Aufschlussreiches

Oft reicht schon eine kleine Fehlkonfiguration, um Angreifern den Weg ins System zu ebnen. Die Fehler zu finden erfordert nicht nur viel Sachverstand, sondern auch eine Menge Zeit, um die potenziellen Sicherheitslücken nacheinander abzuklappern. Die Bash-Skript-Sammlung Lynis (http://www.rootkit.nl/projects/lynis.html) automatisiert diese mühselige Arbeit und prüft Ihr Linux von Kopf bis Fuß auf verschiedenste Aspekte. Es bezieht dabei System- und Serverdienste genauso mit ein wie Kernel-Module und die Netzwerkkonfiguration. Dazu nutzt es hauptsächlich Systemtools wie Chkconfig, Readlink, Stat oder Strings. Aufgrund dieses einfach gehaltenen Aufbaus eignet sich Lynis zum Einsatz auf den meisten Unix-Derivaten einschließlich OpenSolaris und diversen BSD-Varianten.

Lynis einsetzen

Um den Sicherheitschecker zu benutzen, genügt es, den Tarball an einem beliebigen Platz zu entpacken – infrage kommen hier auch Wechseldatenträger wie USB-Sticks oder Floppys. Da die Skriptsammlung während der Checks nicht schreibend auf die eigenen Dateien zugreift, startet Lynis sogar problemlos von CD- oder DVD-Datenträgern.

Öffnen Sie im Lynis-Verzeichnis eine Konsole und geben Sie als Benutzer root den Befehl ./lynis ein. Daraufhin öffnet sich die Funktionsübersicht, die sich auf wenige mögliche Parameter beschränkt. Der Informationsgehalt des Manuals, das Sie mit ./lynis --man öffnen, fällt kaum größer aus als jener der Hilfeseite. Der Aufruf ./lynis -c startet den Suchlauf, der in diesem Modus nach jedem Schritt eine Bestätigung des Anwenders erwartet. Hängen Sie das Kürzel -Q("Quiet") an, läuft Lynis ohne weitere Stopps bis zum Ende durch.

Um den Systemchecker via Cronjob zu starten, verwenden Sie den Schalter --cronjob. Ergänzen Sie dazu die Datei /etc/crontab um den Eintrag:

16 6 * * * root /Pfad/zu/Lynis/lynis -c --cronjob

Lynis erlaubt mit dem Schalter --profile Profil das Einbinden eigener Suchprofile. Als Standard verwendet es default.prf, das Sie nach Ihren eigenen Wünschen anpassen können. Eine hinreichende Dokumentation darüber fehlt jedoch.

Reporting

Während des Scans hält Lynis Sie stets über den aktuellen Ergebnisse auf dem laufenden. Ähnlich wie beim Bootscreen versieht es die durchgespielten Testmuster mit Anmerkungen wie OK, DONE oder WARNING. Am Ende des Durchlaufs fasst das Skript noch einmal alle als gefährlich eingestuften Befunde zusammen.

Während die Bildschirmausgabe nur die wichtigsten Daten anzeigt, finden Sie in der Logdatei /var/log/lynis-report.dat eine ausführliche Analyse des Scans. Sie hilft nicht nur beim Auffinden von Sicherheitslöchern, sondern bietet einen umfassenden Überblick über des Systemzustand – angefangen von den geladenen Kernelmodulen über die gestarteten Daemons bis zu den installierten Paketen.

Es liegt in der Natur der Sache, dass Lynis weder alle Schwachstellen im System entdecken kann, noch alle Warnungen tatsächlich eine ernsthafte Bedrohung des Systems darstellen. Sie dienen lediglich als Hinweis auf eine mögliche Gefährdung.