Auditoría de sistemas Unix mediante Lynis

Hola,

Lynis es un script de auditoría para sistemas Unix, que puede ayudar a los auditores a hacer un repaso rápido del estado de la seguridad de un sistema. Tiene como principal ventaja, al menos a mi juicio, que puede ser ejecutado sin tener que instalarse, lo que hace que no tengamos que andar repitiendo instalaciones para analizar distintas máquinas.

Le acabo de pasar el script a una máquina FreeBSD 7 casi casi que recién instalada, con los siguientes resultados:

-[ Lynis 1.1.7 Results ]-

Tests performed: 54
Warnings:
—————————-
– [21:59:56] Warning: Multiple users with UID 0 found in passwd file [test:AUTH-9204] [impact:H] – [21:59:56] Warning: Multiple accounts found with same UID [test:AUTH-9208] [impact:H] – [21:59:56] Warning: Possible harmful shell found (for passwordless account!) [test:AUTH-9218] [impact:H] – [22:00:01] Warning: Found unprotected console in /etc/ttys [test:SHLL-7225] [impact:M] – [22:00:06] Warning: Couldn’t find 2 responsive nameservers [test:NETW-2705] [impact:L] – [22:00:26] Warning: No NTP daemon or client found [test:TIME-3104] [impact:M]

En cuanto a los UID, la información es correcta. Consecuencia de lo anterior, es evidente que hay UID repetidos.

root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:

La queja de esa potencialmente dañina shell viene por el pseudo usuario UUCP de sendmail (nada relevante en esta máquina, aunque se catalogue como de alto impacto). Tampoco, en este entorno, tiene importancia la catalogación de no protegida de una de las consolas de /etc/ttys (imagino que es debido a que las consolas marcadas como secure permiten login del root)

Sobre la no existencia de un servidor de tiempo (NTP) o que la máquina no responda a 2 nameservers, son cuestiones menos importantes, al menos en mi servidor. En una máquina en producción real, la sincronía horaria es fundamental, y ya dependerá de las necesidades que haya o no DNS en funcionamiento y/o alcanzables. En caso de ser necesario, el segundo servidor de nombres será contingencia del primero, de ahí que se verifique si se responde al menos a dos DNS distintos.

Lynis ha sido probado con éxito en CentOS 5, Debian 4.0, Fedora Core 4, FreeBSD 6.x, 7.0, Mac OS X 10.x (Tiger, Leopard), Mandriva 2007, OpenBSD 4.x, OpenSolaris, OpenSuSE, PcBSD, Red Hat, RHEL 5.x, Slackware 12.1 y Ubuntu 7.04, 7.10, 8.04, y como el propio autor indica, no es una herramienta de militarización de sistemas. Es, simple y llanamente, un script de apoyo. No debe ser considerado nunca como una solución completa y definitiva para el análisis de sistemas Unix.

Un saludo,

Vía: Xavi

3 comentarios sobre “Auditoría de sistemas Unix mediante Lynis

Comentarios cerrados.