In unserer heutigen Zeit, in der das Internet allgegenwärtig ist und wir mehr Zeit am Tag online verbringen als in der realen Welt, wird es zunehmend schwieriger, seine Daten und Systeme gegenüber Fremden abzusichern. Die meisten Systeme sind entweder sehr teuer, kompliziert zu bedienen oder nicht transparent genug. Mit Lynis haben wir ein Open Source Scanning Tool gefunden, dass nicht nur einfach in der Bedienung ist, sondern auch noch ein hervorragendes Preis-Leistungs-Verhältnis bietet. Wie Lynis funktioniert, wollen wir uns jetzt näher anschauen.

Lynis ist für alle Linux-Systeme und auf Unix-basierten Systemen verfügbar und das mit unterschiedlichem Programmumfang in den Varianten Free, Basic und Premium. Ab 20 Lizenzen ist auch eine Self-Hosted Version möglich.

Installation

Die Installation ist am einfachsten über das Command Line Interface des Linux Systems. Hierfür muss man einfach der Anleitung unter https://packages.cisofy.com/community/ folgen. Natürlich ist es auch möglich, die aktuelle Version als .tar-Paket herunterzuladen und es über das mitgelieferte Shell-Skript zu installieren.

Kommandos

Nach der Installation ruft man mit dem Befehl lynis eine Übersicht der Kommandos, die in Lynis verfügbar sind auf.

Folgende wichtige Command-Gruppen gibt es unter Lynis:

1. audit
   Dieser Befehl ist der wichtigste, da man mit diesem das System, auf dem Lynis installiert ist, auf Security-Lücken scannt. Mit dem Kommando lynis audit system überprüft Lynis das System und gibt auf der Konsole den Status der einzelnen Tests als Liste aus. Nach Beendigung des Tests werden noch Details des Security Scans ausgegeben. Es ist auch möglich, das System Remote zu scannen. Hierfür gibt man den Befehl lynis audit system remote <host> (host durch ihren Host ersetzen) ein. Seit neustem ist es auch möglich, Dockerfiles mit Lynis zu analysieren. Um Informationen ins Web-Tool zu schreiben, braucht man noch den zusätzlichen Parameter –upload.
2. show
   Falls Informationen über das Betriebssystem, die changelogs, reports, logfiles usw gebraucht werden, ist show die richtige Adresse.
3. update
   Um die Details der neuen Version von lynis zu überprüfen, eignet sich das Kommando update info. Hat man dieses überprüft, kann man das Tool ganz einfach mit dem update release auf die neuste Version updaten.

Nachdem wir lynis audit system eingegeben haben, erfolgt die nachfolgende Ausgabe in der Konsole.

Durch Überschriften, welche die Kategorien trennen, findet sich eine Beschreibung, was der jeweilige Test überprüft hat. Auf der selben Höhe sieht man dann, ob die Testüberprüfung gut (grün), verbesserungswürdig (gelb) oder schlecht (rot) war. Die roten Tests sollten unbedingt gefixt werden, da es sich hier um erhebliche Sicherheitslücken handelt.

Nachdem die Tests durchgelaufen sind, werden noch die Suggestions angezeigt. Nach einer kurzen Beschreibung der Suggestion wird noch ein Link zur Problemlösung unter https://cisofy.com/controls angeboten.

Die Daten der Konsolenausgabe ins Webtool laden (ab Basic Version)

Um die Ausgabe an das Webtool zu senden, sind im Vorfeld ein paar Konfigurationen nötig. In der Anleitung, die man auf https://portal.cisofy.com/enterprise/system/add/ findet, wird in einfachen Steps beschrieben, wie man nach der Installation einen Lizenzschlüssel hinzufügen kann, um das System im Webtool verfügbar zu machen.

Das Webtool (ab Basic Version)

Basic

Operating System:

Hier erfährt man, welche Linux Distribution mit welcher Versionsnummer und welche Kernel-Version auf dem Server benutzt werden.

Network

Die Informationen zur Domain, ob eine IP V6 vorhanden ist oder ob auf dem Server eine Firewall läuft, werden hier sichtbar.

Audit details

Gibt Aufschluss darüber, welche Lynis-Version im Einsatz ist, wann die letzte Systemüberprüfung war, wie viele Test ausgeführt wurden usw.

System Hardening

Der Hardening Index zeigt an, wie stabil das System im aktuellen Zustand ist. Warnings müssen unbedingt gelöst werden. Suggestions weisen den Administrator darauf hin, ob er den User z.B zumuten möchte, einmal im Jahr das Systempasswort neu zu setzen.

Risk

Unter Risk wird angezeigt, wie groß das Risiko der Sicherheitslücken eingestuft wird. Unterschieden wird hier zwischen des ausgewählten System, allen im Webtool verfügbaren gleichen Betriebssystemen (z.B alle Ubuntu 16.04) und alle Systemen, für die man eine Lizenz hinterlegt hat. Der Wert soll so weit wie möglich gegen 0 gehen.

Welche Lösungsansatz stellt Lynis für die Probleme zur Verfügung

Man gelangt zum System Hardening, indem man auf dem Dashboard weiter nach unten scrollt oder bei Warnungs/Risks auf die blaue Zahl dahinter klickt. Hier hat man die Möglichkeit, Suggestions zu lösen oder zu ignorieren. Warnings lassen sich nur beheben. Durch Klick auf Solve gelangt man zu diesem Fenster.

Im ersten Teil des Fensters, befindet sich eine Problembeschreibung, warum die Sicherheitslücke behoben werden sollte und auf welchen Systemen diese noch auftreten. Der zweite Teil befasst sich mit der Problemlösung. In der Beschreibung wird erläutert, wie das Problem gelöst werden kann. Hierfür stellt Lynis noch Snippets bereit, die man in verschiedene Skripte packen kann, um das ausrollen auf mehreren Systemen zu vereinfachen. Unter Effort and Risk versteht man, wie hoch der Aufwand ist, um das Problem zu lösen und unter Implementation risk versteht man, wie hoch das Risiko ist, dass bei der Implementierung oder Behebung des Problemes etwas schiefgehen könnte. Um so höher die Zahl, um so Größer das Risiko.

Eigene Security-Test schreiben

Es besteht die Möglichkeit, eigenen Security-Tests als Plugins in Lynis einzubinden. Diese werden als einfache Shell-Skripte geschrieben und werden unter /usr/share/lynis/plugins eingestellt. In einem weiteren Blogbeitrag wird es eine ausführlichere Anleitung zu diesem Thema geben.