lynis安全审计

Jan 19, 2019 00:00 · 1611 words · 4 minute read lynis

0x00 简介

可审计内容

1.系统上安装的二进制文件(例如/bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin目录下的)

2.启动服务(例如GRUB是否有密码保护)

3.系统内核信息(例如默认运行级别,内核加载模块,内核配置文件)

4.内存与进程信息(例如是否有僵尸进程,是否有等待中的I/O操作)

5.账户,群组与身份验证(例如sudoers文件,PAM配置等密码策略,unmask设置等)

6.Shell(/etc/shells)

7.文件系统(例如tmp目录下是否有90天前的文件,root文件系统是否有ACL策略

8.是否禁止外设(usb,fireware)

9.NFS

10.DNS域名服务(/etc/resolv.conf,BIND,PowerDNS, ypbind,nscd)

11.软件包管理(dpkg,rpm)

12.网络信息(网卡,网关,ip,处于waiting状态的连接)

13.打印机(cups)

14.邮件系统(e.g.Postfix,Exim ,Qmail smtpd)

15.防火墙(iptable)

16、web服务器(apache,nignx)安全配置

17.SSH安全配置(例如不运行root远程登录)

18.SNMP安全配置

19.数据库安全配置(MySQL,PostgreSQL,Oracle)

20.LDAP安全配置

21.PHP安全配置

22.Squid安全配置

23.日志文件管理(syslog,logrotate)

24.危险服务 (inetd.conf)

25.系统指纹(/etc/motd /etc/issue /etc/issue.net)

26.定时任务(crontab/cronjob)

27.审计模块是否开启(auditd)

28.时间同步服务(NTP)

29.加密(例如SSL证书有效期)

30.是否应用安全框架(SELinux,AppArmor ,grsecurity)

31.是否有文件系统完整性检测工具(AFICK,AIDE, Osiris,Samhain,Tripwire

32.是否有恶意程序检测工具(chkrootkit,Rootkit Hunter,ClamAV scanner)

33.特定文件的权限是否合理(例如/root/.ssh是否为rwx——)

34.home目录下是否有敏感文件(例如shell history文件内容是否可疑)

35.是否做过内核加固(扫描sysctl内容)

0x01 安装与运行

安装

git clone https://github.com/CISOfy/lynis

cd lynis; ./lynis audit system

or

yum -y install epel-release;yum -y install lynis

lynis audi system

0x02 查看日志敏感信息

grep Warning /var/log/lynis.log

grep Suggestingon /var/log/lynis.log

0x03 定时扫描

创建Lynis计划任务-cron job

如果你想为你的系统创建一个日扫描报告,你可以设置cron:
$ crontab -e

添加cron任务:

30  22  *   *   *   root    /opt/lynis -c -Q --auditor "automated" --cronjob

0x04 附录

安全加固列表

(1)OS加固:debian(真机/虚拟机)

(2)DB加固:mysql3306,PostgreSQL5432,Oracle2483-2484,SQLServer1433-1434

(3)web服务器加固:apache,nignx,lighthttpd

(4)应用程序服务器加固:php

(5)LDAP服务器:OpenLDAP(ldap 389)

(6)DNS服务器,BIND (dns 53)

(7)电子邮件服务器,SendMail(Postfix):SMTP (smtp 25)

(8)FTP服务器:VSFTPD,Server-U (ftp 21 tftp 69)

(9)Samba服务器:smb协议 (smb445)

(10)NFS服务器(nfs 2049)

(11)Squid服务器

(12)SSH服务器:OpenSSH (ssh 22 telnet23)

(13)Linux防火墙:iptables

(14)VPN服务:OpenVPN (ipsec 500, PPTP 1723, L2TP 1701)

(15)IDS:snort

(16)网络监控:Nagios

(17)网络监控策略:snmp服务 (snmp 161)

(18)SVN服务

(19)RTX

(20)kerberos

(21)SSL:OpenSSL

(22)PAM

(23)DHCP服务器

(24)数据备份

(25)远程桌面VNC (VNC 5900)

(26)NTP(network time protocol) 123