Come controllare la sicurezza del tuo sistema Linux con Lynis

Se esegui un controllo di sicurezza sul tuo computer Linux con Lynis, assicurerai che la tua macchina sia il più protetta possibile. La sicurezza è tutto per i dispositivi connessi a Internet, quindi ecco come assicurarti che i tuoi siano bloccati in modo sicuro.

Quanto è sicuro il tuo computer Linux?

Lynis esegue una serie di test automatizzati che ispezionano a fondo molti componenti di sistema e impostazioni del sistema operativo Linux. Presenta i suoi risultati in un rapporto ASCII codificato a colori come un elenco di avvertimenti, suggerimenti e azioni classificate che dovrebbero essere intraprese.

La sicurezza informatica è un atto di equilibrio. La vera e propria paranoia non è utile a nessuno, quindi quanto dovresti essere preoccupato? Se visiti solo siti Web affidabili, non apri allegati o segui collegamenti in e-mail non richieste e utilizzi password diverse e robuste per tutti i sistemi a cui accedi, quale pericolo rimane? Soprattutto quando usi Linux?

Affrontiamo quelli al contrario. Linux non è immune al malware. In effetti, il primissimo worm per computer è stato progettato per prendere di mira i computer Unix nel 1988. I rootkit prendono il nome dal superutente Unix (root) e dalla raccolta di software (kit) con cui si installano per eludere il rilevamento. Questo dà al superutente l'accesso all'attore della minaccia (cioè il cattivo).

Perché prendono il nome dalla radice? Perché il primo rootkit è stato rilasciato nel 1990 e mirato a Sun Microsystems che eseguiva SunOS Unix.

Quindi, il malware ha avuto inizio su Unix. Ha saltato la recinzione quando Windows è decollato e ha monopolizzato le luci della ribalta. Ma ora che Linux gestisce il mondo, è tornato. I sistemi operativi Linux e simili a Unix, come macOS, stanno attirando la piena attenzione degli attori delle minacce.

Quale pericolo rimane se sei attento, ragionevole e consapevole quando usi il tuo computer? La risposta è lunga e dettagliata. Per riassumere un po', gli attacchi informatici sono molti e vari. Sono capaci di fare cose che fino a poco tempo fa erano considerate impossibili.

I rootkit, come Ryuk, possono infettare i computer quando sono spenti compromettendo le funzioni di monitoraggio della riattivazione LAN. È stato inoltre sviluppato un codice proof of concept. Un attacco riuscito è stato dimostrato dai ricercatori dell'Università Ben-Gurion del Negev che consentirebbe agli attori delle minacce di esfiltrare i dati da un computer con air gap.

È impossibile prevedere di cosa saranno capaci le minacce informatiche in futuro. Tuttavia, comprendiamo quali punti delle difese di un computer sono vulnerabili. Indipendentemente dalla natura degli attacchi presenti o futuri, ha senso solo colmare queste lacune in anticipo.

Del numero totale di attacchi informatici, solo una piccola percentuale è mirata consapevolmente a organizzazioni o individui specifici. La maggior parte delle minacce sono indiscriminate perché al malware non importa chi sei. La scansione automatica delle porte e altre tecniche cercano semplicemente i sistemi vulnerabili e li attaccano. Ti nomini vittima essendo vulnerabile.

Ed è qui che entra in gioco Lynis.

Installazione di Lynis

Per installare Lynis su Ubuntu, esegui il seguente comando:

sudo apt-get install lynis

Su Fedora, digita:

sudo dnf install lynis

Su Manjaro, usi pacman:

sudo pacman -Sy lynis

Conduzione di un audit

Lynis è basato su terminale, quindi non c'è GUI. Per avviare un controllo, apri una finestra di terminale. Fai clic e trascinalo sul bordo del monitor per farlo scattare a tutta altezza o allungarlo il più in alto possibile. C'è molto output da Lynis, quindi più alta è la finestra del terminale, più facile sarà la revisione.

È anche più conveniente aprire una finestra di terminale specifica per Lynis. Scorrerete molto su e giù, quindi non dover gestire il disordine dei comandi precedenti renderà più facile la navigazione nell'output di Lynis.

Per avviare l'audit, digita questo comando piacevolmente semplice:

sudo lynis audit system

I nomi delle categorie, i titoli dei test e i risultati scorreranno nella finestra del terminale al completamento di ciascuna categoria di test. Un audit richiede solo pochi minuti al massimo. Al termine, verrai riportato al prompt dei comandi. Per rivedere i risultati, basta scorrere la finestra del terminale.

La prima sezione dell'audit rileva la versione di Linux, il rilascio del kernel e altri dettagli del sistema.

Le aree che devono essere esaminate sono evidenziate in ambra (suggerimenti) e rosso (avvertenze che dovrebbero essere affrontate).

Di seguito è riportato un esempio di avviso. Lynis ha analizzato la configurazione del server di posta postfix e ha segnalato qualcosa che ha a che fare con il banner. Possiamo ottenere maggiori dettagli su ciò che ha trovato esattamente e perché potrebbe essere un problema in seguito.

Di seguito, Lynis ci avverte che il firewall non è configurato sulla macchina virtuale Ubuntu che stiamo utilizzando.

Scorri i risultati per vedere cosa ha segnalato Lynis. Nella parte inferiore del rapporto di controllo, vedrai una schermata di riepilogo.

L'”Hardening Index” è il punteggio del tuo esame. Abbiamo ottenuto 56 su 100, il che non è eccezionale. Sono stati eseguiti 222 test e un plug-in Lynis è abilitato. Se vai alla pagina di download del plug-in Lynis Community Edition e ti iscrivi alla newsletter, otterrai collegamenti ad altri plug-in.

Esistono molti plug-in, inclusi alcuni per il controllo rispetto agli standard, come GDPR, ISO27001 e PCI-DSS.

Una V verde rappresenta un segno di spunta. Potresti anche vedere punti interrogativi color ambra e X rosse.

Abbiamo segni di spunta verdi perché abbiamo un firewall e uno scanner di malware. A scopo di test, abbiamo anche installato rkhunter, un rilevatore di rootkit, per vedere se Lynis l'avrebbe scoperto. Come puoi vedere sopra, lo ha fatto; abbiamo un segno di spunta verde accanto a Malware Scanner.

Lo stato di conformità è sconosciuto perché l'audit non ha utilizzato un plug-in di conformità. In questo test sono stati utilizzati i moduli di sicurezza e vulnerabilità.

Vengono generati due file: un registro e un file di dati. Il file di dati, che si trova in /var/log/lynis-report.dat, è quello che ci interessa. Conterrà una copia dei risultati (senza l'evidenziazione del colore) che possiamo vedere nella finestra del terminale . Questi sono utili per vedere come il tuo indice di indurimento migliora nel tempo.

Se scorri all'indietro nella finestra del terminale, vedrai un elenco di suggerimenti e un altro di avvisi. Gli avvertimenti sono gli elementi big ticket, quindi li esamineremo.

Questi i cinque avvertimenti:

La versione di Lynis è molto vecchia e dovrebbe essere aggiornata: questa è in realtà la versione più recente di Lynis nei repository di Ubuntu. Anche se ha solo 4 mesi, Lynis lo considera molto vecchio. Le versioni nei pacchetti Manjaro e Fedora erano più recenti. È probabile che gli aggiornamenti nei gestori di pacchetti siano sempre leggermente in ritardo. Se vuoi davvero l'ultima versione, puoi clonare il progetto da GitHub e mantenerlo sincronizzato.
Nessuna password impostata per la modalità singola: singola è una modalità di ripristino e manutenzione in cui è operativo solo l'utente root. Nessuna password è impostata per questa modalità per impostazione predefinita.
Impossibile trovare 2 server dei nomi reattivi: Lynis ha provato a comunicare con due server DNS, ma senza successo. Questo è un avviso che se l'attuale server DNS fallisce, non ci sarà il rollover automatico a un altro.
Divulgazione di alcune informazioni rilevata nel banner SMTP: la divulgazione di informazioni si verifica quando le applicazioni o le apparecchiature di rete forniscono la loro marca e i numeri di modello (o altre informazioni) nelle risposte standard. Ciò può fornire agli attori delle minacce o al malware automatizzato informazioni sui tipi di vulnerabilità da verificare. Una volta identificato il software o il dispositivo a cui si sono connessi, una semplice ricerca troverà le vulnerabilità che possono tentare di sfruttare.
modulo/i iptables caricato/i, ma nessuna regola attiva: il firewall di Linux è attivo e funzionante, ma non ci sono regole impostate per esso.

Cancellazione degli avvisi

Ogni avviso ha un collegamento a una pagina Web che descrive il problema e cosa puoi fare per risolverlo. Basta posizionare il puntatore del mouse su uno dei collegamenti, quindi premere Ctrl e fare clic su di esso. Il tuo browser predefinito si aprirà sulla pagina web per quel messaggio o avviso.

La pagina sottostante si è aperta quando abbiamo fatto Ctrl+clic sul collegamento per il quarto avviso trattato nella sezione precedente.

Puoi rivedere ciascuno di questi e decidere quali avvisi affrontare.

La pagina web sopra spiega che lo snippet predefinito di informazioni (il banner) inviato a un sistema remoto quando si connette al server di posta postfix configurato sul nostro computer Ubuntu è troppo dettagliato. Non c'è alcun vantaggio nell'offrire troppe informazioni, anzi, spesso vengono usate contro di te.

La pagina web ci dice anche che il banner risiede in /etc/postfix/main.cf. Ci avvisa che dovrebbe essere ridotto per mostrare solo $myhostname ESMTP.

Digitiamo quanto segue per modificare il file come consiglia Lynis:

sudo gedit /etc/postfix/main.cf

Individuiamo la riga nel file che definisce il banner.

Lo modifichiamo per mostrare solo il testo consigliato da Lynis.

Salviamo le nostre modifiche e chiudiamo gedit. Ora dobbiamo riavviare il server di posta postfix affinché le modifiche abbiano effetto:

sudo systemctl restart postfix

Ora eseguiamo Lynis ancora una volta e vediamo se le nostre modifiche hanno avuto effetto.

La sezione Avvisi ora ne mostra solo quattro. Quello che fa riferimento a postfix non c'è più.

Uno in meno, e solo altri quattro avvertimenti e 50 suggerimenti da fare!

Quanto lontano dovresti andare?

Se non hai mai eseguito alcun rafforzamento del sistema sul tuo computer, probabilmente avrai all'incirca lo stesso numero di avvisi e suggerimenti. Dovresti esaminarli tutti e, guidati dalle pagine Web di Lynis per ciascuno, esprimere un giudizio sull'opportunità di affrontarlo.

Il metodo da manuale, ovviamente, sarebbe cercare di cancellarli tutti. Potrebbe essere più facile a dirsi che a farsi, però. Inoltre, alcuni dei suggerimenti potrebbero essere eccessivi per il computer di casa medio.