Por que os testes devem mudar para a esquerda para microsserviços
24 de janeiro de 2024Olá, desenvolvedor de linguagem de programação – supere-se
24 de janeiro de 2024Ao desenvolver para nuvem ou contêineres, você sabe que provavelmente trabalhará com Linux, UNIX ou algum sistema operacional semelhante. Quando for esse o caso, você também deve saber o quanto é imperativo que o sistema operacional seja o mais seguro possível. Afinal, com as inúmeras partes móveis dos contêineres e da nuvem, se a sua base for fraca, tudo poderá desmoronar.
Isso significa que você precisa conhecer os detalhes e detalhes dessas plataformas, especialmente no que diz respeito à segurança.
O problema pode ser se você tiver experiência em MacOS ou Windows e não estiver familiarizado com Linux. É aí que uma ferramenta como o Lynis se torna útil.
Lynis simplifica as auditorias de segurança para sistemas operacionais como:
- AIX
- FreeBSD
- HP-UX
- Linux
- Mac OS
- NetBSD
- NixOS
- OpenBSD
- Solaris
Com Lynis, você pode realizar tarefas como:
- Auditoria de segurança
- Teste de conformidade
- Teste de penetração
- Detecção de vulnerabilidade
- Endurecimento do sistema
Lynis também é oportunista, o que significa que só usará e testará componentes de um sistema operacional que descobrir. Em outras palavras, se um componente não estiver instalado no seu sistema operacional, o Lynis não o testará. Lynis também é bastante fácil de instalar e usar para auditoria de sistema, algo que você deve fazer para cada sistema operacional usado para desenvolvimento e/ou implantação de nuvem e contêiner.
Vou orientá-lo nas etapas de instalação do Lynis no Ubuntu Server e no Rocky Linux 9. Depois de instalado, executaremos auditorias de segurança para ver o que acontece. A boa notícia é que o processo de auditoria é o mesmo, independente do SO.
O que você precisa
Para instalar e usar o Lynis, você precisará de uma instância em execução do Ubuntu Server (estou usando a v22.04) ou do Rocky Linux (v9). Você também precisará de um usuário com sudo privilégios.
Isso é tudo que você precisa. Vamos para a instalação.
Instalando o Lynis
A instalação do Lynis no Ubuntu Server e no Rocky Linux é semelhante.
Para instalar o Lynis no Ubuntu Server, o comando é:
sudo apt-get install lynis -y
O comando para instalar o Lynis no Rocky Linux (ou outro clone do RHEL), o comando é:
sudo dnf instalar lynis -y
Se não quiser instalar totalmente o Lynis, você pode fazer o seguinte:
- Baixe a fonte da página oficial de download do Lynis.
- Extraia o arquivo baixado com o comando tar xvzf lynix-XXX.tar.gz (onde XXX é o número da versão).
- Mude para o diretório recém-criado com o comando CD Lynis.
Executando uma auditoria de segurança com Lynis
Agora podemos realizar nossa primeira auditoria de segurança com Lynis. O comando básico para a auditoria é:
sudo lynis audit system
Você precisa executar o comando lynis com sudo, caso contrário você perderá várias verificações. Se você estiver usando o Lynis a partir do código-fonte, o mesmo comando seria (executado no diretório lynis):
sudo ./lynis audit system
O comando executará todas as verificações (com base no que está instalado no sistema) e reportará (na maioria dos casos) uma saída considerável, que será mais ou menos assim:
* Determine se o protocolo ‘tipc’ é realmente necessário neste sistema (NETW-3200)
https://cisofy.com/lynis/controls/NETW-3200/
* Instale o Apache mod_evasive para proteger o servidor web contra tentativas de DoS/força bruta (HTTP-6640)
https://cisofy.com/lynis/controls/HTTP-6640/
* Instale o Apache modsecurity para proteger o servidor web contra ataques de aplicativos web (HTTP-6643)
https://cisofy.com/lynis/controls/HTTP-6643/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: AllowTcpForwarding (definir SIM para NÃO)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: ClientAliveCountMax (definir 3 para 2)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: Compressão (defina SIM para NÃO)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: LogLevel (defina INFO como VERBOSE)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: MaxAuthTries (definir 6 a 3)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: MaxSessions (definir 10 para 2)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: Porta (conjunto 22 para)
https://cisofy.com/lynis/controls/SSH-7408/
* Considere fortalecer a configuração SSH (SSH-7408)
– Detalhes: TCPKeepAlive (definir SIM para NÃO)
https://cisofy.com/lynis/controls/SSH-7408/
Como você pode ver, quando o Lynis encontrar um possível problema, ele oferecerá uma sugestão por meio de um link. Abra qualquer um desses links para ler uma descrição de como mitigar o problema.
Uma ressalva ao usar o Lynis é que a saída pode ser bastante longa. Se você estiver em um servidor headless (ou usando-o por meio de um host de nuvem remoto), talvez não consiga rolar pela saída. Felizmente, Lynis também grava em um arquivo de log em /var/log/lynis.log. Você pode visualizar o arquivo de log com o comando:
sudo less /var/log/lynis.log
Percorra o arquivo para ver se você encontra algo que precisa ser resolvido imediatamente.
Tenha em mente, entretanto, que cada vez que você executar o Lynis, ele substituirá o arquivo de log. Portanto, certifique-se de renomear o arquivo de log anterior (se não o leu) ou movê-lo. Você pode renomeá-lo com um comando como:
sudo mv /var/log/lynis.log /var/log/lynis.log.old
Você provavelmente descobrirá que Lynis relata que muito precisa ser feito para proteger seu servidor, o que pode ser bastante assustador. Percorra o arquivo de log do Lynis, linha por linha, e mitigue tudo o que julgar necessário e seu servidor agradecerá por estar consideravelmente mais seguro do que era antes de usar esta ferramenta.
Lembre-se de que Lynis não conserta as coisas para você, simplesmente informa o que precisa ser resolvido.
A postagem Lynis: execute uma auditoria de segurança no Linux gratuitamente apareceu pela primeira vez em The New Stack.