Lokale Rechner auf Schwachstellen überprüfen

Aus LinuxUser 10/2008

Lokale Rechner auf Schwachstellen überprüfen

Aufschlussreiches

Ein System gegen Angreifer abzusichern erfordert viel Sachkenntnis. Der Security-Scanner Lynis hilft auf vielfältige Weise bei der Suche nach potenziellen Schwachstellen.

Oft reicht schon eine kleine Fehlkonfiguration, um Angreifern den Weg ins System zu ebnen. Die Fehler zu finden erfordert nicht nur viel Sachverstand, sondern auch eine Menge Zeit, um die potenziellen Sicherheitslücken nacheinander abzuklappern. Die Bash-Skript-Sammlung Lynis (http://www.rootkit.nl/projects/lynis.html) automatisiert diese mühselige Arbeit und prüft Ihr Linux von Kopf bis Fuß auf verschiedenste Aspekte. Es bezieht dabei System- und Serverdienste genauso mit ein wie Kernel-Module und die Netzwerkkonfiguration. Dazu nutzt es hauptsächlich Systemtools wie Chkconfig, Readlink, Stat oder Strings. Aufgrund dieses einfach gehaltenen Aufbaus eignet sich Lynis zum Einsatz auf den meisten Unix-Derivaten einschließlich OpenSolaris und diversen BSD-Varianten.

Lynis einsetzen

Um den Sicherheitschecker zu benutzen, genügt es, den Tarball an einem beliebigen Platz zu entpacken – infrage kommen hier auch Wechseldatenträger wie USB-Sticks oder Floppys. Da die Skriptsammlung während der Checks nicht schreibend auf die eigenen Dateien zugreift, startet Lynis sogar problemlos von CD- oder DVD-Datenträgern.

Öffnen Sie im Lynis-Verzeichnis eine Konsole und geben Sie als Benutzer root den Befehl ./lynis ein. Daraufhin öffnet sich die Funktionsübersicht, die sich auf wenige mögliche Parameter beschränkt. Der Informationsgehalt des Manuals, das Sie mit ./lynis --man öffnen, fällt kaum größer aus als jener der Hilfeseite. Der Aufruf ./lynis -c startet den Suchlauf, der in diesem Modus nach jedem Schritt eine Bestätigung des Anwenders erwartet. Hängen Sie das Kürzel -Q(“Quiet”) an, läuft Lynis ohne weitere Stopps bis zum Ende durch.

Um den Systemchecker via Cronjob zu starten, verwenden Sie den Schalter --cronjob. Ergänzen Sie dazu die Datei /etc/crontab um den Eintrag: 

16 6 * * * root /Pfad/zu/Lynis/lynis -c --cronjob

Lynis erlaubt mit dem Schalter --profile Profil das Einbinden eigener Suchprofile. Als Standard verwendet es default.prf, das Sie nach Ihren eigenen Wünschen anpassen können. Eine hinreichende Dokumentation darüber fehlt jedoch.

Reporting

Während des Scans hält Lynis Sie stets über den aktuellen Ergebnisse auf dem laufenden. Ähnlich wie beim Bootscreen versieht es die durchgespielten Testmuster mit Anmerkungen wie OK, DONE oder WARNING. Am Ende des Durchlaufs fasst das Skript noch einmal alle als gefährlich eingestuften Befunde zusammen.

Während die Bildschirmausgabe nur die wichtigsten Daten anzeigt, finden Sie in der Logdatei /var/log/lynis-report.dat eine ausführliche Analyse des Scans. Sie hilft nicht nur beim Auffinden von Sicherheitslöchern, sondern bietet einen umfassenden Überblick über des Systemzustand – angefangen von den geladenen Kernelmodulen über die gestarteten Daemons bis zu den installierten Paketen.

Es liegt in der Natur der Sache, dass Lynis weder alle Schwachstellen im System entdecken kann, noch alle Warnungen tatsächlich eine ernsthafte Bedrohung des Systems darstellen. Sie dienen lediglich als Hinweis auf eine mögliche Gefährdung.

Fazit

Lynis eignet sich nicht nur hervorragend, um Sicherheitslücken auf dem System aufzudecken, sondern auch dessen Status im Detail zu dokumentieren. Dank seiner unkomplizierten Benutzung haben auch Einsteiger keinerlei Probleme beim Verwenden. Allerdings sind nach wie vor Fachkenntnisse beim korrekten Deuten der Meldungen gefragt.

LinuxUser 10/2008 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Ähnliche Artikel

Heft-DVD 06/2026

Neues auf der Heft-DVD

Thomas Leichtenstern

Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie topaktuelle Distributionen zum Ausprobieren, aber auch für den Produktiveinsatz.

Hilfreiche Artikelelemente im Detail erklärt

README

Jörg Luther

In jedem Artikel in diesem Heft liefert eine Reihe spezieller Textauszeichnungen und hilfreicher grafischer Elemente wichtige Zusatzinformationen zum Text.

Grafische Frontends mit wxPython programmieren

Heiße Oberfläche

Markus Hoffmann

Python bringt in der Standardbibliothek Tkinter mit, ein Tool für die GUI-Entwicklung. Allerdings stört dessen etwas altbackenes Erscheinungsbild. wxPython verspricht einen moderneren Look.

Secure Boot verstehen und einrichten

Umstrittene Sicherheit

Ferdinand Thommes

Secure Boot bleibt unter Linux ein zweischneidiges Schwert – meist mit eingebauter Abhängigkeit von Microsoft.

Ghostty: Ein moderner Terminalemulator für Linux mit klarer Vision

Terminal de luxe

Christoph Langner

Der moderne Terminalemulator Ghostty punktet mit GTK4-Integration und Features wie Tabs, Splits und Kitty-Grafik.

E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben