf [ DEFAULT ]

– ’soft‘ Konfiguration in security/limits.conf [ DEFAULT ]

– Überprüfen der setuid core dumps Konfiguration [ PROTECTED ]

– Prüfen, ob ein Neustart erforderlich ist [ NO ]

[+] Speicher und Prozesse

 

Schritt 7. Sobald der Scan-Vorgang abgeschlossen ist, können wir das extrahierte Verzeichnis ‚tmp-lynis‘ auf dem entfernten Rechner aus Schritt 6 einfach bereinigen.

$ ssh ‚YOUR_USERNAME’@192.168.199.150 „rm -rf ~/tmp-lynis“

Aufräumen der Directroy ‘tmp-lynis’

Schritt 8. Die Scan-Ergebnisse werden auf dem Kali Linux Terminal angezeigt. Wir können das Scan-Protokoll und den Bericht auch von dem entfernten Rechner abrufen, indem wir

scp -q ‚YOUR_USERNAME’@192.168.199.150:~/lynis.log ./files/192.168.199.150-lynis.log

scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis-report.dat ./files/192.168.199.150-lynis-report.dat

Abrufen der Logdateien
Schritt 9: Um die Lynis-Protokolldateien (bei Verwendung eines nicht privilegierten Kontos) zu bereinigen, die auf dem entfernten System erstellt wurden, führe den Befehl aus:

ssh ‚YOUR_USERNAME’@192.168.199.150 „rm ~/lynis.log ~/lynis-report.dat“

Bereinigung der Protokolldateien
Das war’s schon. Wir haben unser entferntes System erfolgreich gescannt.

Schlusswort

In diesem Lernprogramm haben wir gelernt, wie man ein entferntes System mit Lynis scannt. Wenn du diesen Lehrgang richtig verfolgt hast, wirst du feststellen, dass wir auf dem entfernten System keine Spuren von Auditing hinterlassen haben. Lynis ist ein großartiges Werkzeug für alle, die die Sicherheit ihres Systems überprüfen wollen. Die Scans sind schnell und liefern aufschlussreiche Vorschläge zur Verbesserung der allgemeinen Systemsicherheit. Im nächsten Lernprogramm werden wir verschiedene Details eines Lynis-Scans wie Warnungen, Vorschläge usw. untersuchen.

Das könnte dich auch interessieren …