Lynis: быстрая проверка Linux на защищенность от хакеров

Свободный проект Lynis — настоящий подарок всем тем линуксоидам, которые серьезно относятся к вопросам безопасности. Программа проведет аудит, покажет все потенциально уязвимые места операционной системы и выдаст рекомендации по их устранению.

Проверка безопасности Linux с помощью Lynis

Lynis представляет собой скрипт, который проводит около сотни проверок, пока вы пьете чай, и выдает предупреждения и рекомендации. Проверяется в системе буквально все:

  • не подменен ли загрузчик;
  • нет ли среди сервисов в автозагрузке чего лишнего;
  • не запущены ли несанкционированные процессы;
  • проверяется версия ядра;
  • серьезная проверка ждет все файлы: корректно ли указан владелец, группа и т.д.;
  • сетевые интерфейсы проверяются на работу в неразборчивом режиме (свидетельство работы сниффера);
  • проверяются настройки файервола;
  • системные службы проверяются на наличие паролей по умолчанию (admin/admin, root/password и т.п.);
  • проверяются системные журналы на наличие подозрительной активности;
  • проверяется файловая система на наличие вредоносных файлов;
  • проверяются настройки доступа по SSH;
  • нет ли в системе учетных записей с правами суперпользователя, но с именем, отличным от root;
  • не используются ли для вычисления парольных хэшей слабые криптоалгоритмы;
  • проверяется корректность настройки таких популярных служб, как Apache, MySQL и др.;
  • и еще свыше сотни проверок.

После 1-2 минут работы Lynis в директории /var/log генерируется файл lynis.log с рекомендациями. В нем указываются потенциально опасные места, выставляется оценка угрозы и дается рекомендация по устранению.

Для свежеустановленного дистрибутива Ubuntu на компьютере главного редактора Либератума Lynis выдал 27 рекомендаций: от установки пароля на Grub до требования настроить наконец iptable и ограничить права на компиляторы.

Как установить и использовать Lynis

Для работы с Lynix потребуется загрузить комплект скриптов с официального сайта, перенести их в директорию /opt/lynis и установить собственника на все файлы root:root.

Запуск полной проверки осуществляется с помощью команды:

lynis --check-all -Q

Рекомендуется добавить вызов Lynis в crontab для регулярного и автоматического сканирования. Предупреждения можно автоматически перенаправлять на почту:

cat /var/log/lynis.log | grep Warning | mail -s "Каккер детектед" root

Используя Lynix и выполняя все рекомендации, вы не оставляете хакеру ни единого шанса изнасиловать ваш компьютер.

«Безопасность личная и имущественная является главнейшим залогом человеческого развития» (Энц.словарь Брокгауза и Ефрона).
field_vote: 
Ваша оценка: Нет Средняя: 4.9 (9 оценки)

Комментарии

Проверил тестовую Убуку и Debian 7 на экспериментальном сервере. У Убунты индекс защищенности 59, а у Debian всего 48. ;)

Оценка: 
Средняя: 3 (2 оценки)

Автор, вас подменили? А как же сверхзащищенный православный и горячо любимый Вами, Debian! Ну не может эта Убука его опередить в плане защищенности, не верю!?

Оценка: 
Пока без оценки

Не может, конечно. ;) Просто на сервере больше потенциально уязвимых сервисов, поэтому и рейтинг безопасности ниже. Например, Lynis сообщил об одной активированной опции PHP, которая может выдать часть информации о используемых версиях ПО. В Убуке это предупреждение отсутствовало, так как десктопу PHP не нужен.

Оценка: 
Пока без оценки

а можно вопрос, а нужен так хреновый пхп, или можно подумать о альтернативах в виде других языков для веба!, в угоду безопасности и стойкости к уязвимостям?;) я как-то уже писал на страницах этого ресурса, если не ошибаюсь о вреде использования ПыХа?:)

Оценка: 
Пока без оценки

PHP мерзкий, зато быстрый и отшлифованный. Ведь это не уязвимость в нем найдена, а пользователю предоставляется опция, определяющая поведение PHP. Lynis выявил, что значение этой опции установлено не самое оптимальное, только и всего.

Оценка: 
Пока без оценки

быстрый ли? отшлифованный!? Автор, при всем моем уважении к Вам, вы меня пугаете, а мне скоро спать ложиться! кстати написал Вам в личку!;) Еще раз извеняюсь за своего племяника!:(

Оценка: 
Пока без оценки

быстрый ли?

Очень быстрый. В десятки раз быстрее Ruby, например. Лично засекал, может быть будет пост на эту тему. Напоминаю, самые высоконагруженные проекты типа Вконтакта и Фейсбука были на PHP и лишь относительно недавно перешли на С/C++.

при всем моем уважении к Вам, вы меня пугаете

Даже не знаю, что на это можно ответить. :) Если Вы всего пугаетесь, могу посоветовать начать борьбу с собственной пугливостью с приема контрастного душа. Ну, знаете, включаете холодную воду и стоите, ничего не пугаетесь, хотя и хочется выпрыгнуть из ванной. Далее полученный экспириенс использовать при столкновении с другими «опасностями».

Оценка: 
Средняя: 5 (1 оценка)

Новый Либератум обрёл новую прекрасность. Плашки нужно продолжать вставлять.
А ещё нужно добавить функцию, чтобы посты по Ctrl+Enter можно было отправлять.

Оценка: 
Средняя: 5 (2 оценки)
M_o_n_g_o_l аватар

Тоже проверил: Hardening index : [65], неплохо. Спасибки! ))

Оценка: 
Пока без оценки

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.