Skip to content

Lynis 2.2.0 - Neue Version zur Linux Systemhärtung verfügbar

Das Auditing Tool Lynis hat ein Major Update erhalten und ist bei Version 2.2.0 angelangt.

Ich hatte diesen Sicherheitscheck für Linux Systeme bereits im Blog vorgestellt.

Lynis prüft auf unsichere Einstellungen, Konfigurationsfehler und gibt Tipps zur Absicherung des Systems.

Alle Schritte können im Prinzip auch händisch vorgenommen werden. Für einen schnellen und automatisierten Audit, bietet sich das Tool aber durchaus an.

lynis

Die Version 2.2.0 unterstützt nun Debian 8 Installationen und erkennt VMware Umgebungen. Die Überprüfung von FreeBSD wurde verbessert, sowie weitere Prüfbereiche (z.B. NTP oder USB) ergänzt. Hier geht es zum Changelog.

Lynis - Installation und Anwendung

Die Installation ist wie so oft recht einfach.

wget https://cisofy.com/files/lynis-2.2.0.tar.gz

sha256sum lynis-2.0.0.tar.gz

Hash Summe auf der Homepage gegenprüfen und dann entpacken

tar -xvf lynis-2.2.0.tar.gz

cd lynis

./lynis

Beim Ausführen ohne Parameter werden alle Zusatz- Kommandos angezeigt über die das Programm verfügt. Die üblichen zur Überprüfung des Systems wären beispielsweise:

./lynis --check-all

./lynis --check-all --quick (kein Enter notwendig)

./lynis audit dockerfile datei (Docker Container prüfen)

./lynis update release      (Update Lynis Version)

./lynis --cronjob

 

Fazit

Die Alternativen im Bereich des automatisierten Sicherheitsaudit auf Linux Systemen stellen meines Wissen Bastille oder Tiger dar. Beide sind leider etwas veraltetet und stellen somit wenig Konkurrenz dar. Vergleichbares ist eventuell noch beim Linux Security Auditing Tool (LSAT) zu finden. Dieses Tool habe ich allerdings noch nicht getestet. Schlußendlich bleibt, neben der Handarbeit, für einen freien Systemschnellcheck wenig anderes außer Lynis übrig.

Eigene Distribution - freie Tools um Live CDs oder Backups von Linux Installationen zu erstellen

Vor einiger Zeit hatte ich im Blog auf Remastersys hingewiesen. Mit dem Tool war es möglich Live CDs seiner Ubuntu Installation zu erstellen.
Leider wird das Projekt vom Entwickler nicht weiter verfolgt. Auf älteren Systemen ist es zwar weiterhin anwendbar, dennoch ist bei neueren Ubuntu Systemen eine Alternative notwendig.

Hier ein paar Möglichkeiten, eine Sicherung eures Linux Systems zu erstellen. Auch bootbare ISO Dateien, also Live CDs sind möglich.

Freie Tools für Live CDs oder Backups von Linux Installationen

Systemback

Bei Systemback handelt es sich um ein klassisches Backup Tool, welches unter anderem Wiederherstellungspunkte erstellen kann. Ebenso eignet es sich gut für das Erstellen einer persönlichen Live CD. Hier wird einfach ein Abbild des vorhandenen Systems auf die Festplatte geschrieben. 

systemback

Das Programm integriert auf Wunsch das Home Verzeichnis und erstellt ein ISO Datei, welche auf CD gebrannt oder auf einen USB Stick kopiert werden kann.
Bei der Verwendung von Ubuntu Desktop ist mit dem Startup Disk Creator das richtige Tool schon mit an Bord.

Installation Systemback auf Ubuntu Systemen

 sudo add-apt-repository ppa:nemh/systemback
 sudo apt-get update
 sudo apt-get install systemback

ubuntu-live-cd

Distroshare Ubuntu Imager

Ein andere Variante bietet DistroShare. Es handelt sich dabei um ein Skript, welches auf der offiziellen Ubuntu Seite zu finden ist. Schon Remastersys setzte auf ähnliche Weise darauf.

Im Prinzip muss nur das Script heruntergeladen und ausgeführt werden.

Hier geht es zur Projektseite.

Installation Distro Ubuntu Imager

Bevor das Script ausgeführt wird, können über eine Config Datei "distroshare-ubuntu-imager.config" weitere Anpassungen vorgenommen werden.

sudo ./distroshare-ubuntu-imager.sh

Danach sollte das Image auf einen USB Stick geschoben werden, dass geht am einfachsten mit dem dd Befehl
In diesem Beispiel ist sdb euer Stick.

dd if=isoimage.iso of=/dev/sdb bs=1M

Die Entwickler weisen darauf hin, dass der Ubuntu Startup Disk Creator nicht funktioniert. Sie empfehlen Unetbootin oder ähnliches.

Distroshare - Eigenkreationen für die Masse

Wer seine selbst erzeugten Distributionen teilen möchte, der kann dies unter distroshare.com tun.

distroshare

Altes Eisen

Es gibt noch weitere Image Tools für Linux Systeme. Diese sind teilweise kommerziell oder wurden seitens der Entwickler auf Eis gelegt. Somit besteht nicht immer eine Garantie, dass diese Programme auf aktuellen Systemen funktionieren. Vorenthalten möchte ich sie euch dennoch nicht.

SystemImager

Ein inzwischen kommerzielles Programm ist der System Imager. Das Tool erstellt wie seine Kollegen ein komplettes Abbild des Systems. 
Es handelt sich dabei um einen kommerziellen Fork von Remastersys.

ReLinux

ReLinux ist bei Version 0.4 stehen geblieben,  Laut Entwickler sollte es in Python umgeschrieben werden. Die Debian Pakete für die letzte Version sind immerhin noch zu haben. Eine Python Version konnte ich nicht ausfindig machen.

relinux

Ubuntu Builder

Der Ubuntu Builder bietet eine weitere Möglichkeit individuelle Ubuntu Live CDs zu erstellen. 
Leider ist das PPA auch hier nicht mehr auf dem aktuellsten Stand und bietet offiziell nur eine Unterstützung für Ubuntu 12.04/12.10. Probiert selbst aus, ob der Builder noch auf Ubuntu 14.04/15.04 lauffähig ist. Laut meinen Recherchen wurde dieses Projekt ebenfalls eingestellt.

sudo add-apt-repository ppa:f-muriana/ubuntu-builder
sudo apt-get update
sudo apt-get install ubuntu-builder

Fazit

Wie unschwer zu erkennen ist, sind nur zwei Image Tools für eine eigene Live CD relevant. Systemback und Distro Ubuntu Imager.

Ersteres hat Dank seiner Oberfläche für Desktop Nutzer sicherlich den größeren Vorteil. Systemback wurde auf einem Ubuntu 15.04 Desktop System in Verbindung mit dem Image Creator und einem USB Stick getestet und hat ohne Probleme funktioniert. es bekommt smoit eine klare Empfehlung.

Das erwähnte Image Script bietet sich für Serverinstallationen an. Testen konnte ich dies allerdings noch nicht,. Ich denke jedoch, dass die Erstellung einer Systemkopie ebenso einfach von der Hand geht, wie mit einer GUI Variante.

SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

Die richtigen SSL/TLS Einstellungen für Server zu finden ist nicht immer leicht. Eine etablierte Prüfvariante wird von SSL Labs gestellt. Auf deren Webseite können Server auf Herz und Nieren geprüft werden und bekommen im Optimalfall ein A+ Rating, wenn Techniken wie beispielsweise HTTP Strict Transport Security aktiv sind.

Seit kurzen stellt Qualys mit ssllabs-scan ein Tool auf Github zur Verfügung, welches einen Server Test via Kommandozeile erlaubt. Das Tool basiert auf der vorhandenen Technik und greift somit auch immer auf die Qualys Server zurück.

Als Alternative bietet sich das ebenfalls etablierte Phyton Script SSLyze an. Anders als ssllabs-scan unterstützt der SSL Scanner bereits SMTP, XMPP, LDAP, POP, IMAP, RDP und FTP und steht auch für Windows Nutzer zur Verfügung (Download).

SSLyze unter Ubuntu Server 14.04 verwenden

Installation

wget https://github.com/nabla-c0d3/sslyze/releases/download/release-0.10/sslyze-0_10-linux64.zip
unzip sslyze-*
cd sslyze/

Alle Funktionen anzeigen

./sslyze.py --help

Usage: sslyze.py [options] target1.com target2.com:443 etc...

Normaler Scan

Prüfung auf die Protokolle SSLv2.0, SSLv3.0, TLS1.0/1.1/1.2 Heartbleed, CipherSuites und andere Einstellungen.

Die reguläre Methode fast quasi eine Befehlskette zusammen "--sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --http_get"

./sslyze.py --regular url.de:443

REGISTERING AVAILABLE PLUGINS
 -----------------------------
  PluginSessionRenegotiation
  PluginCompression
  PluginSessionResumption
  PluginHSTS
  PluginOpenSSLCipherSuites
  PluginChromeSha1Deprecation
  PluginCertInfo
  PluginHeartbleed

 CHECKING HOST(S) AVAILABILITY
 -----------------------------

   url.de:443                        => 127.0.0.1:443

 SCAN RESULTS FOR url.DE:443 - 127.0.0.1:443
 ---------------------------------------------------

  Deflate Compression:
      OK - Compression disabled

  Session Renegotiation:
      Client-initiated Renegotiations:   OK - Rejected
      Secure Renegotiation:              OK - Supported

  OpenSSL Heartbleed:
      OK - Not vulnerable to Heartbleed

  Session Resumption:
      With Session IDs:                  OK - Supported (5 successful, 0 failed, 0 errors, 5 total attempts).
      With TLS Session Tickets:          OK - Supported

  Certificate - Content:
      SHA1 Fingerprint:                  xxxxxxxxxxxxxxxx
      Common Name:                       url.com
      Issuer:                            url Internet xxxxxxxxx G2
      Serial Number:                     xxxxxxxxxxxxx
      Not Before:                        
      Not After:                         
      Signature Algorithm:               sha1WithRSAEncryption
      Key Size:                          2048 bit
      Exponent:                          xxxxxx (0x10001)
      X509v3 Subject Alternative Name:
 * Certificate - Trust:
      Hostname Validation:               FAILED - Certificate does NOT match url.de
      "Mozilla NSS - 08/2014" CA Store:  OK - Certificate is trusted
      "Microsoft - 08/2014" CA Store:    OK - Certificate is trusted
      "Apple - OS X 10.9.4" CA Store:    OK - Certificate is trusted
      "Java 6 - Update 65" CA Store:     OK - Certificate is trusted
      Certificate Chain Received:        ['url.com', ']

  Certificate - OCSP Stapling:
      NOT SUPPORTED - Server did not send back an OCSP response.

  SSLV2 Cipher Suites:
      Server rejected all cipher suites.

...........

Mit dem Zusatz "--hide_rejected_ciphers" lassen sich abgelehnte CipherSuites ausblenden, was die Übersicht erhöht.

Scan auf SHA-1

Eine ebenso praktische Scanvariante ist der Test auf SHA-1. Die Hasfunktion SHA-1 wird beispielsweise von Google Chrome inzwischen als unsicher gemeldet.

--chrome_sha1 url.de:443

 REGISTERING AVAILABLE PLUGINS
 -----------------------------

  PluginSessionRenegotiation
  PluginCompression
  PluginSessionResumption
  PluginHSTS
  PluginOpenSSLCipherSuites
  PluginChromeSha1Deprecation
  PluginCertInfo
  PluginHeartbleed

 CHECKING HOST(S) AVAILABILITY
 -----------------------------

  url.de:443                        => xxxxxxxxx:443

 SCAN RESULTS FOR url.DE:443 - xxxxxxxx:443
 ------------------------------------------------

  Google Chrome SHA-1 Deprecation Status:
      OK - Certificate chain does not contain any SHA-1 certificate.

Prüfung auf  HTTP Strict Transport Security HSTS Unterstützung

Auch das bereits oben erwähnte HSTS lässt sich überprüfen.

./sslyze.py --hsts url.de:443

Test auf StartTLS für SMTP oder XMPP Server

Gleiches gilt für XMPP oder SMTP Server.

./sslyze.py --starttls=smtp url

./sslyze.py --starttls=xmpp url

Zu den genannten Befehlen gibt es noch zig weitere Möglichkeiten SSL Server auf Konfiguration zu testen. Hier sei für alle Funktionen auf die Hilfe verwiesen, welche alle Befehle auflistet und erklärt. (Die Scanausgaben wurden zugunsten der Übersicht gekürzt).

Fazit

Anders als SSL Lab zeigt SSLyze kein Ranking und macht keine Überprüfung auf Browserunterstützung, dafür werden mehr Protokolle unterstützt. Je nach Einsatzgebiet werden wohl beide Tools benötigt. Auf einem Server ohne Browser und Co bietet sich SSLyze natürlich an.

Das Tool ist auf gängigen Linux Distributionen wie Kali Linux, die für Pentesting und andere Sicherheitschecks verwendet werden, mit an Bord.

Eine Übersicht, auf welche Wege SSL/TLS Cipher Suites gestetet werden können, bietet Oswap.

Linux Script - Selbstsigniertes SSL Zertifikat mit SHA256 erstellen und ausgeben

Anfang des Jahres hatte ich euch ein Skript bereitgestellt, welches selbst signierte Zertifikate generiert (siehe Artikel).

Nicht erst seit gestern ist es jedoch sinnvoll auf SHA2 umzustellen. Denn das alte SHA1 gilt seit einiger Zeit als unsicher. 

Übersicht SHA Funktionen

uebersicht_sha

Für euch heißt dies in Zukunft bei der Zertifikatsgenerierung auf SHA2 zu achten.

Selbstsigniertes SSL Zertifikat mit SHA256 erstellen

Im Prinzip muss der alte Befehl nur um einen weiteren Schlüssel "SHA256" oder "SHA512" ergänzt werden.

Unten seht ihr den Befehl, der eine privaten Serverschlüssel mit Zertifikatsanfrage erstellt und im gleichen Zug selbst signiert.

sudo openssl req -x509 -nodes -sha256 -days 1825 -newkey rsa:4096 -keyout server_256.key -out server_256.crt

Generating a 4096 bit RSA private key

...........................++

......................................................................++

writing new private key to 'server_256.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:DE

State or Province Name (full name) [Some-State]:NRW

Locality Name (eg, city) []:ITrig

Organization Name (eg, company) [Internet Widgits Pty Ltd]:ITrig

Organizational Unit Name (eg, section) []:Itrig

Common Name (eg, YOUR name) []:itrig.de

Email Address []:

Zertifikat auf SHA2 überprüfen

Natürlich lassen sich vorhandene oder soeben erzeugte Schlüssel auch auf ihren Inhalt überprüfen. In diesem Fall interessiert uns der SHA Wert.

sudo openssl x509 -noout -text -in server_256.crt

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            fc:f8:7d:d9:cd:f7:e7:b5

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: C=DE, ST=NRW, L=ITrig, O=ITrig, OU=Itrig, CN=itrig.de

        Validity

            Not Before: Dec 18 13:20:41 2014 GMT

border: none; padding: 0px;">

            Not After : Dec 17 13:20:41 2019 GMT

Damit ihr euch die Eingaben alle sparen könnt, hab ich das Script auf SHA256 angepasst, zusätzlich werden alle Daten am Ende zur Kontrolle ausgegeben.

SHA 256 Skript

Linux Script - Serverzertifikat erstellen und selbst signieren

Nicht nur auf Produktivsystemen, sondern schon im Testumgebungen und erst recht im Intranet ist eine sichere Datenübertragung zwischen Geräten wichtig. Dazu werden Zertifikate benötigt. Für die Erstellung solcher Bescheinigungen ist unter Linux eigentlich nur ein Einzeiler notwendig.

Da dieser recht lang sein kann und bei einem selbstsignierten Zertifikate noch eine weiter Zeile hinzukommt, habe ich es mal auf die schnelle zusammengeschrieben. Zunächst muss aber das benötigte Paket installiert werden.

sudo apt-get install openssl

Im Folgenden wird eine Zertifikatsanfrage "server.csr" und eine privater Schlüssel mit 4096 Bit erstellt.

Die Gültigkeit beträgt 1825 Tage. 

Zusätzlich sind diverse Eingaben notwendig, wobei der Common Name am wichtigsten ist. Hier muss entweder die richtige IP Adresse oder der Domainname des Servers angegeben werden.

Serverzertifikat erstellen 


openssl req -newkey rsa:4096 -outform PEM -out server.csr -keyout server.key -keyform PEM -days 1825 -nodes

Generating a 4096 bit RSA private key

.++.........................................++

writing new private key to 'server.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:US

State or Province Name (full name) [Some-State]:Hawaii 

Locality Name (eg, city) []:Honolulu

Organization Name (eg, company) [Internet Widgits Pty Ltd]:ITrig

Organizational Unit Name (eg, section) []:Test

Common Name (e.g. server FQDN or YOUR name) []:itrig.de

Email Address []:Mailadresse

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Serverzertifikat selbst signieren 

Nun haben wir den ersten Schritt hinter uns und sollten eine "server.key" und eine "server.csr" im Verzeichnis liegen haben. Letztere kann nun zur einer offiziellen CA gesendet werden, was allerdings Geld kostet. Alternativ kann diese, gerade für Testzwecke, auch selbst signiert werden. Mit dem folgenden Befehl erhalten wir als Ausgabe ein fertiges Zertifikat "server.crt", welches auf "itrig.de" ausgestellt. ist.

openssl x509 -req -days 1825 -in server.csr -signkey server.key -out server.crt

Signature ok

subject=/C=DE/ST=Hawaii /L=Honolulu/O=ITrig/OU=Test/CN=itrig.de/emailAddress=Mailadresse

Getting Private key

Insgesamt eine recht leichte Übung, dennoch hier das Ganze noch einmal als fertiges Script. Das fertige Skript muss nach dem herunterladen noch entpackt "unzip" und mit "sudo chmod +x" ausführbar gemacht werden.

Download Script Serverzertifikat erstellen