Auditando nuestro sistema: Lynis

fjavierm

Hoy vamos a hablar de una herramienta de auditoria para nuestros sistemas Linux o Unix. Antes de empezar a hablar de ella dejar muy claro, que aunque como veremos pasa una gran cantidad de test y comprueba un gran número de cosas, no es una herramienta definitiva, sino, simplemente una pequeña ayuda a completar con otras herramientas quizás más específicas pero, en muchos casos más efectivas, por supuesto sin desmerecerla ni mucho menos.

La herramienta es Lynis, y podéis leer sobre ella en su página. Es una herramienta para auditar nuestro sistema y comprobar la existencia de malware y instalaciones vulnerables principalmente en modo consola.

Para empezar una vez arrancado comprueba el sistema en el que está instalado y busca herramientas instaladas para auditarlas. Realiza un gran número de chequeos entre los que están:

  • Métodos de autenticación disponibles.
  • Certificados SSL expirados.
  • Software desactualizado.
  • Cuentas de usuario sin contraseñas.
  • Permisos de ficheros incorrectos.
  • Audita nuestro firewall.

Son muchos los chequeos que pasan, pero se ven claramente a la hora de lanzar el proceso, así que tampoco tiene demasiado sentido enumerarlos todos aquí.

Pero como la mejor forma de aprender las cosa es haciéndolas vamos a probar. Lo primero es instalarlo en nuestro sistema, para ello, si tenemos los repositorios adecuados bastará con un:

sudo aptitude install lynis

Para ver las diferentes opciones de las que disponemos bastara con ejecutar el comando sin nada más:

sudo lynis

Las opciones más destacables para la prueba inicial son:

–chech-update: La cual simplemente busca actualizaciones sobre los chequeos a pasar.

–check-all (-c): Para que chequee el sistema.

–quick: No necesita intervención del usuario.

Pues nada, vamos a ejecutar:

sudo lynis –check-update

sudo lynis –check-all

Como podéis ver a medida que va ejecutando chequeos os va mostrando los resultado obtenidos y no continua hasta que pulsáis [ENTER], salvo que lo hayáis lanzado con la opción –quick, en cuyo caso no parará hasta terminar. De todas formas no os preocupéis por ver los resultados en este momento, ya que se almacenan en un fichero que luego podremos estudiar con atención. Este fichero es:

/var/log/lynis.log

Si lo abrís comprobaréis que es bastante extenso, y aunque las primeras veces merece la pena ojearlo entero, hay veces que merece la pena buscar la información importante, como por ejemplo con instrucciones del tipo:

sudo cat /var/log/lynis.log | grep Warning

También podéis automatizar el proceso con el cron o cualquier otra posibilidad que se os ocurra. Finalmente, solo hacer hincapié en que no es una solución definitiva, si no solo una ayuda, ya que una de las cosas que le falta es comprobar todas las instalaciones de servidores que tengamos, por ejemplo, no tiene soporte para Tomcat que es un servidor bastante habitual. Ya hablaremos más adelante de detectores de rootkits más específicos y quizás más potentes. Pero de momento, para que juguéis un poco aquí está Lynis.

Espero que os haya servido, como siempre, se aceptan dudas, sugerencias, aportes y demás. Nos vemos.

Auditando nuestro sistema: Lynis

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.