Lynis ile Güvenlik Denetimi
Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYRJKAmY' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349
Lynis, unix ve linux sistemler için detaylı güvenlik denetimleri yapmak üzere hazırlanmış güzel bir araçtır. Bir çok shell scriptten oluştuğu için sisteme kurmaya da gerek bulunmamaktadır. Hemen hemen tüm linux dağıtımlarında ve unix türevlerinde çalışabilmekte ve kuruluma ihtiyaç duyulmadığı için kaldırılabilir bir medya içerisinden de çalıştırmak mümkün olabilmektedir. Rootkit Hunter'ı da geliştiren ekip tarafından yazılan bu araç ile sistemdeki güvenlik zafiyeti oluşturabilecek noktalar tespit edilebilmekte ve malwarelere karşı detaylı denetimler de yapılabilmektedir. |
Yazının devamında, Lynis kullanımı ile ilgili bilgileri ve çeşitli ekran görüntülerini bulabilirsiniz.
Genel Bilgiler
http://www.rootkit.nl/projects/lynis.html adresinden download edilebilen Lynis'in temel olarak yaptığı bazı kontroller şunlardır:
- Sistem binary'leri, (/bin, /sbin , /usr/bin, /usr/sbin, /usr/local/bin vs.)
- Boot Loader,
- Kernel Modülleri,
- Yapılandırma Dosyaları,
- Zombie Süreçler,
- Yoğun IOWait içeren süreçler,
- UID'i 0 olan, passwordu olmayan kullanıcılar,
- Harmful Login Shell'ler,
- Authentication Metodları,
- Consol TTYs,
- Network yapılandırması,
- Name Server yapılandırması,
- Güncellenmesi gereken paketler,
- Firewall yapılandırması,
- SSH Server yapılandırması,
- Sysctl parametreleri.
Lynis ile sistem kontrolü yaptığınız zaman yukarıda bahsi geçen konulardaki problemler raporlanır ve önerilerde bulunulur. Böylece gözden kaçan problemleri saptamanız mümkün olabilir.
Kullanım
Lynis'in şu anki son sürümü 1.2.9'dir. Deb, rpm gibi pre-compiled paketleri mevcuttur ve ayrıca freebsd'ye (1.2.6) port edilmiş durumdadır.
Ancak zaten herhangi bir yükleme işlemi gerekmediğinden son sürümünü sisteminizde herhangi bir dizine download etmeniz ve sıkıştırılmış paketi açmanız yeterlidir:
# wget http://www.rootkit.nl/files/lynis-1.2.9.tar.gz # tar xvfz lynis-1.2.9.tar.gz # cd lynis-1.2.9
Kök dizininde bulunan lynis isimli shell dosyasını çalıştırarak kontroller yapılabilir; –help anahtarı ile kullanım şekilleri listelenebilir:
# sh lynis --help [ Lynis 1.2.9 ] ################################################################################ Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under the terms of the GNU General Public License. See LICENSE file for details about using this software. Copyright 2007-2009 - Michael Boelen, http://www.rootkit.nl/ ################################################################################ [+] Initializing program ------------------------------------ Valid parameters: --auditor "" : Auditor name --check-all (-c) : Check system --check-update : Check for updates --no-colors : Don't use colors in output --no-log : Don't create a log file --profile : Scan the system with the given profile file --quick (-Q) : Quick mode, don't wait for user input --quiet (-q) : No output, except warnings --reverse-colors : Optimize color display for light backgrounds --tests "" : Run only tests defined by --tests-category "" : Run only tests defined by --view-manpage (--man) : View man page --version (-V) : Display version number and quit See man page and documentation for all available options. Exiting..
Ayrıca man dosyasına göz atmak için –man anahtarı kullanılabilir:
# sh lynis --man Lynis(8) unix System Administrator's Manual Lynis(8) NAME Lynis - Run an system and security audit on the system SYNOPSIS lynis --check-all(-c) [other options] .....
Yukarıdaki help çıktısında görüldüğü gibi;
–check-update anahtarı güncel sürümün olup olmadığını kontrol eder.
–check-all (-c) derseniz sistem kontrolü gerçekleştirilir.
–no-log parametresi ise sistemler ilgili kontrol raporu için herhangi bir log dosyası oluşturulmamasını sağlar. Bu şekilde önemli bilgileri harddisk üzerinde tutmamış olursunuz.
–quick (-Q) paramteresi hızlı moddur, bu şekilde kullanıcı aksiyonu gerekmez.
–quiet (-q) ise uyarılar dışında kontrol işlemi ile ilgili çıktı verilmemesini sağlar.
Raporlama
sh lynis -c komutu ile sistem kontrolü yaptığınızda (ayrıca –no-log demezseniz) sistem durumu ile ilgili bilgi /var/log/lynis.log dosyasını yazılır, ayrıca ekran çıktısı olarak bulunan problemler ve öneriler basılır. Öntanımlı ayarlarla kurulmuş bir freebsd sistem için şu şekilde görünür:
# sh lynis -c ....... ================================================================================ -[ Lynis 1.2.9 Results ]- Tests performed: 119 Warnings: ---------------------------- - [02:41:26] Warning: Multiple users with UID 0 found in passwd file [test:AUTH-9204] [impact:H] - [02:41:26] Warning: Multiple accounts found with same UID [test:AUTH-9208] [impact:H] - [02:41:26] Warning: Possible harmful shell found (for passwordless account!) [test:AUTH-9218] [impact:H] - [02:41:29] Warning: Found unprotected console in /etc/ttys [test:SHLL-6202] [impact:M] - [02:41:53] Warning: Couldn't find 2 responsive nameservers [test:NETW-2705] [impact:L] - [02:42:06] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M] Suggestions: ---------------------------- - [02:41:26] Suggestion: Use vipw to delete the 'toor' user if not used. [test:AUTH-9204] - [02:41:29] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328] - [02:41:29] Suggestion: Change the console line from 'secure' to 'insecure'. [test:SHLL-6202] - [02:41:52] Suggestion: Unused distfiles found. Use portsclean to delete these files. For example: portsclean -DD. [test:PKGS-7348] - [02:41:52] Suggestion: [test:Install portaudit from the ports collection to query outdated (vulnerable) packages.] - [02:41:53] Suggestion: Check your resolv.conf file and fill in a backup nameserver if possible [test:NETW-2705] - [02:41:56] Suggestion: Configure a firewall/packet filter to filter incoming and outgoing traffic [test:FIRE-4590] - [02:42:02] Suggestion: Enable logging to an external logging host for archiving purposes and additional protection [test:LOGG-2154] - [02:42:04] Suggestion: Add legal banner to /etc/motd, to warn unauthorized users [test:BANN-7122] - [02:42:06] Suggestion: Check if any NTP daemon is running or a NTP client gets executed daily, to prevent big time differences and avoid problems with services like kerberos, authentication or logging differences. [test:TIME-3104] - [02:42:15] Suggestion: Harden the system by removing unneeded compilers. This can decrease the chance of customized trojans, backdoors and rootkits to be compiled and installed [test:HRDN-7220] - [02:42:15] Suggestion: Harden the system by installing one or malware scanners to perform periodic file system scans [test:HRDN-7230] ================================================================================ Files: - Test and debug information : /var/log/lynis.log - Report data : /var/log/lynis-report.dat ================================================================================ Hardening index : [31] [###### ] ================================================================================ Lynis 1.2.9 Copyright 2007-2009 - Michael Boelen, http://www.rootkit.nl/ ================================================================================
Bu rapordan yararlanarak sisteminizi yapılandırabilir ve herhangi bir güvenlik zafiyetine engel olabilirsiniz.
Detaylı bilgi aşağıdaki adresten yararlanabilirsiniz.
http://www.rootkit.nl/projects/lynis.html
Bu yazılar da ilginizi çekebilir:
- Yasat ile Sistem Denetimi
- SysInfo Script Set’i ile FreeBSD Sistem Bilgileri
- Pure-FTPd Server ClamAV Entegrasyonu- FreeBSD
- FreeBSD üzerinde Aide ile Dosya Bütünlüğü Kontrolü
- SU Error – su: not running setuid
bunu yükledikten sonra kaldırmasını nasıl yaparız ve panellerde tıkanma olurmu özellkle whm/cpanelde bazı eklentiler panelin erişime kapatabiliyorda
[Cevapla]
Sistemden kaldirmak icin direk lynis dizinini silebilirsiniz; lynis shell betiklerden olustugu icin sisteme herhangi bir binary vs. yüklemiyor.
Panellerle ilgili de sorun olacagini sanmiyorum.
[Cevapla]