O Lynis é uma ferramenta desenvolvida para realizar testes de auditoria de sistemas baseados em Unix. Suas principais características são:

• Checagem e auditoria da segurança do sistema;
• Avaliação da integridade dos arquivos;
• Sistema e arquivo forense;
• Serviço de relatórios e monitoramentos;
• Extensão para recursos de debug.

Para usar o Lynis você deve logar-se como usuário root ou equivalente (su para root ou usando sudo).

Instalação do Lynis

Baixe a última versão do Lynis no endereço abaixo. A versão que estamos usando neste artigo é a 1.2.1.

• http://www.rootkit.nl/files/lynis-1.2.1.tar.gz

Descompacte o arquivo:

# tar -zxvf lynis-1.2.1.tar.gz

Usando o Lynis

Entre no diretório que foi criado e execute o Lynis:

# cd lynis-1.2.1
# sh lynis

Ou:

# ./lynis

[ Lynis 1.2.1 ]

Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
welcome to redistribute it under the terms of the GNU General Public License.
See LICENSE file for details about using this software.

Copyright 2007-2008 - Michael Boelen, http://www.rootkit.nl/

[+] Initializing program
------------------------------------
  Valid parameters:
    --auditor ""        : Auditor name
    --check-all (-c)          : Check system
    --check-update            : Check for updates
    --no-colors               : Don't use colors in output
    --no-log                  : Don't create a log file
    --profile        : Scan the system with the given profile file
    --quick (-Q)              : Quick mode, don't wait for user input
    --quiet (-q)              : No output, except warnings
    --reverse-colors          : Optimize color display for light backgrounds
    --tests ""         : Run only tests defined by
    --view-manpage (--man)    : View man page
    --version (-V)            : Display version number and quit

  Error: No parameters specified!
  See man page and documentation for all available options.

Observe que foi gerado um menu com várias opções e que podemos gerar nosso relatório de auditoria de algumas maneiras.

Vamos fazer uma checagem completa com o nome de quem fez a auditoria, observe:

# sh lynis --auditor "Cristian" -c

[+] Initializing program
--------------------------
  - Detecting OS...                                       [ DONE ]
  - Clearing log file (/var/log/lynis.log)...       [ DONE ]

  ---------------------
  Program version:           1.2.1
  Operating system:          Linux
  Operating system version:  2.6.18-4-486
  Kernel version:            2.6.18-4-486
  Hardware platform:         i686
  Hostname:                  debiandns
  Auditor:                   Cristian
  Profile:                   ./default.prf
  Log file:                  /var/log/lynis.log
  Report file:               /var/log/lynis-report.dat
  Report version:            1.0
  ---------------------

Pressione [ENTER] para continuar

[+] Boot and services
--------------------------
  - Checking boot loaders
    - Checking presence GRUB...                                [ OK ]
      - Checking for password protection...                  [ WARNING ]
    - Checking presence LILO...                                 [ NOT FOUND ]
    - Checking presence YABOOT...                            [ NOT FOUND ]

Observe que agora o Lynis está me informando que o meu gerenciador de boot ó GRUB e que o mesmo está sem a proteção de senha, ou seja, uma falha de segurança detectada.

[+] Users, Groups and Authentication
------------------------------------
  - Search administrator accounts...                          [ OK ]
  - Test group files (grpck)...                                    [ OK ]
  - Checking non unique group ID's...                       [ OK ]
  - Checking non unique group names...                   [ OK ]
  - Query system users (non daemons)...
  - Checking LDAP authentication support                [ NOT ENABLED ]
  - Checking NIS+ authentication support                [ NOT ENABLED ]
  - Checking NIS authentication support                  [ NOT ENABLED ]
  - Check sudoers file                                            [ NOT FOUND ]
  - Checking PAM password strength tools               [ SUGGESTION ]
  - Checking accounts without expire date               [ SUGGESTION ]

Na checagem de autenticação de grupos e usuários o Lynis sugere que eu utilize o PAM para aumentar o controle de autenticação no sistema, além de utilizar contas com expiração por data, pois o mesmo verificou que as contas do sistema nunca expiram.

Ao final da checagem será gerado um relatório de análise de riscos com o resultado de todas as correções que devem ser feitas e o impacto de cada uma no sistema. Por exemplo, observe que no meu sistema não existe um servidor ou cliente NTP para sincronizar o tempo e que desta maneira uma pessoa mal intencionada poderia aprontar no sistema e alterar a ordem cronológica dos fatos para se eximir de qualquer eventualidade que ocorresse em determinado tempo.

  -[ Lynis 1.2.1 Results ]-

  Tests performed: 65
  Warnings:
  ----------------------------
   - [15:11:07] Warning: No password set on GRUB bootloader [test:BOOT-5121] [impact:M]
   - [15:26:14] Warning: Nameserver 192.168.223.5 does not respond [test:NETW-2704] [impact:L]
   - [15:26:17] Warning: Nameserver 0.0.0.0 does not respond [test:NETW-2704] [impact:L]
   - [15:26:18] Warning: Couldn't find 2 responsive nameservers [test:NETW-2705] [impact:L]
   - [15:26:39] Warning: iptables module(s) loaded, but no rules active [test:FIRE-4512] [impact:L]
   - [15:27:31] Warning: No NTP daemon or client found [test:TIME-3104] [impact:M]

  Files:
  - Test and debug information      : /var/log/lynis.log.
  - Report data                     : /var/log/lynis-report.dat.

lynis: line 549: [: too many arguments
  Lynis 1.2.1
  Copyright 2007-2008 - Michael Boelen, http://www.rootkit.nl/