Protege tu Linux: Auditoría rápida con Lynis. 

El hacker ético, a diferencia de un cracker, trata de averiguar las debilidades de un sistema para protegerlo; esto es lo que denominamos auditoria. En este tutorial se mostrará cómo realizarla en Linux de forma sencilla.

Linux se considera uno de los sistemas operativos más seguros, esto es relativamente cierto. Pero sin entrar en debate, como todo sistema tiene sus debilidades. Para este tutorial utilizaremos la distribución Ubuntu, la cual aloja muchos servidores actualmente.

V.S.: Ubuntu Server 16.04.01 LTS

Auditando con Lynis

Este programa Open Source puede lanzarse en sistemas Unix y funciona correctamente en la mayoría. Está compuesto por opciones diversas de análisis ampliables con plugins.
En un primer momento hace un análisis general del sistema y te entrega una puntuación mostrándote los elementos a mejorar.

En el hardening index (la puntuación sobre 100 inicial) te muestra un registro de cada warning y cuáles podrían ser sus soluciones posibles. El examen debe de ser personalizado, y el propio programa te indicará si algún test debes desactivarlo para un diagnóstico más exacto.

Descarga e instalación

Podemos encontrar una versión de pago y una gratuita. La segunda se encuentra en los repositorios. En nuestro caso que estamos trabajando con Ubuntu escribiremos lo siguiente una vez abierto el terminal:

sudo apt install lynis

Recordemos que sudo es la opción que nos permite ejecutar acciones con los privilegios del superusuario sin serlo.

Auditoría

Después de que tengamos el paquete ya instalado procederemos a realizar la auditoria inicial.
Abrimos el terminal y escribimos:

sudo lynis audit system

Durante el escaneo se te pedirá continuar en varias ocasiones, ya que está fraccionado.

Primera parte:

El proceso de análisis del sistema se realiza en profundidad, por ello detallaremos en que consiste cada test y que es lo más importante que debes de tener en cuenta a la hora de aplicar medidas correctivas.

#1 System tools & Debian test

En primer lugar, comprobará de que herramientas dispone el sistema. Una vez terminado comenzará con los test Debian. Algunas de estas comprobaciones se centran en el sistema de archivos y el software.

En el sistema de archivos comprobará si el disco duro posee cifrado eCryptfs (nivel de sistema de archivos) o dm-cryp+ LUKS (nivel de bloque); en caso contrario te indicará con una alerta su ausencia.

Respecto al software comprobará si en el equipo se encuentran instaladas herramientas como debsecan o apt–listbugs entre otras.

#2 Boot & Services

En esta parte podemos encontrar algunas cosas a destacar:

Grub2:  Nos indicará si está presente con la protección por contraseña habilitada.

Systemctl: Índica que servicios están corriendo y cuáles están permitidos.

#3 Kernel

En esta parte se analiza el Kernel.

Run level: Indica en qué nivel está corriendo el núcleo.

Kernel version & release: Muestra si se tiene la última versión actualizada en la más reciente.

#4 Memory and processes

proc/meinfo: Busca si los archivos de información están presentes.
dead/zombie processes: Indica si los procesos finalizados aún aparecen en el registro y pueden “leer” entrada de salida.

#5 Users, Groups and authentication

En esta parte se centra en buscar ID de usuario, los UIDs correspondientes y si está activo LDAP. También comprueba si los ficheros de configuración de PAM se encuentran o sí las peticiones del sistema con para los usuarios requiere de demonios.

En esta primera parte hemos visto como instalarlo y los test iniciales. En adelante además de los test restantes veremos cómo mejorar la seguridad y algunos resultados.
Para continuar leyendo sigue por aquí.