Audit Je Beveiliging Met Lynis WORD ZELF EEN BEVEILIGINGSEXPERT!

WORKSHOP

Audit je beveiliging met Lynis WORD ZELF EEN BEVEILIGINGSEXPERT!

Je weet dat je altijd de nieuwste updates dient te installeren om je Linux-systemen veilig houden, maar waar moet je nog meer op te letten? Lynis helpt je hierbij: het script scant de veiligheid van je configura- tie en geeft je suggesties om je beveiliging te verbeteren. Koen Vervloesem

De beveiliging van je van alle controles die Lynis uitvoert, kunt installeren: download de code Je hoeft Lynis verder niet te instal- Linux-machines hangt van vind je op de website (https://cisofy. gewoon van GitHub of download de leren. Je draait het programma allerlei factoren af. Zelfs voor een com/lynis/controls/). tarball en pak ze uit. Uiteraard vind rechtstreeks uit deze directory. doorgewinterde beveiligingsexpert je Lynis ook in de repository’s van is het moeilijk om dat allemaal SYSTEEMVEREISTEN vele distributies, in de ports-collectie Wil je Lynis updaten, dan ga je sim- handmatig te controleren, zeker als Lynis is niet specifiek voor Linux van FreeBSD en in Homebrew voor pelweg naar de directory /usr/local/ je meerdere systemen beheert. Ge- gebouwd: het ondersteunt een macOS. lynis en haal je de nieuwste commits lukkig bestaan er programma’s die je heleboel UNIX-gebaseerde syste- Lynis kun je als ongeprivilegieerde via GitHub binnen met: systeemconfiguratie controleren op men, inclusief FreeBSD, NetBSD, gebruiker draaien of als root. In het potentieel onveilige configuraties. OpenBSD, macOS (dat immers eerste geval (bijvoorbeeld op syste- # git pull Eén van die programma’s is Lynis ook een UNIX-onderlaag heeft), men waar je geen rootrechten hebt) (https://cisofy.com/lynis/). Dit is Solaris, AIX en HP-UX. Het is ook zal Lynis sommige tests overslaan. Als je liever met je pakketbeheerder het geesteskind van de Nederland- niet beperkt tot Intel-processoren: De resultaten van de audit zullen werkt, maar je distributie een te se beveiligingsspecialist Michael het draait perfect op Raspberry Pi’s, dan ook minder uitgebreid zijn en oude versie van Lynis in zijn repo- Boelen. Hij startte Lynis in 2007. Het QNAP NAS-apparaten en andere misschien zelfs afwijken van de sitory heeft, dan kun je de repository is ondertussen uitgegroeid tot een IoT-apparaten. resultaten die je als root krijgt. Het van CISOfy toevoegen uitgebreide collectie shellscripts Dat komt, omdat Lynis eigenlijk is dan ook aan te raden om Lynis (https://packages.cisofy.com/). die een beveiligingsscan van je Li- bestaat uit een uitgebreide collectie altijd als root te draaien. Als je toch nux-systeem uitvoeren om je erop te van shellscripts. Dat betekent dat verkiest om het programma niet als AAN DE SLAG wijzen waar je je systemen nog wat je Lynis zelfs kunt draaien op een root te draaien, dien je wel schrijf- Lynis hoef je helemaal niet te dient dicht te timmeren. Een lijst systeem waarop je geen software rechten in /tmp te hebben. configureren voor een bruikbaar resultaat. Start het programma INSTALLATIE EN gewoon met: ANDERE BEVEILIGINGSTOOLS UPDATES Er zijn nog heel wat andere tools om je Linux-systemen te beveiligen. Wil je altijd de nieuwste versie van # ./lynis audit system Zo is OpenVAS (http://www.openvas.org/) een bekende tool. Daar Lynis (en Michael Boelen voegt echt ligt de nadruk eerder op het vinden van kwetsbaarheden door alle regelmatig nieuwe functies of verbe- En dan is het wachten. Lynis doet systemen in je netwerk te scannen op aanwezige diensten. Lynis daar- teringen toe), download de code dan zijn werk (meer dan 300 beveiligings- entegen draai je op je systeem zelf en Lynis zoekt vooral naar onveilige van GitHub: controles) en toont ondertussen configuraties. OpenVAS en Lynis zullen dus andere zaken opmerken al de resultaten van zijn analyse en kunnen elkaar dus perfect aanvullen. Een bekend alternatief voor # cd /usr/local in je terminal. Daarbij wordt ook Lynis is OpenSCAP (https://www.open-scap.org/), dat aan de hand van # git clone https://github.com/ kleur gebruikt (tenzij je Lynis met een profiel test of een systeem voldoet aan gestelde veiligheidseisen. CISOfy/lynis.git de optie --no-colors opgestart hebt). # cd lynis Groen betekent in orde, geel is een

38-41 LYNIS.indd 38 01-04-19 13:54