Самостоятельный аудит безопасности операционных систем семейства linux
Один из моих любимых инструментов - аудитор уязвимостей системы Lynis.
установка:
после этого можно провести полный аудит своей системы, выполнив команду
через минуту он сообщит вам ваш "индекс прочности". поскольку в разных версиях аудитора шкала отличается на 2-3 пункта (например 80 в версии 2.6 это 83-84 в версии 2.4) то советую в первую очередь обращать внимание на остутствие красных "варнингов":
Но главное не узнать свой индекс, о поднять его. Так что внизу теста будут перечислены все уязвимости и варианты их устранения. Очень серьезный инструмент, категорически рекомендую.
Один из моих любимых инструментов - аудитор уязвимостей системы Lynis.
установка:
Код:
sudo apt update
sudo apt install -y lynisпосле этого можно провести полный аудит своей системы, выполнив команду
Код:
sudo lynis audit systemчерез минуту он сообщит вам ваш "индекс прочности". поскольку в разных версиях аудитора шкала отличается на 2-3 пункта (например 80 в версии 2.6 это 83-84 в версии 2.4) то советую в первую очередь обращать внимание на остутствие красных "варнингов":
You must be registered for see images attach
Но главное не узнать свой индекс, о поднять его. Так что внизу теста будут перечислены все уязвимости и варианты их устранения. Очень серьезный инструмент, категорически рекомендую.
Оффлайн
- Регистрация
- 09.12.17
- Сообщения
- 1.103
- Реакции
- 751
- Репутация
- 0
Действительно классная вещь. В своё время баловался ею.
Помню ещё где-то нагуглил возможность корректирования теста что бы удалить ненужные прохождения, а таких не мало ведь даже взаимодействие с принтером тестирует.
В ручную в файле конфигурации проставляется что не тестировать и в итоге получаем более шустрый и адекватный тестировщик.
Жалею что не сохранилась своя выборка по исключению из аудита лишнего.
Если сделаешь её когда-нибудь, то выложи плиз.
Помню ещё где-то нагуглил возможность корректирования теста что бы удалить ненужные прохождения, а таких не мало ведь даже взаимодействие с принтером тестирует.
В ручную в файле конфигурации проставляется что не тестировать и в итоге получаем более шустрый и адекватный тестировщик.
Жалею что не сохранилась своя выборка по исключению из аудита лишнего.
Если сделаешь её когда-нибудь, то выложи плиз.
Если так делать показания будут завышены. Суть аудита в том и есть, что есть некая общая шкала оценки.
You must be registered for see links
Установка свежей версии LYNIS
# Скачиваем и добавляем публичные ключи репозитория:
Код:
sudo wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add -# Устанавливаем для апта поддержку https:
Код:
sudo apt install apt-transport-https# Создаем в каталоге /etc/apt/sources.list.d/ файл репозитория - cisofy-lynis.list
Код:
echo "deb https://packages.cisofy.com/community/lynis/deb/ CODENAME main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.listвместо CODENAME нужно вписать свою версию дистрибутива, как в примерах ниже:
Код:
Debian
Debian 7 echo "deb https://packages.cisofy.com/community/lynis/deb/ wheezy main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Debian 8 echo "deb https://packages.cisofy.com/community/lynis/deb/ jessie main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Debian 9 echo "deb https://packages.cisofy.com/community/lynis/deb/ stretch main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Debian (other versions) echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Ubuntu
Ubuntu 14.04 echo "deb https://packages.cisofy.com/community/lynis/deb/ trusty main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Ubuntu 16.04 echo "deb https://packages.cisofy.com/community/lynis/deb/ xenial main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Ubuntu (other versions) echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Other Debian derivatives (like Kali)
Stable repository echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list# Обновляем списки пакетов:
Код:
sudo apt update# Обновляем аудитор до версии 2.6.3:
Код:
sudo apt install -y lynis# Проводим полный аудит системы:
Код:
sudo lynis audit systemАудитор обновился до версии 2.6.4.
Для тех кто не понимает его важности:
По поводу индекса прочности Lynis.
Для одних это просто цифры и их значение остается за кадром. И это нормально, большинству людей неинтересно тратить 3 месяца на изучение этого инструмента.
Для других это вообще "показуха"и они думают что эти цифры ничего не значат. Хотя это опасное заблуждение так как пара тройках пунктов, которые ты недобрал может стоить тебе 12-15 лет заключения в исправительной колонии строгого режима. И все эти 12-15 лет ты будешь винить себя за это.
Расскажу о некоторых требованиях аудитора, что бы вы поняли что все они написаны кровью и применять их нужно обязательно.
1. Требование установить программу проверки качества паролей. Если кто то из команды заюзает пароль типа 12345, то носитель смогут вскрыть программно, без применения форсированного допроса в течении суток. А это значит что вероятный противник по таймингам будет в плюсе - получит доступ к аккаунтам раньше, чем команда поймет что сотрудник в плену и успеет это грамотно использовать.
2. Требование установить пакеты для обнаружения руткитов, троянов, бэкдоров, вирусов, скрытых процессов и папок, подозрительных сегментов оперативной памяти с общим доступом для нескольких пользователей. Учитывая специфику бизнеса вероятный противник предполагает или уверен в высокой степени анонимности подозреваемого и вместо того чтобы пробивать цепи узлова тора может попробовать применить навыки социальной инжинерии и атаковать таким способом.
3. Требования изменения параметров sysctl (по сути бронирование ядра системы) которые в итоге дадут защиту от MITM атак (атаки при которых между тобой и адресатом врезается атакущий и он становится ретранслятором - весть трафик идет через него, при этом разумеется он может его анализировать и управлять им). А это далеко не миф - в учебнике по криминалистике есть даже глава - перехват трафика.
4. Требование установить модуль упреждающей защиты AppArmor в паре с Auditd. AppArmor это модуль ядра, который может ограничивать поведение программ с помощью политик и конфигурационных файлов. Например можно запретить подозрительному приложению возможность создавать или изменять какие то файлы, ограничить доступ к определенным разделам или папкам. Традиционно в группу риска попадают программы из раздела меню Internet - так как именно через них проводится большинство атак.
5. Требование добавить репозиторий команды дебиан-секьюрити в список репозиториев, что даст в итоге возможность оперативно узнавать про новые уязвимости и так же оперативно получать обновленные программы.
6. Требование установить пакет, который сверяет цифровые подписи скаченных программ с подписями их разработчиков, исключая установку "заряженных" троянами пакетов.
7. Проверяет нет ли в системе пакетов с найденными уязвимостями и требует обновить их или удалить вовсе.
8. Требования отключить опасные драйвера, через которые система может быть атакована или же через которые могут быть украдены данные.
9. Требование установить программы обнаружения сетевых атак например такие как arpwatch - которая способна обнаруживать такие атаки как arp poisoning. А между прочим arp poisoning как и MITM лежат в основе атак с целью перехвата токенов авторизации, логинов и паролей и прочих критичных данных.
10. требует более строгий параметр umask - в итоге по умолчанию все создаваемые вами файлы запрещены даже для просмотра другими пользователями. всем файлам по умолчанию запрещается запуск как программе, пока вы сами это не разрешите. думаю понятно зачем.
11. требует установить оборонный модуль fail2ban, который будет автоматически блокировать IP адреса с которых производились попытки подключения к вашей машине (аналогичные модули ставят на сервера для защиты от "Гидры" - сверхскоростного многопоточного "брутфорсера" - комплекса для атак на удаленные системы и подбора по словарю пар логин/пароль)
12. установить автоматический контроль за изменением критически важных файлов в системе: в которых хрянятся пароли, настройки защитных модулей и систем и т.п.
13. Требует установить shell autologout - если вы (или не дай бог не вы) залогинились в системе как рут - то при бездействии в 3 минуты система сама завершит сеанс и перекроет доступ. а еще через три завершит и сеанс простого пользователя. делается это для того что бы помешать вероятному противнику закрепиться на захваченном плацдарме если вдруг ему это удастся.
продолжать можно еще очень долго. только глупый или завистливый человек может писать что все это не имеет значения и на флешку я ставлю это для красоты. ну или тот, кто работает в "офесе" и ему не чего скрывать. такие свои письки выкладывают в контакте под своими ф.и.о. да и бог с ними, в рот им ноги, как говорится...
Для тех кто не понимает его важности:
По поводу индекса прочности Lynis.
Для одних это просто цифры и их значение остается за кадром. И это нормально, большинству людей неинтересно тратить 3 месяца на изучение этого инструмента.
Для других это вообще "показуха"и они думают что эти цифры ничего не значат. Хотя это опасное заблуждение так как пара тройках пунктов, которые ты недобрал может стоить тебе 12-15 лет заключения в исправительной колонии строгого режима. И все эти 12-15 лет ты будешь винить себя за это.
Расскажу о некоторых требованиях аудитора, что бы вы поняли что все они написаны кровью и применять их нужно обязательно.
1. Требование установить программу проверки качества паролей. Если кто то из команды заюзает пароль типа 12345, то носитель смогут вскрыть программно, без применения форсированного допроса в течении суток. А это значит что вероятный противник по таймингам будет в плюсе - получит доступ к аккаунтам раньше, чем команда поймет что сотрудник в плену и успеет это грамотно использовать.
2. Требование установить пакеты для обнаружения руткитов, троянов, бэкдоров, вирусов, скрытых процессов и папок, подозрительных сегментов оперативной памяти с общим доступом для нескольких пользователей. Учитывая специфику бизнеса вероятный противник предполагает или уверен в высокой степени анонимности подозреваемого и вместо того чтобы пробивать цепи узлова тора может попробовать применить навыки социальной инжинерии и атаковать таким способом.
3. Требования изменения параметров sysctl (по сути бронирование ядра системы) которые в итоге дадут защиту от MITM атак (атаки при которых между тобой и адресатом врезается атакущий и он становится ретранслятором - весть трафик идет через него, при этом разумеется он может его анализировать и управлять им). А это далеко не миф - в учебнике по криминалистике есть даже глава - перехват трафика.
4. Требование установить модуль упреждающей защиты AppArmor в паре с Auditd. AppArmor это модуль ядра, который может ограничивать поведение программ с помощью политик и конфигурационных файлов. Например можно запретить подозрительному приложению возможность создавать или изменять какие то файлы, ограничить доступ к определенным разделам или папкам. Традиционно в группу риска попадают программы из раздела меню Internet - так как именно через них проводится большинство атак.
5. Требование добавить репозиторий команды дебиан-секьюрити в список репозиториев, что даст в итоге возможность оперативно узнавать про новые уязвимости и так же оперативно получать обновленные программы.
6. Требование установить пакет, который сверяет цифровые подписи скаченных программ с подписями их разработчиков, исключая установку "заряженных" троянами пакетов.
7. Проверяет нет ли в системе пакетов с найденными уязвимостями и требует обновить их или удалить вовсе.
8. Требования отключить опасные драйвера, через которые система может быть атакована или же через которые могут быть украдены данные.
9. Требование установить программы обнаружения сетевых атак например такие как arpwatch - которая способна обнаруживать такие атаки как arp poisoning. А между прочим arp poisoning как и MITM лежат в основе атак с целью перехвата токенов авторизации, логинов и паролей и прочих критичных данных.
10. требует более строгий параметр umask - в итоге по умолчанию все создаваемые вами файлы запрещены даже для просмотра другими пользователями. всем файлам по умолчанию запрещается запуск как программе, пока вы сами это не разрешите. думаю понятно зачем.
11. требует установить оборонный модуль fail2ban, который будет автоматически блокировать IP адреса с которых производились попытки подключения к вашей машине (аналогичные модули ставят на сервера для защиты от "Гидры" - сверхскоростного многопоточного "брутфорсера" - комплекса для атак на удаленные системы и подбора по словарю пар логин/пароль)
12. установить автоматический контроль за изменением критически важных файлов в системе: в которых хрянятся пароли, настройки защитных модулей и систем и т.п.
13. Требует установить shell autologout - если вы (или не дай бог не вы) залогинились в системе как рут - то при бездействии в 3 минуты система сама завершит сеанс и перекроет доступ. а еще через три завершит и сеанс простого пользователя. делается это для того что бы помешать вероятному противнику закрепиться на захваченном плацдарме если вдруг ему это удастся.
продолжать можно еще очень долго. только глупый или завистливый человек может писать что все это не имеет значения и на флешку я ставлю это для красоты. ну или тот, кто работает в "офесе" и ему не чего скрывать. такие свои письки выкладывают в контакте под своими ф.и.о. да и бог с ними, в рот им ноги, как говорится...
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.