Realizar uma avaliação de segurança com o Lynis no seu sistema Linux é uma maneira eficaz de fortalecer a proteção da sua máquina. Em um mundo onde a segurança cibernética é primordial para dispositivos conectados à internet, é crucial garantir que seus sistemas estejam bem protegidos.
A Segurança do Seu Linux em Foco
O Lynis conduz testes automatizados que examinam minuciosamente diversos elementos e configurações do seu sistema operacional Linux. Os resultados são apresentados em um relatório ASCII codificado por cores, listando avisos, recomendações e ações a serem tomadas.
A segurança cibernética é uma questão de equilíbrio. Ser excessivamente paranoico pode ser contraproducente. Então, qual o nível de preocupação ideal? Se você só acessa sites de confiança, evita abrir anexos suspeitos, não clica em links de e-mails não solicitados e usa senhas fortes e distintas para todos os seus logins, qual o perigo remanescente? Especialmente ao usar Linux?
Vamos analisar isso de outra perspectiva. O Linux não é imune a softwares maliciosos. De fato, o primeiro worm de computador foi criado para atacar máquinas Unix em 1988. Os rootkits, que recebem esse nome devido ao superusuário do Unix (root) e aos conjuntos de software (kits) que usam para se instalar sem serem detectados, garantem acesso ao sistema para o atacante.
Por que o nome “root”? Porque o primeiro rootkit surgiu em 1990, direcionado a sistemas Sun Microsystems executando o Unix SunOS.
Portanto, o malware começou no Unix, se espalhou para o Windows e agora, com o Linux dominando o cenário tecnológico, retornou com força. Sistemas Linux e semelhantes a Unix, como macOS, estão se tornando alvos frequentes de agentes maliciosos.
Mesmo que você seja cauteloso e atento ao usar seu computador, quais perigos permanecem? A resposta é complexa e extensa. Para resumir, os ataques cibernéticos são variados e capazes de realizar ações que, até pouco tempo, seriam consideradas ficção científica.
Rootkits, como o Ryuk, podem infectar computadores desligados, comprometendo as funções de monitoramento wake-on-LAN. Provas de conceito mostram como pesquisadores da Universidade Ben-Gurion do Negev conseguiram extrair dados de um computador isolado.
É impossível prever as capacidades futuras das ameaças cibernéticas, mas os pontos vulneráveis nos sistemas são conhecidos. Portanto, faz sentido reforçar as defesas de antemão, independentemente da natureza dos ataques.
Apenas uma pequena parcela dos ataques cibernéticos tem como alvo indivíduos ou organizações específicas. A maioria das ameaças é indiscriminada, pois o malware não escolhe suas vítimas. Técnicas como varredura de portas buscam sistemas vulneráveis e os atacam. Ser vulnerável é se expor ao risco.
É nesse cenário que o Lynis se torna essencial.
Instalação do Lynis
Para instalar o Lynis no Ubuntu, utilize o comando abaixo:
sudo apt-get install lynis
No Fedora, use este comando:
sudo dnf install lynis
No Manjaro, utilize o pacman:
sudo pacman -Sy lynis
Realizando uma Auditoria
O Lynis é executado via terminal, sem interface gráfica. Para começar a auditoria, abra uma janela de terminal, maximizando-a para facilitar a leitura do relatório detalhado. É aconselhável abrir uma janela de terminal exclusiva para o Lynis para evitar confusão com comandos anteriores, simplificando a análise dos resultados.
Para iniciar a auditoria, digite este comando:
sudo lynis audit system
Categorias de testes, títulos e resultados serão exibidos na janela do terminal. A auditoria geralmente leva alguns minutos para ser concluída. Ao finalizar, você retornará ao prompt de comando, e poderá analisar os resultados rolando a janela do terminal.
A primeira seção da auditoria apresenta informações sobre a versão do Linux, lançamento do kernel e outros detalhes do sistema.
Áreas que demandam atenção são destacadas em amarelo (sugestões) e vermelho (avisos que precisam ser tratados).
Abaixo, um exemplo de aviso: o Lynis analisou a configuração do servidor de e-mail Postfix e encontrou um problema no banner. Mais tarde, podemos obter mais detalhes sobre essa questão e por que ela pode ser problemática.
O Lynis também nos informa que o firewall não está configurado na máquina virtual Ubuntu que estamos usando.
Analise os resultados para ver o que o Lynis sinalizou. Ao final do relatório, você encontrará uma tela de resumo.
O “Índice de Endurecimento” é a sua pontuação na avaliação. Obtivemos 56 de 100, o que não é ideal. Foram realizados 222 testes e um plugin do Lynis está habilitado. Você pode encontrar mais plug-ins na página de download do Lynis Community Edition após se inscrever na newsletter.
Há diversos plug-ins disponíveis, inclusive para auditoria em relação a padrões como GDPR, ISO27001 e PCI-DSS.
Um “V” verde indica um item verificado, enquanto pontos de interrogação amarelos e “X” vermelhos denotam problemas ou questões que exigem atenção.
Nesse teste, obtivemos “V” verde para firewall e scanner de malware. Para efeito de demonstração, instalamos o rkhunter, um detector de rootkit, para verificar se o Lynis o detectaria. Como pode ver, ele detectou, marcando com “V” verde ao lado de “Malware Scanner”.
O status de conformidade é desconhecido porque a auditoria não utilizou um plug-in de conformidade. Nesta análise, foram utilizados módulos de segurança e vulnerabilidade.
Dois arquivos são gerados: um de log e outro de dados. O arquivo de dados, localizado em “/var/log/lynis-report.dat”, contém os resultados da análise sem o destaque de cores que vemos na janela do terminal. Eles são úteis para acompanhar a evolução do índice de endurecimento ao longo do tempo.
Ao rolar a janela do terminal para cima, você verá as listas de sugestões e avisos. Os avisos são os itens “importantes”, então vamos analisá-los.
Os cinco avisos são:
“A versão do Lynis é muito antiga e deve ser atualizada”: Esta é, na verdade, a versão mais recente disponível nos repositórios do Ubuntu. Apesar de ter apenas 4 meses, o Lynis considera que está desatualizada. As versões nos pacotes Manjaro e Fedora eram mais recentes. As atualizações nos gerenciadores de pacotes sempre ficam um pouco atrasadas. Para obter a versão mais recente, você pode clonar o projeto do GitHub e mantê-lo sincronizado.
“Nenhuma senha definida para modo único”: O modo único é usado para recuperação e manutenção, onde apenas o usuário root está operacional. Por padrão, não há senha definida para este modo.
“Não foi possível encontrar 2 servidores de nomes responsivos”: O Lynis tentou se comunicar com dois servidores DNS, mas não obteve sucesso. Este aviso indica que, se o servidor DNS atual falhar, não haverá transferência automática para outro.
“Encontrei alguma divulgação de informações no banner SMTP”: A divulgação de informações ocorre quando aplicativos ou equipamentos de rede revelam suas marcas e modelos (ou outras informações) em respostas padrão. Isso pode fornecer a agentes maliciosos ou malware automatizado conhecimento sobre o tipo de vulnerabilidade a ser explorada. Após identificar o software ou dispositivo, uma simples pesquisa pode revelar vulnerabilidades que eles podem tentar explorar.
“Módulo(s) iptables carregado(s), mas nenhuma regra ativa”: O firewall do Linux está instalado e ativo, mas não tem regras definidas.
Resolvendo Avisos
Cada aviso possui um link para uma página web com detalhes sobre o problema e como corrigi-lo. Ao passar o mouse sobre um dos links, pressione Ctrl e clique nele para abrir a página no seu navegador padrão.
A página abaixo foi aberta ao pressionarmos Ctrl + clique no link do quarto aviso abordado na seção anterior.
Você pode analisar cada um dos avisos e decidir quais resolver.
A página web acima explica que o snippet de informação padrão (o “banner”) enviado a um sistema remoto quando este se conecta ao servidor de e-mail postfix do nosso computador Ubuntu é muito detalhado. Não há benefício em divulgar muitas informações — na verdade, elas são frequentemente usadas contra você.
A página web também indica que o banner se encontra em “/etc/postfix/main.cf” e recomenda que ele seja simplificado para exibir apenas “$myhostname ESMTP”.
Digitamos o seguinte para editar o arquivo conforme recomendado pelo Lynis:
sudo gedit /etc/postfix/main.cf
Localizamos a linha do arquivo que define o banner.
Editamos para exibir apenas o texto recomendado pelo Lynis.
Salvamos as alterações e fechamos o gedit. Agora, precisamos reiniciar o servidor de e-mail postfix para que as alterações sejam aplicadas:
sudo systemctl restart postfix
Executamos o Lynis novamente para verificar se nossas alterações tiveram efeito.
A seção “Avisos” agora exibe apenas quatro. O aviso relacionado ao postfix foi resolvido.
Já resolvemos um problema, restam apenas quatro avisos e 50 sugestões!
Qual a Profundidade da Análise?
Se você nunca fez nenhuma análise de segurança no seu sistema, provavelmente terá um número semelhante de avisos e sugestões. É importante analisar todos eles e, com base nas informações fornecidas nas páginas web do Lynis, avaliar a necessidade de abordá-los.
O ideal seria eliminar todos os avisos e sugestões, mas nem sempre é fácil. Além disso, algumas sugestões podem ser excessivas para um computador doméstico comum.
Bloquear drivers de kernel USB para desabilitar o acesso USB quando não estiver em uso? Isso pode ser essencial para um computador de missão crítica que oferece serviços comerciais confidenciais, mas provavelmente não é necessário para um PC doméstico com Ubuntu.