Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 4 (Auditing, Antivirus, Monitoring)

Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 4 (Auditing, Antivirus, Monitoring)

Στο τέταρτο και τελευταίο μέρος της σειράς «μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu, θα δούμε κάποια βασικά εργαλεία που χρειαζόμαστε για αξιολόγηση-έλεγχο (auditing), χρήση antivirus σε μικτά περιβάλλοντα και για την παρακολούθηση των αναφορών (monitoring) του συστήματος.

Η σειρά άρθρων μέχρι σήμερα:

Με την παραπάνω σειρά άρθρων έχουμε προστατεύσει το σύστημά μας από φυσικές επιθέσεις, κακόβουλους δικτυακούς hackers  και δυνητικά κακόβουλες εφαρμογές.

Τώρα, τα επόμενα λογικά βήματα για να «ασφαλίσετε» το λειτουργικό σας σύστημα περιλαμβάνουν

  • τον ενδελεχή έλεγχο του Ubuntu για αδύναμα / τρωτά σημεία,
  • χρήση λογισμικού προστασίας – antivirus,
  • και παρακολούθηση αρχεία καταγραφής του συστήματος
Advertisements

Ελέγξτε το σύστημά σας με το Lynis

Το Lynis, το οποίο δημιουργήθηκε από την CISOfy και είναι ένα εργαλείο γενικό εργαλείο ελέγχου ασφαλείας για λειτουργικά συστήματα που βασίζονται σε Linux και UNIX σύμφωνα με τα πρότυπα ISO27001, HIPAA και PCI DSS.

Αναλυτικές οδηγίες εγκατάστασης θα βρείτε στον παρακάτω οδηγό:

Τρέξτε το Lynis

Ανάλογα με τον τρόπο που το εγκαταστήσετε, για να δοκιμάσετε το Lynis και να δείτε τις διαθέσιμες επιλογές, χρησιμοποιήστε την εντολή help (-h).

sudo lynis -h

------------------------------------

  Usage: lynis command [options]

  Command:

    audit
        audit system                  : Perform local security scan
        audit system remote <host>    : Remote security scan
        audit dockerfile <file>       : Analyze Dockerfile

    show
        show                          : Show all commands
        show version                  : Show Lynis version
        show help                     : Show help

    update
        update info                   : Show update details

  Options:

    --no-log                          : Don't create a log file
    --pentest                         : Non-privileged scan (useful for pentest)
    --profile <profile>               : Scan the system with the given profile file
    --quick (-Q)                      : Quick mode, don't wait for user input

    Layout options
    --no-colors                       : Don't use colors in output
    --quiet (-q)                      : No output
    --reverse-colors                  : Optimize color display for light backgrounds

    Misc options
    --debug                           : Debug logging to screen
    --view-manpage (--man)            : View man page
    --verbose                         : Show more details on screen
    --version (-V)                    : Display version number and quit

    Enterprise options
    --plugindir <path>                : Define path of available plugins
    --upload                          : Upload data to central node

    More options available. Run './lynis show options', or use the man page.

Για να ξεκινήσετε τον έλεγχο του λειτουργικού συστήματος, χρησιμοποιήστε τα audit system arguments:

sudo ./lynis audit system

[ Lynis 2.6.5 ]

[+] Initializing program
------------------------------------
  - Detecting OS...                                           [ DONE ]
  - Checking profiles...                                      [ DONE ]

  ---------------------------------------------------

Με περισσότερες από 200 δοκιμές, το output του Lynis μπορεί να πάρει αρκετά μεγάλο χρονικό διάστημα. Σημαντικό τμήμα των αποτελεσμάτων είναι το «Suggestions«. Προσφέρει χρήσιμα σημεία εκκίνησης για χρήστες που ενδιαφέρονται για να διασφαλίσουν ότι το σύστημά τους είναι ασφαλές. Για παράδειγμα, το Lynis συνιστά να «φυλάξουμε το σύστημα εγκαθιστώντας τουλάχιστον έναν σαρωτή κακόβουλου λογισμικού (Antivirus)». Αυτό μπορεί εύκολα να επιλυθεί ακολουθώντας το επόμενο βήμα σε αυτόν τον οδηγό και εγκαθιστώντας λογισμικό προστασίας από ιούς.

Προστατευτείτε από κακόβουλο λογισμικό με το ClamAV

Το ClamAV είναι μαι ανοιχτού κώδικα μηχανή προστασίας από ιούς και αναπτύσσεται από την Cisco Talos. Είναι ιδιαιτέρως δημοφιλής σε χρήση εντός διακομιστών για σάρωση ηλεκτρονικού ταχυδρομείου, η σάρωση web ιστοσελίδων αλλά και σε endpoint security. Παρέχει μια σειρά από χρήσιμες δυνατότητες όπως:

  • Command line scanner. Αυτό θα επιτρέψει στους χρήστες να σαρώσουν γρήγορα αρχεία που έχουν ληφθεί από το διαδίκτυο από οποιοδήποτε παράθυρο τερματικού.
  • Advanced database updater. Η βάση δεδομένων για τους ιούς του ClamAV θα ενημερώνεται πολλές φορές την ημέρα με υποστήριξη για προγραμματισμένες ενημερώσεις και ψηφιακές υπογραφές.
  • Support for many archive formats. Ο σαρωτής του ClamAV είναι σε θέση να αναλύει με ασφάλεια τα αρχεία Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS και άλλες μορφές αρχείων.
  • Support for popular document formats. Μπορεί επίσης να σαρώσει δημοφιλής μορφές αρχείων κειμένου όπως MS Office, MacOffice, HTML, Flash, RTF και PDF.

Το κλασσικό αφελές ερώτημα που κάνει πάντα ο νέος χρήστης στο Linux είναι «Μα είναι δυνατόν να χρειάζεται antivirus το Linux;» Δεν θα αναλωθούμε περαιτέρω σε αυτό το ερώτημα μιας και έχει αναλυθεί εκτενώς στο παρακάτω άρθρο:

Στην αγορά των Antivirus για Linux θα δούμε και επιφανή ονόματα όπως:

Παρόλα αυτά στο παρόν οδηγό θα αρκεστούμε στον ανοιχτού κώδικα ClamAV το οποίο σαρώνει τα συστήματα αρχείων για signatures κακόβουλων προγραμμάτων σε τοπικό επίπεδο (δεν στέλνει τίποτα online). Φυσικά δεν παρέχει, με κανένα τρόπο, ισχυρή προστασία ενάντια σε πολύ εξελιγμένες επιθέσεις, αλλά μόνο σε πολύ διαδεδομένες μορφές κακόβουλου λογισμικού που βρίσκονται συχνά στο διαδίκτυο από τους script kiddies.

Εγκατάσταση του ClamAV

Το ClamAV είναι διαθέσιμο στα αποθετήρια του Ubuntu και μπορεί να εγκατασταθεί χρησιμοποιώντας την εντολή:

sudo apt install clamav

Σάρωση αρχείων με το ClamAV

Οι βάσεις δεδομένων του ClamAV ενημερώνονται αμέσως μόλις εγκατασταθούν και αρκετές φορές μέσα στη μέρα. Η εντολή clamscan --help μπορεί να χρησιμοποιηθεί για την προβολή των διαθέσιμων επιλογών των σαρωτών.

clamscan --help

Για να σαρώσετε κάθε αρχείο και κατάλογο, χρησιμοποιήστε την παρακάτω εντολή.

sudo clamscan -r / --log=/tmp/clamav_report.log

Το Clamscan θα ανιχνεύσει αναδρομικά (-r) τα πάντα (/) και θα αποθηκεύσει την αναφορά σάρωσης (–log) στον κατάλογο /tmp. Η εκτέλεση μιας τέτοιας σάρωσης μπορεί να διαρκέσει αρκετό χρόνο, ίσως και ώρες, αν σαρώνετε μεγάλο όγκο δεδομένων. Συνιστάται η εκτέλεση τέτοιων σαρώσεων κατά τη διάρκεια της νύχτας και το πρωί να κάνετε προβολή των αποτελεσμάτων.

Παρακολουθήστε τακτικά τα αρχεία καταγραφής του συστήματος

Τα αρχεία καταγραφής του Linux, όπως έχουμε αναλύσει στο άρθρο περί συστήματος αρχείων, αποθηκεύονται στον κατάλογο /var/log/ (φυσικά υπάρχουν και εξαιρέσεις). Αυτά τα αρχεία καταγράφουν:

  • τη δραστηριότητα του συστήματος,
  • τις υπηρεσίες,
  • τα μηνύματα του kernel,
  • τα αρχεία καταγραφής εφαρμογών,
  • τα αρχεία καταγραφής εξουσιοδοτήσεων,
  • τα αρχεία καταγραφής τείχους προστασίας,
  • τα αρχεία καταγραφής του AppArmor και πολλά άλλα.

Για να παρακολουθήσετε όλα τα αρχεία καταγραφής σε πραγματικό χρόνο, χρησιμοποιήστε την εντολή:

find /var/log/ -type f \( -name "*.log" \) -exec tail -f "$file" {} +

Την πρώτη φορά που θα τρέξει μπορεί να «χαθείτε» λίγο αλλά σταδιακά θα παρατηρείσετε ότι είναι χωρισμένο σε ενότητες αρχείων και πάντα θα βλέπετε την τελευταία δραστηριότητα σε πραγματικό χρόνο.

Αναλυτικά αυτή η εντολή θα εντοπίσει οποιοδήποτε αρχείο (-type f) με την επέκταση .log (\ (-name «* .log» \)) στον κατάλογο /var/log και θα εκτυπώσει ενημερώσεις στα αρχεία σε πραγματικό χρόνο (- f). Κάθε αρχείο καταγραφής θα περικλείεται σε βέλη ascii (==> filename.log <==).

Περισσότερες λεπτομέρειες σχετικά με τα αρχεία καταγραφών διαβάστε στο:

Επίλογος

Σε αυτό το σημείο, έχουμε ολοκληρώνει τη σειρά μας για την ενίσχυση της ασφάλεια του λειτουργικού συστήματος Ubuntu. Φυσικά αυτή η σειρά είναι απλά η κορυφή του παγόβουνου σε ότι αφορά την ασφάλεια ενός συστήματος Linux μιας και η ασφάλεια σχετίζεται και με τον σκοπό για τον οποίο θα χρησιμοποιηθεί το λειτουργικό όπως είδαμε στον οδηγό «Τα πρώτα 10 λεπτά σε έναν νέο Server: Βασικές ρυθμίσεις ασφαλείας«. Θεωρώ όμως ότι είναι κάποια βασικά ζητήματα για να σας κινήσουν την περιέργεια αλλά και να διαβάσετε περισσότερα για το θέμα της ασφάλειας στο Linux.

Advertisements

5 σκέψεις σχετικά με το “Μέτρα ασφάλειας λειτουργικού συστήματος Ubuntu – Μέρος 4 (Auditing, Antivirus, Monitoring)

Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.