Lab - Protección del sistema Linux

Lab - Protección del sistema Linux

Objetivos

= Utilice una herramienta de auditoría de seguridad para detectar vulnerabilidades del sistema.

= Implementar soluciones recomendadas para fortalecer el sistema.

Trasfondo/Situación

La auditoría de un sistema para detectar posibles configuraciones incorrectas o servicios sin protección es un aspecto importante del fortalecimiento del sistema. Lynis es una herramienta de auditoría de seguridad de código abierto con un conjunto automatizado de scripts desarrollados para probar un sistema Linux. Lynis realiza un exhaustivo análisis del estado de su sistema. Incluye un informe detallado de las vulnerabilidades y las acciones recomendadas. En esta práctica de laboratorio, utilizará Lynis para analizar su VM y luego implementar soluciones para fortalecer su sistema.

Recursos necesarios

PC con CSE-LABVM instalada en VirtualBox

Instrucciones Parte 1: Instale y actualice Lynis.

Paso 1: Determine la versión instalada de Lynis.

a. Inicie CSE-LABVM.

b. Haga doble clic en el icono de Terminal para abrir un terminal.

c.Para determinar la última versión proporcionada por CISOfy, introduzca el siguiente comando en el terminal.

cisco@labvm:~$ sudo apt-cache policy lynis

lynis:

Installed: 3.0.6-100

Candidate: 3.0.6-100

Version table:

*** 3.0.6-100 500

500 https://packages.cisofy.com/community/lynis/deb stable/main amd64 Packages

500 https://packages.cisofy.com/community/lynis/deb stable/main i386 Packages

100 /var/lib/dpkg/status

2.6.2-1 500

500 http://archive.ubuntu.com/ubuntu focal/universe amd64 Packages

500 http://archive.ubuntu.com/ubuntu focal/universe i386 Packages

d.Vaya a la siguiente parte si tiene la última versión de Lynis.

Si Lynis no está instalado o la última versión no está instalada, vaya al siguiente paso para instalar Lynis.

Paso 2: Instale Lynis

Lynis es una herramienta de seguridad para sistemas que ejecutan sistemas operativos basados en Unix, como Linux y macOS. Lynis se utilizará más adelante en otra actividad para fortalecer un sistema Linux. La aplicación Lynis es mantenida por CISOfy. En este paso, agregaremos el repositorio de software e instalaremos Lynis.

a.Copie y pegue el siguiente comando en una terminal para importar la clave del servidor de claves CISOfy. Esta clave es necesaria para verificar la integridad de su descarga cuando descarga lynis:

cisco@labvm:~$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 013baa07180c50a7101097ef9de922f1c2fde6c4

b.Copie y pegue el siguiente comando en una terminal para agregar el repositorio lynis mantenido por CISOfy.

cisco@labvm:~$ echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list

c.Realice una actualización después de agregar un nuevo repositorio. En el prompt, ingrese sudo apt-get update.

d.Utilice el comando apt para instalar Lynis si aún no está instalado.

cisco@labvm:~$ sudo apt install lynis

Leyendo listas de paquetes... Listo.

Construir árbol de dependencias.

Leyendo la información del estado. Listo.

Se instalarán los siguientes paquetes NUEVOS:

lynis

0 actualizado, 1 recién instalado, 0 para eliminar y 0 no actualizado.

Necesita obtener 23,9 kB de archivos.

Después de esta operación, se usarán 1,681 kB de espacio adicional en disco.

Seleccionar paquete speedtest-cli previamente no seleccionado.

(Leyendo base de datos... 205787 archivos y directorios instalados actualmente.)

Preparándose para desempaquetar.../lynis_3.0.6-100_all.deb...

Unpacking lynis (3.0.6-100) ...

Configurando lynis (3.0.6-100)...

Disparadores de procesamiento para man-db (2.9.1-1) ...

e.Realice una actualización después de la instalación para asegurarse de que la versión instalada de Lynis sea la última. Cuando se le solicite, ingrese sudo apto-get Upgrade.

Parte 2: examinar la versión actual de Lynis.

Cambie al directorio de Lynis y luego introduzca el comando sudo lynis update info para verificar la información de actualización de Lynis. Introduzca la contraseña para la contraseña de sudo. Este comando verifica que esta es la versión más reciente y actualiza la herramienta al momento de la redacción de esta práctica de laboratorio. Si la versión instalada de Lynis no está actualizada, ingrese sudo apto-get actualizar en el indicador.

cisco @ labvm: ~ $ sudo información de actualización de Lynis

[sudo] contraseña para cisco: contraseña

== Lynis ==

Versión: 3.0.6

Estado: actualizado

Fecha de lanzamiento: 2021-07-22

Página del proyecto : https://cisofy.com/lynis/

Código fuente: https://github.com/CISOfy/lynis

Último paquete: https://packages.cisofy.com/

2007-2021, CISOfy - https://cisofy.com/lynis/

Parte 3: ejecute la herramienta Lynis.

a.Ingrese el comando sudo lynis --auditor cisco. Es posible que deba ingresar la contraseña como contraseña nuevamente. El análisis tardará aproximadamente un minuto en ejecutarse.

cisco @ labvm: ~ $ sudo lynis --auditor cisco

b.Debería recibir la salida para una variedad de características del sistema que comienzan con arranque y servicios, y terminan con refuerzo, pruebas personalizadas y complementos (fase 2). La siguiente sección son los resultados de Lynis 3.0.6. Sus resultados probablemente incluyan las dos advertencias que se muestran a continuación. También puede recibir otras advertencias. Además, habrá una sección con una lista de Sugerencias, que enumera 49 en la salida de ejemplo a continuación. Solo se muestra la primera sugerencia.

[Lynis 3.0.6]

################################################## ##############################

Lynis viene SIN NINGUNA GARANTÍA EN ABSOLUTO. Esto es software libre, y ustedes

bienvenido a redistribuirlo según los términos de la Licencia pública general de GNU.

Consulte el archivo LICENCIA para obtener detalles sobre el uso de este software.

2007-2021, CISOfy - https://cisofy.com/lynis/

Soporte empresarial disponible (cumplimiento, complementos, interfaz y herramientas)

################################################## ##############################

[+] Programa de inicialización

------------------------------------

- Detección del SO ...[HECHO]

- Verificando perfiles ...[HECHO]

[+] Arranque y servicios

------------------------------------

- Administrador de servicio [ systemd ]

- Comprobando arranque UEFI [DESACTIVADO]

- Comprobando presencia GRUB2 [ENCONTRADO]

[+] Endurecimiento

------------------------------------

- Compilador (es) instalado (s) [ENCONTRADO]

- Instaló escáner de malware [NO ENCONTRADO]

- Formatos binarios no nativos [NO ENCONTRADO]

[+] Pruebas personalizadas

------------------------------------

- Ejecución de pruebas personalizadas ...[NINGUNO]

[+] Complementos (fase 2)

------------------------------------

================================================== ==============================

- [Resultados de Lynis 3.0.6] -

Advertencias :

----------------------------

Encontró uno o más paquetes vulnerables. [PKGS-7392]

https : //cisofy.com/lynis/controls/PKGS-7392/

! Módulos de iptables cargados, pero sin reglas activas [FIRE-4512]

https : //cisofy.com/lynis/controls/FIRE-4512/

Sugerencias (49):

----------------------------

* Establecer una contraseña en el gestor de arranque GRUB para evitar alterar la configuración de arranque (por ejemplo, arranque en modo de usuario único sin contraseña) [BOOT-5122]

https: //cisofy.com/lynis/controls/BOOT-5122/

================================================== ==============================

Lynis 3.0.6

Auditoría, fortalecimiento del sistema y cumplimiento para sistemas basados en UNIX

(Linux, macOS, BSD y otros)

2007-2021, CISOfy - https://cisofy.com/lynis/

Soporte empresarial disponible (cumplimiento, complementos, interfaz y herramientas)

================================================== ==============================

[SUGERENCIA]: Mejore las auditorías de Lynis agregando su configuración a custom.prf (consulte /home/cisco/Downloads/lynis/default.prf para ver todas las configuraciones).

cisco @ labvm: ~ $

Parte 4: revise los resultados del análisis y aborde las advertencias.

a.Desplácese hasta la sección Resultados en la salida para su análisis.

Preguntas:

¿Cuántas advertencias recibió?

Área de respuesta

Las respuestas varían. Durante las pruebas para este laboratorio, hubo 2 advertencias.- [Resultados de Lynis 3.0.6] - Advertencias (2): ----------------------------!

Encontró uno o más paquetes vulnerables. [PKGS-7392] https://cisofy.com/lynis/controls/PKGS-7392/ Se cargaron los módulos de iptables, pero no hay reglas activas [FIRE-4512] https://cisofy.com/lynis/controls/FIRE-4512/

¿Cuántas sugerencias recibió?

Área de respuesta <

Las respuestas pueden variar. Hubo 49 sugerencias en este ejemplo.

b.Debe abordar las advertencias. Elija al menos una advertencia e investigue cómo solucionar ese problema. Puede utilizar el enlace proporcionado en la salida de advertencia como punto de partida para abordar una advertencia. Pero también es posible que deba utilizar sus habilidades de investigación en Internet para localizar información adicional.

Preguntas:

¿A qué advertencia se dirige?

Área de respuesta

Las respuestas pueden variar. Sin embargo, los dos problemas que se muestran aquí pueden abordarse con relativa rapidez.

¿Cuál es su solución?

Área de respuesta

Las respuestas varían. Sin embargo, para los problemas enumerados aquí, visite el enlace recomendado para la primera advertencia, https://cisofy.com/lynis/controls/PKGS-7392/. Verá dos listas de comandos: apto-get update y apto-get update. Ejecute estos dos comandos como root para abordar la advertencia de vulnerabilidades. Luego ejecute Lynis nuevamente para ver que la advertencia ya no aparece. sudo apto-get update sudo apto-get update sudo lynis --auditor cisco Al probar esta práctica de laboratorio, Firefox necesitaba ser actualizado con el comando "apto para obtener actualización" antes de que Lynis eliminara la advertencia. cisco @ labvm: ~ $ sudo apto-get Upgrade Lectura de listas de paquetes ...

Listo para crear el árbol de dependencias Leyendo la información del estado ...

Calculando la actualización... Listo. Los siguientes paquetes se actualizarán: 1 de Firefox actualizado, 0 recién instalados, 0 para eliminar y 0 no actualizados.

Necesita obtener 56.4 MB de archivos.
Después de esta operación, se usarán 953 kB de espacio adicional en disco.
¿Desea continuar? [S / n] y Obtenga: 1 http://archive.ubuntu.com/ubuntu focal-actualizaciones / main amd64 Firefox amd64 86.0.1 + build1-0ubuntu0.20.04.1 [56.4 MB] Obtenido 56.4 MB en 1 minuto 57 segundos 482 kB / s) (Lectura de la base de datos ...

205661 archivos y directorios instalados actualmente.)
Preparando para desempaquetar ... / firefox_86.0.1 + build1-0ubuntu0.20.04.1_amd64.deb ...
Desempaquetando Firefox (86.0.1 + build1-0ubuntu0.20.04.1) sobre (86.0 + build3-0ubuntu0.20.04.1) ...
Configuración de Firefox (86.0.1 + build1-0ubuntu0.20.04.1) ...
Reinicie todas las instancias en ejecución de Firefox, o experimentará problemas.
Disparadores de procesamiento para man-db (2.9.1-1) ...
Procesando activadores para bamfdaemon (0.5.3 + 18.04.20180207.2-0ubuntu2) ...
Reconstruyendo /usr/share/applications/bamf-2.index ...
Procesando activadores para desktop-file-utils (0.24-1ubuntu3) ...
Procesando activadores para mime-support (3.64ubuntu1) ...
Procesando activadores para hicolor-icon-theme (0.17-2) ...Procesando activadores para gnome-menús (3.36.0-1ubuntu1) ... cisco @ labvm: ~ $ Nota: También puede necesitar actualizar la distribución de Linux si aún recibe una advertencia.

Ejecute el comando "sudo apto-get dist-upgrade" para instalar la última versión de Linux. Deberá reiniciar el sistema antes de que Lynis le proporcione un informe limpio de los "paquetes vulnerables".

Para abordar el segundo problema sobre iptables, inicie su investigación visitando el enlace recomendado para la advertencia, https://cisofy.com/lynis/controls/FIRE-4512/. Tenga en cuenta que indica deshabilitar el firewall o completarlo con un firewall apropiado. Esto debe significar que iptables tiene algo que ver con el firewall de la VM. Para seguir investigando, busque “ubuntu iptables howto”. El primer enlace en los resultados del motor de búsqueda lo llevará directamente a una página en help.ubuntu.com. Si leen la página, descubrirán que "Ubuntu viene con ufw, un programa para administrar iptables…". Esta página también contiene algunas reglas recomendadas para un firewall básico. El siguiente es un buen comienzo en un firewall básico. sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ACCE sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -j DROP sudo iptables-save Sin embargo, si ejecuta el comando "sudo lynis --auditor cisco" nuevamente, obtendrá la misma advertencia.

Ha configurado las reglas, pero aún no están activas. Esto probablemente se deba a que el firewall no está activo. Desplácese hacia la parte superior de la página de Ubuntu y haga clic en el enlace "ufw" o busque "ubuntu ufw". El enlace lo llevará a una página que analiza el firewall sin complicaciones (ufw), que es la herramienta de configuración de firewall predeterminada que Ubuntu utiliza para administrar iptables. Desplácese por la página para obtener más información sobre nmap. Si marca el estado de ufw, verá que está inactivo. ¿Será por esto que aún recibe una advertencia de Lynis? Active el firewall y vuelva a ejecutar Lynis. En Resultados, ahora debería ver el mensaje "Excelente, sin advertencias". cisco @ labvm: ~ $ sudo ufw status Estado: inactivo cisco @ labvm: ~ $ sudo ufw enable El firewall está activo y habilitado al iniciar el sistema cisco @ labvm: ~ $ sudo lynis --auditor cisco<output omitted> ================================================== ============================== - [Resultados de Lynis 3.0.6] - Excelente, sin advertencias cisco @ labvm: ~ $

c.Implemente su solución y ejecute el comando sudo lynis --auditor cisco nuevamente. Si la advertencia que eligió ya no aparece en la sección Resultados, ¡felicitaciones! Usted acaba de aumentar el fortalecimiento de su VM de Ubuntu. Si la advertencia sigue apareciendo, vea si puede encontrar más información para ayudarlo a obtener un informe claro de Lynis en el que la advertencia ya no se informa.

9.1.14 Lab - Reforzar un sistema Linux

Lab - Protección del sistema Linux

Objetivos

Trasfondo/Situación

Recursos necesarios

Paso 1: Determine la versión instalada de Lynis.

Paso 2: Instale Lynis

Parte 2: examinar la versión actual de Lynis.

Parte 3: ejecute la herramienta Lynis.

Parte 4: revise los resultados del análisis y aborde las advertencias.

Preguntas:

Preguntas:

SEDE ROSARIO

Sede Venado Tuerto

Sede Casilda

Mi cuenta

Fundamentos de la Ciberseguridad

9.1.14 Lab - Reforzar un sistema Linux

Lab - Protección del sistema Linux

Objetivos

Trasfondo/Situación

Recursos necesarios

Paso 1: Determine la versión instalada de Lynis.

Paso 2: Instale Lynis

Parte 2: examinar la versión actual de Lynis.

Parte 3: ejecute la herramienta Lynis.

Parte 4: revise los resultados del análisis y aborde las advertencias.

Preguntas:

Preguntas:

SEDE ROSARIO

Sede Venado Tuerto

Sede Casilda

Mi cuenta