この投稿は、Lynisによるセキュリティ監査に関するものです
はじめに
私はもともと、サーバー/ワークステーションシステムを保護する方法について書くつもりでした。しかし、lynisと呼ばれるこの戦闘テスト済みのツールがすでに存在することに気付いた後、私は考えを変えました。 それは私たちのためにそしてまた
提案を提供します。
Lynisは、Unixベースのオペレーティングシステム用のセキュリティ監査ツールです。この記事では、Debian11のデフォルトのインストールをlynisで調べます。 保護してみてください。 Lynisは、システムの詳細なスキャンを実行します。これには、システムにインストールされているソフトウェアやライブラリの特定のテストを実行するためのファイルシステムの権限などの基本的なチェックが含まれます。
このように、スキャンしているシステムに関連するコンポーネントのみを使用してテストします。例として、Webサーバーの場合、一般的な検査を行った後のWebサービス関連のテストのみが含まれます。
Lynisによるセキュリティ監査–インストールと監査の実行
Lynisは人気のあるソフトウェアです。そのため、さまざまなシステムに簡単にインストールできます。 Debianでは、aptを使用してインストールできます :
doas apt install -y lynis
さあ、試してみましょう。たくさんのコマンドが用意されています。それらについては、マニュアルページから読むことができます。 lynisに質問するには システム監査の実行を実行するには:
sudo lynis audit system
これには少し時間がかかります。
Lynisは私たちのシステムに61のスコアを与えます 、つまり、いくつかの作業が必要です。また、2つのログファイルを提供してくれます。 lynis.log スキャンとlynis-report.datのすべての技術的な詳細を保存します 私たちが見るべき警告と提案が含まれています。それでは、lynisが私たちに与えた提案を見てみましょう。たくさんの提案があります。
ブートローダーパスワードの設定
lynisがここで提供する提案の1つは、ブートローダーのパスワードを設定することです。ブートローダーメニューに移動し、カーネルパラメータ設定を変更できることは一般的な知識ですinit=/bin/bash ルートパスワードを簡単にリセットできます。場合によっては、これがセキュリティ上の脅威となることがあります。許可されていないプリンシパルがブートパラメータを変更できないようにする必要がある場合があります。ただし、ブートローダーのパスワードを設定しても、必ずしもすべてが保証されるわけではありません。これは、システムが持つべき複数のセキュリティレベルで必要なレベルです。
このトピックについては、以前ブログで取り上げました。ただし、テクノロジーは急速に進化しており、一部のコマンドは古くなっています。したがって、ここでは最新のテクニックを紹介します。
grubのパスワードを設定する方法は次のとおりです。 grub-mkpasswd-pbkdf2を実行します コマンドを実行し、パスワードを入力します。
次に、grubがパスワードであると言うテキストをコピーし、次を/etc/grub.d/40_customに追加します。 、適切な値を置き換えます:
set superusers="<username>"
password_pbkdf2 <username> <copied password>
次に、設定ファイルの権限を変更して、root(doas)によってのみ変更できるようにします。 sudoと同じです ):
doas chmod 600 /etc/grub.d/40_custom
grub構成ファイルを再生成します:
doas grub-mkconfig -o /boot/grub/grub.cfg
次に、システムを再起動し、eと入力してブートパラメータを変更しようとすると ブートローダーメニューで、GRUBはユーザー名とパスワードの入力を求めます。
システムの保護は非常に長いプロセスです。エルゴ、私はこの単一の記事でリニスが私に与えた提案のすべてをカバーしないことに決めました。むしろ、これは、lynisによって提供された提案を検討するマルチパートシリーズの記事のようなものになります。 システムをさらに保護します。今のところ以上です。今後ともよろしくお願いいたします。
参考資料
- 公式ウェブサイト
- Lynis –SourceForge
- GRUBのヒントとコツ– Arch Wiki