Hola de nuevo, en este post os voy a hablar sobre dos programas que nos permiten analizar la seguridad de nuestro sistema Linux; no son antivirus aunque comparten algunas funciones, sino mas bien realizan análisis de vulnerabilidades, tanto en archivos como en configuraciones.
Tiger
Tiger lo podemos descargar de nuestro gestor de paquetes favoritos o podemos descargarlo directamente desde Savannah o Debian Archive y usarlo sin instalarlo. Analiza archivos de configuración de sistema, archivos de configuración de usuario y otros archivos y podemos obtener un reporte detallado, y además podemos obtener informes precisos sobre todas las áreas con la orden tigexp. No es necesario instalar Tiger, pudiéndolo ejecutar directamente desde el archivador que descargamos de la web del proyecto. Es muy útil para analizar redes compuestas por varios equipos en red aunque también nos puede servir para nuestro equipo de sobremesa si tenemos funcionando servicios de red abiertos al exterior o con varios usuarios con diferentes niveles de acceso.
Como os he comentado antes, Tiger no es un antivirus; no escanea y borra archivos maliciosos sino que analiza, además de archivos, todo tipo de configuraciones que pueden dejar en situación de riesgo nuestro sistema; luego le queda al usuario la tarea de arreglar todo. Veamos como usarlo.
Para usar Tiger solo tenemos que abrir una terminal y teclear
$>sudo tiger
en ella, podemos añadirle algunos argumentos:
-B, especifica en que directorio está instalado Tiger, en caso de que lo utilicéis desde el paquete descargado desde la web, si instaláis Tiger desde los repositorios no será necesario este argumento.
-l directorio, especifica el directorio donde queremos que se guarde el informe. Si no especificamos nada el informe se guardará por defecto en /var/log/tiger/.
Podemos guardar los resultados en un directorio remoto en un servidor que este escuchando en el puerto TCP 5353, añadiendo una arroba al principio del directorio; Tiger enviará el informe usando una conexión telnet.
-e, genera informes mas detallados con explicaciones de cada alerta.
-E, genera un listado de explicaciones aparte del informe.
-H genera el informe en html
ejemplo de uso:
$>sudo tiger -e -H -l /home/carpeta/
Los informes de Tiger son muy largos y el programa necesita algunos minutos para completarlos; para agilizar el proceso podemos filtrar las áreas que queremos examinar, modificando el archivo de configuración tigerrc donde con operadores binarios Y/N podemos hacerlo de forma muy simple. Este archivo lo tenemos localizado en /usr/share/tiger
Podemos editar el archivo de configuración para personalizar el análisis |
Estos informes se generan con permisos, para poder leerlos con nuestro usuario tendremos que cambiarle los permisos con el comando chmod.
Si queremos obtener solo explicaciones sobre un apartado en general podemos usar la orden tigexp. Vamos a verlo.
los reportes tienen el siguiente formato:
--WARN-- [acc001w] Login ID backup is disabled, but still has a valid shell (/bin/sh).
Si queremos mas info sobre este warning solo tecleamos en la terminal el número entre corchetes [acc001w]:
$>tigexp acc001w
si no hemos instalado Tiger tendremos que poner la ruta hacia la carpeta donde este , por ejemplo: ./tiger/tigexp acc001w
Si probáis Tiger, veréis que es una herramienta muy sofisticada, yo recomendaría antes de usarlo en nuestro sistema, editar el archivo de configuración tigerrc para ahorrar tiempo porque cuesta bastantes minutos completar el informe y es posible que examine áreas en las que no es necesario mirar. Podemos programarlo con cron para que vaya haciendo el examen cada cierto tiempo.
Lynis
Lynis es una herramienta de seguridad para sistemas que ejecutan sistemas operativos basados en Linux, macOS o Unix. Realiza un análisis exhaustivo del estado de sus sistemas para respaldar el fortalecimiento del sistema y las pruebas de cumplimiento. El proyecto es un software de código abierto con licencia GPL y disponible desde 2007.
Lynis funciona en casi todos los sistemas Unix e incluso funciona en sistemas Raspberry, dispositivos IoT y almacenamientos QNAP.
Lynis es una aplicación ligera con un funcionamiento modular y escalado, que irá haciendo scanner conforme vaya descubriendo los sistemas activos en el sistema. Por ejemplo: Si Lynis detecta que tenemos activo Apache hará los test necesarios para Apache. Podemos configurar aún mas con la creación de perfiles que podemos usar para adaptar el análisis a diferentes tipos de sistemas. Podemos crear un perfil para servidores web y mail y otro para un sistema operativo en concreto. Para esto podemos editar el fichero default.prf que está en /etc/lynis/default/
La presentación es colorida y fácil para el usuario |
Para usar Lynis solo tenemos que teclear en la terminal...
$> lynis audit system
... y listo. El reporte generado será mas o menos largo según las características del sistema. Según el usuario que estéis usando es posible que necesitéis permisos pero para eso y mucho mas, siempre sudo.
Otro uso es:
$> lynis audit system remote <host> // Para analizar un sistema remoto.
Al final del informe nos dará un índice porcentual (0% - 99%) para que nos hagamos una idea general y generará un informe detallado en /var/log/lynis.log
Algunas opciones que podemos añadirle a Lynis son:
--logfile /ruta/ala/carpeta/ Podemos crear el informe en una carpeta diferente a /var/log/
--cronjob Hace el análisis temporizado con cron (safe options).
--wait Hace una pausa (break) al final de cada seccción, como more o less.
--tests ID Efectúa solo el test ID, podemos consultar las ID de los test en la web del proyecto.
--pentest Efectúa un escaneo sin privilegios, para pen-testing. Los test que necesiten privilegios serán omitidos.
--auditor Define el nombre del auditor/pen-tester. Este nombre aparecerá luego encabezando el informe.
--profile <file> Elige un perfil para efectuar el escaneo.
ejemplo de uso:
$>lynis audit system --wait --auditor "Departamento IT" –logfile /home/Escritorio/
En este ejemplo, le decimos a Lynis que audite y que escriba el informe en el Escritorio (argumento logfile). Al usar la opción --wait , le decimos que espere. Usamos --auditor y lo definimos como "Departamento IT" .
Con cada alerta Lynis nos da una correción para este problema |
De cualquier manera cualquier sysadmin o un usuario avanzado encontrará sin duda, satisfacción en cualquiera de las dos herramientas.
No hay comentarios:
Publicar un comentario