Архив рубрики: Публикации

TLS 1.3: что нужно знать о новой версии протокола

Со времени последнего обновления протокола шифрования прошло более восьми лет, но окончательная версия TLS 1.3 была опубликована по состоянию на август 2018 года . 👏 Интересной частью для сообщества WordPress здесь является то, что TLS 1.3 включает в себя множество улучшений безопасности и производительности. С обновлением протокола HTTP/2 в конце 2015 года и теперь TLS 1.3 в 2018 году зашифрованные соединения стали более безопасными и быстрыми, чем когда-либо. Подробнее об изменениях в TLS 1.3 и о том, как это может помочь вам как владельцу сайта WordPress, читайте ниже.

Что такое TLS?

TLS означает безопасность транспортного уровня и является преемником SSL (Secure Sockets Layer). TLS обеспечивает безопасную связь между веб-браузерами и серверами. Само соединение является безопасным, потому что симметричная криптография используется для шифрования передаваемых данных. Ключи уникально генерируются для каждого соединения и основаны на общем секрете, согласованном в начале сеанса, также известном как квитирование TLS.

Многие IP-протоколы, такие как HTTPS, SMTP, POP3, FTP поддерживают TLS для шифрования данных.

Веб-браузеры используют сертификат SSL, который позволяет им распознавать, что он принадлежит центру сертификации с цифровой подписью. Технически они также известны как TLS-сертификаты, но большинство провайдеров SSL придерживаются термина «SSL-сертификаты», поскольку это обычно более известно. Сертификаты SSL/TLS обеспечивают магию, которую многие люди просто называют HTTPS, её они видят в адресной строке своего браузера. Приобрести такой сертификат можно, например, у хостинг-провайдера https://fozzy.com/ru/ssl.shtml, а затем установить на сервере.

TLS 1.3 против TLS 1.2

Инженерная рабочая группа по Интернету (IETF) — это группа, отвечающая за определение протокола TLS, которая прошла через множество различных итераций. Предыдущая версия TLS, TLS 1.2, была определена в RFC 5246 и использовалась в течение последних восьми лет большинством всех веб-браузеров. 21 марта 2018 года TLS 1.3 был доработан после прохождения 28 проектов. А по состоянию на август 2018 года окончательная версия TLS 1.3 уже опубликована (RFC 8446).

Такие компании, как Cloudflare, уже делают TLS 1.3 доступным для своих клиентов. Филиппо Валсорда провел большую беседу (см. Презентацию ниже) о различиях между TLS 1.2 и TLS 1.3. Короче говоря, основные преимущества TLS 1.3 по сравнению с TLS 1.2 — это более высокие скорости и повышенная безопасность.

Преимущества скорости TLS 1.3

TLS и зашифрованные соединения всегда добавляли небольшие издержки, когда дело доходит до веб-производительности. HTTP/2 определенно помог с этой проблемой, но TLS 1.3 помогает ускорить зашифрованные соединения с помощью таких функций, как фальстарт TLS и нулевое время приема-передачи (0-RTT).

Проще говоря, с TLS 1.2, два обхода были необходимы для завершения рукопожатия TLS. Для версии 1.3 требуется всего одна поездка туда и обратно ,   что, в свою очередь, сокращает задержку шифрования в два раза. Это помогает тем зашифрованным соединениям чувствовать себя чуть быстрее, чем раньше.

Еще одним преимуществом является то, что в некотором смысле, он помнит! На сайтах, которые вы ранее посещали, теперь вы можете отправлять данные о первом сообщении на сервер. Это называется «нулевым циклом» (0-RTT). И да, это также приводит к сокращению времени загрузки.

Улучшенная безопасность с TLS 1.3

Большая проблема с TLS 1.2 заключается в том, что он часто не настроен должным образом, что делает сайты уязвимыми для атак. TLS 1.3 теперь удаляет устаревшие и небезопасные функции из TLS 1.2, включая следующие:

Устали от медленного хостинга и поддержки WordPress? В Кинсте мы делаем разные вещи.

  • SHA-1

  • RC4

  • DES

  • 3DES

  • AES-CBC

  • MD5

  • Произвольные группы Диффи-Хеллмана — CVE-2016-0701

  • EXPORT-шифры — Ответственные за FREAK и LogJam

Поскольку протокол в некотором смысле более упрощен, это снижает вероятность неправильной настройки протокола администраторами и разработчиками. Джесси Викторс, консультант по безопасности, специализирующийся на системах повышения конфиденциальности и прикладной криптографии, заявил:

Я рад за предстоящий стандарт. Я думаю, что мы увидим гораздо меньше уязвимостей и сможем доверять TLS гораздо больше, чем в прошлом.

Google также поднимает планку, поскольку они начали предупреждать пользователей в поисковой строке, что они переходят на TLS версии 1.2, поскольку TLS 1 больше не так безопасен. Они дают окончательный срок марта 2018 года.

Поддержка браузера TLS 1.3

Chrome выпускает черновую версию TLS 1.3 начиная с Chrome 65. В Chrome 70 (выпущенной в октябре 2018 года) окончательная версия TLS 1.3 была включена для исходящих соединений.

Черновая версия TLS 1.3 была включена в Firefox 52 и выше (включая Quantum). Они сохраняли небезопасный откат к TLS 1.2, пока не узнали больше о терпимости сервера и рукопожатии 1.3. Firefox 63 (выпущен в октябре 2018 года) поставляется с финальной версией TLS 1.3.

Microsoft Edge начал поддерживать TLS 1.3 с версией 76, и он включен по умолчанию в Safari 12.1 на macOS 10.14.4.

При этом некоторые службы тестирования SSL в Интернете пока не поддерживают TLS 1.3, а также другие браузеры, такие как IE или Opera mobile.

Остальным браузерам может понадобиться время, чтобы наверстать упущенное. Большинство оставшихся находятся в разработке на данный момент.

Однако по состоянию на 11 сентября 2018 года TLS 1.3 превзошла TLS 1.0 как вторую по популярности версию на Cloudflare.

Поддержка TLS 1.3 серверами

Если вам интересно, поддерживает ли ваш сервер или хост TLS 1.3, вы можете использовать инструмент тестирования сервера SSL. Просто просканируйте свой домен и прокрутите вниз до раздела «Функции протокола». Он скажет либо да, либо нет.

Резюме

Как и в случае HTTP/2, TLS 1.3 — это еще одно интересное обновление протокола, которое мы можем ожидать в течение многих лет. Не только зашифрованные (HTTPS) соединения станут быстрее, но и более безопасными. Вот для продвижения в Интернете!

https://www.youtube.com/watch?v=AFLVs7jDw68



2019-09-18T16:01:40
Вопросы читателей

Как настроить использование прокси-сервера для Wi-Fi, на Android

Прокси-серверы являются полезными инструментами для защиты конфиденциальности пользователей или для доступа в Интернет, когда вы находитесь в деловой сети. Пока вы подключены к сети Wi-Fi, в которой используется прокси-сервер, этот сервер выступает в качестве посредника для сетевых запросов между вами и остальным интернетом. Веб-сайты не будут идентифицировать ваше конкретное устройство Android, а скорее прокси-сервер, который вы установили для подключения Wi-Fi. Вот как настроить использование прокси-сервера на смартфонах и планшетах Android.

ПРИМЕЧАНИЕ. В этом руководстве мы рассмотрим устройства Android с Android 8 Oreo и Android 9 Pie. Процедура одинакова для всех устройств на платформе Android, так что вам стоит изучить её, даже если вы работаете с другой версией Android.

Как настроить прокси для существующего Wi-Fi-соединения на Android

Когда вы подключены к сети Wi-Fi, вы можете изменить ее настройки, чтобы он использовал определенный прокси-сервер при каждом подключении к нему. Для этого откройте приложение «Настройки» на смартфоне или планшете Android. В Android 8 Oreo нажмите «Сеть и Интернет» , в то время как в Android 9 Pie нажмите «Беспроводные сети».

Затем нажмите на Wi-Fi, чтобы увидеть беспроводные сети в вашем регионе.

Вам будет показан список всех сетей Wi-Fi, доступных в вашем регионе. Нажмите и удерживайте название сети, к которой вы подключены. Меню отображается с различными контекстными параметрами. Нажмите «Изменить сеть», чтобы установить прокси-сервер, используемый для этого Wi-Fi.

Вам будет показан список настроек для выбранного сетевого подключения. Нажмите « Дополнительные параметры» или установите флажок «Показать дополнительные параметры», чтобы отобразить дополнительные параметры, в том числе связанные с использованием прокси-сервера.

Прокрутите немного вниз и коснитесь параметра Прокси . Затем выберите, хотите ли вы ввести конфигурацию прокси вручную или адрес автоконфигурации прокси. В Android 9 Pie нажмите на Авто, если вы собираетесь использовать адрес автоконфигурации прокси. Другие параметры, показанные в обеих версиях Android, не требуют пояснений.

Если вы выбираете Вручную, вам нужно ввести IP-адрес или имя хоста прокси-сервера, который вы хотите использовать (что-то в формате: proxy.example.com). Затем вам нужно ввести порт (по умолчанию используется большинством прокси-серверов 8080).

Вы также можете отключить прокси для определенных веб-сайтов, и вам необходимо ввести адреса этих веб-сайтов. Когда вы закончите настройку, нажмите Сохранить.

ПРИМЕЧАНИЕ. Если вам необходимо установить прокси-сервер в качестве локального хоста (имеется в виду локальное устройство), в поле имени хоста введите значение localhost вместо IP-адреса.

Если вы выбрали Proxy Auto-Config (в Android 8) или Auto (в Android 9), необходимо ввести URL-адрес (веб-адрес) прокси-сервера или сценарий конфигурации, используемый этим прокси-сервером. Значение, которое вы вводите, должно быть чем-то в формате: «https://www.example.com/proxy.pac».

Чтобы применить настройки прокси-сервера, не забудьте нажать «Сохранить». Теперь Android использует прокси-сервер, который вы установили при подключении к беспроводной сети, в которой вы находитесь.

ПРИМЕЧАНИЕ. Если вы не знаете, что такое прокси-сервер и нужно ли его использовать, прочитайте: чем прокси-сервер отличается от vpn? В этой статье даётся подробное объяснение работы прокси.

Как настроить использование прокси при подключении к сети Wi-Fi, на Android

Android также позволяет устанавливать прокси при подключении к новой сети Wi-Fi. Если вы находитесь в такой ситуации, начните процедуру подключения к беспроводной сети. В списке сетей Wi-Fi нажмите на сеть, к которой вы хотите подключиться.

Вас попросят ввести пароль Wi-Fi. Введите его и, прежде чем нажать «Подключить», нажмите «Дополнительные параметры» или установите флажок «Показать дополнительные параметры».

Зайдите в раздел про Прокси и нажмите на его запись. Выберите, хотите ли вы ввести конфигурацию прокси-сервера вручную или адрес автоконфигурации прокси ( Auto-Config прокси в Android 8 или Auto в Android 9).

Когда вы выбираете Вручную , вы должны ввести имя хоста или IP-адрес прокси-сервера, который вы хотите использовать, и адрес порта в соответствующих полях.

Вы также можете отключить прокси для определенных веб-сайтов, и вам необходимо ввести адреса этих веб-сайтов. Когда вы закончите настройку, нажмите «Подключиться».

ПРИМЕЧАНИЕ. Если вам необходимо установить прокси-сервер в качестве локального хоста (имеется в виду локальное устройство), в поле имени хоста введите значение localhost вместо IP-адреса.

Если вы выберете Pro-Auto-Config или Auto , введите URL-адрес (веб-адрес) сценария конфигурации для прокси-сервера, который вы хотите использовать. Либо введите URL-адрес самого прокси-сервера и нажмите Подключиться.

Если все ваши настройки верны, ваш смартфон или планшет на Android будет подключаться к выбранной вами сети Wi-Fi и использовать прокси-сервер, который вы ввели, каждый раз, когда он подключен к этой сети.

Почему вы используете прокси-сервер на своем смартфоне или планшете Android?

Большинство пользователей Android никогда не использовали прокси-сервер на своих смартфонах и планшетах. Тем не менее, вы сделали, так как вы читаете этот учебник. Прежде чем закрыть его, дайте нам знать, почему вы использовали прокси на вашем Android-устройстве, и насколько хорошо он работал для вас. Кроме того, если у вас есть вопросы или проблемы с нашим учебником, не стесняйтесь комментировать ниже.

https://www.youtube.com/watch?v=X1WgfRphjBA



2019-09-18T11:54:26
Вопросы читателей

Проблема адаптера беспроводных сетей или точки доступа — как устранить

В разных операционных системах Windows встречаются одни и те же ошибки. Весьма частые «гости» возникают при попытке подключения к интернету. Дело в том, что связь с глобальной паутиной затрагивает очень много звеньев в цепях системы: службы, интернет-протоколы, IP-адреса, драйверы устройств и многое другое. Всё это должно работать как часы, иначе вы не сможете попасть на любимый сайт или получить необходимую информацию.

Читать

Работа с HDD через терминал на Ubuntu/Debian

Сегодня рассмотрим ряд команд для работы с HDD через терминал на Ubuntu/Debian и других Linux системах.




Прочитав несколько статей я конечно нашел нужную информацию о том как работать с HDD через терминал, но она была раскидана по просторам интернета и если вам дорого ваше время, то вы пришли по адресу. В данной статье я решил объединить команды и написать удобную шпаргалку для администрирования Ubuntu/Debian систем.




Как посмотреть UUID для HDD через терминал на Ubuntu/Debian




Посмотреть uuid диска для разделов можно с помощью команды:




sudo blkid




Вывод должен быть приблизительно такой:




/dev/sda5: UUID="461a03a9-a5f1-449a-8775-43afa0f455b6" TYPE="ext4" PARTUUID="62f972de-05"
/dev/sda6: UUID="572889de-8528-4e42-8a9d-1066e121b8de" TYPE="ext4" PARTUUID="62f972de-06"
/dev/sdb2: UUID="42fdec1c-3e51-11e9-b09f-1078d27639b3" TYPE="ext4" PARTUUID="32432dfd-0a2a-4c71-bf6c-2d207ae9b6b2"
/dev/sdb1: PARTUUID="a6d316f4-7282-4420-9cf5-56cb14878f22"




Как посмотреть список дисков через терминал на Ubuntu/Debian




Самый простой способ увидеть все подключённые диски – это посмотреть содержимое каталога /dev/ и отфильтровать устройства по начальному названию sd или vd. Ну это уже зависит от того, какой диск и на какой системе выищите.




sudo ls -l /dev | grep sd




brw-rw---- 1 root disk      8,   0 сен 17 08:41 sda
brw-rw---- 1 root disk      8,   2 сен 17 08:41 sda2
brw-rw---- 1 root disk      8,   5 сен 17 08:41 sda5
brw-rw---- 1 root disk      8,   6 сен 17 08:41 sda6
brw-rw---- 1 root disk      8,  16 сен 17 08:41 sdb
brw-rw---- 1 root disk      8,  17 сен 17 08:41 sdb1
brw-rw---- 1 root disk      8,  18 сен 17 08:41 sdb2




Смотрим подключенные HDD с выводом информации о размере через терминал




Посмотреть подключённые диски с выводом информации о размере, точке монтирования и свободном пространстве на Ubuntu/Debian, можно с помощью утилиты df:




sudo df -h




udev            898M     0  898M   0% /dev
/dev/sdb2       110G   11G   93G  11% /
tmpfs           187M     0  187M   0% /run/user/1000
/dev/sda6       184G   60M  174G   1% /home/Music
/dev/sda5       719G  357G  326G  53% /home/Fims




Или так:




lsblk




NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda      8:0    0 931,5G  0 disk 
├─sda2   8:2    0     1K  0 part 
├─sda5   8:5    0 730,2G  0 part /home/Fims
└─sda6   8:6    0 186,3G  0 part /home/Music
sdb      8:16   0 111,8G  0 disk 
├─sdb1   8:17   0     1M  0 part 
└─sdb2   8:18   0 111,8G  0 part /




Вот вам еще одна команда, которой можно посмотреть подробный вывод о размерах подключенных дисков:




sudo fdisk -l




....
Device     Boot     Start        End    Sectors   Size Id Type
 /dev/sda2        19535870 1951168511 1931632642 921,1G  5 Extended
 /dev/sda5       419919872 1951168511 1531248640 730,2G 83 Linux
 /dev/sda6        29296640  419907583  390610944 186,3G 83 Linux
....
Device     Start       End   Sectors   Size Type
 /dev/sdb1   2048      4095      2048     1M BIOS boot
 /dev/sdb2   4096 234438655 234434560 111,8G Linux filesystem




Форматирование HDD через терминал на Ubuntu/Debian




Для форматирования разделов дисков в системе используем команду parted.




Будьте внимательны с данной командой, т.к. она может затереть весь ваш диск.




Для начала определяем с каким диском мы будем работать. Для этого набираем все ту же нами знакомую команду lsblk




После вывода информации определяем наш диск и набираем:




sudo parted /dev/sdb




  • sdb – это наш диск




Далее создаем новую таблицу разделов:




(parted) mklabel msdos




После можно создавать разделы. Если вам нужно создать один большой раздел, который будет занимать весь объем диска, то команда будет такой:




(parted) mkpart primary ext4 1MiB 100%




Если же вы хотите создать несколько разделов на диске, то последовательность команд будет следующей:




(parted) mkpart primary ext4 1MibGB 5GB
(parted) mkpart primary ext4 5GB 20GB
(parted) mkpart primary ext4 20GB 100%




После данной команды у вас будут три раздела с соответствующими размерами в 5 Гб, 15 Гб, а третий займет все оставшееся пространство на данном диске.




Для вывода информации набираем:




(parted) print




Если вас все устраивает, то выходим из программы форматирования:




(parted) quit




Давайте теперь отформатируем получившиеся разделы в файловую систему ext4:




sudo mkfs.ext4 /dev/sdb1




или в случае с несколькими разделами диска:




sudo mkfs.ext4 /dev/sdb1
sudo mkfs.ext4 /dev/sdb2
sudo mkfs.ext4 /dev/sdb3




После данной процедуры разделы готовы к использованию. Только не забудьте предварительно примонтировать их к системе.




Монтирование HDD через терминал на Ubuntu/Debian




Ручное монтирование дисков через терминал




Для монтирования дисков через терминал набираем следующую команду:




sudo mount /dev/sdb1 /home/Music




Директория /home/Music должна существовать.




Монтирование директорий




Если при монтировании директорий терминал выдает следующее




mount: /home/Music: /home/old/Music is not a block device.




Значит Вы пытаетесь примонтировать одну директорию в другую. Для исправления данной ошибки наберите следующую команду используя опцию – -bind:




sudo mount --bind /home/old/Music /home/Music




Монтирование файлов




Возможно, не только монтирование разделов linux, но и монтирование
файлов, если они содержат файловую систему, например, образов дисков.
Монтирование образа диска linux работает точно так же:




sudo mount ~/file.iso /home/user/iso




Автоматическое монтирование диска при загрузке системы




Для автоматического монтирования разделов диска воспользуемся файлом fstab. Также вам необходимо знать UUID вашего диска.




sudo nano /etc/fstab




и редактируем в соответствии с моим листингом:




....
UUID=Ваш_UUID_диска /home/Music ext4 defaults 0 0




  • Ваш_UUID_диска – смотрим командой в начале статьи




Чтобы неперезагружать систему набираем команду:




sudo mount -a




Теперь после перезагрузки системы раздел диска автоматически будет примонтирован в директорию /home/Music.




Восстановление дисков через терминал




Восстановление файловой системы




Если ваша файловая система находится на разделе с адресом /dev/sda1 выполните:




sudo fsck -y /dev/sda1




Данная команда сработает только в режиме восстановления, если корневой раздел и другие разделы уже примонтированы она выдаст ошибку.




Восстановление поврежденного суперблока




Обычно эта команда справляется со всеми повреждениями на ура. Но если вы сделали что-то серьезное и повредили суперблок, то тут fsck может не помочь. Суперблок – это начало файловой системы. Без него ничего работать не будет.




Но не спешите прощаться с вашими данными, все еще можно восстановить.
С помощью такой команды смотрим куда были записаны резервные
суперблоки:




sudo mkfs -t ext4 -n /dev/sda1




На самом деле эта команда создает новую файловую систему. Вместо ext4 подставьте ту файловую систему, в которую был отформатирован раздел, размер блока тоже должен совпадать иначе ничего не сработает. С опцией -n никаких изменений на диск не вноситься, а только выводится информация, в том числе о суперблоках.




Теперь у нас есть резервные адреса суперблоков и мы можем попытаться восстановить файловую систему с помощью каждого из них, например:




sudo fsck -b 98304 /dev/sda




Данные команды сработают только в режиме восстановления, если корневой раздел и другие разделы уже примонтированы она выдаст ошибку.




Битые сектора




Или еще мы можем найти битые сектора и больше в них ничего не писать:




sudo fsck -c /dev/sda1




Данная команда сработает только в режиме восстановления, если корневой раздел и другие разделы уже примонтированы она выдаст ошибку.




Вывод




И так, сегодня мы научились работать с HDD через терминал на Ubuntu/Debian подобных системах.



[endtxt]




RSS




2019-09-17T15:10:32
HDD/SSD

Могу ли я переименовать рабочий стол на Windows 10?

Виртуальный рабочий стол является в значительной степени недоиспользуемой функцией Windows 10. Пользователи ПК, которые знают, как использовать виртуальный рабочий стол, и опытные пользователи в основном используют функцию виртуального рабочего стола.

Для непосвященных виртуальный рабочий стол является очень распространенной и широко известной функцией в дистрибутивах Linux. Виртуальный рабочий стол позволяет создавать несколько виртуальных рабочих столов на вашем компьютере без необходимости создавать дополнительные учетные записи пользователей.

Проще говоря, вы можете иметь более одного рабочего стола на вашем компьютере с помощью виртуальных рабочих столов. Эту функцию можно использовать для организации приложений и окон приложений. Когда вы откроете виртуальный рабочий стол, вы увидите только те приложения и программы, которые находятся на этом рабочем столе. Например, вы можете использовать виртуальный рабочий стол 1 для открытия всех приложений, связанных с работой, а виртуальный рабочий стол 2 — для открытия приложений социальных сетей.

Виртуальные рабочие столы позволяют переключаться между приложениями, открытыми на разных виртуальных рабочих столах (также можно отключить эту функцию). Кроме того, вы можете перемещать открытые приложения между своими виртуальными рабочими столами.

До сих пор не было возможности переименовать виртуальные рабочие столы в Windows 10. Нам приходилось либо использовать имена по умолчанию, либо использовать стороннее приложение для переименования виртуальных рабочих столов.

Начиная с Windows 10 build 18963, пользователи могут переименовывать виртуальные рабочие столы без использования сторонних приложений. Это поможет пользователям легко отличить открытые виртуальные рабочие столы.

Переименование виртуальных рабочих столов

В этом руководстве мы увидим, как переименовать виртуальные рабочие столы в Windows 10.

Шаг 1: Щелкните значок «Просмотр задач» на панели задач или используйте логотип Windows + клавиши Tab, чтобы открыть экран «Просмотр задач».

Шаг 2. Нажмите на существующее имя виртуального рабочего стола, чтобы сделать его редактируемым, введите новое имя и нажмите клавишу Enter, чтобы сохранить новое имя.

Или щелкните правой кнопкой мыши эскиз виртуального рабочего стола, нажмите «Переименовать» и введите новое имя, чтобы переименовать его.

Чтобы изменить настройки виртуальных рабочих столов по умолчанию, выберите «Настройки» → «Система» → «Многозадачность».



2019-09-17T11:17:25
Вопросы читателей

Lynis Аудит безопасности Ubuntu Server

Lynis — ещё одна очень хорошая утилита для аудита
безопасности. Анализатор выполняет проверку всех компонентов системы,
выявляет её слабые места и очевидные проблемы, формирует отчёт для
администратора в котором содержатся предупреждения и рекомендации по
увеличению уровня безопасности на сервере. Интересно что в ходе
проверки, Lynis вычисляет некий индекс защищённости, на который можно
ориентироваться при выполнении тех или иных рекомендаций.




Hardening index : 75 [############### ]
Tests performed : 226
Plugins enabled : 0




Кроме этого, в Lynis предусмотрена система плагинов, которыми можно
расширить возможности анализатора при проверке севера. Плагины можно
написать самому, а можно воспользоваться тем, что уже подготовлено
участниками сообщества.




Для установки разработчики подготовили собственные репозитории, в которых доступны пакеты для всех операционных систем. Я работаю с Ubuntu, так что и ставить утилиту буду соответствующим образом.




Установка репозитория Lynis




Репозиторий программного обеспечения Lynis использует протокол HTTPS, поэтому сначала нужно убедиться, что менеджер пакетов поддерживает HTTPS. Используйте для этого следующую команду:




dpkg -s apt-transport-https | grep -i status




Если менеджер поддерживает HTTPS, команда выведет:




Status: install ok installed




В противном случае установите поддержку протокола с помощью команды:




sudo apt install apt-transport-https




Сначала добавьте ключ репозитория:




sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F




Если ключ добавлен успешно, вы увидите:




Executing: /tmp/tmp.AnVzwb6Mq8/gpg.1.sh --keyserver
 keyserver.ubuntu.com
 --recv-keys
 C80E383C3DE9F082E01391A0366C67DE91CA5D5F
 gpg: requesting key 91CA5D5F from hkp server keyserver.ubuntu.com
 gpg: key 91CA5D5F: public key "CISOfy Software (signed software packages) <software@cisofy.com>" imported
 gpg: Total number processed: 1
 gpg:               imported: 1  (RSA: 1)




Добавьте репозиторий Lynis в список доступных репозиториев пакетного менеджера:




sudo echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list




Обновите индекс пакетов:




sudo apt update




Устанавливаем Lynis на Ubuntu Server 18.04:




Теперь можно приступать к установке Lynis.




sudo apt install lynis




Загрузка Lynis с GitHub




В репозитории разработчика который мы устанавливали выше, находится старая версию программы Lynis. Если вы хотите версию посвежее то необходимо скачать ее с GitHub:




wget https://github.com/CISOfy/lynis/archive/master.zip




Распаковываем архив и переходим в директорию Lynis:




unzip master.zip && cd lynis-master




Запускаем анализ сервера




Перед выполнением аудита всегда полезно проверить, доступна ли новая
версия Lynis: так вы получите доступ к новым функциям и соберёте больше
информации. Выполните следующую команду, чтобы проверить наличие
обновлений:




lynis update info




Если вы получили такой вывод, вы используете последнюю версию Lynis




== Lynis ==
 Version            : 3.0.0
   Status             : Up-to-date
   Release date       : 2019-07-14
   Project page       : https://cisofy.com/lynis/
   Source code        : https://github.com/CISOfy/lynis
   Latest package     : https://packages.cisofy.com/
 2007-2019, CISOfy - https://cisofy.com/lynis/




Также для проверки обновлений можно использовать команду:




lynis update check




Она вернёт одну строку:




status=up-to-date




Для запуска аудита системы используйте следующую команду:




sudo lynis audit system




Для запуска ауита из GitHub воспользуемся следующей командой:




sh ./lynis audit system




Выглядеть всё будет примерно так:







В отчёте довольно таки много информации, на которую сканер обращает внимание администратора — проверяются настройки загрузки, настройки ядра, фаервола, параметры сети, активные порты, установленное ПО, доступные и запущенные сервисы… В зависимости от того какой набор ПО установлен на сервере, Lynis даст необходимые рекомендации по тому, что стоит проверить или изменить в настойках системы.




Пользовательская настройка аудита Lynis




Этот раздел научит вас создавать пользовательские списки тестов аудита Lynis и исключать ненужные тесты.




Профили, которые управляют аудитом, определяются в файлах с
расширением .prf в каталоге /etc/lynis. Профиль по умолчанию называется
default.prf. Не редактируйте этот профиль по умолчанию напрямую. Любые
изменения, которые вы хотите внести в аудит, добавляются в файл
custom.prf в том же каталоге.




Создайте файл /etc/lynis/custom.prf:




sudo nano /etc/lynis/custom.prf




Для GitHub создайте файл в директории lynis-master/




В этом файле можно определить список тестов, которые нужно исключить из аудита Lynis. Например:




  • FILE-6310: проверка разделов.
  • HTTP-6622: тест установки Nginx.
  • HTTP-6702: тест установки Apache. Этот и предыдущий тест выполняются
    по умолчанию. Если вы используете Nginx, отключите тест Apache (и
    наоборот).
  • PRNT-2307 и PRNT-2308: тесты принт-сервера.
  • TOOL-5002: тест инструментов автоматизации (типа Puppet и Salt).
    Если вы не пользуетесь такими инструментами, исключите этот тест.




Чтобы исключить тест, используйте директиву skip-test и укажите ID теста. Добавьте в файл custom.prf такие строки:




# Lines starting with "#" are comments
 # Skip a test (one per line)
 # This will ignore separation of partitions test
 skip-test=FILE-6310
 # Is Nginx installed?
 skip-test=HTTP-6622
 # Is Apache installed?
 skip-test=HTTP-6702
 # Skip checking print-related services
 skip-test=PRNT-2307
 skip-test=PRNT-2308
 # If a test id includes more than one test use this form to ignore a particular test
 skip-test=SSH-7408:tcpkeepalive




Сохраните и закройте файл.




Во время следующего аудита Lynis пропустит тесты, указанные в
пользовательском профиле. Тесты будут исключены из результатов аудита, а
также из раздела предложений.




Актуальную версию плагинов от сообщества, можно скачать с соответствующей страницы на сайте.




При необходимости, можно настроить регулярную проверку сервера по крону, делается это, вот таким скриптом:




sudo nano /etc/cron.daily/lynis




#!/bin/sh

AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"

/usr/bin/lynis audit system --auditor "${AUDITOR}" --cronjob > ${REPORT}
if [ -f /var/log/lynis-report.dat ]; then
 mv /var/log/lynis-report.dat ${DATA}
fi




Возможно пути до директории с lynis и логами будут отличаться в зависимости от ОС.




Вместо заключения… Lynis — удобный и функциональный
инструмент для аудита безопасности системы. Со своими задачами
справляется отлично. В рабочем процессе использую его вместе с такими
утилитами как rkhunter и chkrootkit и, рекомендую его к использованию
другим администраторам.



2019-09-17T11:00:24
Безопасность