今日、私たち全員が知っているように、この時代のサーバーとネットワークにとってセキュリティがいかに重要であるか。私たちはほとんどの時間をインフラストラクチャのセキュリティポリシーの実装に費やしています。ですから、ここで念頭に置いておくべき質問があります。私たちの脆弱性を見つけるのに役立つ自動ツールはありますか。そこで、 Lynisと呼ばれる無料のオープンソースツールを紹介したいと思います。 。
Lynisは、UnixおよびLinuxのようなシステムで人気のあるセキュリティ監査ツールの1つであり、Linuxベースのシステムのマルウェアおよびセキュリティ関連の脆弱性を検出できます。
通常、Linuxサーバーでは、ウェブサーバー、データベースサーバー、メールサーバー、FTPサーバーなど、さまざまなものを実行しています。Lynisは、すべてのLinuxボックスで自動セキュリティ監査と侵入テストを行うことで、Linux管理者の作業を楽にします。
Lynisは無料でオープンソースのオールインワンネットワークとサーバー監査ツールです。監査が完了すると、結果、警告、提案を確認し、それに応じてセキュリティ関連のポリシーを実装できます。システムのレポートが表示され、そのレポートはセクションに分割できます。
Lynisを使用する理由:
私たちの環境でLynisを使用する必要がある理由はいくつかありますが、以下に目立つものを示します。
- ネットワークとサーバーのセキュリティ監査
- 脆弱性の検出とスキャン
- システムの強化
- 侵入テスト
日付まで、Lynisは次のような複数のオペレーティングシステムをサポートしています:
- Red Hat、CentOS、FedoraなどのRPMベースのOS
- Ubuntu、LinuxMintなどのDebianベースのOS
- FreeBS
- macOS
- NetBSD
- OpenBSD
- Solaris
この記事のこの記事では、LinuxサーバーにLynisをインストールする方法と、Linuxサーバーのセキュリティ監査を実行する方法を示します。
LinuxサーバーへのLynisのインストール
Lynisは軽量のソフトウェアであり、システムを破壊したり、LinuxBoxでホストされているアプリケーションやサービスに影響を与えたりすることはありません
まず、Lynisをインストールするためのディレクトリを作成します
[[email protected] ~]# mkdir /usr/local/lynis [[email protected] ~]#
次に、ディレクトリに移動し、wgetコマンドを使用して最新のLynisソースコードをダウンロードします
[[email protected] ~]# cd /usr/local/lynis/ [[email protected] lynis]# wget https://downloads.cisofy.com/lynis/lynis-2.6.4.tar.gz
以下のコマンドを使用して、ダウンロードしたLynistar.gzファイルを抽出します
[[email protected] lynis]# ll total 268 -rw-r--r--. 1 root root 273031 May 2 07:45 lynis-2.6.4.tar.gz [[email protected] lynis]# tar zxpvf lynis-2.6.4.tar.gz [[email protected] lynis]# ll total 272 drwxr-xr-x. 6 root root 4096 Jun 1 23:17 lynis -rw-r--r--. 1 root root 273031 May 2 07:45 lynis-2.6.4.tar.gz [[email protected] lynis]#
次に、ディレクトリlynisに移動し、lynisスクリプトを実行して使用可能なオプションを指定します。ルートユーザーまたは管理者権限を持つユーザーがスクリプトを実行でき、すべてのログと出力が/var/log/lynis.logファイルに保存されます
[email protected] lynis]# cd lynis [[email protected] lynis]# ./lynis
上記のコマンドの出力は以下のようになります
監査を開始して脆弱性を見つける
次に、Lynisプロセスを開始する必要があるため、システム全体をスキャンするための「監査システム」パラメータを定義する必要があります。
以下のコマンドのいずれかを実行して、システム全体の監査を開始します。
[[email protected] lynis]# ./lynis audit system Or [[email protected] lynis]# ./lynis audit system --wait --> (wait for user to hit enter to display report for next section)
上記のコマンドの出力は次のようになります:
1)Lynisツールを初期化する
2)システムツールとブートおよびサービス
3)カーネルとメモリおよびプロセスの監査
4)ユーザーとグループおよび認証
5)シェルとファイルシステムの監査
6)USB、ストレージ、NFS、ネームサービスの監査
7)ポート、パッケージ、ネットワーク、プリンター、スプール監査
8)インストール済みソフトウェア監査
9)SSHサーバーとSNMP監査
10)LDAPサービス、PHP、Squid、およびロギングの監査
11)安全でないサービス、バナー、cronジョブ、および会計監査
12)時刻同期、暗号化、仮想化、コンテナ、セキュリティフレームワークの監査
13)ファイルのアクセス許可、マルウェアの検出、ホームディレクトリの監査
14)カーネル強化監査
15)警告と提案
16)Lynisのスキャンと監査の結果
システム全体のアプリケーションまたはサービスをスキャンまたは監査したくない場合があるため、カテゴリ別にカスタムアプリケーションを監査できます。それを実行する方法を見てみましょう
[[email protected] lynis]# ./lynis show groups accounting authentication banners boot_services containers crypto databases dns file_integrity file_permissions filesystems firewalls hardening homedirs insecure_services kernel kernel_hardening ldap logging mac_frameworks mail_messaging malware memory_processes nameservices networking php ports_packages printers_spools scheduling shells snmp squid ssh storage storage_nfs system_integrity time tooling usb virtualization webservers [[email protected] lynis]#[メール]はlynis保護しました]
そこで、Linuxのカーネルとデータベースの簡単な監査を行います。 、以下のコマンドを使用します。
[[email protected] lynis]# ./lynis --tests-from-group "databases kernel"
lynisコマンドのその他のオプションを確認するには、そのマニュアルページを参照してください。
[[email protected] lynis]# ./lynis --man
この記事の内容は以上です。フィードバックとコメントを共有してください。