Sådan kontrolleres sikkerheden på en Linux-pc med Lynis

Af
Tweet
Share
Share
Pin

Hvis din Linux-sikkerhed mangler, er en god idé at revidere dit system. En god måde at køre en revision på er at bruge et program, der tester sikkerheden og tilbyder konkrete løsninger. Et sådant revisionsværktøj er Lynis. Det er et værktøj, der kan kontrollere sikkerheden på en Linux-pc. Den scanner enhver Linux-pc, tester dens sikkerhed og udskriver en liste over mulige problemer og rettelser. Den bedste del af dette værktøj er, at det er meget nemt at bruge, og alle kan bruge det.

Ubuntu/Debian

Lynis har fremragende support til Debian og Ubuntu gennem deres eget softwarelager. Aktivering af dette softwarelager er lidt anderledes end andre softwarekilder, da det er et traditionelt softwarelager. Der er ingen PPA’er eller noget. Dette er så Lynis fungerer på både Debian og Ubuntu uden problemer.

For at starte installationen skal du starte et terminalvindue og downloade den korrekte GPG-nøgle.

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F

Mens nøglen virker, tilføjer du den nye Lynis-softwarekilde til systemet.

sudo -s
echo '#Lynis repo ' >> /etc/apt/sources.list

echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list

Lynis-softwarerepoen har brug for en speciel pakke. Denne pakke vil tillade Ubuntu (eller Debian) at interagere med HTTPS-softwarekilder.

sudo apt install apt-transport-https

eller

sudo apt-get install apt-transport-https

Med Apt-transport-https-pakken, der virker på dit system, er det sikkert at opdatere softwarekilderne. Kør opdatering i terminalen.

sudo apt update

eller

sudo apt-get update

Til sidst skal du installere Lynis.

sudo apt install lynis

eller

sudo apt-get install lynis

Arch Linux

Som de fleste programmer har Arch Lynis-sikkerhedsværktøjet i AUR. For at installere det, start en terminal og installer Git og Base-devel-pakkerne. Træk derefter koden ned og generer en ny Arch-pakke.

  Sådan overføres Android-filer trådløst til et Linux-skrivebord

Bemærk: Forstå venligst, at installation af software direkte fra Arch AUR i stedet for de officielle softwarekilder betyder, at nogle gange ikke installeres afhængigheder. Du skal muligvis installere disse pakker manuelt, hvis dette sker under Lynis-installationsprocessen. Afhængigheder kan findes i bunden af denne side her.

sudo pacman -S git base-devel
git clone https://aur.archlinux.org/lynis-git.git

cd lynis-git

makepkg -si

Fedora

Lynis har support til Fedora, selvom det kræver en tredjeparts softwarekilde for at installere det. Aktiver softwarekilden ved at starte en terminal og bruge berørings- og ekkokommandoerne.

sudo -s

touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo
echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo
echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo
echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo
echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo
echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo

Opdater derefter følgende pakker på dit system:

sudo dnf update ca-certificates curl nss openssl -y

Til sidst skal du installere Lynis med dnf install.

sudo dnf install lynis -y

OpenSUSE

Lynis-værktøjet har et softwarelager tilgængeligt for alle versioner af OpenSUSE. Tænd det med følgende kommandoer i et terminalvindue.

sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis

Med repoen på Suse er det tid til at opdatere systemet.

sudo zypper refresh

Afslut opsætningsprocessen ved at bruge Zypper til at installere Lynis.

sudo zypper install lynis

Generisk Linux

Lynis revisionsværktøjet har en generisk Tarball for dem på Linux-distributioner, der ikke har direkte support fra udvikleren. Heldigvis kræver dette downloadbare Tar-arkiv ingen kompilering af nogen art. I stedet downloader brugerne det og kører programmet, som det er.

  Sådan arbejder du med Snap-pakker på Linux

For at installere Lynis via et Tar-arkiv, der kan downloades, skal du bruge wget-værktøjet og downloade pakken og derefter udpakke den.

wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz
tar -zxvf lynis-2.6.8.tar.gz 

cd lynis

Kør Lynis-værktøjet med:

./lynis

Bruger Lynis

Lynis er et simpelt værktøj med mange muligheder. For den gennemsnitlige bruger, vil grundlæggende muligheder gøre. Den mest grundlæggende (endnu omfattende) operation, som programmet kan udføre, er at lave en komplet revision af systemet. For at køre revisionen skal du åbne en terminal og indtaste følgende kommando i den.

lynis audit system

At køre ovenstående kommando uden nogen Sudoer-privilegier vil scanne mange aspekter af systemet. Den får dog ikke alt. At køre en fuld scanning kræver sudo.

sudo lynis audit system --pentest

Har du brug for at gemme resultaterne til senere? Overfør dem til en tekstfil.

sudo lynis audit system >> /home/username/Documents/lynis-results.txt

Scan Docker-fil

Docker bliver stadig mere populær på Linux-systemer. Med alle de forudlavede Docker-billeder derude, vil der helt sikkert ske sikkerhedsbrud. Heldigvis giver Lynis brugere mulighed for at scanne Docker-filer og teste dem for problemer. For at køre en test, prøv følgende kommando.

lynis audit dockerfile /home/username/path/to/dockerfile

Hurtig scanning

Lynis kan lave mange forskellige typer scanninger. En scanning, der kan være nyttig, hvis du har travlt, er den “hurtige” scanningstilstand. Denne tilstand tester de grundlæggende områder af systemet for at få hurtige resultater.

  Sådan spiller du Spelunky på Linux

Kør en hurtig systemrevision med:

lynis audit system -Q