Lynis: быстрая проверка Linux на защищенность от хакеров

Свободный проект Lynis — настоящий подарок всем тем линуксоидам, которые серьезно относятся к вопросам безопасности. Программа проведет аудит, покажет все потенциально уязвимые места операционной системы и выдаст рекомендации по их устранению.

Проверка безопасности Linux с помощью Lynis

Lynis представляет собой скрипт, который проводит около сотни проверок, пока вы пьете чай, и выдает предупреждения и рекомендации. Проверяется в системе буквально все:

  • не подменен ли загрузчик;
  • нет ли среди сервисов в автозагрузке чего лишнего;
  • не запущены ли несанкционированные процессы;
  • проверяется версия ядра;
  • серьезная проверка ждет все файлы: корректно ли указан владелец, группа и т.д.;
  • сетевые интерфейсы проверяются на работу в неразборчивом режиме (свидетельство работы сниффера);
  • проверяются настройки файервола;
  • системные службы проверяются на наличие паролей по умолчанию (admin/admin, root/password и т.п.);
  • проверяются системные журналы на наличие подозрительной активности;
  • проверяется файловая система на наличие вредоносных файлов;
  • проверяются настройки доступа по SSH;
  • нет ли в системе учетных записей с правами суперпользователя, но с именем, отличным от root;
  • не используются ли для вычисления парольных хэшей слабые криптоалгоритмы;
  • проверяется корректность настройки таких популярных служб, как Apache, MySQL и др.;
  • и еще свыше сотни проверок.

После 1-2 минут работы Lynis в директории /var/log генерируется файл lynis.log с рекомендациями. В нем указываются потенциально опасные места, выставляется оценка угрозы и дается рекомендация по устранению.

Для свежеустановленного дистрибутива Ubuntu на компьютере главного редактора Либератума Lynis выдал 27 рекомендаций: от установки пароля на Grub до требования настроить наконец iptable и ограничить права на компиляторы.

Как установить и использовать Lynis

Для работы с Lynix потребуется загрузить комплект скриптов с официального сайта, перенести их в директорию /opt/lynis и установить собственника на все файлы root:root.

Запуск полной проверки осуществляется с помощью команды:

lynis --check-all -Q

Рекомендуется добавить вызов Lynis в crontab для регулярного и автоматического сканирования. Предупреждения можно автоматически перенаправлять на почту:

cat /var/log/lynis.log | grep Warning | mail -s "Каккер детектед" root

Используя Lynix и выполняя все рекомендации, вы не оставляете хакеру ни единого шанса изнасиловать ваш компьютер.

«Безопасность личная и имущественная является главнейшим залогом человеческого развития» (Энц.словарь Брокгауза и Ефрона).
Ваша оценка: Нет Средняя оценка: 4.9 (9 votes)
11
pomodor

Проверил тестовую Убуку и Debian 7 на экспериментальном сервере. У Убунты индекс защищенности 59, а у Debian всего 48. ;)

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
7

Автор, вас подменили? А как же сверхзащищенный православный и горячо любимый Вами, Debian! Ну не может эта Убука его опередить в плане защищенности, не верю!?

Ваша оценка: Нет
11
pomodor

Не может, конечно. ;) Просто на сервере больше потенциально уязвимых сервисов, поэтому и рейтинг безопасности ниже. Например, Lynis сообщил об одной активированной опции PHP, которая может выдать часть информации о используемых версиях ПО. В Убуке это предупреждение отсутствовало, так как десктопу PHP не нужен.

Ваша оценка: Нет
7

а можно вопрос, а нужен так хреновый пхп, или можно подумать о альтернативах в виде других языков для веба!, в угоду безопасности и стойкости к уязвимостям?;) я как-то уже писал на страницах этого ресурса, если не ошибаюсь о вреде использования ПыХа?:)

Ваша оценка: Нет
11
pomodor

PHP мерзкий, зато быстрый и отшлифованный. Ведь это не уязвимость в нем найдена, а пользователю предоставляется опция, определяющая поведение PHP. Lynis выявил, что значение этой опции установлено не самое оптимальное, только и всего.

Ваша оценка: Нет
7

быстрый ли? отшлифованный!? Автор, при всем моем уважении к Вам, вы меня пугаете, а мне скоро спать ложиться! кстати написал Вам в личку!;) Еще раз извеняюсь за своего племяника!:(

Ваша оценка: Нет
11
pomodor

быстрый ли?

Очень быстрый. В десятки раз быстрее Ruby, например. Лично засекал, может быть будет пост на эту тему. Напоминаю, самые высоконагруженные проекты типа Вконтакта и Фейсбука были на PHP и лишь относительно недавно перешли на С/C++.

при всем моем уважении к Вам, вы меня пугаете

Даже не знаю, что на это можно ответить. :) Если Вы всего пугаетесь, могу посоветовать начать борьбу с собственной пугливостью с приема контрастного душа. Ну, знаете, включаете холодную воду и стоите, ничего не пугаетесь, хотя и хочется выпрыгнуть из ванной. Далее полученный экспириенс использовать при столкновении с другими «опасностями».

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
8
Fohroer

Новый Либератум обрёл новую прекрасность. Плашки нужно продолжать вставлять.
А ещё нужно добавить функцию, чтобы посты по Ctrl+Enter можно было отправлять.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
4
M_o_n_g_o_l

Тоже проверил: Hardening index : [65], неплохо. Спасибки! ))

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.