Якщо вашої системи безпеки Linux не вистачає, гарною ідеєю є аудит вашої системи. Чудовий спосіб провести аудит — використовувати програму, яка перевіряє безпеку та пропонує конкретні рішення. Одним із таких інструментів аудиту є Lynis. Це інструмент, який може перевірити безпеку ПК з Linux. Він сканує будь-який ПК з Linux, перевіряє його безпеку та роздруковує список можливих проблем та виправлень. Найкраща частина цього інструменту полягає в тому, що він дуже простий у використанні, і будь-хто може ним скористатися.
Ubuntu/Debian
Lynis має чудову підтримку для Debian та Ubuntu через власне сховище програмного забезпечення. Увімкнення цього сховища програмного забезпечення дещо відрізняється від інших джерел програмного забезпечення, оскільки це традиційне сховище програмного забезпечення. Немає PPA чи чогось іншого. Це тому, що Lynis працює як на Debian, так і на Ubuntu без проблем.
Щоб почати встановлення, запустіть вікно терміналу та завантажте правильний ключ GPG.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Коли ключ працює, додайте нове джерело програмного забезпечення Lynis до системи.
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Репо програмного забезпечення Lynis потребує спеціального пакету. Цей пакет дозволить Ubuntu (або Debian) взаємодіяти з джерелами програмного забезпечення HTTPS.
sudo apt install apt-transport-https
або
sudo apt-get install apt-transport-https
Оскільки пакет Apt-transport-https працює у вашій системі, можна безпечно оновлювати джерела програмного забезпечення. Запустіть оновлення в терміналі.
sudo apt update
або
sudo apt-get update
Нарешті, встановіть Lynis.
sudo apt install lynis
або
sudo apt-get install lynis
Arch Linux
Як і більшість програм, Arch має інструмент безпеки Lynis в AUR. Щоб його встановити, запустіть термінал і встановіть Git і пакети Base-devel. Потім потягніть код вниз і згенеруйте новий пакет Arch.
Примітка. Зрозумійте, що встановлення програмного забезпечення безпосередньо з Arch AUR, а не з офіційних джерел програмного забезпечення, означає, що іноді залежності не встановлюються. Можливо, вам доведеться встановити ці пакунки вручну, якщо це станеться під час процесу встановлення Lynis. Залежності можна знайти внизу ця сторінка тут.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Fedora
Lynis підтримує Fedora, хоча для його встановлення потрібне стороннє програмне забезпечення. Увімкніть джерело програмного забезпечення, запустивши термінал і скориставшись командами touch і echo.
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Далі оновіть наступні пакети у вашій системі:
sudo dnf update ca-certificates curl nss openssl -y
Нарешті, встановіть Lynis за допомогою dnf install.
sudo dnf install lynis -y
OpenSUSE
Інструмент Lynis має сховище програмного забезпечення, доступне для всіх версій OpenSUSE. Увімкніть його за допомогою наступних команд у вікні терміналу.
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
З репо на Suse настав час оновити систему.
sudo zypper refresh
Завершіть процес налаштування за допомогою Zypper для встановлення Lynis.
sudo zypper install lynis
Загальний Linux
Інструмент аудиту Lynis має загальний Tarball для тих дистрибутивів Linux, які не мають прямої підтримки від розробника. На щастя, цей архів Tar, який можна завантажити, не потребує жодної компіляції. Натомість користувачі просто завантажують його та запускають програму як є.
Щоб встановити Lynis через архів Tar, який можна завантажити, скористайтеся інструментом wget і завантажте пакет, а потім розпакуйте його.
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Запустіть інструмент Lynis за допомогою:
./lynis
Використання Lynis
Lynis – це простий інструмент з великою кількістю опцій. Для звичайного користувача підійдуть базові параметри. Найпростіша (але всеосяжна) операція, яку може виконати програма, — це зробити повний аудит системи. Щоб запустити аудит, відкрийте термінал і введіть в нього таку команду.
lynis audit system
Виконання наведеної вище команди без будь-яких привілеїв Sudoer сканує багато аспектів системи. Однак не все отримає. Для виконання повного сканування потрібен sudo.
sudo lynis audit system --pentest
Потрібно зберегти результати на потім? Перенесіть їх у текстовий файл.
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Сканувати файл Docker
Docker стає все більш популярним у системах Linux. З усіма готовими образами Docker, які є, неминуче трапляються порушення безпеки. На щастя, Lynis дозволяє користувачам сканувати файли Docker і перевіряти їх на наявність проблем. Щоб запустити тест, спробуйте виконати наступну команду.
lynis audit dockerfile /home/username/path/to/dockerfile
Швидке сканування
Lynis може виконувати багато різних типів сканування. Сканування, яке може бути корисним, якщо ви поспішаєте, — це режим «швидкого» сканування. Цей режим тестує основні області системи для отримання швидких результатів.
Виконайте швидкий аудит системи за допомогою:
lynis audit system -Q