Στο τέταρτο και τελευταίο μέρος της σειράς «μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu, θα δούμε κάποια βασικά εργαλεία που χρειαζόμαστε για αξιολόγηση-έλεγχο (auditing), χρήση antivirus σε μικτά περιβάλλοντα και για την παρακολούθηση των αναφορών (monitoring) του συστήματος.
Η σειρά άρθρων μέχρι σήμερα:
- Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 1 (Physical Attack Defense)
- Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 2 (Network Attack Defense)
- Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 3 (Application – Sandboxing)
Με την παραπάνω σειρά άρθρων έχουμε προστατεύσει το σύστημά μας από φυσικές επιθέσεις, κακόβουλους δικτυακούς hackers και δυνητικά κακόβουλες εφαρμογές.
Τώρα, τα επόμενα λογικά βήματα για να «ασφαλίσετε» το λειτουργικό σας σύστημα περιλαμβάνουν
- τον ενδελεχή έλεγχο του Ubuntu για αδύναμα / τρωτά σημεία,
- χρήση λογισμικού προστασίας – antivirus,
- και παρακολούθηση αρχεία καταγραφής του συστήματος
Ελέγξτε το σύστημά σας με το Lynis
Το Lynis, το οποίο δημιουργήθηκε από την CISOfy και είναι ένα εργαλείο γενικό εργαλείο ελέγχου ασφαλείας για λειτουργικά συστήματα που βασίζονται σε Linux και UNIX σύμφωνα με τα πρότυπα ISO27001, HIPAA και PCI DSS.
Αναλυτικές οδηγίες εγκατάστασης θα βρείτε στον παρακάτω οδηγό:
Τρέξτε το Lynis
Ανάλογα με τον τρόπο που το εγκαταστήσετε, για να δοκιμάσετε το Lynis και να δείτε τις διαθέσιμες επιλογές, χρησιμοποιήστε την εντολή help (-h).
sudo lynis -h
------------------------------------
Usage: lynis command [options]
Command:
audit
audit system : Perform local security scan
audit system remote <host> : Remote security scan
audit dockerfile <file> : Analyze Dockerfile
show
show : Show all commands
show version : Show Lynis version
show help : Show help
update
update info : Show update details
Options:
--no-log : Don't create a log file
--pentest : Non-privileged scan (useful for pentest)
--profile <profile> : Scan the system with the given profile file
--quick (-Q) : Quick mode, don't wait for user input
Layout options
--no-colors : Don't use colors in output
--quiet (-q) : No output
--reverse-colors : Optimize color display for light backgrounds
Misc options
--debug : Debug logging to screen
--view-manpage (--man) : View man page
--verbose : Show more details on screen
--version (-V) : Display version number and quit
Enterprise options
--plugindir <path> : Define path of available plugins
--upload : Upload data to central node
More options available. Run './lynis show options', or use the man page.
Για να ξεκινήσετε τον έλεγχο του λειτουργικού συστήματος, χρησιμοποιήστε τα audit system arguments:
sudo ./lynis audit system [ Lynis 2.6.5 ] [+] Initializing program ------------------------------------ - Detecting OS... [ DONE ] - Checking profiles... [ DONE ] ---------------------------------------------------
Με περισσότερες από 200 δοκιμές, το output του Lynis μπορεί να πάρει αρκετά μεγάλο χρονικό διάστημα. Σημαντικό τμήμα των αποτελεσμάτων είναι το «Suggestions«. Προσφέρει χρήσιμα σημεία εκκίνησης για χρήστες που ενδιαφέρονται για να διασφαλίσουν ότι το σύστημά τους είναι ασφαλές. Για παράδειγμα, το Lynis συνιστά να «φυλάξουμε το σύστημα εγκαθιστώντας τουλάχιστον έναν σαρωτή κακόβουλου λογισμικού (Antivirus)». Αυτό μπορεί εύκολα να επιλυθεί ακολουθώντας το επόμενο βήμα σε αυτόν τον οδηγό και εγκαθιστώντας λογισμικό προστασίας από ιούς.
Προστατευτείτε από κακόβουλο λογισμικό με το ClamAV
Το ClamAV είναι μαι ανοιχτού κώδικα μηχανή προστασίας από ιούς και αναπτύσσεται από την Cisco Talos. Είναι ιδιαιτέρως δημοφιλής σε χρήση εντός διακομιστών για σάρωση ηλεκτρονικού ταχυδρομείου, η σάρωση web ιστοσελίδων αλλά και σε endpoint security. Παρέχει μια σειρά από χρήσιμες δυνατότητες όπως:
- Command line scanner. Αυτό θα επιτρέψει στους χρήστες να σαρώσουν γρήγορα αρχεία που έχουν ληφθεί από το διαδίκτυο από οποιοδήποτε παράθυρο τερματικού.
- Advanced database updater. Η βάση δεδομένων για τους ιούς του ClamAV θα ενημερώνεται πολλές φορές την ημέρα με υποστήριξη για προγραμματισμένες ενημερώσεις και ψηφιακές υπογραφές.
- Support for many archive formats. Ο σαρωτής του ClamAV είναι σε θέση να αναλύει με ασφάλεια τα αρχεία Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS και άλλες μορφές αρχείων.
- Support for popular document formats. Μπορεί επίσης να σαρώσει δημοφιλής μορφές αρχείων κειμένου όπως MS Office, MacOffice, HTML, Flash, RTF και PDF.
Το κλασσικό αφελές ερώτημα που κάνει πάντα ο νέος χρήστης στο Linux είναι «Μα είναι δυνατόν να χρειάζεται antivirus το Linux;» Δεν θα αναλωθούμε περαιτέρω σε αυτό το ερώτημα μιας και έχει αναλυθεί εκτενώς στο παρακάτω άρθρο:
Στην αγορά των Antivirus για Linux θα δούμε και επιφανή ονόματα όπως:
Παρόλα αυτά στο παρόν οδηγό θα αρκεστούμε στον ανοιχτού κώδικα ClamAV το οποίο σαρώνει τα συστήματα αρχείων για signatures κακόβουλων προγραμμάτων σε τοπικό επίπεδο (δεν στέλνει τίποτα online). Φυσικά δεν παρέχει, με κανένα τρόπο, ισχυρή προστασία ενάντια σε πολύ εξελιγμένες επιθέσεις, αλλά μόνο σε πολύ διαδεδομένες μορφές κακόβουλου λογισμικού που βρίσκονται συχνά στο διαδίκτυο από τους script kiddies.
Εγκατάσταση του ClamAV
Το ClamAV είναι διαθέσιμο στα αποθετήρια του Ubuntu και μπορεί να εγκατασταθεί χρησιμοποιώντας την εντολή:
sudo apt install clamav
Σάρωση αρχείων με το ClamAV
Οι βάσεις δεδομένων του ClamAV ενημερώνονται αμέσως μόλις εγκατασταθούν και αρκετές φορές μέσα στη μέρα. Η εντολή clamscan --help μπορεί να χρησιμοποιηθεί για την προβολή των διαθέσιμων επιλογών των σαρωτών.
clamscan --help
Για να σαρώσετε κάθε αρχείο και κατάλογο, χρησιμοποιήστε την παρακάτω εντολή.
sudo clamscan -r / --log=/tmp/clamav_report.log
Το Clamscan θα ανιχνεύσει αναδρομικά (-r) τα πάντα (/) και θα αποθηκεύσει την αναφορά σάρωσης (–log) στον κατάλογο /tmp. Η εκτέλεση μιας τέτοιας σάρωσης μπορεί να διαρκέσει αρκετό χρόνο, ίσως και ώρες, αν σαρώνετε μεγάλο όγκο δεδομένων. Συνιστάται η εκτέλεση τέτοιων σαρώσεων κατά τη διάρκεια της νύχτας και το πρωί να κάνετε προβολή των αποτελεσμάτων.
Παρακολουθήστε τακτικά τα αρχεία καταγραφής του συστήματος
Τα αρχεία καταγραφής του Linux, όπως έχουμε αναλύσει στο άρθρο περί συστήματος αρχείων, αποθηκεύονται στον κατάλογο /var/log/ (φυσικά υπάρχουν και εξαιρέσεις). Αυτά τα αρχεία καταγράφουν:
- τη δραστηριότητα του συστήματος,
- τις υπηρεσίες,
- τα μηνύματα του kernel,
- τα αρχεία καταγραφής εφαρμογών,
- τα αρχεία καταγραφής εξουσιοδοτήσεων,
- τα αρχεία καταγραφής τείχους προστασίας,
- τα αρχεία καταγραφής του AppArmor και πολλά άλλα.
Για να παρακολουθήσετε όλα τα αρχεία καταγραφής σε πραγματικό χρόνο, χρησιμοποιήστε την εντολή:
find /var/log/ -type f \( -name "*.log" \) -exec tail -f "$file" {} +
Την πρώτη φορά που θα τρέξει μπορεί να «χαθείτε» λίγο αλλά σταδιακά θα παρατηρείσετε ότι είναι χωρισμένο σε ενότητες αρχείων και πάντα θα βλέπετε την τελευταία δραστηριότητα σε πραγματικό χρόνο.
Αναλυτικά αυτή η εντολή θα εντοπίσει οποιοδήποτε αρχείο (-type f) με την επέκταση .log (\ (-name «* .log» \)) στον κατάλογο /var/log και θα εκτυπώσει ενημερώσεις στα αρχεία σε πραγματικό χρόνο (- f). Κάθε αρχείο καταγραφής θα περικλείεται σε βέλη ascii (==> filename.log <==).
Περισσότερες λεπτομέρειες σχετικά με τα αρχεία καταγραφών διαβάστε στο:
Επίλογος
Σε αυτό το σημείο, έχουμε ολοκληρώνει τη σειρά μας για την ενίσχυση της ασφάλεια του λειτουργικού συστήματος Ubuntu. Φυσικά αυτή η σειρά είναι απλά η κορυφή του παγόβουνου σε ότι αφορά την ασφάλεια ενός συστήματος Linux μιας και η ασφάλεια σχετίζεται και με τον σκοπό για τον οποίο θα χρησιμοποιηθεί το λειτουργικό όπως είδαμε στον οδηγό «Τα πρώτα 10 λεπτά σε έναν νέο Server: Βασικές ρυθμίσεις ασφαλείας«. Θεωρώ όμως ότι είναι κάποια βασικά ζητήματα για να σας κινήσουν την περιέργεια αλλά και να διαβάσετε περισσότερα για το θέμα της ασφάλειας στο Linux.
Linux-User
Technopolitan.gr
Termatiko
Cerebrux 
Πολύ ωραία όλη η σειρά των άρθρων και χρησιμότατη!
Νασε καλά ευχαριστούμε !
καλησπερα.
Μπορουμε να εφαρμοσουμε τον οδηγο αυτο και σε αλλους non debian distros ?
Ναι φυσικά !
Πολύ ωραίο το άρθρο.ευχαριστουμε
Εξαιρετικό άρθρο!
Το κείμενο αναφέρεται σε έναν υπολογιστή συνδεδεμένο σε ασύρματο δίκτυο.
Για ενσύρματη σύνδεση, θα μπορούσαμε να κάνουμε κάτι;