Lynis: аудит безопасности сервера. Обновление Lynis на Debian 7.

вторник, 3 июня 2014 г.

Если у вас есть свой сервер, выделенный (dedicated) или виртуальный (VDS/VPS), на базе Linux-системы, то провести аудит безопасности системы будет крайне не лишним. Для этого и нужна утилита Lynis.


Lynis позволяет получить информацию о состоянии большинства модулей системы. Список поддерживаемых ОС впечатляет – AIX, Arch Linux, Debian, Fedora Core, Ubuntu, Red Hat, SuSE и много других. Из софта поддерживается аудит MySQL, Oracle, PostgreSQL, Postfix, Sendmail, Apache, Nginx, PHP и других.

На примере Debian 7 установка выглядит крайне просто:
apt-get install lynis
Запуск еще проще
lynis -c


Важное условие – нужно выполнять запуск под root либо под юзером с правами root. В процессе работы будут выводиться частями результаты аудита системы. В том числе и рекомендации по настройке ядра, применив которые можно сделать свой сервер еще более безопасным.

По завершению будут показаны все рекомендации и важные проблемы для устранения, общий рейтинг качества аудита и записано все в /var/log/lynis.log и /var/log/lynis-report.dat

Но есть небольшой нюанс – пользователи даже самой свежей версии Debian 7 при установке из репозитария получат старую версию Lynis 1.3.0, которой уже более 2 лет. При запуске получат сообщение о необходимости обновить программу - "lynis update available". Аудит даже старой версии будет работать, но обновленная версия имеет более широкий функционал, поэтому лучше обновиться.
Переходим в каталог tmp (или какой вы сами пожелаете)
cd /tmp
Качаем свежую версию lynis с сайта
wget http://cisofy.com/files/lynis-1.5.3.tar.gz
Распаковываем архив
tar xfvz lynis-1.5.3.tar.gz

Дальше из папки lynis-1.5.3 нужно скопировать новые файлы, заменив ими старые (я использую обычный mc для этого):
default.prf и папку plugins скопировать в /etc/lynis
файл lynis в /usr/sbin
папки db и include  в /usr/share/lynis

Это основные действия, необходимые для обновления Lynis под Debian 7. После этого запускаете lynis -c и видите уже не устаревшую версию 1.3.0, а свежую 1.5.3.

Существует еще Enterprise версия, но она платная. Больше подойдет компаниям, которые очень серьезно относятся к безопасности своих серверов. Для обычного пользователя прекрасно подойдет и бесплатная версия, про которую я написал выше.

Если вы не хотите устанавливать себе lynis, но хотите провести аудит, то еще проще - скачивайте и распаковывайте архив, а потом из директории с распакованными данными запускайте:
./lynis -c
или
sh lynis -c

Результат будет тот же самый. Плюс если есть желание, то можно настроить выполнение аудита системы по cron, но это уже проще в документации прочитать.

Сайт: http://cisofy.com/lynis/
Скачать: http://cisofy.com/downloads/
Стоимость: бесплатно

Copyright © 2010 WEB IT blog