Aufmacher

Lokale Rechner auf Schwachstellen überprüfen

Aufschlussreiches

Ein System gegen Angreifer abzusichern erfordert viel Sachkenntnis. Der Security-Scanner Lynis hilft auf vielfältige Weise bei der Suche nach potenziellen Schwachstellen.

Oft reicht schon eine kleine Fehlkonfiguration, um Angreifern den Weg ins System zu ebnen. Die Fehler zu finden erfordert nicht nur viel Sachverstand, sondern auch eine Menge Zeit, um die potenziellen Sicherheitslücken nacheinander abzuklappern. Die Bash-Skript-Sammlung Lynis (http://www.rootkit.nl/projects/lynis.html) automatisiert diese mühselige Arbeit und prüft Ihr Linux von Kopf bis Fuß auf verschiedenste Aspekte. Es bezieht dabei System- und Serverdienste genauso mit ein wie Kernel-Module und die Netzwerkkonfiguration. Dazu nutzt es hauptsächlich Systemtools wie Chkconfig, Readlink, Stat oder Strings. Aufgrund dieses einfach gehaltenen Aufbaus eignet sich Lynis zum Einsatz auf den meisten Unix-Derivaten einschließlich OpenSolaris und diversen BSD-Varianten.

Lynis einsetzen

Um den Sicherheitschecker zu benutzen, genügt es, den Tarball an einem beliebigen Platz zu entpacken – infrage kommen hier auch Wechseldatenträger wie USB-Sticks oder Floppys. Da die Skriptsammlung während der Checks nicht schreibend auf die eigenen Dateien zugreift, startet Lynis sogar problemlos von CD- oder DVD-Datenträgern.

Öffnen Sie im Lynis-Verzeichnis eine Konsole und geben Sie als Benutzer root den Befehl ./lynis ein. Daraufhin öffnet sich die Funktionsübersicht, die sich auf wenige mögliche Parameter beschränkt. Der Informationsgehalt des Manuals, das Sie mit ./lynis --man öffnen, fällt kaum größer aus als jener der Hilfeseite. Der Aufruf ./lynis -c startet den Suchlauf, der in diesem Modus nach jedem Schritt eine Bestätigung des Anwenders erwartet. Hängen Sie das Kürzel -Q("Quiet") an, läuft Lynis ohne weitere Stopps bis zum Ende durch.

Um den Systemchecker via Cronjob zu starten, verwenden Sie den Schalter --cronjob. Ergänzen Sie dazu die Datei /etc/crontab um den Eintrag:

16 6 * * * root /Pfad/zu/Lynis/lynis -c --cronjob

Lynis erlaubt mit dem Schalter --profile Profil das Einbinden eigener Suchprofile. Als Standard verwendet es default.prf, das Sie nach Ihren eigenen Wünschen anpassen können. Eine hinreichende Dokumentation darüber fehlt jedoch.

Reporting

Während des Scans hält Lynis Sie stets über den aktuellen Ergebnisse auf dem laufenden. Ähnlich wie beim Bootscreen versieht es die durchgespielten Testmuster mit Anmerkungen wie OK, DONE oder WARNING. Am Ende des Durchlaufs fasst das Skript noch einmal alle als gefährlich eingestuften Befunde zusammen.

Während die Bildschirmausgabe nur die wichtigsten Daten anzeigt, finden Sie in der Logdatei /var/log/lynis-report.dat eine ausführliche Analyse des Scans. Sie hilft nicht nur beim Auffinden von Sicherheitslöchern, sondern bietet einen umfassenden Überblick über des Systemzustand – angefangen von den geladenen Kernelmodulen über die gestarteten Daemons bis zu den installierten Paketen.

Es liegt in der Natur der Sache, dass Lynis weder alle Schwachstellen im System entdecken kann, noch alle Warnungen tatsächlich eine ernsthafte Bedrohung des Systems darstellen. Sie dienen lediglich als Hinweis auf eine mögliche Gefährdung.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...