Comments 5
Для юзер машины, если все закрыто iptables зачем нужна эта тулза?
Еще полезен будет если систему нужно проверить на соответствие 2700x.
Чуть ли не единственный инструмент.
Нда. Запустил. Выдал 4 warning:
- Couldn't find 2 responsive nameservers в /etc/resolv.conf — ну да, потому что локальный. False positive.
- Found promiscuous interface — без понятия почему, его никто не слушает, возможно дело в том, что на нём висят VLan-ы. False positive.
- Found some information disclosure in SMTP banner — таки да, там честно написано Postfix без номера версии, не вижу в этом проблемы, это всё-равно несложно определить при желании. Wontfix.
- klogd is not running, which could lead to missing kernel messages in log files — неправда, у меня запущен socklog-klog. False positive.
Ещё там 44 suggestions. Первый самый забавный, но среди остальных тоже смешного хватает.
- This release is more than 4 months old. Consider upgrading — прикол в том, что это последняя версия.
- Check 420 files in /tmp which are older than 90 days — а что с ними плохого случается на 91-й день?
- Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft — мило, а ничего, что у меня домашняя рабочая станция, и USB временами таки нужен?
- Check iptables rules to see which rules are currently not used — по его мнению, 65 из 160 правил моего файрвола лишние, только потому, что текущие счётчики пакетов у них нулевые… это реально жесть!
- Change the HTTPS and SSL settings for enhanced protection of sensitive data and privacy — никаких подробностей что не так или что изменить в выводе
lynis show details
, но объективно у моего сайта рейтинг A+ на https://www.ssllabs.com/ssltest/analyze.html?d=powerman.name так что это явно очередной false positive. - Дальше там ещё пара аналогично бессмысленных рекомендаций про проверку логирования nginx, в таком духе (как говорится, ничего не нашёл, но надо же показать какой я полезный и хоть что-то порекомендовать):
$ lynis show details HTTP-6712
2020-05-22 14:17:20 Performing test ID HTTP-6712 (Check nginx access logging)
2020-05-22 14:17:20 Result: no virtual hosts found which have their access log disabled
2020-05-22 14:17:20 Hardening: assigned maximum number of hardening points for this item (3). Currently having 126 points (out of 160)
2020-05-22 14:17:20 Suggestion: Check your nginx access log for proper functioning [test:HTTP-6712] [details:-] [solution:-]
2020-05-22 14:17:20 ===---------------------------------------------------------------===
- Check available certificates for expiration — молодец, нашёл пачку истёкших сертификатов… в /etc/letsencrypt/archive/, где они и должны быть.
- Test output of both 'docker ps -a' and 'docker info', to determine why they report a different amount of containers — он пишет, что docker info ему показывает 0 контейнеров… а вот когда я запускаю docker info то мне он показывает правильное количество.
- Harden compilers like restricting access to root user only — с ума сойти… компилятор, свободно доступный всем желающим… в Gentoo Linux. Просто дикая угроза безопасности, что тут скажешь.
В общем, из всего списка, потратив кучу времени, можно наковырять пару потенциально полезных изменений sysctl, и то я пока не уверен, надо доку по ним сначала почитать. Всё остальное — типичное поведение антивируса, основная задача которого показать свою полезность.
Sign up to leave a comment.
Проверяем уровень защищённости Linux с помощью утилиты Lynis