Linux mit Lynis analysieren und härten

Linux sorgt von Haus aus schon dafür, ein System möglichst sicher zu betreiben. Allerdings ist das immer von der Konfiguration des Systems und der installierten Pakete abhängig. Unsachgemäße Handhabung, mangelndes Wissen oder auch schlechte Dokumentationen können ein System schnell zur Angriffsfläche machen. Gerade Einplatinencomputer wie zum Beispiel ein Raspberry Pi hängen oft direkt im Internet und werden somit schnell ein Ziel für Angreifer. Neben einer Firewall, die wirklich nur den Traffic durchlässt, der wirklich erforderlich ist, aktuellen Paketen, sicheren Passwörtern und einer abgesicherten SSH Konfiguration müssen auch weitere Systemkomponenten möglicherweise gehärtet werden, um Angriffsflächen zu minimieren. Um das eingesetzte System zu analysieren gibt es mehrere Möglichkeiten. Eine davon ist das Open Source Audit Werkzeug “Lynis”. Es führt einige individuelle Tests durch und gibt Ratschläge wie das eigene System weiter abgesichert werden kann.

Am Ende gibt es auch eine Statusübersicht, wie der Zustand des Systems ist. Dabei wird wie folgt vorgegangen.

1. Betriebssystem erkennen
2. Suche nach verfügbaren Tools und Dienstprogrammen
3. Auf Lynis-Update prüfen
4. Tests von aktivierten Plugins ausführen
5. Sicherheitstests pro Kategorie durchführen
6. Status des Sicherheits-Scans melden

Um das eigene System zu analysieren, muss das Werkzeug erstmal bereitgestellt werden. Es kann je nach Distribution aus den Paketquellen installiert werden oder direkt über “git” in der aktuellen Version heruntergeladen werden.

Beispiel für Arch Linux:

sudo pacman -S lynis
lynis audit system

Beispiel über git:

git clone https://github.com/CISOfy/lynis
cd lynis; ./lynis audit system

Linux lynis hardening System härten

Der Vorgang des Scans dauert nur einen kleinen Augenblick. Für die gefunden Probleme oder die vorgeschlagenen Maßnahmen werden Links angezeigt mit Lösungen, wie diese umzusetzen sind. Gegebenenfalls muss bei vereinzelten Aktionen noch ein wenig eigene Recherche investiert werden.

Linux lynis hardening System härten

Mit Lynis kann das System mit sehr wenig Aufwand auf Schwachstellen getestet werden. Gerade durch die gute Dokumentation macht es die Aktion sehr anwenderfreundlich. Natürlich ist das keine Garantie, dass das System danach absolut wasserdicht ist, jedoch bietet es einiges Potential, dass eigene System zu optimieren.

Quelle: https://cisofy.com