Cách kiểm tra bảo mật Linux với Lynis

Nếu bạn đang thực hiện kiểm tra bảo mật trên PC Linux của mình bằng Lynis, điều đó sẽ đảm bảo rằng PC của bạn được bảo vệ nhiều nhất có thể. Bảo mật là tất cả đối với các thiết bị được kết nối internet, vì vậy đây là cách đảm bảo thiết bị của bạn được khóa an toàn.

PC Linux của bạn an toàn đến mức nào?

Lynis chạy một bộ thử nghiệm tự động kiểm tra kỹ lưỡng nhiều thành phần hệ thống và cài đặt của hệ điều hành Linux. Nó trình bày những phát hiện của mình trong một báo cáo ASCII được mã hóa màu dưới dạng một danh sách được phân loại gồm các cảnh báo, đề xuất và hành động cần thực hiện.

An ninh mạng là một hành động cân bằng. Hoang tưởng đơn giản không có ích lợi gì cho bất kỳ ai, vậy bạn nên lo lắng đến mức nào? Nếu bạn chỉ truy cập các trang web có uy tín, không mở tệp đính kèm hoặc nhấp vào liên kết trong các email không mong muốn và sử dụng các mật khẩu mạnh, khác nhau cho tất cả các hệ thống bạn đăng nhập, thì còn nguy hiểm gì? Đặc biệt là khi bạn đang sử dụng Linux?

Hãy giải quyết chúng theo thứ tự ngược lại. Linux không miễn dịch với phần mềm độc hại. Trên thực tế, sâu máy tính đầu tiên được thiết kế cho máy tính Unix vào năm 1988. Rootkit được đặt tên theo siêu người dùng Unix (root) và bộ phần mềm (bộ công cụ) mà chúng cài đặt để tránh bị phát hiện. Điều này cho phép siêu người dùng truy cập vào tác nhân đe dọa (tức là kẻ xấu).

Tại sao chúng được đặt tên theo gốc? Kể từ khi rootkit đầu tiên được phát hành vào năm 1990 và nhắm vào Sun Microsystems chạy SunOS Unix.

Vì vậy, phần mềm độc hại bắt đầu trên Unix. Anh ta nhảy qua hàng rào khi Windows cất cánh và gây chú ý. Nhưng giờ đây Linux đã thống trị thế giới, nó đã trở lại. Các hệ điều hành giống Linux và Unix như macOS thu hút toàn bộ sự chú ý của các tác nhân đe dọa.

Nguy hiểm nào còn tồn tại nếu bạn sử dụng máy tính của mình một cách cẩn thận, hợp lý và chú ý? Câu trả lời dài và chi tiết. Tóm lại, các cuộc tấn công mạng rất nhiều và đa dạng. Họ có thể làm những điều mà cho đến gần đây được coi là không thể.

Ví dụ, rootkit Ryuk có thể lây nhiễm máy tính khi chúng bị tắt, vi phạm các chức năng giám sát đánh thức trên mạng LAN. Bằng chứng về mã khái niệm cũng đã được phát triển. Các nhà nghiên cứu tại Đại học Ben-Gurion ở Negev đã chứng minh một “cuộc tấn công” thành công sẽ cho phép các tác nhân đe dọa lấy dữ liệu từ một máy tính được cách ly bằng không khí.

Không thể dự đoán những mối đe dọa mạng nào mà chúng có khả năng gây ra trong tương lai. Tuy nhiên, chúng tôi hiểu điểm nào của bảo mật máy tính dễ bị tổn thương. Bất kể bản chất của các cuộc tấn công hiện tại hay tương lai, việc lấp đầy những khoảng trống này trước đó chỉ có ý nghĩa.

Trong tổng số các cuộc tấn công mạng, chỉ có một tỷ lệ nhỏ là cố ý nhắm vào các tổ chức hoặc cá nhân cụ thể. Hầu hết các mối đe dọa đều có số lượng lớn vì phần mềm độc hại không quan tâm bạn là ai. Quét cổng tự động và các kỹ thuật khác chỉ đơn giản là tìm các hệ thống dễ bị tấn công và tấn công chúng. Bạn tự đề cử mình là nạn nhân bằng cách không thể tự vệ.

Và đây là nơi Lynis đến.

Cài đặt Lynis

Để cài đặt Lynis trên Ubuntu, hãy chạy lệnh sau:

sudo apt-get install lynis

Trong Fedora, gõ:

sudo dnf install lynis

Sudo dnf install lynis trong cửa sổ đầu cuối.

Trong Manjaro, bạn sử dụng Pacman:

sudo pacman -Sy lynis

sudo pacman -Sy lynis trong cửa sổ đầu cuối.

Tiến hành kiểm toán

Lynis dựa trên thiết bị đầu cuối nên không có GUI. Để bắt đầu kiểm tra, hãy mở một cửa sổ đầu cuối. Nhấp và kéo nó đến cạnh của màn hình để kéo nó lên hết cỡ hoặc kéo nó ra cao nhất có thể. Lynis chứa rất nhiều đầu ra, vì vậy cửa sổ đầu cuối của bạn càng cao thì càng dễ xem.

Sẽ thuận tiện hơn nếu bạn mở một cửa sổ đầu cuối dành riêng cho Lynis. Bạn sẽ cuộn lên và cuộn xuống rất nhiều, do đó, việc không phải đối phó với sự lộn xộn của các lệnh trước đó sẽ giúp bạn điều hướng các kết quả Lynis dễ dàng hơn.

Để bắt đầu kiểm tra, hãy nhập lệnh đơn giản mới mẻ này:

sudo lynis audit system

hệ thống kiểm toán sudo lynis trong cửa sổ đầu cuối.

Tên hạng mục, tiêu đề bài kiểm tra và điểm số sẽ cuộn trong cửa sổ đầu cuối sau khi hoàn thành từng hạng mục kiểm tra. Quá trình kiểm tra chỉ mất tối đa vài phút. Khi hoàn tất, bạn sẽ được đưa trở lại dấu nhắc lệnh. Để xem kết quả, chỉ cần cuộn qua cửa sổ đầu cuối.

Phần kiểm tra đầu tiên phát hiện phiên bản Linux, bản phát hành kernel và các chi tiết hệ thống khác.

Phần phát hiện hệ thống của báo cáo kiểm tra Lynis trong cửa sổ đầu cuối.

Các khu vực cần xem được đánh dấu bằng màu hổ phách (gợi ý) và màu đỏ (cảnh báo cần giải quyết).

Dưới đây là một ví dụ về cảnh báo. Lynis đã phân tích cú pháp hậu tố cấu hình máy chủ thư và đánh dấu thứ gì đó liên quan đến biểu ngữ. Sau đó, chúng tôi có thể biết thêm thông tin về chính xác những gì nó đã phát hiện và tại sao nó có thể là một vấn đề.

Danh mục email và tin nhắn dẫn đến báo cáo kiểm tra Lynis trong cửa sổ đầu cuối.

Dưới đây, Lynis cảnh báo chúng tôi rằng tường lửa không được định cấu hình trên Ubuntu VM mà chúng tôi đang sử dụng.

Danh mục Tường lửa dẫn đến báo cáo kiểm tra Lynis trong cửa sổ đầu cuối.

Cuộn qua các kết quả để xem những gì Lynis đã gắn thẻ. Ở cuối báo cáo kiểm tra, bạn sẽ thấy một màn hình tóm tắt.

Màn hình tóm tắt báo cáo kiểm toán Lynis trong cửa sổ đầu cuối.

“Chỉ số cứng” là kết quả của kỳ thi. Chúng tôi có 56 trên 100, điều đó không tuyệt vời. 222 thử nghiệm đã được thực hiện và một phần bổ trợ Lynis đã được kích hoạt. Nếu truy cập trang tải xuống plug-in Lynis Community Edition và đăng ký nhận bản tin, bạn sẽ nhận được liên kết đến nhiều plug-in hơn.

Có nhiều phần bổ trợ, bao gồm một số phần bổ trợ để kiểm tra tuân thủ như GDPR, ISO27001 và PCI-DSS.

Chữ V màu xanh biểu thị dấu kiểm. Bạn cũng có thể thấy các dấu chấm hỏi màu hổ phách và chữ X màu đỏ.

Chúng tôi có dấu kiểm màu xanh lá cây vì chúng tôi có tường lửa và trình quét phần mềm độc hại. Vì mục đích thử nghiệm, chúng tôi cũng đã cài đặt rkhunter, một công cụ phát hiện rootkit, để xem liệu Lynis có phát hiện ra nó hay không. Như bạn có thể thấy ở trên, nó đã làm được; chúng tôi có một dấu kiểm màu xanh lá cây bên cạnh “Trình quét phần mềm độc hại”.

Trạng thái tuân thủ không xác định vì phần bổ trợ tuân thủ không được sử dụng trong quá trình kiểm tra. Các mô-đun bảo mật và lỗ hổng đã được sử dụng trong thử nghiệm này.

Hai tệp được tạo: tệp nhật ký và tệp dữ liệu. Tệp dữ liệu có tại “/var/log/lynis-report.dat” là tệp chúng tôi quan tâm. Nó sẽ chứa một bản sao của kết quả (không tô màu) mà chúng ta có thể thấy trong cửa sổ đầu cuối. Đây là những điều hữu ích để xem chỉ số độ cứng cải thiện như thế nào theo thời gian.

Nếu cuộn lại trong cửa sổ đầu cuối, bạn sẽ thấy danh sách đề xuất và nhiều cảnh báo khác. Cảnh báo là yếu tố “vé lớn”, vì vậy chúng tôi sẽ xem xét chúng.

Phần cảnh báo của báo cáo kiểm tra Lynis trong cửa sổ đầu cuối.

Dưới đây là năm cảnh báo:

“Phiên bản Lynis rất cũ và nên được cập nhật”: Đây thực sự là phiên bản mới nhất của Lynis trong kho Ubuntu. Tuy anh chỉ có 4 tháng, Lynis coi nó là rất cũ. Các phiên bản trong gói Manjaro và Fedora mới hơn. Các bản cập nhật trong trình quản lý gói sẽ luôn bị trễ một chút. Nếu bạn thực sự muốn có phiên bản mới nhất, bạn có thể sao chép dự án từ GitHub và đồng bộ hóa nó.
“Không có mật khẩu cho chế độ đơn”: Chế độ đơn là chế độ khôi phục và bảo trì mà chỉ người dùng root mới làm việc. Theo mặc định, không có mật khẩu nào được đặt cho chế độ này.
“Không thể tìm thấy 2 máy chủ tên đáp ứng”: Lynis đã cố liên lạc với hai máy chủ DNS nhưng không thành công. Đây là cảnh báo rằng nếu máy chủ DNS hiện tại gặp sự cố, nó sẽ không tự động chuyển sang máy chủ khác.
“Đã tìm thấy tiết lộ biểu ngữ SMTP”: Tiết lộ thông tin xảy ra khi các ứng dụng hoặc thiết bị mạng cung cấp nhãn hiệu và số kiểu máy (hoặc thông tin khác) của chúng trong các phản hồi tiêu chuẩn. Điều này có thể cung cấp cho các tác nhân đe dọa hoặc phần mềm độc hại tự động thông tin chi tiết về các loại lỗ hổng bảo mật cần được kiểm tra. Sau khi xác định phần mềm hoặc thiết bị mà họ kết nối, một tìm kiếm đơn giản sẽ tìm thấy các lỗ hổng mà họ có thể cố gắng khai thác.
“các mô-đun iptables được tải nhưng không có quy tắc nào hoạt động”: Tường lửa Linux đang hoạt động nhưng không có quy tắc nào được đặt cho nó.

Xóa cảnh báo

Mỗi cảnh báo chứa một liên kết đến một trang web mô tả vấn đề và cung cấp các giải pháp. Chỉ cần di chuột qua một trong các liên kết, sau đó nhấn phím Ctrl và nhấp vào liên kết đó. Trình duyệt mặc định của bạn sẽ mở một trang web có thông báo hoặc cảnh báo này.

Trang sau mở ra cho chúng tôi khi chúng tôi Ctrl + nhấp vào liên kết đến cảnh báo thứ tư mà chúng tôi đã thảo luận trong phần trước.

Trang web cảnh báo kiểm toán Lynis.

Bạn có thể xem lại từng cảnh báo và quyết định những cảnh báo nào bạn nên chú ý.

Trang web ở trên giải thích rằng phần thông tin mặc định (“biểu ngữ”) được gửi đến hệ thống từ xa khi nó kết nối với máy chủ thư Postfix được thiết lập trên máy Ubuntu của chúng tôi quá chi tiết. Không có lợi ích gì khi cung cấp quá nhiều thông tin – trên thực tế, nó thường được sử dụng để chống lại bạn.

Trang web cũng cho biết rằng biểu ngữ được đặt tại “/etc/postfix/main.cf”. Nó khuyên chúng tôi nên cắt nó lại để chỉ hiển thị “$myhostname ESMTP”.

Để chỉnh sửa tệp theo đề xuất của Lynis, hãy nhập:

sudo gedit /etc/postfix/main.cf

Sudo gedit /etc/postfix/main.cf trong cửa sổ đầu cuối.

Trong tệp, chúng tôi tìm thấy một dòng xác định biểu ngữ.

postfix main.cf trong gedit với dòng smtp_banner được đánh dấu.

Chúng tôi chỉnh sửa nó để chỉ hiển thị văn bản do Lynis đề xuất.

postfix main.cf trong gedit với dòng smtp_banner đã chỉnh sửa được làm nổi bật.

Chúng tôi lưu các thay đổi của mình và đóng gedit. Bây giờ chúng ta cần khởi động lại máy chủ thư Postfix để các thay đổi có hiệu lực:

sudo systemctl restart postfix

hệ thống kiểm toán sudo lynis trong cửa sổ đầu cuối.

Bây giờ, hãy chạy lại Lynis và xem các thay đổi của chúng ta có ảnh hưởng gì không.

hệ thống kiểm toán sudo lynis trong cửa sổ đầu cuối.

Phần “Cảnh báo” hiện chỉ chứa bốn. Người đề cập đến postfix đã biến mất.

cảnh báo trong báo cáo kiểm tra Lynis trong cửa sổ đầu cuối.

Một người bị mất và chỉ có thêm bốn cảnh báo và 50 gợi ý!

Bạn nên đi bao xa?

Nếu bạn chưa bao giờ làm cứng PC của mình, có thể bạn sẽ nhận được cùng một số cảnh báo và đề xuất. Bạn nên xem qua tất cả và, được hướng dẫn bởi các trang web của Lynis cho từng trang, hãy gọi điện thoại để đánh giá xem có nên tham gia hay không.

Tất nhiên, phương pháp trong sách giáo khoa sẽ là cố gắng loại bỏ tất cả chúng. Tuy nhiên, điều đó nói thì dễ hơn làm. Ngoài ra, một số đề xuất có thể là quá mức cần thiết đối với máy tính gia đình trung bình.

Trình điều khiển nhân USB trong danh sách đen để vô hiệu hóa quyền truy cập USB khi không sử dụng? Đối với một máy tính quan trọng cung cấp dịch vụ kinh doanh nhạy cảm, điều này có thể cần thiết. Nhưng đối với PC Ubuntu gia đình? Chắc là không.

Những bài viết liên quan

Back to top button