Cho dù bạn là quản trị viên hay người dùng Linux, thì việc có một máy chủ hoặc PC an toàn phải là ưu tiên hàng đầu. Mặc dù Linux là một hệ điều hành an toàn, nhưng nó cũng dễ bị tấn công hoặc vi phạm bảo mật giống như các hệ điều hành khác.
Trong bài này, bạn sẽ học được cách kiểm tra và quét các lỗ hổng bảo mật trên Linux của mình bằng Lynis. Lynis là một công cụ mã nguồn mở và có sẵn trên hầu hết các hệ điều hành dựa trên Unix như Linux, macOS, Solaris, FreeBSD,…
Lynis hoạt động như thế nào?
Lynis thực hiện quét tình trạng bảo mật trên PC hoặc máy chủ của bạn để tăng cường kiểm tra tính tuân thủ và tăng cường bảo mật.
Lynis là module và chỉ kiểm tra các thành phần trên máy tính mà nó có thể tìm thấy; ví dụ, các công cụ hệ thống và thư viện tương ứng của chúng.
Một trong những ưu điểm chính của Lynis là nó không yêu cầu bạn cài đặt để thực hiện việc kiểm tra. Bạn có thể chỉ cần chạy nó từ một thư mục cấu hình nếu muốn, vì vậy hệ thống của bạn vẫn ở trạng thái rất sạch.
Tất cả các cuộc kiểm tra của Lynis đều là tùy chỉnh, tức là mỗi lần kiểm tra là duy nhất tùy thuộc vào cấu hình hệ thống, phần mềm đã cài đặt và các yếu tố khác của bạn. Hệ thống của bạn càng có nhiều thành phần thì báo cáo đánh giá càng mở rộng.
Ngoài việc hiển thị thông tin kiểm tra trên màn hình của bạn, Lynis cũng lưu trữ thông tin kỹ thuật trong tệp lynis.log. Một tệp riêng biệt có tên lynis-report.dat lưu trữ các hành động và cảnh báo được đề xuất. Cả hai tệp nhật ký này đều nằm trong thư mục /var/log/.
Báo cáo kiểm toán của Lynis cung cấp cho bạn nhiều thông tin chi tiết và kiến thức về các biện pháp bảo mật mà bạn nên thực hiện để đảm bảo rằng hệ thống của bạn vẫn an toàn khỏi các cuộc tấn công bảo mật tiềm ẩn.
Cài đặt Lynis trên Linux
Có một số cách mà bạn có thể chạy hoặc cài đặt Lynis trên Linux, nhưng để giữ mọi thứ đơn giản, chúng ta sẽ tìm hiểu hai trong số các cách phổ biến nhất.
1. Cài đặt Lynis thông qua Trình quản lý gói
Bạn có thể dễ dàng cài đặt Lynis bằng trình quản lý gói mặc định trên hệ thống của mình, tùy thuộc vào bản phân phối Linux của bạn.
Trên các bản phân phối Linux dựa trên Debian, chẳng hạn như Ubuntu, chỉ cần chạy:
sudo apt install lynis
Trên các bản phân phối Linux dựa trên RHEL như Fedora và CentOS:
sudo dnf install lynis
Trên các bản phân phối Linux dựa trên Arch:
sudo pacman -S lynis
Bạn có thể kiểm tra phiên bản Lynis đã cài đặt bằng lệnh sau:
sudo lynis --version
Lưu ý: Bạn cần có các đặc quyền nâng cao bằng cách sử dụng lệnh sudo hoặc su để chạy các lệnh Lynis.
2. Chạy Lynis trực tiếp từ mã nguồn
Để sạch PC, bạn có thể chạy Lynis từ tệp tarball mà không cần cài đặt. Chỉ cần tải xuống tệp tarball Lynis và giải nén nó bằng lệnh tar. Sau đó, vào thư mục đã giải nén và chạy lệnh kiểm tra Lynis:
sudo ./lynis audit system
Tải xuống: Lynis
Kiểm tra máy Linux với Lynis
Kiểm toán (Audit) là một trong những trường hợp sử dụng Lynis phổ biến nhất giữa các quản trị viên hệ thống, người kiểm tra hệ thống và các chuyên gia bảo mật khác.
Bạn có thể bắt đầu kiểm tra hệ thống của mình bằng cách chạy lệnh sau:
sudo lynis audit system
Trước tiên, Lynis định cấu hình hệ thống máy tính của bạn, nghĩa là nó kiểm tra hệ điều hành bạn đang sử dụng, kernel, phần cứng và các thông số quan trọng khác để tiến hành kiểm tra.
Cách kiểm toán bảo mật bằng Lynis
Kiểm toán Lynis được phân loại thành các phần để giúp bạn dễ dàng hiểu được kết quả của cuộc kiểm toán.
Ví dụ: một số danh mục quan trọng bao gồm:
- Boot and Services: Trong mục này, Lynis cung cấp cho bạn tổng quan về quy trình khởi động và trình quản lý dịch vụ đang được sử dụng trên hệ thống của bạn, ví dụ: systemd, OpenRC,… Lynis cũng sẽ cho bạn biết có bao nhiêu dịch vụ hiện đang chạy và những dịch vụ được bật lúc khởi động. Cuối cùng, bạn sẽ được hiển thị những dịch vụ nào gây ra mối đe dọa bảo mật cho hệ thống của bạn vì chúng không an toàn hoặc bị lỗi.
- Users, Groups, and Authentication: Lynis quét tài khoản quản trị viên người dùng của bạn, kiểm tra độ mạnh và thời hạn của mật khẩu, đồng thời kiểm tra xem các tệp quan trọng như /etc/passwd và cấu hình PAM có quyền phù hợp và an toàn hay không.
- USB Devices: Kiểm tra thiết bị USB và quyền để bảo vệ hệ thống của bạn.
- Ports and Packages: Ở đây Lynis sẽ cung cấp cho bạn cái nhìn tổng quan về các cổng mở và không an toàn mà những kẻ xâm nhập có thể sử dụng để khai thác hệ thống của bạn qua mạng. Nó cũng sẽ thông báo cho bạn về các gói lỗi thời có thể gây ra rủi ro bảo mật.
- Logging and Files: Lynis kiểm tra xem daemon ghi nhật ký có hoạt động hay không. Ngoài ra, nó còn kiểm tra tính khả dụng và bảo mật của các tệp nhật ký quan trọng trên hệ thống của bạn.
Ngoài các danh mục này, Lynis cũng kiểm tra mạng, hệ thống tệp, shell, bộ nhớ và quy trình cũng như các phần quan trọng khác trong hệ thống của bạn.
Mã màu
Xa hơn về phân loại, Lynis sử dụng ba mã màu chính để thể hiện mức độ nghiêm trọng của lỗ hổng bảo mật hoặc rủi ro bảo mật tiềm ẩn.
Màu xanh lục cho thấy module hoặc phần mềm đã quét được coi là ổn và bạn không cần thực hiện bất kỳ hành động nào. Các mã màu còn lại, thường yêu cầu bạn khắc phục lỗ hổng bảo mật hoặc một số hành động khác. Ví dụ, để cập nhật hoặc nâng cấp phần mềm.
Màu cam cho thấy rằng có một gợi ý mà bạn nên xem xét. Ví dụ, một module phần mềm hoặc dịch vụ bị vô hiệu hóa, do đó Lynis không thể tiến hành kiểm tra. Hoặc có thể là do Lynis không tìm thấy module phần mềm.
Mã màu cuối cùng là màu đỏ. Bạn nên chú ý thêm đến các kết quả báo cáo được đánh dấu màu đỏ. Điều này cho thấy rằng bạn nên khẩn trương sửa chữa mục được đánh dấu vì nó gây ra mối đe dọa lớn cho hệ thống của bạn.
Đề xuất khắc phục của Lynis
Ở cuối báo cáo, Lynis cung cấp cho bạn các đề xuất với các liên kết web. Mở các liên kết web trong trình duyệt của bạn để biết các bước hoặc hướng dẫn về cách thực hiện các biện pháp được đề xuất.
Nhận trợ giúp với lệnh Lynis
Bạn có thể tìm hiểu thêm về Lynis và các tùy chọn mà nó cung cấp bằng cách sử dụng lệnh sau:
sudo lynis show
Ngoài ra, bạn cũng có thể xem thêm top 5 hệ điều hành Linux dành cho pentester tại đây.