Ако извршите ревизију безбедности на свом Линук рачунару са Линис-ом, то ће обезбедити да ваша машина буде заштићена колико год може. Безбедност је све за уређаје који су повезани на интернет, па ево како да се уверите да су ваши безбедно закључани.
Преглед садржаја
Колико је сигуран ваш Линук рачунар?
Линис изводи скуп аутоматизованих тестова који темељно прегледају многе системске компоненте и поставке вашег Линук оперативног система. Представља своје налазе у боји АСЦИИ извести као листу оцењених упозорења, сугестија и радњи које треба предузети.
Сајбер безбедност је балансирање. Отворена параноја није корисна никоме, па колико би требало да будете забринути? Ако посећујете само реномиране веб локације, не отварате прилоге или пратите везе у нежељеним имејловима и користите различите, чврсте лозинке за све системе на које се пријављујете, каква опасност преостаје? Нарочито када користите Линук?
Хајде да се обратимо њима обрнуто. Линук није имун на малвер. У ствари, први компјутерски црв је дизајниран да циља Уник рачунаре 1988. године. Руткитови су добили име по Уник суперкориснику (роот) и колекцији софтвера (комплетова) са којима се сами инсталирају да би избегли откривање. Ово даје суперкориснику приступ актеру претње (тј. лошем момку).
Зашто су названи по корену? Зато што је први рооткит пуштен 1990. године и намењен је Сун Мицросистемс трчање тхе СунОС Уник.
Дакле, злонамерни софтвер је започео на Уник-у. Прескочио је ограду када је Виндовс полетео и привукао пажњу. Али сада када Линук управља светом, вратио се. Оперативни системи слични Линуку и Унику, попут мацОС-а, привлаче пуну пажњу актера претњи.
Која опасност преостаје ако будете пажљиви, разумни и пажљиви када користите рачунар? Одговор је дугачак и детаљан. Да бисмо га донекле сажимали, сајбер напади су бројни и разноврсни. Они су у стању да раде ствари које су се пре кратког времена сматрале немогућим.
Руткитови, као Риук, може да зарази рачунаре када су искључени компромитујући ваке-он-ЛАН функције праћења. Код за доказ концепта такође је развијена. Успешан „напад“ демонстрирали су истраживачи на Универзитет Бен-Гурион у Негеву то би омогућило актерима претњи да ексфилтрирају податке из рачунар са ваздушним зазором.
Немогуће је предвидети за шта ће сајбер претње бити способне у будућности. Међутим, разумемо које тачке у одбрани рачунара су рањиве. Без обзира на природу садашњих или будућих напада, има смисла само унапред попунити те празнине.
Од укупног броја сајбер напада, само мали проценат је свесно усмерен на одређене организације или појединце. Већина претњи је неселективна јер злонамерном софтверу није важно ко сте. Аутоматско скенирање портова и друге технике само траже рањиве системе и нападају их. Ви себе именујете као жртву тиме што сте рањиви.
И ту долази Линис.
Инсталирање Линис-а
Да бисте инсталирали Линис на Убунту, покрените следећу команду:
sudo apt-get install lynis
На Федора-и откуцајте:
sudo dnf install lynis
На Мањаро-у користите пацман:
sudo pacman -Sy lynis
Спровођење ревизије
Линис је базиран на терминалу, тако да нема ГУИ. Да бисте започели ревизију, отворите прозор терминала. Кликните и превуците је до ивице монитора да би скочио до пуне висине или да би се истегнуо колико год може. Постоји много излаза из Линис-а, тако да што је прозор терминала виши, то ће бити лакше прегледати.
Такође је згодније ако отворите прозор терминала посебно за Линис. Доста ћете се померати горе-доле, тако да не морате да се бавите нередом претходних команди ће олакшати навигацију по Линис излазу.
Да бисте започели ревизију, откуцајте ову освежавајуће једноставну команду:
sudo lynis audit system
Називи категорија, наслови тестова и резултати ће се померати у прозору терминала како се свака категорија тестова заврши. Ревизија траје највише неколико минута. Када се заврши, бићете враћени на командну линију. Да бисте прегледали налазе, само померите прозор терминала.
Први део ревизије открива верзију Линук-а, издање кернела и друге системске детаље.
Области које треба погледати су означене жутом (предлози) и црвеном бојом (упозорења која треба да се позабаве).
Испод је пример упозорења. Линис је анализирао постфикс конфигурацију сервера поште и означио нешто што има везе са банером. Касније можемо добити више детаља о томе шта је тачно пронашао и зашто би то могло да буде проблем.
У наставку, Линис нас упозорава да заштитни зид није конфигурисан на Убунту виртуелној машини коју користимо.
Прелистајте своје резултате да бисте видели шта је Линис означио. На дну извештаја ревизије видећете екран са резимеом.
„Индекс очвршћавања“ је резултат вашег испита. Добили смо 56 од 100, што није сјајно. Обављена су 222 теста и један Линис додатак је омогућен. Ако одете на додатак Линис Цоммунити Едитион страница за преузимање и претплатите се на билтен, добићете везе до више додатака.
Постоји много додатака, укључујући и неке за ревизију према стандардима, као нпр ГДПР, ИСО27001, и ПЦИ-ДСС.
Зелено В представља квачицу. Можда ћете видети и жуте знаке питања и црвене Кс-ове.
Имамо зелене квачице јер имамо заштитни зид и скенер малвера. У сврху тестирања, такође смо инсталирали ркхунтер, детектор руткита, да видимо да ли ће га Линис открити. Као што видите горе, јесте; добили смо зелену квачицу поред „Скенер малвера“.
Статус усклађености је непознат јер ревизија није користила додатак за усклађеност. У овом тесту су коришћени модули безбедности и рањивости.
Генеришу се две датотеке: евиденција и датотека са подацима. Датотека са подацима која се налази на „/вар/лог/линис-репорт.дат“ је она која нас занима. Садржаће копију резултата (без истицања боје) које можемо видети у прозору терминала . Ово је корисно да видите како се ваш индекс очвршћавања временом побољшава.
Ако скролујете уназад у прозору терминала, видећете листу предлога и још једно упозорење. Упозорења су ставке „велике карте“, па ћемо их погледати.
Ово су пет упозорења:
„Верзија Линиса је веома стара и треба је ажурирати“: Ово је заправо најновија верзија Линиса у Убунту репозиторијумима. Иако је стар само 4 месеца, Линис ово сматра веома старим. Верзије у пакетима Мањаро и Федора биле су новије. Ажурирања у менаџерима пакета увек ће вероватно мало заостајати. Ако заиста желите најновију верзију, можете клонирајте пројекат са ГитХуб-а и одржавајте га синхронизованим.
„Лозинка није постављена за појединачни режим“: Сингле је режим опоравка и одржавања у којем је активан само роот корисник. За овај режим подразумевано није постављена лозинка.
„Нисам могао да пронађем 2 сервера имена који реагују“: Линис је покушао да комуницира са два ДНС сервера, али није успео. Ово је упозорење да ако тренутни ДНС сервер не успе, неће бити аутоматског преласка на други.
„Откривање неких информација у СМТП банеру“: Откривање информација се дешава када апликације или мрежна опрема дају своје бројеве произвођача и модела (или друге информације) у стандардним одговорима. Ово може дати актерима претњи или аутоматизованом малверу увид у врсте рањивости које треба проверити. Када идентификују софтвер или уређај са којим су се повезали, једноставно претраживање ће пронаћи рањивости које могу покушати да искористе.
„иптаблес модул(и) је учитан, али нема активних правила“: Линук заштитни зид је покренут и ради, али за њега нису постављена правила.
Брисање упозорења
Свако упозорење има везу до веб странице која описује проблем и шта можете да урадите да бисте га решили. Само поставите показивач миша преко једне од веза, а затим притисните Цтрл и кликните на њу. Ваш подразумевани претраживач ће се отворити на веб страници за ту поруку или упозорење.
Страница испод се отворила за нас када смо Цтрл+кликнули на везу за четврто упозорење које смо обрадили у претходном одељку.
Можете прегледати свако од ових и одлучити на која упозорења да се обратите.
Горња веб страница објашњава да је подразумевани исечак информација („банер“) који се шаље удаљеном систему када се повеже са постфик сервером поште конфигурисан на нашем Убунту рачунару превише опсежан. Нема користи од нуђења превише информација—у ствари, то се често користи против вас.
Веб страница нам такође говори да се банер налази у „/етц/постфик/маин.цф.“ Саветује нас да га треба смањити тако да приказује само „$михостнаме ЕСМТП“.
Укуцавамо следеће да бисмо уредили датотеку како Линис препоручује:
sudo gedit /etc/postfix/main.cf
Лоцирамо линију у датотеци која дефинише банер.
Уређујемо га тако да приказује само текст који је Линис препоручио.
Чувамо наше промене и затварамо гедит. Сада морамо поново да покренемо постфик сервер поште да би промене ступиле на снагу:
sudo systemctl restart postfix
Сада, хајде да још једном покренемо Линис и видимо да ли су наше промене имале ефекта.
Одељак „Упозорења“ сада приказује само четири. Онај који се односи на постфикс је нестао.
Једно мање, и само још четири упозорења и 50 предлога!
Колико далеко треба да идете?
Ако никада нисте радили никакво учвршћивање система на свом рачунару, вероватно ћете имати отприлике исти број упозорења и предлога. Требало би да их све прегледате и, вођени Линис веб страницама за сваку, донесете одлуку о томе да ли да се позабавите тим проблемом.
Метод уџбеника би, наравно, био да покушамо да их све очистимо. Ипак, то би могло бити лакше рећи него учинити. Осим тога, неки од предлога могу бити претерани за просечни кућни рачунар.
Ставите на црну листу управљачке програме УСБ кернела да бисте онемогућили приступ УСБ-у када га не користите? За критичан рачунар који пружа осетљиве пословне услуге, ово би могло бити неопходно. Али за Убунту кућни рачунар? Вероватно не.