Cómo auditar un sistema Linux remoto con la herramienta de seguridad Lynis

Lynis es una herramienta de auditoría de seguridad gratuita y de código abierto, publicada como proyecto con licencia GPL y disponible para Linux y sistemas operativos basados en Unix, como MacOS, FreeBSD, NetBSD, OpenBSD, etc. La gente, en general, desconoce que también podemos utilizar Lynis para la auditoría remota del sistema. De este modo, podemos instalar Lynis en un sistema y realizar una auditoría en otros sistemas remotos.

¿Qué exploraremos aquí?

En este tutorial, proporcionaremos instrucciones sobre cómo realizar una auditoría de seguridad Lynis en un sistema remoto. Empecemos con este HowTo.

Requisitos previos

  • Git y Lynis deben estar instalados en el sistema Kali Linux.
  • La conexión «SSH» debe estar configurada entre los dos sistemas.
  • Conectividad a Internet para los dos sistemas.

Configuración experimental

En este tutorial vamos a utilizar dos sistemas Linux: 1) Kali Linux 2) Ubuntu 20.04.

En el sistema Kali Linux, tenemos una configuración de Lynis que funciona. Hemos instalado Lynis utilizando la herramienta «Git», por lo que lo ejecutaremos desde el directorio «lynis». Nuestros comandos lynis empezarán por el prefijo: ‘./lynis’. Si lo has instalado utilizando el gestor de paquetes apt, podrás invocarlo desde cualquier lugar y directamente utilizando el nombre de la herramienta: ‘lynis’.

Ubuntu 20.04 es nuestro sistema remoto en el que realizaremos nuestra auditoría. La configuración IP de estas máquinas es la siguiente:

  • Kali Linux: 192.168.199.161/24
  • Ubuntu 192.168.199.150/24

Pasos para auditar un sistema remoto

Ahora procederemos con los siguientes pasos para realizar una auditoría de seguridad del sistema en nuestro objetivo remoto.

Paso 1. Comienza iniciando sesión en tu sistema Kali Linux. Ahora necesitamos obtener los archivos de configuración de Lynis del repositorio de GitHub, así que abre un terminal y ejecuta el siguiente comando:

$ git clone https://github.com/CISOfy/lynis

Obtener los archivos de configuración de Lynis de GitHub

Paso 2. Una vez obtenidos los archivos git, debería aparecer una carpeta llamada ‘lynis‘ en tu sistema:

$ ls

Ahora ve a la carpeta ‘lynis’ y crea una carpeta ‘ files’:

$ cd files && mkdir files

Paso 3. Crea un archivo tar de la carpeta lynis ejecutando los siguientes comandos desde ‘fuera’ de esta carpeta:

$ cd ..

$ tar czf ./lynis/ficheros/lynis-remote.tar.gz –exclude=ficheros/lynis-remote.tar.gz ./lynis

Ahora vuelve a moverte dentro de la carpeta lynis y comprueba si hay un archivo llamado ‘lynis-remote. tar.gz’ dentro de la carpeta ‘files’:

$ cd lynis && ls files/

Crear un archivo tar de la carpeta lynis

Paso 4. Es hora de copiar el archivo tar anterior en nuestra máquina de destino, es decir, Ubuntu con 192.168.199.150/24. Vamos a utilizar el comando «scp» para esta tarea:

$ scp -q ./archivos/lynis-remote.tar.gz ‘TU_USUARIO’@192.168.199.150:~/tmp-lynis-remote.tgz

Nota: En cada comando sustituye «TU_USUARIO» y la dirección IP por el nombre de usuario y la dirección IP del sistema de destino.

Confirma la autenticidad del sistema de destino e introduce su contraseña para que funcione la transferencia.

 copiando el archivotar a nuestra máquina de destino

Paso 5. Tras ejecutar el comando anterior, debería aparecer una carpeta llamada ‘tmp-lynis-remote.tgz’ en el sistema de destino.

Archivo Tar en la máquina remota

Paso 6. Impresionante, nuestro archivo tar ya ha llegado a la máquina de destino, ahora tenemos que disparar el siguiente comando para empezar a escanear la máquina de destino:

$ ssh ‘TU_USUARIO’@192.168.199.150 «mkdir -p ~/tmp-lynis && cd ~/tmp-lynis && tar xzf ../tmp-lynis-remote.tgz && rm ../tmp-lynis-remote.tgz && cd lynis && ./lynis audit system»

escanear la máquina de destino

Tardará algún tiempo, dependiendo del tamaño del análisis, en completarse, así que ten paciencia. En la mayoría de los casos dura 2 minutos. En el terminal, puedes ver varias pruebas realizadas por Lynis:

Ejemplo de salida:

[+] Kernel

————————————

– Comprobación del nivel de ejecución por defecto [ RUNLEVEL 5 ]

– Comprobación del soporte de CPU (NX/PAE)

Soporte de CPU: PAE y/o NoeXecute soportados [ ENCONTRADO ]

– Comprobación de la versión y lanzamiento del núcleo [ HECHO]

– Comprobación del tipo de núcleo [ HECHO ]

– Comprobación de los módulos del núcleo cargados [ HECHO]

Encontrados 147 módulos activos

– Comprobación del archivo de configuración del núcleo de Linux [ ENCONTRADO ]

– Comprobación del programador de E/S predeterminado del núcleo [ NO ENCONTRADO ]

– Comprobación de actualización disponible del núcleo [ OK ]

– Comprobando configuración de volcado del núcleo

– configuración en archivos conf de systemd [ DEFAULT ]

– configuración en etc/profile [ DEFAULT ]

– configuración ‘dura’ en security/limits.conf [ DEFAULT ]

– configuración ‘soft’ en security/limits.conf [ DEFAULT ]

– Comprobar la configuración de los volcados del núcleo setuid [ PROTEGIDO]

– Comprobar si es necesario reiniciar [ NO]

[+] Memoria y Procesos

 

Paso 7. Una vez finalizado el proceso de escaneo podemos simplemente limpiar el directorio extraído ‘tmp-lynis’ en la máquina remota del paso 6.

$ ssh ‘TU_USUARIO’@192.168.199.150 «rm -rf ~/tmp-lynis»

Limpiar el directorio ‘tmp-lynis’

Paso 8. Los resultados del escaneo se muestran en el terminal Kali Linux. También podemos recuperar el registro del escaneo y el informe de la máquina remota utilizando:

scp -q ‘TU_USUARIO’@192.168.199.150:~/lynis.log ./files/192.168.199.150-lynis.log

scp -q ‘YOUR_USERNAME’@192.168.199.150:~/lynis-report.dat ./files/192.168.199.150-lynis-report.dat

recuperar los archivos de registro
Paso 9: Para limpiar los archivos de registro de lynis (cuando se utiliza una cuenta sin privilegios) creados en el sistema remoto, ejecuta el comando

ssh ‘TU_USUARIO’@192.168.199.150 «rm ~/lynis.log ~/lynis-report.dat»

Limpiar los archivos de registro
Ya está. Hemos escaneado con éxito nuestro sistema remoto.

Para terminar

En este tutorial hemos aprendido a escanear un sistema remoto con Lynis. Si has seguido correctamente este tutorial, te darás cuenta de que no hemos dejado ningún rastro de auditoría en el sistema remoto. Lynis es una gran herramienta para cualquiera que quiera comprobar el nivel de seguridad de su sistema. Los escaneos son rápidos y proporcionan sugerencias perspicaces para mejorar la seguridad general del sistema. En el próximo tutorial esperamos explorar varios detalles de un escaneo Lynis, como advertencias, sugerencias, etc., así que sigue atento a nosotros.

También te podría gustar...