Explorando el Informe de Auditoría Lynis
Lynis es una herramienta de auditoría de seguridad gratuita y de código abierto, publicada como proyecto con licencia GPL y disponible para Linux y sistemas operativos basados en Unix, como MacOS, FreeBSD, NetBSD, OpenBSD, etc.
¿Qué vamos a explorar aquí?
En este tutorial, intentaremos explorar el informe de auditoría Lynis y aprender a aplicar algunas de las reformas que sugiere. Empecemos ahora con esta guía.
Comprender los Informes de Auditoría Lynis
El análisis posterior a Lynis nos ha dejado un enorme resumen de las pruebas realizadas. Para sacar provecho de estos resultados, es fundamental comprenderlos y aplicar medidas complementarias específicas. Primero haremos un breve resumen de algunas secciones de la auditoría y luego pasaremos a las secciones de sugerencias. De este modo nos haremos una idea de lo que significa cada prueba específica y cómo aplicar las sugerencias.
1. Inicialización del programa
En la fase de inicialización, Lynis realiza las operaciones básicas de comprobación, como detectar el tipo de SO, la versión del kernel, la arquitectura de la CPU, la versión de Lynis instalada, el nombre del auditor, comprobar si hay alguna actualización de Lynis disponible, etc. En general, esta fase sólo proporciona una información estática del sistema y del programa.
2. Plugins
Lynis proporciona plugins para mejorar aún más el proceso de auditoría. Por ejemplo, el plugin Cortafuegos proporciona servicios específicos de cortafuegos. Estos plugins incluyen una o más pruebas, algunas de las cuales son de pago y sólo están disponibles con la edición empresarial de Lynis.
3. Pruebas Debian
Como se menciona en la prueba, esto comprueba las utilidades del sistema necesarias para las pruebas de Debian. Por ejemplo, el análisis anterior informa de que «libpam-tmpdir» no está instalado. Cuando instalamos este paquete, el mensaje correspondiente cambia de ‘No instalado’ a ‘Instalado y activado’, como se muestra a continuación:
4. Arranque y servicios
Esta sección proporciona información sobre el tipo de gestor de servicios (systemd en este caso), el servicio en ejecución y habilitado para el arranque, etc. Lo más importante es que etiqueta los servicios en función de su nivel de seguridad: Inseguro, Expuesto, Protegido, Medio.
5. Kernel
Aquí Lynis realiza una comprobación de varios parámetros específicos del kernel, como el nivel de ejecución, la versión y el tipo de kernel, etc.
6. Memoria y Procesos
En esta sección Lynis comprueba el estado de los procesos, es decir, si están muertos o en estado de espera.
Siguiendo un patrón similar, Lynis audita varias secciones del sistema, como servicios, software, redes, bases de datos, etc. Describir todos y cada uno de los pasos sería una tarea muy larga. En general, genera sugerencias y advertencias para cada sección que audita. Corregir estas advertencias y aplicar las sugerencias posteriores nos ayuda a endurecer aún más nuestros sistemas. Ahora nos centraremos en fijar algunas sugerencias.
Arreglar los problemas…
Como se ha mencionado en la sección anterior, Lynis rellena el terminal con los resultados del análisis, también genera un archivo de registro (lynis.log) y un archivo de informe (lynis-report.dat). Probablemente te habrás dado cuenta de que cada advertencia y sugerencia va seguida de una breve descripción y un enlace a la sección «Controles» del sitio web de CISOfy. Por ejemplo, mira la imagen de abajo:
Muestra que hay unas 46 sugerencias y 1 advertencia en total. También muestra la primera sugerencia de instalar el paquete apt-listchanges y debajo hay un enlace a la sección «Controles» del sitio web de CISOfy. Intentemos aplicar algunas de estas sugerencias:
1. Instala el paquete apt-listchanges
Este paquete compara la versión de un paquete instalado con la nueva disponible. Para instalar este paquete, utiliza:
$ sudo apt apt-listchanges
2. Escáner de malware
Lynis informa de que no hay ningún escáner de malware instalado en nuestro sistema. También da ejemplos de herramientas como rkhunter, chkrootkit y OSSEC. Instalemos rkhunter en nuestro Kali Linux:
$ sudo apt install rkhunter
3. Instalar el módulo de seguridad PAM
Este hallazgo sugiere instalar un módulo PAM para poder comprobar la fortaleza de la contraseña. En los sistemas basados en Debian se utiliza para este fin el paquete ‘libpam-cracklib’. Instala esta herramienta con:
$ sudo apt install libpam-cracklib
Instalemos todos los paquetes anteriores y volvamos a ejecutar la auditoría Lynis para ver si se reduce el número de sugerencias:
Una vez instalados estos paquetes, vuelve a ejecutar la auditoría:
$ sudo ./lynis audit system
Esta vez podemos ver que el número de sugerencias se ha reducido a 44. El índice de endurecimiento también ha pasado de 62 a 65. Ten en cuenta que cuando instalamos nuevos plugins (edición Lynis Enterprise) o solucionamos algún problema instalando nuevos paquetes, el tiempo de auditoría puede aumentar, esto es lo que ocurrió en este caso. Cuanto más resuelvas los problemas y apliques las sugerencias, más se ampliará tu auditoría y más se endurecerá tu sistema.
Nota: Mientras exploras una sugerencia o advertencia, puedes utilizar el comando «mostrar detalles» para ver la descripción completa utilizando el «test-id». Por ejemplo, para explorar «KRNL-5830» utiliza el comando:
sudo lynis show details KRNL-5830
Además, puedes utilizar el enlace que aparece debajo de cada test-id para ver su descripción en los sitios web de CISOfy.
Conclusión
Uno puede asustarse al ver por primera vez muchas sugerencias en el resultado de la auditoría. Sin embargo, no hay que preocuparse. Tómatelo como un esquema para mapear la seguridad de tu sistema. Algunas de las sugerencias consisten simplemente en instalar un paquete o ejecutar un simple comando, mientras que otras pueden requerir que modifiques varios archivos de configuración. Sólo tienes que identificar los problemas y solucionar cualquier vulnerabilidad que descubras.