- sáb 30 abril 2016
- defensiva
- #linux, #hardening, #lynis, #bastionado
Lynis puede realizar una revisión de tu nivel de hardening (seguridad) en tu sistema Linux, ya sea de servidor o de PC. Además nos da pistas de como arreglar los fallos que encuentra en la seguridad del sistema. IMPORTANTE: Todos los comandos y configuraciones se realizan en un servidor Debian Jessie y con la versión de Lynis 2.2.1.
Al ejecutar Lynis este realizará diferentes tests para revisar permisos de archivos, programas instalados, kernel y muchas otras partes de nuestro sistema Linux. La mejor forma de usar Lynis es descargar la última versión del repositorio para poder tener las bases de datos de los diferentes test. Lo haremos de la siguiente forma:
git clone https://github.com/CISOfy/lynis.git
Primero entramos en la carpeta descargada.
cd lynis
El motivo de entrar en la carpeta de descarga y no ejecutar, por ejemplo, desde /root es que el script de lynis sh necesita ejecutarse en la misma carpeta donde se encuentra la carpeta includes. De no estar en la misma carpeta nos mostraría el siguiente error:
Fatal error: can't find include directory Make sure to execute Lynis from untarred directory or check your installation.
Una vez dentro de la carpeta podemos ejecutar el script y nos mostrará las opciones.
./lynis
La opción de escaneo completa y que nos irá pausando el proceso para que podamos ver toda la información es la siguiente:
./lynis -c
La opción para hacer escaneados automáticos es la siguiente, ya que nos muestra solo los warnings y no pausa el proceso.
./lynis -c --cronjob -q
Para acabar dejo un cronjob que hace un escaneo automático cada lunes por la mañana y envia los resultados, en forma de log, a un email de nuestra elección.
00 9 * * 1 cd /root/lynis && git pull > /dev/null 2>&1&& /root/lynis/lynis -c --cronjob --logfile /root/lynis.log -q > /dev/null 2>&1 && cat /root/lynis.log | mail -s "[Lynis] Date:"$(date +"\%Y-\%m-\%d_\%H:\%M:\%S")" Server:"$(hostname) administrador@sitioweb.com && rm /root/lynis.log
Una breve explicación del cron: Se ejecuta a las 9 de la mañana de cada lunes del año. Se mueve hacia la carpeta de la descarga de lynis dentro de root. Actualiza lynis enviando todas las salidas del comando a /dev/null, es decir, silencia el comando. Ejecuta lynis generando un log file. Lee el log file y lo envia por mail con la fecha y el nombre del PC o servidor a l email especificado. Por último borra el fchero de log creado por lynis.