Архив метки: Аудит ИБ

Совместная проверка на проникновение и платформа управления уязвимостями: Faraday

Совместная проверка на проникновение и платформа управления уязвимостями

Faraday представляет новую концепцию – IPE (Integrated Interet-Test Environment) – многопользовательскую тестовую IDE.

Предназначен для распространения, индексации и анализа данных, созданных во время аудита безопасности.

Основной целью Faraday является повторное использование доступных инструментов, чтобы  реализовать их функционал в многопользовательском режиме.

Разработанный для простоты в использовании, пользователи не должны заметить разницы между своим собственным терминальным приложением и тем, что включено в Faraday.

Разработан со специальным набором функций, которые помогают пользователям улучшить свою работу.

Помните ли вы, как программировать без IDE? Ну, Faraday делает то же, что IDE делает для вас при программировании, но с точки зрения теста на проникновение.

Требования

Клиент Faraday работает под любым современным дистрибутивом Linux или Mac OS X и нуждается в следующих зависимостях.

Мы также предоставляем скрипт установки, поэтому в большинстве случаев вам не нужно будет устанавливать их вручную.

Прокрутите вниз, чтобы просмотреть дополнительную информацию об установке для каждого конкретного дистрибутива или операционной системы.

  • Python 2.6.x or 2.7.x

  • CouchDB >= 1.2.0

  • GTK+3, PyGobject >= 3.12.0, Vte (API >= 2.90)

  • Zsh

  • Curl

  • Следующие библиотеки python:

mockito

couchdbkit

whoosh

argparse

psycopg2

IPy

requests

Установка

Загрузите последний архив или клонируйте проект Faraday Git:

 # git clone https://github.com/infobyte/faraday.git faraday-dev

# cd faraday-dev

# ./install.sh

# ./faraday-server.py

# ./faraday.py

Основной целью Faraday является повторное использование доступных инструментов, чтобы использовать их в многопользовательском режиме.

Для Фарадея доступно три вида плагинов; консоль, отчет и API:

Скачать Faradey

 



2017-12-13T15:08:03
Аудит ИБ

Как установить Lynis (инструмент аудита Linux)

Установка Lynis Linux Auditing Tool в RHEL / CentOS 6.3 / 5.6, Fedora 17-12

Lynis является инструментом с открытым исходным кодом и мощным средством аудита Linux для Unix, как операционные системы, которые сканируют систему для информации о безопасности, общей системной информации, установленной и доступной информации о программном обеспечении, ошибок конфигурации, проблем безопасности, учетных записей пользователей без пароля, неправильных прав доступа к файлам, брандмауэра и т. д., и он полезен для аудиторов, сетевых и системных администраторов, специалистов по безопасности и тестировщиков на проникновение.

В этой статье мы узнаем, как установить Linux Auditing Tool (инструмент аудита Linux) в RHEL, CentOS и Fedora, используя исходные файлы tarball.

Установка Lynis Linux Auditing

Создайте настраиваемый каталог для инструмента Linux Auditing Tool под /usr/local/lynis, поскольку он может использоваться непосредственно из любого каталога.

 # mkdir/usr/local/lynis

Загрузите последнюю версию исходных файлов Lynis с доверенного веб-сайта с помощью команды wget и распакуйте ее с помощью команды tar.

 # cd /usr/local/lynis/

# wget https://cisofy.com/files/lynis-2.2.0.tar.gz

--2016-03-25 13:08:03-- https://cisofy.com/files/lynis-2.2.0.tar.gz

Resolving cisofy.com (cisofy.com)... 149.210.134.182, 2a01:7c8:aab2:209::1

Connecting to cisofy.com (cisofy.com)|149.210.134.182|:443... connected.

HTTP request sent, awaiting response... 200 OK

Length: 202825 (198K) [application/octet-stream]

Saving to: 'lynis-2.2.0.tar.gz'



100%[=============================>] 202,825 291KB/s in 0.7s



2016-03-25 13:08:04 (291 KB/s) - 'lynis-2.2.0.tar.gz' saved [202825/202825] 

 # ll

total 200

-rw-r--r--. 1 root root 202825 Mar 18 15:27 lynis-2.2.0.tar.gz

 # tar -xvf lynis-2.2.0.tar.gz

lynis/CHANGELOG

lynis/CONTRIBUTIONS.md

lynis/CONTRIBUTORS

lynis/FAQ

..

..

lynis/lynis

lynis/lynis.8

lynis/plugins/

lynis/plugins/README

lynis/plugins/custom_plugin.template

 # ll

total 204

drwxr-xr-x. 6 root root 4096 Mar 25 13:09 lynis

-rw-r--r--. 1 root root 202825 Mar 18 15:27 lynis-2.2.0.tar.gz

 

 

Запуск и старт Linux Auditing Tool

Чтобы запустить средство аудита Linux, вы должны быть пользователем root, так как он создает и записывает вывод в файл /var/log/lynis.log.

Используйте следующую команду для запуска Lynis.

 # cd lynis/

# ./lynis 

[ Lynis 2.2.0 ]



################################################################################

 comes with ABSOLUTELY NO WARRANTY. This is free software, and you are

 welcome to redistribute it under the terms of the GNU General Public License.

 See the LICENSE file for details about using this software.

….

….

[+] Initializing program

------------------------------------



Usage: lynis [options] mode



Mode:



audit

 audit system : Perform security scan

 audit dockerfile : Analyze Dockerfile



update

 update info : Show update details

 update release : Update Lynis release

 

 

Начать процесс Lynis

Используйте следующую команду для запуска процесса Lynis

#./lynis --check-all

 [ Lynis 2.2.0 ]



################################################################################

 comes with ABSOLUTELY NO WARRANTY. This is free software, and you are

 welcome to redistribute it under the terms of the GNU General Public License.

 See the LICENSE file for details about using this software.

 ..

 ..

 - Detecting OS... [ DONE ]

Для продолжения нажмите [Enter], или [CTRL] + C, чтобы остановить каждый процесс, который он сканирует и завершает.

Чтобы предотвратить подтверждение

Используйте следующую команду для предотвращения подтверждения.

 #./lynis -c -Q

[ Lynis 2.2.0 ]



################################################################################

comes with ABSOLUTELY NO WARRANTY. This is free software, and you are

welcome to redistribute it under the terms of the GNU General Public License.

See the LICENSE file for details about using this software.



Copyright 2007-2016 - CISOfy, https://cisofy.com/lynis/

Enterprise support and plugins available via CISOfy

################################################################################



[+] Initializing program

------------------------------------

- Detecting OS... [ DONE ]



---------------------------------------------------

Program version: 2.2.0

Operating system: Linux

Operating system name: Fedora

Operating system version: Fedora release 18 (Spherical Cow)

Kernel version: 3.11.10

Hardware platform: x86_64

Hostname: linuxhelp

Auditor: [Unknown]

Profile: ./default.prf

Log file: /var/log/lynis.log

Report file: /var/log/lynis-report.dat

Report version: 1.0

Plugin directory: ./plugins

---------------------------------------------------

- Checking profile file (./default.prf)...

- Program update status... [ NO UPDATE ]



[+] System Tools

------------------------------------

- Scanning available tools...

- Checking system binaries...



[+] Plugins (phase 1)

------------------------------------

Note: plugins have more extensive tests, which may take a few minutes to complete



- Plugins enabled [ NONE ]

Создать Lynis Cronjobs

Выполните следующую команду для создания ежедневного отчета о проверке вашей системы.

 # crontab -e

10 20 * * * root /usr/local/lynis -c -Q --auditor "automated" –cronjob

Вышеупомянутый пример задания cron будет выполняться ежедневно в 8:10 вечера  и создает ежедневный отчет в файле log /var/log/lynis.log.

 

Результаты сканирования Lynis

При сканировании предлагается исправить проблемы в конце сканирования, предпринять корректирующие шаги для устранения этих проблем после чтения журналов.

Чтобы просмотреть файл журнала

 # vim /var/log/lynis.log

### Starting Lynis 2.2.0 with PID 64461, build date 2016-03-18 ###

[15:08:16] ===---------------------------------------------------------------===

[15:08:16] ### Copyright 2007-2016 - CISOfy, https://cisofy.com/lynis/ ###

[15:08:16] Program version: 2.2.0

[15:08:16] Operating system: Linux

[15:08:16] Operating system name: Fedora

[15:08:16] Operating system version: Fedora release 18 (Spherical Cow)

[15:08:16] Kernel version: 3.11.10

[15:08:16] Kernel version (full): 3.11.10-100.fc18.x86_64

[15:08:16] Hardware platform: x86_64

[15:08:16] -----------------------------------------------------

[15:08:16] Hostname: linuxhelp

[15:08:16] Auditor: [Unknown]

[15:08:16] Profile: ./default.prf

[15:08:16] Include directory: ./include

[15:08:16] Plugin directory: ./plugins

[15:08:16] -----------------------------------------------------

[15:08:16] Log file: /var/log/lynis.log

[15:08:16] Report file: /var/log/lynis-report.dat

[15:08:16] Report version: 1.0

[15:08:16] -----------------------------------------------------

Обновить Lynis

Используйте следующую команду для обновления последней версии Lynis.

 # ./lynis update info

[ Lynis 2.2.0 ]



################################################################################

 comes with ABSOLUTELY NO WARRANTY. This is free software, and you are

 welcome to redistribute it under the terms of the GNU General Public License.

..

..

[+] Helper: update

------------------------------------



== Lynis ==



Version : 2.2.0

 Status : Up-to-date

 Release date : 2016-03-18

 Update location : https://cisofy.com/lynis/



Copyright 2007-2016 - CISOfy, https://cisofy.com/lynis/

Если вы хотите обновить, вы можете использовать эту команду.

<span class="code_sectcolor7"># ./lynis update release</span>

[ Lynis 2.2.0 ]



################################################################################

  comes with ABSOLUTELY NO WARRANTY. This is free software, and you are

 welcome to redistribute it under the terms of the GNU General Public License.

 See the LICENSE file for details about using this software.



 Copyright 2007-2016 - CISOfy, https://cisofy.com/lynis/

 Enterprise support and plugins available via CISOfy

################################################################################



[+] Initializing program

------------------------------------

  - Detecting OS...                                           [ DONE ]

  - Checking profile file (./default.prf)...

  - Program update status...                                  [ NO UPDATE ]

Параметры, используемые в Lynis

Некоторые параметры Lynis для вашей справки.

-help или -h: показывает действительные параметры

-check-update: проверяет обновление Lynis.

-cronjob: Запускает Lynis как cronjob (включает -c -Q).

-version или -V: Показывает версию Lynis.

-quick или -Q: не ждать ввода пользователя, за исключением ошибок

-checkall или -c: запустить сканирование.



2017-12-12T15:30:33
Аудит ИБ

Аудит Linux

Один из основных столпов практической безопасности – аудит событий.

Без него просто немыслим разбор инцидентов и проведение криминалистических исследований. Не говоря уже о просто нарушении политик безопасности.

В Linux, помимо встроенного syslog и его усовершенствованных последователей, есть демон auditd, специально заточенный на регистрацию событий, связанных с различными видами доступа. Установить auditd можно начиная с ядра 2.6 в любом дистрибутиве.

Auditd позволяет вести слежение за такими событиями, как:

– Запуск и завершение работы системы (перезагрузка, остановка);

– Чтение/запись или изменение прав доступа к файлам;

– Инициация сетевого соединения или изменение сетевых настроек;

– Изменение информации о пользователе или группе;

– Изменение даты и времени;

– Запуск и остановка приложений;

– Выполнение системных вызовов.

Одна из фич auditd – запуск уже вместе с ядром.

Для того, чтобы его активировать, нужно добавить опцию audit=1 в параметры загрузчика.

При установке auditd не регистрирует ничего.

Для его работы требуется настроить правила в файле /etc/audit/audit.rules.

К счастью эксперты по безопасности составили рекомендуемый набор правил, который позволит отслеживать доступ ко всем значимым дефолтным функциям системы.

Списки правил

Для 64-битных систем

Рекомендованный экспертами базовый набор правил для 64-битных систем такой:

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change 

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change 

-a always,exit -F arch=b64 -S clock_settime -k time-change 

-a always,exit -F arch=b32 -S clock_settime -k time-change -w /etc/localtime -p wa -k time-change

-w /etc/group -p wa -k identity 

-w /etc/passwd -p wa -k identity 

-w /etc/gshadow -p wa -k identity 

-w /etc/shadow -p wa -k identity 

-w /etc/security/opasswd -p wa -k identity

-a exit,always -F arch=b64 -S sethostname -S setdomainname -k system-locale 

-a exit,always -F arch=b32 -S sethostname -S setdomainname -k system-locale 

-w /etc/issue -p wa -k system-locale 

-w /etc/issue.net -p wa -k system-locale 

-w /etc/hosts -p wa -k system-locale 

-w /etc/network -p wa -k system-locale 

-w /var/log/faillog -p wa -k logins 

-w /var/log/lastlog -p wa -k logins 

-w /var/log/tallylog -p wa -k logins

-w /var/run/utmp -p wa -k session 

-w /var/log/wtmp -p wa -k session 

-w /var/log/btmp -p wa -k session  

-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k mounts -a always,exit -F arch=b32 -S mount -F auid>=500 -F auid!=4294967295 -k mounts

-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete 

-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

-w /etc/sudoers -p wa -k scope

-w /var/log/sudo.log -p wa -k actions

-w /sbin/insmod -p x -k modules 

-w /sbin/rmmod -p x -k modules 

-w /sbin/modprobe -p x -k modules

-a always,exit -F arch=b64 -S init_module -S delete_module -k modules

-w /etc/audit/auditd.conf -p wa -k change-audit-cfg

-w /etc/audit/audit.rules -p wa -k change-audit-cfg

После чего выполнить команду:

find <file_system> -xdev ( -perm -4000 -o -perm -2000 ) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’

и результат тоже добавить в audit.rules.

Последней строкой должна быть директива:

-e 2

которая не позволит изменит правила аудита без перезагрузки.

Для 32-битных систем

Рекомендованный экспертами базовый набор правил для 32-битных систем такой:

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change 

-a always,exit -F arch=b32 -S clock_settime -k time-change -w /etc/localtime -p wa -k time-change

-w /etc/group -p wa -k identity 

-w /etc/passwd -p wa -k identity 

-w /etc/gshadow -p wa -k identity 

-w /etc/shadow -p wa -k identity 

-w /etc/security/opasswd -p wa -k identity

-a exit,always -F arch=b32 -S sethostname -S setdomainname -k system-locale 

-w /etc/issue -p wa -k system-locale 

-w /etc/issue.net -p wa -k system-locale 

-w /etc/hosts -p wa -k system-locale 

-w /etc/network -p wa -k system-locale 

-w /var/log/faillog -p wa -k logins 

-w /var/log/lastlog -p wa -k logins 

-w /var/log/tallylog -p wa -k logins

-w /var/run/utmp -p wa -k session 

-w /var/log/wtmp -p wa -k session 

-w /var/log/btmp -p wa -k session

-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

-a always,exit -F arch=b32 -S mount -F auid>=500 -F auid!=4294967295 -k mounts

-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

-w /etc/sudoers -p wa -k scope

-w /var/log/sudo.log -p wa -k actions

-w /sbin/insmod -p x -k modules 

-w /sbin/rmmod -p x -k modules 

-w /sbin/modprobe -p x -k modules

-a always,exit -F arch=b32 -S init_module -S delete_module -k modules

-w /etc/audit/auditd.conf -p wa -k change-audit-cfg

-w /etc/audit/audit.rules -p wa -k change-audit-cfg

После чего выполнить команду:

find <file_system> -xdev ( -perm -4000 -o -perm -2000 ) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’

и результат тоже добавить в audit.rules.

Последней строкой должна быть директива:

-e 2

которая не позволит изменит правила аудита без перезагрузки.

Источник: https://t.me/informhardening



2017-12-03T12:43:15
Аудит ИБ