Análisis Lynis, ayuda a la interpretacion del script.

Análisis Lynis, ayuda a la interpretacion del script.root@kali ~/lyniss vy"

 

(ERIC RN

rr PP PF PP PPP PPP PPP PPP
UN a

EY CTEM

     

BL

             

[ITT TIENT:

rr Pr PrP PP PF PP PP FPP PF PPrP

TIER TE ET CM Re]

- Initializing program

[lel]


Al ejecutar una auditoría de Lynis, se observa que el modo de usuario único y GRUB no están protegidos por ninguna contraseña / autenticación:

[16:00:28] Warning: No password set for single mode [AUTH-9308] [15:59:26] Suggestion: Set a password on GRUB bootloader to prevent altering boot configuration (eg boot in single user mode without password) [BOOT-5122]

Además, Lynis también menciona unidades de almacenamiento:

[16:05:09] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [STRG-1840] [16:05:09] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [STRG-1846]

Como se trata de una instancia virtualizada de Linux y es un servidor, ¿sería beneficioso tomar medidas sobre los puntos planteados anteriormente? Añadir mecanismos de autenticación al modo de usuario único y GRUB realmente causaría problemas durante el arranque (particularmente con GRUB) ya que es un servidor virtualizado no un típico cliente de escritorio Linux, aunque obviamente Lynis no lo sabe.

No estoy seguro si Lynis viene desde una perspectiva de configuración de servidor y ahí es donde radica mi confusión.

¡Cualquier aclaración sobre los puntos resaltados será apreciada!

Este artículo trata sobre el fortalecimiento de la seguridad de los servidores Linux y proporciona comandos específicos para CentOS / RHEL6. Esto no pretende cubrir todas las tareas posibles para endurecer un servidor, sino identificar y abordar la "fruta que cuelga poco" en un servidor CentOS 6 con una instalación básica.

Aquí hay algunos enlaces a información útil:

25 Endurecimiento de los consejos de seguridad para servidores Linux

http://wiki.centos.org/HowTos/OS_Protection

Herramienta de auditoría de seguridad de Linux que genera recomendaciones y un índice de la rigidez de su sistema. https://cisofy.com/download/lynis/

Este artículo se basará en Lynis proporcionado por Cisofy. Después de ejecutar la herramienta, obtuve un resultado que enumera los elementos de reparación ordenados con prioridad por advertencias y sugerencias . Ahora vamos a trabajar ... Comencemos con las advertencias.

Advertencia : Sin contraseña establecida para modo único [AUTH-9308]
Solución : requiere la contraseña de root para ingresar al modo de usuario único. Modifique / etc / inittab para forzar el inicio de sesión durante el modo de usuario único. Advertencia : no pierda la contraseña de root. Nunca.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

articulo completo en pdf

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


Sugerencia : configure una contraseña en el gestor de arranque GRUB para evitar la alteración de la configuración de arranque (por ejemplo, arranque en modo de usuario único sin contraseña) [BOOT-5122]

Solución : genere un hash de contraseña usando el comando / sbin / grub-md5-crypt y luego agregue esta contraseña al archivo de configuración de grub. Consulte https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/Security_Guide/s2-wstation-bootloader.html para obtener más información.

07a3766f.pngEjecute este comando e ingrese la contraseña cuando se le solicite. Asegúrese de documentar esto en su contraseña segura.

Sugerencia : para disminuir el impacto de un sistema de archivos full / tmp, coloque / tmp en una partición separada [FILE-6310]
Solución : cree un sistema de archivos dedicado / doméstico durante la instalación del sistema o realice una migración de datos a una partición separada.

Sugerencia : compruebe su archivo / etc / fstab para opciones de montaje de partición de intercambio [FILE-6336]
Solución :

Sugerencia: determine si las herramientas de automatización están presentes para la administración del sistema [TOOL-5002]
Solución :

Sugerencia: uno o más valores de sysctl difieren del perfil de escaneo y podrían modificarse [KRNL-6000]

Sugerencia: endurezca los compiladores, como restringir el acceso al usuario root solamente [HRDN-7222]

Sugerencia: endurezca el sistema instalando uno o escáneres de malware para realizar escaneos periódicos del sistema de archivos [HRDN-7230]

Sugerencia: Instale Apache mod_evasive para proteger el servidor web contra ataques DoS / brute force [HTTP-6640]

Sugerencia: Instale Apache mod_qos para proteger el servidor web contra ataques de Slowloris [HTTP-6641]

Sugerencia: Instale Apache mod_spamhaus para proteger el servidor web de los spammers [HTTP-6642]

Sugerencia: Instale modsecurity de Apache para proteger el servidor web contra ataques de aplicaciones web [HTTP-6643]

Sugerencia: compruebe qué archivos eliminados todavía están en uso y por qué. [LOGG-2190]

Sugerencia : configure los límites de antigüedad de la contraseña para forzar el cambio de contraseña de forma regular [AUTH-9286]

Sugerencia : Compruebe 143 archivos en / tmp que son anteriores a 90 días [FILE-6354]
Solución: instale una secuencia de comandos para limpiar / tmp y programarlo para que se ejecute a través de cron.

Sugerencia: instale una herramienta de integridad de archivos [FINT-4350]
Solución: instale y configure el asistente ( https://help.ubuntu.com/community/FileIntegrityAIDE ).






Artículo completo

""
thumb_up Relevante message Comentar
Comentarios

Más artículos de Alfredo José Feijóo González

Ver blog
hace 9 meses · 1 min. de lectura
Alfredo José Feijóo González A

El SEPE ha anunciado esta semana que ya están disponibles algunos trámites

Aqui os dejo un enlace de un articulo interesante, ...

hace 1 año · 4 min. de lectura
Alfredo José Feijóo González A

Actualización de el Kernel linux, 5.8.10, 5.9.05 y 5.10.1

Ya se ha publicado la décima versión de mantenimie ...

hace 1 año · 1 min. de lectura
Alfredo José Feijóo González A

Los pedales y efectos de guitarra

En este articulo, os hablare de los efectos para g ...