Lynis: Sistema de auditoria e segurança para Linux

Nesse artigo usarei o Lynis para mostrar como podemos gerar relatórios de auditoria de segurança em sistemas Linux.

[ Hits: 28.817 ]

Por: Cristian Alexandre Castaldi em 11/09/2008


Analisando os arquivos de log do Lynis



Vamos analisar os arquivos de log gerados pelo Lynis. O arquivo lynis.log gera o log de todas as checagens feitas pelo Lynis no Linux.

No trecho de arquivo de log abaixo você poderá ver:
  • O tempo da ação/evento;
  • A causa de uma falha de algum teste;
  • Saída interna dos testes e sub testes;
  • Sugestões sobre opções de configuração de como corrigir os riscos encontrados;
  • Valor do impacto do risco.

# cat /var/log/lynis.log

Abaixo parte da saída do comando evidenciando o problema do GRUB:

[15:11:06] ===-----------------------------===
[15:11:06] Performing test ID BOOT-5121 (Check for GRUB boot loader presence)
[15:11:06] Test: Checking for presence GRUB conf file (/boot/grub/grub.conf or /boot/grub/menu.lst)...
[15:11:06] Found file /boot/grub/menu.lst, proceeding with tests.
[15:11:06] Result: Didn't find MD5 hashed password line in GRUB boot file!
[15:11:07] Risk: switching to single user mode due editing current menu items or bypassing them.
[15:11:07] Do NOT use a plaintext password, since the grub.conf or menu.lst file is most likely to be world readable!
[15:11:07] If an unsecured OS like DOS is used, add 'lock' below that entry and setup a password with the password option, to prevent direct system access.
[15:11:07] Warning: No password set on GRUB bootloader [test:BOOT-5121] [impact:M]
[15:11:07] Suggestion: Run grub-md5-crypt and create a hashed password. After that, add a line below the line saying timeout=: password
--md5 <password hash>
[15:11:07] ===-----------------------------===

O arquivo lynis-report.dat é um relatório da checagem, observe:

# cat /var/log/lynis-report.dat |more
# Lynis Report
[General]
report_version_major=1
report_version_minor=0
report_datetime=15:07:06
auditor=Cristian
lynis_version=1.2.1
[Operating System]
os=Linux
os_fullname=Linux 2.6.18-4-486
hostname=debiandns
warning[]=BOOT-5121|M|No password set on GRUB bootloader|
suggestion[]=BOOT-5121|Run grub-md5-crypt and create a hashed password. After that, add a line below the line saying timeout=: password
--md5 <password hash>|

Usando os relatórios gerados poderemos analisar configurações antigas com as atuais e verificar se houve a correção e redução dos riscos analisados nas checagens.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Analisando os arquivos de log do Lynis
   3. Conclusão
Outros artigos deste autor

Trabalhando com coringas, filtros e expressões regulares no shell

Sistema de boot, níveis de execução e shutdown

Instalando e configurando o servidor Samba

Gerenciando quotas de disco

Trabalhando com shell e variáveis de ambiente

Leitura recomendada

Bom escudo não teme espada: o módulo pam_cracklib

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

Portal de autenticação wireless (HotSpot)

Remover vírus do Windows usando pendrive com Linux

Defesa pessoal com o GPG, Nautilus Scripts, partições encriptadas e leves doses de paranoia

  
Comentários
[1] Comentário enviado por removido em 11/09/2008 - 20:31h

Ô Crildo-banguela! O moço voltou e está arrebentando a boca do balão...
E este sorriso "cougati" tá gg: joinha, joinha...
;-)
rs...rs...

[2] Comentário enviado por cleysinhonv em 11/09/2008 - 20:53h

Boa está ferramenta, vou agora instala-la e testar para ver o que da aqui...

valeu crildo

[3] Comentário enviado por nariz em 11/09/2008 - 22:16h

hmm
boa ferramenta, instalar e testar
vlw

[4] Comentário enviado por crildo em 11/09/2008 - 23:11h

Valeu galera!!

Estou aproveitando que agora deu uma aliviada aqui no trampo para escrever alguns artigos... acvsilva eu fui no dentista e ele queria me cobrar os olhos da cara, então resolvi deixar os meus dois pontas e o centroavante hahahaha...

[5] Comentário enviado por grandmaster em 12/09/2008 - 21:31h

Realmente boa ferramenta

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[6] Comentário enviado por marcelovegano em 30/09/2008 - 20:01h

Valeu pelo esforço!!!!


Contribuir com comentário