4 Eylül 2015 Cuma

Lynis ile Sistem Güvenlik ve Bütünlük Kontrollerinin Yapılması


Open source ve ticari versiyonları bulunan lynis sistem bütünlük ve güvenlik kontrollerinin yapılmasında pratik faydalar sağlamakla birlikte farklı sistemlere entegre edilebilmektedir. Bu yazımızda sıfırdan kurulmuş bir Centos 7 işletim sistemi üzerinde kurulumu gerçekleştirip basit olarak test edilecektir. Test aşamasına geçmeden önce temel linux bilgisi ve komutlarına hakim olmanız gerekmektedir. Bir network yada sunucu sistemlerinin bulunduğu bir ortamda yada gerçekleştirilmekte olan penetrasyon testleri sırasında birden fazla güvenlik kontrolü yapmak uzun süreler alabilmektedir. Böyle durumlarda test süresini kısaltmak ve birden fazla kontrolü gerçekleştirmek amacıyla lynis ve benzeri araçları kullanmakta yarar vardır.

Genel kullanım olarak üç temel kullanım seçeneği bulunmakta ve bu işlemler için süreçleri hızlandırmaktadır.

** Security Auditing
** Vulnarability Scanning
** System Hardening

Kurulum İçin Gereksinimler:

Centos 7 veya türevi bir linux dağıtımı,
Wmware Sanallaştırma Uygulaması,
Ssh Bağlantı için(Putty)
Sunucu yapılandırması için (1 Nat Wm0 bacağı ve 1 Brigde Modda Wm2 bacağı)

Not: Dağıtım için fresh bir minamal sürüm kullanıldığı için öncelikle gerekli güncellemeleri yaptıktan sonra nano, development tools, wget gerekebilmektedir. Sisteminizde eksikse aşağıdaki komutla mutlaka bu kurulumu gerçekleştiriniz.

#  yum groupinstall "Development Tools"

Eksik kurulum ve güncellemeler gerçekleştikten sonra lynis kurulumuna geçebiliriz. Öncelikle wget ile o anki yada hangi sürümü güncelse biz bu yazıda 1.5.8 sürümünü kullanıyoruz, indirilir.

# wget http://cisofy.com/files/lynis-1.5.8.tar.gz

Daha sonra tar komutu ile dosyalar çıkartılır.

# tar xvf lynis-1.5.8.tar.gz

Daha sonra ilgili dizine geçilir.

# cd lynis-1.5.8.tar.gz

Denetimi başlatmak için aşağıdaki komut verilir ve audit başlatılır.

# ./lynis --auditor BGA -c

Bu komutttan sonra test işlemi başlayacaktır. Test bitene kadar aşağıdaki test işlemlerini tablodan görebilirsiniz.

[ Lynis 1.5.8 ]

################################################################################
Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
welcome to redistribute it under the terms of the GNU General Public License.
See the LICENSE file for details about using this software.

Copyright 2007-2014 - Michael Boelen, http://cisofy.com
Enterprise support and plugins available via CISOfy - http://cisofy.com
################################################################################

[+] Initializing program
------------------------------------
 - Detecting OS...                                           [ DONE ]
 - Clearing log file (/var/log/lynis.log)...                 [ DONE ]

 ---------------------------------------------------
 Program version:           1.5.8
 Operating system:          Linux
 Operating system name:     CentOS
 Operating system version:  CentOS Linux release 7.0.1406 (Core)
 Kernel version:            3.10.0-123.el7.x86_64
 Hardware platform:         x86_64
 Hostname:                  localhost
 Auditor:                   BGA
 Profile:                   ./default.prf
 Log file:                  /var/log/lynis.log
 Report file:               /var/log/lynis-report.dat
 Report version:            1.0
 Plugin directory:          ./plugins
 ---------------------------------------------------

[ Press [ENTER] to continue, or [CTRL]+C to stop ]
 - Checking profile file (./default.prf)...
 - Program update status...                                  [ SKIPPED ]

[+] System Tools
------------------------------------
 - Scanning available tools...
 - Checking system binaries...
   - Checking /bin...                                        [ FOUND ]
   - Checking /sbin...                                       [ FOUND ]
   - Checking /usr/bin...                                    [ FOUND ]
   - Checking /usr/sbin...                                   [ FOUND ]
   - Checking /usr/local/bin...                              [ FOUND ]
   - Checking /usr/local/sbin...                             [ FOUND ]
   - Checking /usr/local/libexec...                          [ FOUND ]
   - Checking /usr/libexec...                                [ FOUND ]
   - Checking /usr/sfw/bin...                                [ NOT FOUND ]
   - Checking /usr/sfw/sbin...                               [ NOT FOUND ]
   - Checking /usr/sfw/libexec...                            [ NOT FOUND ]
   - Checking /opt/sfw/bin...                                [ NOT FOUND ]
   - Checking /opt/sfw/sbin...                               [ NOT FOUND ]
   - Checking /opt/sfw/libexec...                            [ NOT FOUND ]
   - Checking /usr/xpg4/bin...                               [ NOT FOUND ]
   - Checking /usr/css/bin...                                [ NOT FOUND ]
   - Checking /usr/ucb...                                    [ NOT FOUND ]
   - Checking /usr/X11R6/bin...                              [ NOT FOUND ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Plugins (phase 1)
------------------------------------
 - Plugins enabled                                           [ NONE ]

[+] Boot and services
------------------------------------
 - Checking boot loaders
   - Checking presence GRUB...                               [ NOT FOUND ]
   - Checking presence LILO...                               [ NOT FOUND ]
   - Checking boot loader SILO                               [ NOT FOUND ]
   - Checking boot loader YABOOT                             [ NOT FOUND ]
 - Check running services (systemctl)...                     [ DONE ]
       Result: found 20 running services
 - Check enabled services at boot (systemctl)...             [ DONE ]
       Result: found 22 enabled services
 - Check startup files (permissions)...                      [ OK ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Kernel
------------------------------------
 - Checking default runlevel...                              [ runlevel 3 ]
 - Checking CPU support (NX/PAE)
   CPU support: PAE and/or NoeXecute supported               [ FOUND ]
 - Checking kernel version and release                       [ DONE ]
 - Checking kernel type                                      [ DONE ]
 - Checking loaded kernel modules                            [ DONE ]
     Found 78 active modules
 - Checking Linux kernel configuration file                  [ FOUND ]
 - Checking default I/O kernel scheduler                     [ FOUND ]
 - Checking core dumps configuration...                      [ DISABLED ]
   - Checking setuid core dumps configuration...             [ DEFAULT ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Memory and processes
------------------------------------
 - Checking /proc/meminfo...                                 [ FOUND ]
 - Searching for dead/zombie processes...                    [ OK ]
 - Searching for IO waiting processes...                     [ OK ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Users, Groups and Authentication
------------------------------------
 - Search administrator accounts...                          [ OK ]
 - Checking for non-unique UIDs...                           [ OK ]
 - Checking consistency of group files (grpck)...            [ OK ]
 - Checking non unique group ID's...                         [ OK ]
 - Checking non unique group names...                        [ OK ]
 - Checking password file consistency...                     [ OK ]
 - Query system users (non daemons)...                       [ DONE ]
 - Checking NIS+ authentication support                      [ NOT ENABLED ]
 - Checking NIS authentication support                       [ NOT ENABLED ]
 - Checking sudoers file                                     [ FOUND ]
   - Check sudoers file permissions                          [ OK ]
 - Checking PAM password strength tools                      [ OK ]
 - Checking PAM configuration file (pam.conf)                [ NOT FOUND ]
 - Checking PAM configuration files (pam.d)                  [ FOUND ]
 - Checking PAM modules                                      [ FOUND ]
 - Checking user password aging                              [ DISABLED ]
 - Checking Linux single user mode authentication            [ WARNING ]
 - Determining default umask
   - Checking umask (/etc/profile)                           [ SUGGESTION ]
   - Checking umask (/etc/login.defs)                        [ OK ]
   - Checking umask (/etc/init.d/functions)                  [ SUGGESTION ]
 - Checking LDAP authentication support                      [ NOT ENABLED ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Shells
------------------------------------
 - Checking shells from /etc/shells...
   Result: found 6 shells (valid shells: 6).
   - Session timeout settings/tools                          [ NONE ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] File systems
------------------------------------
 - Checking mount points
   - Checking /home mount point...                           [ SUGGESTION ]
   - Checking /tmp mount point...                            [ SUGGESTION ]
 - Checking LVM volume groups...                             [ FOUND ]
   - Checking LVM volumes...                                 [ FOUND ]
 - Checking for old files in /tmp...                         [ OK ]
 - Checking /tmp sticky bit...                               [ OK ]
 - ACL support root file system...                           [ DISABLED ]
 - Checking Locate database...                               [ NOT FOUND ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Storage
------------------------------------
 - Checking usb-storage driver (modprobe config)...          [ NOT DISABLED ]
 - Checking firewire ohci driver (modprobe config)...        [ NOT DISABLED ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] NFS
------------------------------------
 - Check running NFS daemon...                               [ NOT FOUND ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Software: name services
------------------------------------
 - Checking default DNS search domain...                     [ NONE ]
 - Checking search domains...                                [ FOUND ]
 - Checking /etc/resolv.conf options...                      [ NONE ]
 - Searching DNS domain name...                              [ UNKNOWN ]
 - Checking nscd status...                                   [ NOT FOUND ]
 - Checking BIND status...                                   [ NOT FOUND ]
 - Checking PowerDNS status...                               [ NOT FOUND ]
 - Checking ypbind status...                                 [ NOT FOUND ]
 - Checking /etc/hosts
   - Checking /etc/hosts (duplicates)                        [ OK ]
   - Checking /etc/hosts (hostname)                          [ OK ]
   - Checking /etc/hosts (localhost)                         [ SUGGESTION ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Ports and packages
------------------------------------
 - Searching package managers...
   - Searching RPM package manager...                        [ FOUND ]
     - Querying RPM package manager...


Test işlemleri esnasında aşağıdaki kontrolleri yapmakla birlikte cd /var/log dizini altında lynis.log dosyasından gerekli rapora ulaşabilirsiniz. Ayrıca bu dizinde birde lynis-report.dat rapor dosyası oluşturmaktadır.

**  System Tools Kontrolü
**  Plugin Kontrolü
**  Boot and Service
**  Kernel
**  Memory and Process
**  Users, Group and Authentication
**  Shells
**  File Systems
**  Storage
**  NFS
**  Name Services : [Software]
**  Port and Package
**  Networking
**  Printers and Spools
** E-mail and messaging: (Software test)
** Firewall
** Webserver audit
** Ssh Support
** Snmp Support
** Database
** LDAP Services
** Php, Squid Desteği
** Log ve Dosya Denetimi
** İnsecure Servisleri
** Banners and identification

Sistem bütünlük kontrolünün sağlanması için yukarıdaki servisleri test etmekte ve durumu hakkında bilgi sağlamaktadır. Daha detaylı bilgi almak için aşağıdaki komutu verdikten sonra çıktısı adım adım incelenmelidir.

# ./lynis --auditor BGA -c

Kontrol başladıktan sonra örnek ekran alıntıları:

lynis1.PNG

lynis2.PNGDaha fazla bilgi ve kullanım amacıyla yazının sonunda bulunan referanslar kısmından bilgi edinebilirsiniz. Bu yazı bilgi güvenliği akademisinde staj yaptığım zamanlarda hazırlanmıştır.



Referanslar:



Hiç yorum yok :

Yorum Gönder

Blog Arşivi