Lynisを使ってLinuxコンピュータのセキュリティ監査を行えば、コンピュータが可能な限り保護されていることを確認できます。インターネットに接続されたデバイスでは、セキュリティがすべてです。ここでは、セキュリティを確実にロックする方法について説明します。

あなたのリナックスパソコンの安全性は？

Lynisは、Linuxオペレーティングシステムの多くのシステムコンポーネントと設定を徹底的にチェックする一連の自動テストを実行します。色分けされたASCIIレポート形式で、段階的な警告、推奨事項、対処方法を一覧表示します。

サイバーセキュリティは、バランスを取ることが重要です。完全な被害妄想は誰にも通用しないので、どの程度心配すればいいのでしょうか？信頼できるウェブサイトだけを訪問し、迷惑メールの添付ファイルを開いたりリンクを辿ったりせず、ログインするすべてのシステムで異なる信頼できるパスワードを使用するならば、何が危険なのでしょうか？特にLinuxを使う場合は？

Linuxはマルウェアと無縁ではありません。実際、最初のコンピュータワームは、1988年にUnixコンピュータに対して設計された。ルートキットは、Unixのスーパーユーザー（root）と、検出を回避するために自らインストールするために使用するソフトウェアのコレクション（kit）にちなんで名づけられた。これにより、スーパーユーザーは脅威の参加者（つまり悪者）にアクセスできるようになった。

なぜ、ルーツと名がつくのか？というのも、最初のルートキットは1990年にリリースされ、SunOS Unixを搭載したSun microsystemsをターゲットにしたものだったからです。

つまり、マルウェアはUnixから始まるのです。窓が開くと、柵を飛び越えてスポットライトを浴びてしまった。しかし、Linuxが世に出た今、それは戻ってきました。 LinuxやmacOSなどのUnix系OSは、脅威要因から多くの注目を浴びています。

コンピュータを使うとき、注意深く、分別を持って、見張っていれば、他にどんな危険があるでしょうか。答えは長くて詳細です。簡単に言えば、サイバー攻撃は多様である。少し前までは不可能だと思われていたことを可能にする力があるのです。

Ryukなどのルートキットは、ウェイクオンLANの監視機能を妨害することで、電源を切っている間にコンピュータに感染することができます。また、Proof-of-concept（概念実証）のコードも開発しました。ベングリオン大学ネゲヴ校の研究者は、脅威者がエアギャップを持つコンピュータからデータをフィルタリングする「攻撃」に成功したことを実証しました。

今後、どのようなサイバー脅威が発生するか予測することは不可能です。しかし、コンピュータの防御システムのどの点が攻撃されやすいかはわかっている。現在、あるいは将来の攻撃の性質にかかわらず、このようなギャップを事前に埋めておくことは意味があることです。

特定の組織や個人を意識的に狙ったサイバー攻撃は、全体のごく一部に過ぎない。マルウェアはあなたが誰であろうと気にしないので、ほとんどの脅威は無差別です。自動化されたポートスキャンなどの技術は、単に脆弱なシステムを探し出し、攻撃するだけです。自分が弱いから被害者に分類される。

そこで、リニスの出番です。

lynisのインストール

UbuntuにLynisをインストールするには、以下のコマンドを実行してください。

sudo apt-get install lynis

ツイードキャップに、タイプ。

sudo dnf install lynis

マンガロールでは、パックマンを使って

sudo pacman -Sy lynis

監査の実施

LynisはターミナルベースなのでGUIはありません。レビューを始めるにはターミナルウィンドウを開きます。クリックしてディスプレイの端までドラッグして、最大限の高さを取り込んだり、できるだけ伸ばしたりします。lynisは出力が多いので、ターミナルウィンドウを高くすればするほど、レビューが容易になります。

また、Lynis専用のターミナルウィンドウを開くと、より簡単になります。上下にスクロールすることが多いので、前のコマンドの混乱がなくなれば、Lynis出力のナビゲーションがより簡単になります。

監査を開始するには、次のコマンドを入力します。

sudo lynis audit system

各カテゴリーのテストが終了すると、カテゴリー名、テストタイトル、結果がターミナルウィンドウにスクロール表示されます。監査は長くても数分しかかかりません。完了すると、コマンドプロンプトに戻ります。結果を見るには、ターミナルウィンドウをスクロールするだけです。

監査の最初の部分では、Linuxのバージョン、カーネルのバージョン、その他のシステムの詳細が検出されます。

見るべき箇所はアンバー（推奨）、レッド（対処すべき警告）で表示されます。

lynisは、postfixメールサーバの設定を解析し、バナーに関連するものをフラグとして表示します。その結果、何が見つかったのか、なぜ今後問題が発生する可能性があるのか、より詳細に把握することができます。

以下、Lynisは、使用しているUbuntu仮想マシンにファイアウォールが設定されていないことを警告しています。

監査結果をスクロールして、マークされたものを確認します。監査報告書の下部には、サマリー画面が表示されます。

硬化指数」は、あなたの試験結果です。100点満点中56点というのは、まずまずの結果です。222回のテストを実施し、Lynisプラグインを有効にしました。Lynis Community Editionのプラグインダウンロードページにアクセスし、ニュースレターを購読していただくと、より多くのプラグインへのリンクが表示されます。

GDPR、ISO27001、PCI-DSSなどの規格に対する監査を行うためのプラグインも多数用意されています。

緑色のVはチェックマーク、琥珀色のクエスチョンマークと赤色のXが表示されることもあります。

ファイアウォールとマルウェアスキャナーを導入しているため、緑のチェックマークがついています。テスト目的で、ルートキット検出器rkhunterもインストールし、Lynisがそれを見つけるかどうかを確認しました。上記のように、"Malware Scanner "の横に緑色のチェックマークが表示されました。

監査にコンプライアンスプラグインが使用されていないため、コンプライアンス状況は不明です。

ログファイルとデータファイルの2つのファイルが生成されます。var/log/lynis」にあるデータファイル「reports.dat」が対象となる。これには、結果のコピー（色をハイライトしていない）が含まれ、ターミナルウィンドウで見ることができます。これらは、時間の経過とともに硬化指数がどのように改善されるかを見るのに便利です。

ターミナルウィンドウをスクロールして戻ると、提案のリストと別の警告のリストが表示されます。

以下は5つの警告です。

• "The version of Lynis is very old and should be updated": これは実際にUbuntuリポジトリにあるLynisの最新バージョンです。まだ4ヶ月しか経っていませんが、Lynisは非常に古いと考えており、ManjaroとFedoraのパッケージに含まれるバージョンは比較的新しいものです。パッケージマネージャのアップデートは常に若干遅れることがあります。どうしても最新版が欲しい場合は、GitHubからプロジェクトをクローンして、同期をとっておくとよいでしょう。
• "No password set for single mode": Singleは、rootユーザのみが操作可能なリカバリーおよびメンテナンスモードです。デフォルトでは、このモードではパスワードは設定されていません。
• "2 responsive name servers not found": Lynisは両方のDNSサーバーと通信しようとしましたが、失敗しました。これは、現在のDNSサーバーに障害が発生した場合、自動的に他のサーバーにロールバックされないことを警告するものです。
• 「SMTPバナーで一部情報漏洩が確認されました」：情報漏洩とは、アプリケーションやネットワーク機器が、標準応答でそのメーカーや機種（あるいはその他の情報）を明らかにしてしまうことを指します。これにより、脅威の担い手や自動化されたマルウェアに、チェックすべき脆弱性の種類を見抜かせることができます。接続先のソフトウェアやデバイスを特定したら、簡単な検索で、彼らが悪用しようとする脆弱性を明らかにすることができます。
• "iptables module loaded, but no rules active": Linuxファイアウォールは起動しているが、ルールが設定されていない。

明確な警告

各警告には、問題点と改善策を説明するウェブページへのリンクが貼られています。リンクの上にマウスポインターを置いて、Ctrlキーを押しながらクリックするだけです。デフォルトのブラウザでは、メッセージや警告がWebページで開かれます。

Ctrlキーを押しながら、前項の4番目の警告のリンクをクリックすると、次のようなページが開きます。

各警告を閲覧して、対処するものを決めることができます。

上記のページでは、Ubuntuコンピュータに設定されたpostfixメールサーバーに接続する際に、リモートシステムに送信されるデフォルトのメッセージスニペット（「バナー」）が長すぎることについて説明しています。あまり多くの情報を提供しても意味がありませんし、むしろ不利になることが多いのです。

また、このページでは、バナーが "/etc/postfix"/main.cf" にあることが示されており、これを削って "$myhostname ESMTP" とだけ表示するよう勧めています。

Lynisが提案したように、次のように入力して文書を編集した。

sudo gedit /etc/postfix/main.cf

ファイルの中からバナーを定義している行を探します。

推奨文言のみを表示するように編集しています。

変更を保存して、geditを閉じます。変更を有効にするために、postfixメールサーバを再起動する必要があります:.

sudo systemctl restart postfix

では、もう一度Lynisを起動して、変更が効いているかどうか見てみましょう。

警告」の項目が4つしか表示されなくなった。サフィックスがなくなった。

1回の失敗で、4回の警告と50回の提案！？

どこまでやるべきか？

もし、あなたのコンピューターでシステム拡張を行ったことがなければ、おそらくほぼ同じ数の警告と提案が表示されることでしょう。これらをすべて確認し、リニスのホームページの案内を参考に、対処するかどうか判断してください。

もちろん、教科書的には、すべて削除しようとするのが普通です。しかし、これは言うほど簡単なことではないかもしれません。また、一般家庭のパソコンでは過剰なアドバイスもあるかもしれません。

USBカーネルドライバをブラックリスト化し、使用していないときはUSBアクセスを無効にする？機密性の高いビジネスサービスを提供するミッションクリティカルなコンピュータでは、必要な場合があります。しかし、Ubuntuのホームコンピュータの場合はどうでしょうか。たぶん、ないと思います。