Um aluno me perguntou sobre uma ferramenta que pudesse auxilia-lo quanto a verificação das configurações feitas em um servido linux focando em segurança, no caso, ele está fazendo o hardening do servidor.

De cara, eu pensei no Lynis. Uma ferramenta opensource bem interessante que faz uma boa varredura a procura de possíveis falhas no seu sistema operacional. E vejam a lista de sistemas que ele, o Lynis, é compatível:

– Arch Linux
– CentOS
– Debian
– Fedora Core 4 and higher
– FreeBSD
– Gentoo
– Knoppix
– Mac OS X
– Mandriva 2007
– OpenBSD 4.x
– OpenSolaris
– OpenSuSE
– PcBSD
– PCLinuxOS
– Red Hat, RHEL 5.x
– Slackware 12.1
– Solaris 10
– Ubuntu

Vejam a tela do Lybis no momento do seu scanner:

A sua instalação é bem simples, basta executar os comandos abaixo:

wget http://www.rootkit.nl/files/lynis-1.3.0.tar.gz
$ sudo tar xvfvz lynis-1.3.0.tar.gz
sudo /opt/lynis-1.3.0/lynis --check-all -Q

Agora olhem as categorias que o Lynis varre no sistema operacional:

  • System tools: system binaries
  • Boot and services: boot loaders, startup services
  • Kernel: run level, loaded modules, kernel configuration, core dumps
  • Memory and processes: zombie processes, IO waiting processes
  • Users, groups and authentication: group IDs, sudoers, PAM configuration, password aging, default mask
  • Shells
  • File systems: mount points, /tmp files, root file system
  • Storage: usb-storage, firewire ohci
  • NFS
  • Software: name services: DNS search domain, BIND
  • Ports and packages: vulnerable/upgradable packages, security repository
  • Networking: nameservers, promiscuous interfaces, connections
  • Printers and spools: cups configuration
  • Software: e-mail and messaging
  • Software: firewalls: iptables, pf
  • Software: webserver: Apache, nginx
  • SSH support: SSH configuration
  • SNMP support
  • Databases: MySQL root password
  • LDAP services
  • Software: php: php options
  • Squid support
  • Logging and files: syslog daemon, log directories
  • Insecure services: inetd
  • Banners and identification
  • Scheduled tasks: crontab/cronjob, atd
  • Accounting: sysstat data, auditd
  • Time and synchronization: ntp daemon
  • Cryptography: SSL certificate expiration
  • Virtualization
  • Security frameworks: AppArmor, SELinux, grsecurity status
  • Software: file integrity
  • Software: malware scanners
  • Home directories: shell history files

Dois pontos interessantes quanto a utilização desta ferramenta são os seguintes:

  • Sugestões passadas por ele na hora do scanner – grep Suggestion /var/log/lynis.log
  • Os avisos de perigo no momento do scanner – grep Warning /var/log/lynis.log

Fica a dica para galera.

P.S.: Ferramenta mais do que adotada no nosso curso de Hardening. 🙂