A Linux-alapú rendszerek alapból viszonylag biztonságosak, hiszen magának az operációs rendszernek a felépítése is segít az általános támadások kivédésében. Azonban akármelyik rendszert használod is, gyorsan felszínre kerülnek a gyengeségeik. Ebben a cikkben bemutatok pár trükköt, amelyekkel ellenőrizni és javítani tudod az Ubuntud biztonságosságát.
Jelen cikkünk eredetileg a magyar Full Circle Magazin 81. számában jelent meg az én fordításomban. Az eredeti cikk a Lynis elég régi, 1.3.7-es verziójára vonatkozott. Ezért alább a korábbi fordításom aktualizált és átnézett változatát olvashatjátok.
Minden az adattal kezdődik
A felhasználók számára általában nem maga az operációs rendszer vagy a rajta futó szoftver létfontosságú, hanem az általuk létrehozott adatok. Képek, dokumentumok vagy csak egyszerű szöveges feljegyzések. A biztonsági szakembereknek megvan a saját szent szóhármasuk, a CIA, amely a bizalmasság (Confidentiality), sértetlenség (Integrity) és rendelkezésre állás (Availability) szavakat takarja fő építőelemként.
A rendelkezésre állás egyszerűen azt jelenti, hogy az adat elérhető, ha szükség van rá. A rendszeres biztonsági mentés például egy módszer arra, hogy az adataink akkor is elérhetőek maradjanak, ha a fő tároló elérhetetlen. Ez nem csak a biztonsággal foglalkozó embereknek fontos, hanem nekünk is!
A sértetlenség is fontosnak tűnik. Meg kell róla bizonyosodnunk, hogy az elmentett adatot megfelelően el is tudjuk érni. Nem szerencsés például, ha elmentünk egy dokumentumot, majd azt később nem tudjuk megnyitni.
Ebben a cikkben egy különleges oldalról közelítjük meg a bizalmasságot vagy más szavakkal azt a témát, hogy csak a megfelelő jogosultsággal rendelkező személy férhessen hozzá a rendszerünkhöz, a programjainkhoz és az adatainkhoz. Ahogy a cím sugallja, a Lynis névre hallgató program segítségével fogjuk a rendszerünket biztonságosabbá tenni és biztonságban is tartani.
Mi az a Lynis és mit tud?
A Lynis egy kilenc éves program. Segítségével biztonsági elemzést végezhetünk a rendszerünkön. Szinte varázslat, amit művel, így akár boszorkánynak is hívhatnánk, ám most legyen csak elemző és rendszererősítő eszköz. A program nyílt forrású, szabadon felhasználható és shell szkriptek gyűjteményét tartalmazza. Minden szkript egyéni feladatot lát el, úgy mint az elérhető szoftverek keresését, tesztek végrehajtását vagy a fő Lynis szkriptben lévő különböző funkciók működtetését.
Telepítés
Amikor telepítésre kerül a sor, a legtöbb Ubuntu felhasználó apt-get install parancsot alkalmaz, majd megkezdi a program használatát. Ugyan ez egy teljesen jó módszer, ám mi mindenképp a legfrissebb Lynis verziót akarjuk használni, így nem az apt-get paranccsal telepítjük.
A legfrissebb verzióért látogasd meg a https://cisofy.com/download/lynis/ oldalt és töltsd le a fájlt, majd a sha1sum paranccsal vizsgáld meg a sértetlenségét. Ha az SHA1 hash érték megegyezik a weboldalon feltüntetettel, már csak a kicsomagolás van hátra.
Az alábbi parancsok kiadásával el is végezheted ezeket a műveleteket:
wget https://cisofy.com/files/lynis-2.4.0.tar.gzsha1sum lynis-2.4.0.tar.gztar xfz lynis-2.4.0.tar.gz
Első indítás
Itt az ideje a Lynis első indításának, hogy meghatározzuk mennyire biztonságos a célrendszerünk. Lépj be a mappába (cd lynis) és futtasd onnan (./lynis audit system). Tájékoztatni fog a lehetséges kapcsolókról. A legtöbbet használt a -Q (gyors) kapcsoló, amelyet használva a program nem vár felhasználói bemenetre, hanem folytatólagosan elvégzi a teszteket. Ha részenként történő vizsgálatot szeretnél, ne használd a kapcsolót.
Ez alkalommal futtassuk a gyors futás kapcsolóval:
./lynis audit system -Q
A telepített programoktól és kapcsolódó konfigurációjuktól függően a Lynis annyi tesztet futtat le, amennyit szükséges. Ez gépenként nagyon különbözhet. Azon a gépen, amin ezt a cikket írom 192 teszt futott le (a több mint 360-ból). A naplóállományban láthatjuk a számot, de a képernyőn is megjelenik. Ennek a gépnek a védettségi mutatója (hardening index) 64, ami jónak számít.
Ugyanakkor – igaz egy régebbi Lynis-ből származó – teszt eredménye már nem ilyen jó, hiszen itt nem csak 44 a védettségi mutató, de két figyelmeztetés is olvasható.
A rendszer megerősítése
Most, hogy megvan az első benyomásunk, hogy mennyire (nem) ellenálló a rendszerünk, a következő lépésként meghatározzuk a teendőket. Mint minden rendszerszintű változtatásnál, itt is fennáll a veszély, hogy valami akarva-akaratlanul elromlik. Ezért ne próbálj meg mindent egyszerre javítani, hanem haladj kis lépésekben. Mint mindig, most is a gyors megoldásoktól haladj az időigényesek felé.
A régebbi eredmény esetben úgy tűnik, hogy nincs minden biztonsági javítás telepítve, ezért a Lynis talált néhány sebezhető csomagot. A figyelmeztetéseket általában könnyű javítani, ezért ezekkel kezdjünk. Ha a Frissítéskezelőre kattintasz, értesít az elérhető biztonsági javításokról (ahogy vártuk). Annak ellenére, hogy ezt könnyű kijavítani, még nagyon fontos.
A második figyelmeztetés azt jelzi, hogy a Lynis csak egy konfigurált és/vagy egy működő névszervert (vagy DNS-szervert) talált. Ezek a kiszolgálók a DNS motorjai, a segítségükkel alakítjuk a webcímeket a hálózati kommunikációban használt IP címekké. Persze ez egy szervernél jóval nagyobb rizikó, de a mi egyszerű asztali gépünknek egy DNS szerver tökéletesen elég. Ha elromlik, hamar észrevesszük, mivel akkor nem tudunk böngészni. Azonban a szerverek ilyen esetben, számunkra észrevehetetlenül, nem várt módon viselkedhetnek. Tehát a rendszered szerepkörétől függ, hogy ezt a figyelmeztetést nagyon komolyan kell-e venned vagy sem. Mi most nem foglalkozunk vele, és mivel azt sem szeretnénk, hogy legközelebb is előjöjjön, kikapcsoljuk ezt a vizsgálat profiljában.
Szerkesszük a default.prf fájlt, hogy a Lynis kihagyja a NETW-2705 tesztet, ugyanis az előző figyelmeztetésnek ez a kódja:
# Skip a test (one per line) #skip-test=SSH-7408 skip-test=NETW-2705
Most, hogy telepítettük a biztonsági frissítéseket és megmondtuk a Lynisnek, hogy tökéletesen elég egy működő DNS szerver, futtassuk le újra.
Bár nálam nem voltak telepítetlen biztonsági frissítések, ha nálad igen, akkor a vizsgálat eredménye valószínűleg már sokkal jobban néz ki! A mutató nem csak sárgára változhatott pirosról, de hála a telepített javításoknak, nőtt is a rendszerbiztonság. Legtöbbször a szoftver a leggyengébb láncszem, ezért fontos a programok biztonsági javításainak telepítése a security tárolóból. A tesztek kihagyása nem teszi biztonságosabbá a rendszert, de segít nekünk a valóban fontos dolgokra koncentrálni.
Ha minden egyes eredménnyel foglalkoznék, abból egy nagyon hosszú cikk lenne. Ennél hasznosabb, ha megnézzük általánosságokban a javaslatokat. Mindegyik javaslatnak elsősorban az a célja, hogy megértsd az igazi jelentésüket. Másodsorban, hogy tudd, milyen hatásai lehetnek a konfiguráció változtatásának. Végül, de nem utolsó sorban fontos annak a megfelelő tesztelése, hogy a változtatások nem hatnak-e negatívan a rendszer feladataira.
A webszerverhez való hozzáférés letiltása például biztonságosabbá tenné a rendszert, ám akkor nem lenne képes kiszolgálni a kéréseket.
Mivel minden rendszernek teljesen más célja van, ezért néhány javaslat inkább szerverekre érvényes, míg mások asztali és szerver környezetre is. Neked, a felhasználónak kell eldöntened, hogy mely javaslatok érik meg a kivizsgálást. A többit a vizsgálat során figyelmen kívül lehet hagyni a már bemutatott módon.
Hasznos tippeket találhatsz a naplóállományban (/tmp/lynis.log), ami általában megmutatja a kapcsolódó fájlokat is. Sőt, magát a tesztet is, hogy megtudd, melyiket is keresed. Ezeken kívül vannak a CISOfy weboldalán dokumentációk és egyéb információk a tesztekről. No meg persze ott az internet is. Általában többeknek van hasonló javaslatuk vagy kérdésük a megoldással kapcsolatban.
Kellemes rendszererősítést, és maradj biztonságban!