Auditoria de segurança no LINUX com LYNIS

Auditoria de segurança com LYNIS

Alguma vez já pensou em saber se seu sistema Linux está seguro? Se está usando as melhores práticas e recursos disponíveis? Então, nesta dica, vou te mostrar como você mesmo pode fazer uma auditoria de segurança no LINUX com LYNIS.

O Lynis é um script escrito em Shell por Michael Boelen, com o objetivo de verificar diferentes partes do sistema em busca de vulnerabilidades, para que você possa tratá-las. Este teste está de acordo com as normas da ISO27001, PCI-DSS e HIPAA. Além disso, ele suporta qualquer sistema Unix-like.

Como instalar o Lynis no Linux?

Primeiramente, uma das partes mais legais do Lynis é que você não precisa instalá-lo, apenas baixar e rodar o script. Sendo assim, faremos este exemplo no Kali Linux:

  • $ git clone https://github.com/CISOfy/lynis
  • $ cd lynis
Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

Grifei o script de execução em verde.

Como utilizar o Lynis no Linux?

Antes de mais nada, você deve estar como root:

  • $ ./lynis audit system -Q

A opção -Q faz um scan mais rápido. Entretanto, se quiser ver todas as opções disponíveis, rode ./lynis -h.

Ao final do scan, serão apresentadas algumas informações interessantes:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

O Hardening index é um número total com escala até 100 sobre a sua segurança. Nosso objetivo aqui, é fazer esse número aumentar com base nas recomendações e avisos de segurança:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

Após trabalhar uns 20 minutos em cima de algumas mudanças no sistema, temos o seguinte resultado:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

De 58 para 71 já é bastante coisa, hein?

Aqui alguns pontos que trabalhei:

  • Adicionei um repositório de segurança do Debian testing no sources.list;
  • Adicionei drivers USB, iptables e firewire em uma blacklist;
  • Segundo servidor DNS no resolv.conf;
  • Instalei softwares recomendados;
  • Alterei configurações de tempo de senha no /etc/login.defs;
  • Senha no Grub;

Boas práticas para a segurança de informação no Linux | Parte 2

Aumente a segurança do seu sistema colocando uma senha no Grub

Lembrando que todo scan que você faz, um log é gerado em /var/log/lynis.log.

Uma coisa interessante é que cada sugestão tem um link que mostra formas de trabalhar na solução do problema.

Alguns dos itens que o Lynis verifica:

  • Programas instalados;
  • Configurações de UEFI;
  • Kernel;
  • Processos;
  • Usuários, grupos e configurações de autenticação;
  • Shell;
  • Sistema de arquivos;
  • Parâmetros do Kernel;
  • Configuração de redes;

E muitos outros, muitos mesmo!

Espero que tenha gostado desta dica!

Veja também:

 

Se tiver alguma dúvida ou sugestão de conteúdo, por favor, entre em contato aqui ou comente abaixo!