Skip to main content Link Search Menu Expand Document (external link)

Bloque 16 - Endurecimiento del sistema, fase 2 de los añadidos, test personalizados y final

En la Corrección 7 hablamos de desinstalar el que creía que era el compilador por defecto que tenía instalado. Ahora vamos a ver que nos muestran los registros:

2022-11-29 09:23:21 ====
2022-11-29 09:23:21 Action: Performing tests from category: Hardening
2022-11-29 09:23:21 ====
2022-11-29 09:23:21 Performing test ID HRDN-7220 (Check if one or more compilers are installed)
2022-11-29 09:23:21 Test: Check if one or more compilers can be found on the system
2022-11-29 09:23:21 Result: found installed compiler. See top of logfile which compilers have been found or use /bin/grep to filter on 'compiler'

...

Haremos caso y buscaremos con dpkg:

Se ve que al desinstalar build-essential no eliminó gcc y además vemos que hay enlaces simbólicos entre varios directorios, lo cuál puede ser peligroso:

2022-11-29 09:23:21 Test: Check file permissions for /usr/bin/cc
2022-11-29 09:23:21 Action: checking symlink for file /usr/bin/cc
2022-11-29 09:23:21 Note: Using real readlink binary to determine symlink on /usr/bin/cc
2022-11-29 09:23:21 Result: readlink shows /usr/bin/gcc-4.8 as output
2022-11-29 09:23:21 Result: symlink found, pointing to file /usr/bin/gcc-4.8
2022-11-29 09:23:21 Binary: found /usr/bin/gcc-4.8 (world executable)
2022-11-29 09:23:21 Hardening: assigned partial number of hardening points (2 of 3). Currently having 238 points (out of 334)
2022-11-29 09:23:21 Test: Check file permissions for /usr/bin/gcc
2022-11-29 09:23:21 Action: checking symlink for file /usr/bin/gcc
2022-11-29 09:23:21 Note: Using real readlink binary to determine symlink on /usr/bin/gcc
2022-11-29 09:23:21 Result: readlink shows /usr/bin/gcc-4.8 as output
2022-11-29 09:23:21 Result: symlink found, pointing to file /usr/bin/gcc-4.8
2022-11-29 09:23:21 Binary: found /usr/bin/gcc-4.8 (world executable)
2022-11-29 09:23:21 Hardening: assigned partial number of hardening points (2 of 3). Currently having 240 points (out of 337)
2022-11-29 09:23:21 Result: at least one compiler could be better hardened by restricting executable access to root or group only
2022-11-29 09:23:21 Suggestion: Harden compilers like restricting access to root user only [test:HRDN-7222] [details:-] [solution:-]
2022-11-29 09:23:21 ====

...

Por lo cuál lo más recomendable es desinstalar estos paquetes, por falta de uso, de nuestro sistemas:

sudo apt remove gcc gcc-4.8 libllvm3.4:amd64 --purge

sudo apt-get autoremove

Fase 2 de los añadidos

Según la documentación oficial de Lynis, la segunda fase se produce cuando las pruebas normales han terminado. Es el momento en el que se quiere analizar la información descubierta anteriormente (fase 1), procesarla y, opcionalmente, mostrarla en pantalla. Como son añadidos gratuitos, no tiene creados otros que tomen la información de las primeras fases para manejarla:

Test personalizados

No hay creado ningún test personalizado, hablaremos de estos brevemente en otra sección.

Final

Al final de todos los test nos muestra por pantalla el “estado de endurecimiento” de nuestro sistema, basado en los puntos que va analizando y asignando en cada prueba. También nos lo muestra en los registros:

2022-11-29 09:23:21 Hardening index : [71] [##############      ]
2022-11-29 09:23:21 Hardening strength: System has been hardened, but could use additional hardening
2022-11-29 09:23:21 ====
2022-11-29 09:23:21 Checking permissions of /usr/local/lynis/include/tool_tips
2022-11-29 09:23:21 File permissions are OK
2022-11-29 09:23:21 Tool tips: enabled
2022-11-29 09:23:21 ================================================================================
2022-11-29 09:23:21 Tests performed:     279
2022-11-29 09:23:21 Total tests:         463
2022-11-29 09:23:21 Active plugins:      2
2022-11-29 09:23:21 Total plugins:       2
2022-11-29 09:23:21 ================================================================================
2022-11-29 09:23:21 Lynis 3.0.8
2022-11-29 09:23:21 2007-2021, CISOfy - https://cisofy.com/lynis/
2022-11-29 09:23:21 Enterprise support available (compliance, plugins, interface and tools)
2022-11-29 09:23:21 Program ended successfully
2022-11-29 09:23:21 ================================================================================
2022-11-29 09:23:21 PID file removed (/var/run/lynis.pid)
2022-11-29 09:23:21 Temporary files:  /tmp/lynis.yVvLyO8Myn /tmp/lynis.QMHeiNLz3M /tmp/lynis.1PR9PHcQtB /tmp/lynis.bA5xSb129I
2022-11-29 09:23:21 Action: removing temporary file /tmp/lynis.yVvLyO8Myn
2022-11-29 09:23:21 Info: temporary file /tmp/lynis.QMHeiNLz3M was already removed
2022-11-29 09:23:21 Info: temporary file /tmp/lynis.1PR9PHcQtB was already removed
2022-11-29 09:23:21 Action: removing temporary file /tmp/lynis.bA5xSb129I
2022-11-29 09:23:21 Lynis ended successfully.
(END)

En comparación con el anterior escaneo, sacamos un 71, hemos mejorado respecto a la primera vez; teniendo en cuenta que esta versión está más afinada y hace más pruebas, considero que es un resultado bueno con matices. En la sección Conclusiones se intentará explicar mis pensamientos en base a lo que he visto y experimentado durante el desarrollo de este proyecto.

Para acabar esta sección dejo las capturas de pantalla de los “peligros” y sugerencias que nos muestra al final el programa. La mayoría lo hemos ido tratando con posibles soluciones durante esta misma sección.

Resto de capturas de pantalla