Comment auditer avec Lynis sur les systèmes Ubuntu Linux

Dans le cadre des tâches de gestion et de contrôle que nous devons effectuer sur les environnements LinuxQuelle que soit la distribution à utiliser, l'un des aspects les plus importants à prendre en compte est associé à la sécurité de chaque distribution puisqu'un manque ou une vulnérabilité y mettra en péril non seulement les informations qui y sont hébergées mais toute la structure à laquelle cet équipement est connecté.

Nous vivons une époque où les menaces augmentent chaque jour et de nombreux administrateurs ou informaticiens ne prêtent pas attention à ce problème car ils pensent que quelque chose n'arrivera jamais, mais en tant que professionnels, nous devons avoir une longueur d'avance et plus lorsqu'il s'agit de Sécurité d'utilisateurs dans une organisation.

Solvetic analysera en profondeur une application pratique appelée Lynis et nous verrons comment il sera d'une grande aide pour augmenter encore notre capacité de gestion, de contrôle et de supervision dans les environnements Linux.
Dans ce cas, nous utiliserons Ubuntu 16.10 Server.

Qu'est-ce que lynisLynis a été développé comme une application chargée d'effectuer des audits de sécurité dans les environnements Linux.

Lynis est open source qui évalue le profil de sécurité de chaque équipe et nous donnera des suggestions sur la façon d'augmenter et d'améliorer les niveaux de sécurité dans l'entreprise.

Lynis analyse les environnements UNIX et Linux de manière beaucoup plus détaillée qu'une application d'analyse des vulnérabilités. Lynis peut être exécuté dans les environnements suivants :

  • AIX
  • FreeBSD
  • HP-UX
  • Linux - La plupart des distributions
  • macOS
  • NetBSD
  • OpenBSD
  • Solaris

Cette application peut être utilisée dans des cas tels que :

  • Analyse et détection de vulnérabilités.
  • Audits de sécurité.
  • Les tests de conformité tels quels PCI ou HIPAA.
  • Des améliorations au Sécurité du système.
  • Gestion administratif.

1. Comment installer Lynis sur le serveur Ubuntu


Bien qu'il existe plusieurs façons d'installer Lynis, dans ce cas, nous procéderons à l'installation à partir du référentiel le plus récent.

Étape 1
Il est important de souligner que ce référentiel utilise le protocole HTTPS pour son accès, nous devons donc confirmer que notre serveur a le support HTTPS, pour valider cela nous exécuterons la ligne suivante :

 dpkg -s apt-transport-https | grep -i statut 

AGRANDIR

Étape 2
En cas de ne pas avoir ce support, nous exécuterons la ligne suivante pour son installation :

 sudo apt-get install apt-transport-https
Étape 3
Une fois que nous sommes sûrs que nous avons le support HTTPS, nous procédons à l'installation de la clé de référentiel officielle en exécutant ce qui suit :
 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F

AGRANDIR

Étape 4
Maintenant, nous allons ajouter le référentiel officiel Lynis afin qu'il soit disponible dans le gestionnaire de packages, pour cela, nous exécutons ce qui suit :

 sudo add-apt-repository "deb [arch = amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main" 

AGRANDIR

Étape 5
Nous mettons à jour les packages du système d'exploitation :

 sudo apt-get mise à jour

AGRANDIR

Étape 6
Une fois les packages mis à jour, nous procédons à l'installation de Lynis dans Ubuntu Server en exécutant la commande suivante :

 sudo apt-get installer lynis

AGRANDIR

Nous acceptons le téléchargement et l'installation respective des packages Lynis sur Ubuntu Server 16.10.

2. Comment faire un audit de sécurité avec Lynis sur Ubuntu Server 16.10

Étape 1
Une fois l'application installée, nous pouvons voir les commandes Lynis disponibles en exécutant la ligne suivante :

 lynis afficher les commandes

AGRANDIR

Étape 2
Chaque audit de sécurité dans Lynis est effectué à l'aide de profils qui ne sont rien de plus que des fichiers de configuration avec divers paramètres pour contrôler la manière dont l'audit est effectué. Pour voir le profil par défaut de Lynis, nous utiliserons la ligne suivante :

 lynis afficher les paramètres

AGRANDIR

Étape 3
Nous pouvons vérifier, avant d'effectuer l'audit, s'il existe une version plus récente de Lynis pouvant inclure des améliorations pour le vérifier, nous utiliserons la ligne suivante :

 informations de mise à jour de lynis

AGRANDIR

Étape 4
Cela indique que nous avons la version la plus récente de Lynis. On peut aussi vérifier ce résultat en exécutant la ligne :

 vérification de mise à jour de lynis
Étape 5
Pour effectuer notre premier audit du système, nous procédons à l'exécution de la commande suivante en tant qu'utilisateurs root afin qu'elle soit entièrement effectuée et n'omet pas certains aspects :
 système d'audit sudo lynis
Étape 6
Nous pouvons voir qu'il démarre le processus d'audit dans Ubuntu Server :

AGRANDIR

Étape 7
Ce processus prend entre une et deux minutes maximum. À la fin de l'audit, nous verrons ce qui suit :

AGRANDIR

Étape 8
Les informations détaillées de ce résultat sont stockées dans le chemin /var/log/lynis.log et les données du rapport, où nous avons toutes les informations associées au serveur, seront stockées dans le chemin /var/log/lynis-report.dat.
La chose intéressante à propos de Lynis est que le rapport précédent nous montre des avertissements et les suggestions de sécurité respectives à prendre en compte pour avoir un système stable et fiable :

AGRANDIR

3. Comment corriger les avertissements générés par Lynis Ubuntu Server

Un avertissement (Warning) nous permet d'être attentif aux vulnérabilités qui peuvent apparaître dans le système d'exploitation. Habituellement, l'avertissement comprend la solution.

Étape 1
L'un des moyens dont nous disposons dans Lynis pour analyser un avertissement plus en détail consiste à utiliser la syntaxe suivante :

 sudo lynis afficher les détails (Code) 
Étape 2
Par exemple, si nous voulons connaître en détail l'avertissement du code FIRE-4512, nous exécuterons ce qui suit :
 sudo lynis afficher les détails FIRE-4512 

AGRANDIR

4. Comment implémenter les astuces Lynis sur Ubuntu Server


Nous pouvons voir que dans l'analyse d'audit respective, nous avons diverses suggestions (suggestions) proposées par l'outil afin d'améliorer les niveaux de sécurité du serveur.

La proposition est composée comme suit :

  • Informations sur les suggestions.
  • Identifiant de la suggestion.
  • Enfin une solution.

Comme pour les avertissements, nous pouvons utiliser la ligne sudo lynis afficher les détails pour plus d'informations:

AGRANDIR

Dans ce cas on voit que la solution proposée est d'installer un antimalware sur le serveur. Ainsi, chaque suggestion comprend une solution.

5. Comment personnaliser les audits Lynis sur Ubuntu Server


Comme nous l'évoquions au début, Lynis s'appuie sur des profils pour réaliser des audits et il a un profil prédéfini.

Ces profils ont l'extension .prf et sont hébergés dans le chemin :

 /etc/lynis
.

Étape 1
Pour créer un nouveau profil et dire à Lynis de n'auditer que ce dont nous avons besoin et non l'ensemble du système, nous allons créer un nouveau fichier appelé solvetic en exécutant la commande suivante :

 sudo nano /etc/lynis/solvetic.prf
Étape 2
Dans ce fichier, nous allons ajouter les tests que nous voulons ignorer qui sont :
  • FICHIER-6310 : Il est utilisé pour vérifier l'état des partitions.
  • HTTP-6622 : Il est utilisé pour valider Nginx sur une installation de serveur Web.
  • HTTP-6702 : Utilisé pour vérifier Apache.
  • PRNT-2307 et PRNT-2308 : Utilisé pour vérifier les serveurs d'impression.
  • OUTIL-5002 : Il est utilisé pour vérifier les outils automatiques tels que Puppet et Salt.
  • SSH-7408 : tcpkeepalive : Il est utilisé pour effectuer des vérifications de test de base.

Étape 3
Dans ce fichier, nous ajouterons les éléments suivants :

 # Les lignes commençant par "#" sont des commentaires # Ignorer un test (un par ligne) # Ceci ignorera la séparation des partitions test skip-test = FILE-6310 # Nginx est-il installé ? skip-test = HTTP-6622 # Apache est-il installé ? skip-test = HTTP-6702 # Ignorer la vérification des services liés à l'impression skip-test = PRNT-2307 skip-test = PRNT-2308 # Si un identifiant de test inclut plus d'un test, utilisez ce formulaire pour ignorer un test particulier skip-test = SSH-7408 : tcpkeepalive

AGRANDIR

Étape 4
Nous gardons modifications à l'aide de la combinaison de touches :

Ctrl + O

Oui nous sommes sortis de l'éditeur en utilisant :

Ctrl + X

De cette façon, la prochaine fois que nous effectuerons un audit, ces paramètres seront omis.

Nous avons compris comment Lynis il devient un grand allié pour tous les administrateurs et personnels qui souhaitent contrôler les niveaux de sécurité des différentes distributions Linux. Il y a aussi la possibilité de l'utiliser dans d'autres distributions et c'est pourquoi nous recommandons comment auditer avec Lynis sur CentOS 7.

Auditer Lynis CentOS

wave wave wave wave wave