Lynis Рuma ferramenta simples de auditoria de seguran̤a

Lynis é uma ferramenta simples, bacana e que pode te ajudar a melhorar a segurança do seu sistema. Ela é capaz de escanear a máquina, procurar falhas de segurança, usuários sem senha, regras de firewall, certificados SSL expirados e informar sobre possíveis erros de configuração.

Tudo isto é feito de modo informativo e o Lynis não toma nenhuma ação automaticamente. Por isso ele não pode ser considerado uma ferramenta de hardening mesmo.

Segue um screenshot do Lynis em ação:

A ferramenta já foi testada em Arch Linux, CentOS, Debian, Fedora, FreeBSD, Mac OS X, Mandriva, OpenBSD, OpenSolaris, OpenSuSE, PCLinuxOS, Red Hat, Slackware 12.1 e Ubuntu.

Instalando o Lynis

Na verdade, o Lynis nem precisa ser instalado para ser executado. Basta você baixar o source e fazer:

$ tar xf lynis-1.2.1.tar.gz
$ cd lynis-1.2.1/

Dentro deste diretório você encontrará um arquivo "lynis", que é o executável. Para rodá-lo você só precisa:

• Ser root, ou ter direitos equivalentes
• Ter permissão de escrita no /var/log e no /tmp

Se você preferir instalar o Lynis, é só baixar o rpm para sua distribuição (ele fica no sub-diretório noarch), ou o deb, e instalá-lo usando o gerenciador de pacotes.

NOTA: O Lynis foi criado pelo mesmo autor do rkhunter (um anti-rootkit que eu já demonstrei como usar)

Usando o Lynis

A primeira coisa a ser feita é verificar se o Lynis está atualizado com o comando:

# ./lynis --check-update

Se o campo "Status" mostrar "Up-to-date" então é sinal que está tudo bem e você já pode escanear seu sistema com:

# ./lynis -c

O lynis vai varrer seu sistema e ir mostrando o resultado na tela. Primeiro ele detecta a versão do kernel, o hostname, o arquivo de log e algumas coisas mais. Depois ele checa a parte de boot e serviços.

Em seguida vem informações mais específicas do kernel (como versão e quantidade de modulos carregados), processos mortos ou zumbis e a parte de usuários e grupos.

Depois vem sistemas de arquivos, rede, impressoras e spools e toda a parte de software (email, integridade de arquivos, firewall etc).

Como se não bastasse, o Lynis ainda checa ferramentas do sistema, contas, tarefas do cron, certificados SSl, virtualização e frameworks de segurança (SELinux e AppArmor, por exemplo).

Como vocês podem ver é muita coisa mesmo, porém tudo de forma simples e resumida. Para cada teste feito você verá um "[ OK ]" ou um "[ WARNING ] ". O primeiro é um resultado bom, o outro não. De qualquer forma é bom você prestar muita atenção em cada item pois o "[ OK ]" nem sempre quer dizer que o sistema esteja configurado corretamente, esteja seguro ou que aquilo seja a melhor pratica. Assim como o "[ WARNING ]" nem sempre é algo ruim, pois os sistemas são diferentes e podem requerer coisas diferentes.

No final de todo o processo ele gera um resultado parecido com este:

Os resultados acima mostram, por exemplo, que o modulo do iptables está carregado mas não há nenhuma regra em uso (ou seja, ele está sendo desnecessário), que nenhum serviço ou cliente NTP foi encontrado, que não há senha no GRUB etc. Ele mostra, também, a gravidade de cada item (leve, médio ou grave).

Com base nestes resultados você pode tomar ações e corrigir os problemas encontrados (caso ache que seja necessário, claro). Se precisar de informações mais detalhadas é só checar os arquivos /var/log/lynis.log e /var/log/lynis-report.dat.

A ferramenta ainda possui outras opções que podem ser interessantes para você:

Rodar o Lynis em modo rápido (assim ele não espera que você aperte enter sempre):

# ./lynis -Q

Mostrar apenas os warnings encontrados:

# ./lynis -q

Setar o nome do "auditor":

# ./lynis --auditor "Seu nome"

Para uma lista completa de opções e mais informações rode:

# ./lynis --help

E visite o site do projeto.