Mateus Müller

O carinha do Linux

26 jul. 2018

Auditoria de segurança no LINUX com LYNIS

Auditoria de segurança com LYNIS

Alguma vez já pensou em saber se seu sistema Linux está seguro? Se está usando as melhores práticas e recursos disponíveis? Então, nesta dica, vou te mostrar como você mesmo pode fazer uma auditoria de segurança no LINUX com LYNIS.

O Lynis é um script escrito em Shell por Michael Boelen, com o objetivo de verificar diferentes partes do sistema em busca de vulnerabilidades, para que você possa tratá-las. Este teste está de acordo com as normas da ISO27001, PCI-DSS e HIPAA. Além disso, ele suporta qualquer sistema Unix-like.

Como instalar o Lynis no Linux?

Primeiramente, uma das partes mais legais do Lynis é que você não precisa instalá-lo, apenas baixar e rodar o script. Sendo assim, faremos este exemplo no Kali Linux:

$ git clone https://github.com/CISOfy/lynis

$ cd lynis
Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

Grifei o script de execução em verde.

Como utilizar o Lynis no Linux?

Antes de mais nada, você deve estar como root:

$ ./lynis audit system -Q

A opção -Q faz um scan mais rápido. Entretanto, se quiser ver todas as opções disponíveis, rode ./lynis -h.

Ao final do scan, serão apresentadas algumas informações interessantes:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

O Hardening index é um número total com escala até 100 sobre a sua segurança. Nosso objetivo aqui, é fazer esse número aumentar com base nas recomendações e avisos de segurança:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

Após trabalhar uns 20 minutos em cima de algumas mudanças no sistema, temos o seguinte resultado:

Auditoria de segurança no LINUX com LYNIS
Auditoria de segurança no LINUX com LYNIS

De 58 para 71 já é bastante coisa, hein?

Aqui alguns pontos que trabalhei:

  • Adicionei um repositório de segurança do Debian testing no sources.list;
  • Adicionei drivers USB, iptables e firewire em uma blacklist;
  • Segundo servidor DNS no resolv.conf;
  • Instalei softwares recomendados;
  • Alterei configurações de tempo de senha no /etc/login.defs;
  • Senha no Grub;

Boas práticas para a segurança de informação no Linux | Parte 2

Aumente a segurança do seu sistema colocando uma senha no Grub

Lembrando que todo scan que você faz, um log é gerado em /var/log/lynis.log.

Uma coisa interessante é que cada sugestão tem um link que mostra formas de trabalhar na solução do problema.

Alguns dos itens que o Lynis verifica:

  • Programas instalados;
  • Configurações de UEFI;
  • Kernel;
  • Processos;
  • Usuários, grupos e configurações de autenticação;
  • Shell;
  • Sistema de arquivos;
  • Parâmetros do Kernel;
  • Configuração de redes;

E muitos outros, muitos mesmo!

Espero que tenha gostado desta dica!

Veja também:

Se tiver alguma dúvida ou sugestão de conteúdo, por favor, comente!

Comentários Disqus