Lynis を使用して Linux コンピュータのセキュリティ監査を実行すると、マシンが可能な限り保護されていることを確認できます。インターネットに接続されたデバイスにとってセキュリティはすべてです。ここでは、デバイスが安全にロックダウンされていることを確認する方法を説明します。
Linux コンピューターの安全性はどの程度ですか?
Lynis は、Linux オペレーティング システムの多くのシステム コンポーネントと設定を徹底的に検査する一連の自動テストを実行します 。調査結果は、色分けされた ASCII レポートで、段階別の警告、提案、およびとるべきアクションのリストとして表示されます。
サイバーセキュリティはバランスを取る行為です。完全な被害妄想は誰の役にも立ちません。では、どの程度心配すべきでしょうか?評判の良い Web サイトのみにアクセスし、迷惑メールの添付ファイルを開いたりリンクをたどったりせず、ログインするすべてのシステムに異なる堅牢なパスワードを使用する場合、どのような危険が残りますか?特に Linux を使用している場合はどうですか?
それらを逆に扱いましょう。 Linux はマルウェアの影響を受けないわけではありません。実際、最初の コンピュータ ワームは 1988 年に Unix コンピュータをターゲットに設計されました。 ルートキットは 、Unix スーパーユーザー (ルート) と、検出を回避するためにインストールするソフトウェアのコレクション (キット) にちなんで名付けられました。これにより、スーパーユーザーは脅威アクター (つまり、悪者) にアクセスできるようになります。
なぜルートにちなんで名付けられているのでしょうか?最初のルートキットは 1990 年にリリースされ、 SunOS Unix を実行している Sun Microsystems をターゲットにしていたためです。
つまり、マルウェアは Unix から始まったのです。 Windows が普及したとき、この製品は垣根を飛び越えて脚光を浴びました。しかし、 Linux が世界を動かしている 今、Linux が戻ってきました。 Linux や macOS などの Unix 系オペレーティング システムは、脅威アクターの注目を集めています。
コンピューターを使用するときに注意し、賢明で、注意を払っている場合、どのような危険が残りますか?答えは長くて詳細です。もう少し要約すると、サイバー攻撃は多種多様です。彼らは、少し前までは不可能だと考えられていたことを実行することができます。
Ryuk のようなルートキットは、コンピュータの電源がオフになっているときに、 Wake-on-LAN 監視機能を侵害することでコンピュータに感染する可能性があります。 概念実証コード も開発されました。 ネゲブのベングリオン大学 の研究者らは、攻撃者が エアギャップのあるコンピュータ からデータを抜き出すことを可能にする「攻撃」の成功を実証しました。
サイバー脅威が将来どのような可能性を秘めているかを予測することは不可能です。ただし、コンピューターの防御のどの点が脆弱であるかは理解しています。現在または将来の攻撃の性質に関係なく、それらのギャップを事前に埋めることは意味があります。
サイバー攻撃の総数のうち、特定の組織や個人を意識的に標的にしているものはほんのわずかです。マルウェアはユーザーが誰であるかを気にしないため、ほとんどの脅威は無差別です。自動ポート スキャンやその他の技術は、脆弱なシステムを探し出して攻撃するだけです。あなたは弱者であることで自分自身を被害者に指名します。
そしてそこにリニスが登場します。
Lynis のインストール
Lynis を Ubuntu にインストールするには、次のコマンドを実行します。
sudo apt-get インストール lynis
Fedora では、次のように入力します。
sudo dnf lynis をインストールします
Manjaro では、
pacman
使用します。
sudo パックマン -Sy lynis
監査の実施
Lynis はターミナルベースであるため、GUI はありません。監査を開始するには、ターミナル ウィンドウを開きます。クリックしてモニターの端にドラッグすると、最大の高さにスナップしたり、可能な限り高さに伸ばしたりできます。 Lynis からは大量の出力があるため、ターミナル ウィンドウの縦長が高くなるほどレビューが容易になります。
Lynis 専用のターミナル ウィンドウを開くとさらに便利です。何度も上下にスクロールすることになるため、以前のコマンドの混乱に対処する必要がなくなると、Lynis 出力のナビゲートが容易になります。
監査を開始するには、次の非常に簡単なコマンドを入力します。
sudo lynis 監査システム
各カテゴリのテストが完了すると、カテゴリ名、テスト タイトル、結果がターミナル ウィンドウでスクロールされます。監査には長くても数分しかかかりません。完了すると、コマンド プロンプトに戻ります。結果を確認するには、ターミナル ウィンドウをスクロールするだけです。
監査の最初のセクションでは、Linux のバージョン、カーネル リリース、その他のシステムの詳細が検出されます。
検討する必要がある領域は、オレンジ色 (提案) と赤色 (対処すべき警告) で強調表示されます。
以下は警告の例です。 Lynis は
postfix
メール サーバーの設定を分析し、バナーに関係するフラグを立てました。何が見つかったのか、そしてそれがなぜ問題になるのかについては、後ほど詳しく知ることができます。
以下では、Lynis が、使用している Ubuntu 仮想マシンにファイアウォールが構成されていないことを警告しています。
結果をスクロールして、Lynis がフラグを立てた内容を確認します。監査レポートの下部に概要画面が表示されます。
「硬化指数」は試験のスコアです。 100 点中 56 点でしたが、あまり良くありませんでした。 222 件のテストが実行され、1 つの Lynis プラグインが有効になっています。 Lynis Community Edition プラグイン のダウンロード ページ にアクセスしてニュースレターを購読すると、さらに多くのプラグインへのリンクが表示されます。
GDPR 、 ISO27001 、 PCI-DSS などの標準に照らして監査するためのプラグインなど、多くのプラグインがあります。
緑色の V はチェック マークを表します。黄色の疑問符と赤い X が表示される場合もあります。
ファイアウォールとマルウェア スキャナーがあるため、緑色のチェック マークが付いています。テスト目的で、ルートキット検出器である rkhunter もインストールして、Lynis がルートキットを検出するかどうかを確認しました。上でわかるように、実際にそうなりました。 「マルウェア スキャナー」の横に緑色のチェック マークが付きました。
監査ではコンプライアンス プラグインが使用されなかったため、コンプライアンス ステータスは不明です。このテストでは、セキュリティ モジュールと脆弱性モジュールが使用されました。
ログ ファイルとデータ ファイルの 2 つのファイルが生成されます。 「/var/log/lynis-report.dat」にあるデータ ファイルが私たちが関心のあるものです。これには、ターミナル ウィンドウで確認できる結果のコピー (色の強調表示なし) が含まれます。 。これらは、時間の経過とともに硬化指数がどのように向上するかを確認するのに役立ちます。
ターミナル ウィンドウを後方にスクロールすると、提案のリストと別の警告のリストが表示されます。警告は「重要な」項目なので、それを見ていきます。
これらは 5 つの警告です。
- 「Lynis のバージョンは非常に古いため、更新する必要があります。」: これは実際には、Ubuntu リポジトリにある Lynis の最新バージョンです。まだ生後 4 か月ですが、リニスさんはこれを非常に古いものだと考えています。 Manjaro および Fedora パッケージのバージョンは新しいものでした。パッケージ マネージャーの更新は常に若干遅れる可能性があります。どうしても最新バージョンが必要な場合は 、GitHub からプロジェクトのクローンを作成し て同期を保つことができます。
- 「シングル モードにパスワードが設定されていません」: シングルは、root ユーザーのみが操作できるリカバリおよびメンテナンス モードです。デフォルトでは、このモードにはパスワードが設定されていません。
- 「応答可能なネームサーバーが 2 つ見つかりませんでした」: Lynis は 2 つの DNS サーバーと通信しよう としましたが、失敗しました。これは、現在の DNS サーバーに障害が発生した場合、別の DNS サーバーへの自動ロールオーバーが行われないという警告です。
- 「SMTP バナーで情報漏洩が見つかりました」: 情報漏洩は、アプリケーションまたはネットワーク機器が標準応答でメーカー番号やモデル番号 (またはその他の情報) を漏らすときに発生します。これにより、攻撃者や自動化されたマルウェアは、チェックすべき脆弱性の種類についての洞察を得ることができます。接続しているソフトウェアやデバイスを特定したら、簡単な検索で悪用できる脆弱性を見つけることができます。
- 「iptables モジュールはロードされましたが、アクティブなルールはありません」: Linux ファイアウォールは稼働していますが、それにルールが設定されていません。
警告の解除
各警告には、問題とその解決策を説明する Web ページへのリンクが含まれています。いずれかのリンクの上にマウス ポインタを置き、Ctrl キーを押しながらクリックします。デフォルトのブラウザでそのメッセージまたは警告の Web ページが開きます。
前のセクションで説明した 4 番目の警告のリンクを Ctrl キーを押しながらクリックすると、以下のページが開きました。
これらのそれぞれを確認して、どの警告に対処するかを決定できます。
上記の Web ページでは、Ubuntu コンピュータに設定されている postfix メール サーバーにリモート システムが接続するときにリモート システムに送信されるデフォルトの情報スニペット (「バナー」) が冗長すぎると説明しています。情報を提供しすぎることにはメリットがありません。実際、それは多くの場合、あなたに対して不利に利用されます。
Web ページには、バナーが「/etc/postfix/main.cf」にあることも示されています。 「$myhostname ESMTP」のみを表示するようにトリミングする必要があるとアドバイスされます。
Lynis の推奨に従って、次のように入力してファイルを編集します。
sudo gedit /etc/postfix/main.cf
ファイル内でバナーを定義する行を見つけます。
Lynis が推奨したテキストのみを表示するように編集します。
変更を保存して
gedit
を閉じます。変更を有効にするために、
postfix
メール サーバーを再起動する必要があります。
sudo systemctl restart postfix
ここで、Lynis をもう一度実行して、変更が影響したかどうかを確認してみましょう。
「警告」セクションには 4 つだけが表示されるようになりました。
postfix
を参照しているものはなくなりました。
1 つダウンしたら、あと 4 つの警告と 50 の提案が残ります。
どこまで行くべきですか?
コンピュータのシステム強化を一度も行ったことがない場合は、おそらくほぼ同じ数の警告と提案が表示されるでしょう。それらすべてを確認し、それぞれの Lynis の Web ページに基づいて、それに対処するかどうかを判断する必要があります。
もちろん、教科書的な方法は、それらをすべてクリアしようとすることです。ただし、言うは易く行うは難しかもしれません。さらに、提案の中には、平均的な家庭用コンピューターにとってはやりすぎかもしれません。
USB カーネル ドライバーをブラックリストに登録して、使用していないときに USB アクセスを無効にしますか?機密性の高いビジネス サービスを提供するミッション クリティカルなコンピューターの場合、これが必要になる場合があります。しかし、Ubuntu の家庭用 PC ではどうでしょうか?おそらくそうではありません。
