Dentro de las tareas de gestión y control que debemos realizar sobre entornos Linux, independiente de la distro a usar, uno de los aspectos más importantes a tener en cuenta está asociado a la seguridad de cada distro ya que una carencia o alguna vulnerabilidad allí pondrá en riesgo no solo la información alojada allí sino toda la estructura a la cual está conectado este equipo.
Estamos en tiempos donde las amenazas aumentan cada día y muchos administradores o personal IT no prestan el debido cuidado a este tema porque piensan que nunca pasará algo pero como profesionales debemos estar un paso adelante y más tratándose de la seguridad de los usuarios en una organización.
Solvetic analizará a fondo una práctica aplicación llamada Lynis y veremos cómo será de gran ayuda para aumentar más nuestra capacidad de gestión, control y supervisión en ambientes Linux.
En este caso usaremos Ubuntu 16.10 Server.
Lynis es de código abierto la cual evalúa el perfil de seguridad de cada equipo y nos dará sugerencias acerca de cómo incrementar y mejorar los niveles de seguridad en la compañía.
Lynis analiza los ambientes UNIX y Linux mucho más detalladamente que una aplicación de análisis de vulnerabilidades. Lynis puede ser ejecutada en los siguientes ambientes:
- AIX
- FreeBSD
- HP-UX
- Linux – Mayoría de Distros
- macOS
- NetBSD
- OpenBSD
- Solaris
Esta aplicación puede ser usada en casos como:
- Análisis y detección de vulnerabilidades.
- Auditorías de seguridad.
- Pruebas de cumplimiento como son PCI o HIPAA.
- Mejoras de la seguridad del sistema.
- Gestiones administrativas.
1. Cómo instalar Lynis en Ubuntu Server
Aunque existen diversas formas para instalar Lynis, para este caso realizaremos la instalación desde el repositorio más reciente.
Es importante recalcar que este repositorio usa el protocolo HTTPS para su acceso por lo cual debemos confirmar que nuestro servidor cuente con el soporte HTTPS, para validar esto ejecutaremos la siguiente línea:
dpkg -s apt-transport-https | grep -i status
En caso de no contar con este soporte ejecutaremos la siguiente línea para su instalación:
sudo apt-get install apt-transport-https
Una vez estemos seguros que contamos con el soporte HTTPS procedemos a instalar la clave del repositorio oficial ejecutando lo siguiente:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Ahora agregaremos el repositorio oficial de Lynis para que esté disponible en el administrador de paquetes, para ello ejecutamos lo siguiente:
sudo add-apt-repository "deb [arch=amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main"
Actualizamos los paquetes del sistema operativo:
sudo apt-get update
Una vez actualizados los paquetes procedemos con la instalación de Lynis en Ubuntu Server ejecutando el siguiente comando:
sudo apt-get install lynis
Aceptamos la descarga y respectiva instalación de los paquetes de Lynis en Ubuntu Server 16.10.
2. Cómo hacer una auditoría de seguridad con Lynis en Ubuntu Server 16.10
Una vez instalada la aplicación podremos ver los comandos disponibles de Lynis ejecutando la siguiente línea:
lynis show commands
Cada auditoría de seguridad en Lynis se realiza mediante perfiles que no son más que archivos de configuración con diversos parámetros para controlar la forma como se lleva a cabo la auditoría . Para ver el perfil predeterminado de Lynis usaremos la siguiente línea:
lynis show settings
Podemos comprobar, antes de realizar la auditoría , si existe alguna versión más reciente Lynis que pueda incluir mejoras para comprobar esto usaremos la siguiente línea:
lynis update info
Esto indica que contamos con la versión más actual de Lynis. También podemos comprobar este resultado ejecutando la línea:
lynis update check
Para realizar nuestra primer auditoría del sistema procedemos a ejecutar el siguiente comando como usuarios root par que se haga plenamente y no omita algunos aspectos:
sudo lynis audit system
Podremos ver que inicia el proceso de auditoría en Ubuntu Server:
Este proceso tarda entre uno a dos minutos máximo. Al finalizar la auditoría veremos lo siguiente:
La información detalla de este resultado se almacena en la ruta /var/log/lynis.log y los datos del informe, donde tenemos toda la información asociada al servidor, será almacenada en la ruta /var/log/lynis-report.dat.
Lo interesante de Lynis es que en informe anterior nos muestra advertencias y las respectivas sugerencias de seguridad a tener en cuenta para contar con un sistema estable y fiable:
3. Cómo corregir las advertencias generadas por Lynis Ubuntu Server
Una advertencia (Warning) nos permite estar atentos ante vulnerabilidades que pueden presentarse en el sistema operativo. Por lo general la advertencia incluye la solución a la misma.
Una de las formas que tenemos en Lynis para analizar más en detalle una advertencia es usar la siguiente sintaxis:
sudo lynis show details (Código)
Por ejemplo, si deseamos saber en detalle la advertencia del código FIRE-4512 ejecutaremos lo siguiente:
sudo lynis show details FIRE-4512
4. Cómo implementar las sugerencias de Lynis en Ubuntu Server
Podemos ver que dentro del respectivo análisis de auditoría tenemos diversas sugerencias (suggestions) ofrecidas por la herramienta con el fin de mejorar los niveles de seguridad del servidor.
La sugerencia está compuesta de la siguiente forma:
- Información de la sugerencia.
- ID de la sugerencia.
- Finalmente una solución.
Al igual que con las advertencias podemos usar la línea sudo lynis show details para obtener mayor información:
En este caso vemos que la solución propuesta es instalar un antimalware en el servidor. De este modo cada sugerencia incluye una solución.
5. Cómo personalizar las auditorías de Lynis en Ubuntu Server
Como mencionamos al inicio Lynis se basa en perfiles para llevar a cabo las auditoría s y esta cuenta con un perfil predefinido.
Estos perfiles cuentan con la extensión .prf y se encuentran alojados en la ruta:
/etc/lynis.
Para crear un nuevo perfil e indicarle a Lynis que solo audite lo que necesitamos y no todo el sistema crearemos un nuevo archivo llamada solvetic ejecutando lo siguiente:
sudo nano /etc/lynis/solvetic.prf
En este archivo añadiremos las pruebas que deseamos omitir las cuales son:
- FILE-6310: Es usada para comprobar el estado de las particiones.
- HTTP-6622: Es usado para validar Nginx en una instalación de un servidor web.
- HTTP-6702: Se usa para comprobar Apache.
- PRNT-2307 y PRNT-2308: Se usa para comprobar servidores de impresión.
- TOOL-5002: Se usa para comprobar herramientas automáticas como Puppet ySalt.
- SSH-7408:tcpkeepalive: Es usado para realizar comprobaciones básicas de pruebas.
En dicho archivo agregaremos lo siguiente:
# Lines starting with "#" are comments # Skip a test (one per line) # This will ignore separation of partitions test skip-test=FILE-6310 # Is Nginx installed? skip-test=HTTP-6622 # Is Apache installed? skip-test=HTTP-6702 # Skip checking print-related services skip-test=PRNT-2307 skip-test=PRNT-2308 # If a test id includes more than one test use this form to ignore a particular test skip-test=SSH-7408:tcpkeepalive
Guardamos los cambios usando la combinación de teclas:
Ctrl + O
y salimos del editor usando:
Ctrl + X
De esta forma la próxima vez que llevemos a cabo una auditoría estos parámetros serán omitidos.
Hemos comprendido como Lynis se convierte en una gran aliada para todos los administradores y personal que desea llevar un control sobre los niveles de seguridad de las diversas distros de Linux. Existe también la posibilidad de usarla en otras distribuciones y por eso te recomendamos cómo auditar con Lynis en CentOS 7.
