Lynis - Audite seu sistema de forma fácil

Que o GNU/Linux é seguro todos nós sabemos, mas será que ele está sempre configurado da melhor forma? Com tantas modificações e instalações de pacotes será que o sistema continua seguro?
Existem ferramentas que auxiliam no processo de identificação de possíveis fraquezas nas configurações, uma delas é o Lynis.
O Lynis existe desde 2007, é um projeto “open source” - apesar de existir uma versão enterprise - e está disponível na maioria dos sistemas “unix-like”.
O Lynis é uma ferramenta de auditoria, “compliance”, testes de penetração, identificação de vulnerabilidades e “hardening” do sistema.
Ele pode ser instalado via “tarball”, pacotes de distribuição ou simplesmente clonado do Github.

Usei como base a minha instalação Mint 19.2.

Primeiramente clonei o projeto na pasta /usr/local com o comando:
sudo git clone https://github.com/CISOfy/lynis

Será criado uma pasta chamada lynis, dentro dela existe um arquivo com o mesmo nome que pode ser executado assim: sudo ./lynis audit system

Ele demora um pouco para terminar, mas vai mostrando tudo o que ele faz em tela, observe as “flags” WARNING e SUGGESTION.

No fina do teste ele salva dois arquivos na pasta /var/log (lynis.log e lynis-report.dat), que são um compilado do que é apresentado em tela.

Preste atenção na seguinte parte dos resultados em tela:
Captura%20de%20tela%20de%202019-11-12%2016-00-40
O “Hardening index” é uma escala que mostra o quanto seu sistema está bem configurado e vai até 100. Quanto maior melhor!
Na parte de WARNING e SUGGESTION estão as considerações sobre o seu sistema, nela é mostrado o que você deveria alterar, sempre existe um link para a explicação daquela “flag”, convém acessar e ler um por um.

Bem, o Lynis pode auxiliar aqueles que queiram deixar seu sistema melhor configurado em relação a segurança, seja um desktop ou um servidor. Ele está em conformidade com os melhores “frameworks” de segurança e leis (ISO27000, PCI DSS, SOx), possui um versão “enterprise” com mais “plugins”, mas é bem útil na versão “open source”.

Longe de ter esgotado o assunto, espero que este post seja útil :slight_smile:

Site do projeto: https://cisofy.com/lynis/

4 Curtidas

Muito interessante, rodei no meu. Como fazer tais correções que o programa cita?

No arquivo lynis.log que ele gera em /var/log, tem uma parte chamada Suggestions e Warnings, logo acima da parte que mostra o “Hardening Index”, como printado no texto acima, ali ele mostra todos os problemas que a ferramenta encontrou, você vai notar que existe um link que te leva a uma explicação do problema, logicamente, como é uma ferramenta paga, vão pedir para você fazer o upgrade para mais detalhes, mas uma busca no google é suficiente para descobrir como alterar as configurações que a ferramenta recomenda.

Exemplo:
Configure maximum password age in /etc/login.defs [AUTH-9286]
https://cisofy.com/lynis/controls/AUTH-9286/

No link não mostra como fazer, mas uma pesquisa por “Configure maximum password age in /etc/login.defs” no google, retorna vários resultados.

Cuidado! :slight_smile:

1 Curtida

Ah show…valeu pelo retorno!

1 Curtida