{"id":324,"date":"2021-01-01T23:42:42","date_gmt":"2021-01-01T22:42:42","guid":{"rendered":"https:\/\/nissel.it\/?p=324"},"modified":"2022-01-22T09:55:10","modified_gmt":"2022-01-22T08:55:10","slug":"server-absichern-mit-lynis","status":"publish","type":"post","link":"https:\/\/nissel.it\/index.php\/2021\/01\/01\/server-absichern-mit-lynis\/","title":{"rendered":"Server absichern mit lynis"},"content":{"rendered":"\n
Mithilfe von lynis k\u00f6nnen einige Sicherheitstests durchgef\u00fchrt werden die dann auch erl\u00e4utert werden.<\/p>\n\n\n\n
wget -qO- https:\/\/downloads.cisofy.com\/lynis\/lynis-3.0.7.tar.gz | tar xvz<\/code><\/pre>\n\n\n\n
Jede Warnung und Hinweis muss nat\u00fcrlich bewertet werden. z.B: legt Plesk f\u00fcr weitere FTP Benutzer einen Benutzer mit identischer UID an. Darauf wei\u00dft lynis z.B: hin.<\/p>\n\n\n\n
Die Ausf\u00fchrung kann als cronjob eingerichtet werden.<\/p>\n\n\n\n
cd \/root\/lynis && .\/lynis update check --cronjob --no-log && .\/lynis audit system --no-log --cronjob --warnings-only<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n
SMTP Banner anpassen<\/h2>\n\n\n\n
Das Programm aus der SMTP „Begr\u00fc\u00dfung“ heraus zu nehmen macht es evtl. ein paar scripten auf der Suche nach Sicherheitsl\u00fccken etwas schwerer. Dazu muss die \/etc\/postfix\/main.cf angepasst werden.<\/p>\n\n\n\n
In der Kostenlosen Variante gibt lynis nicht preis wo veraltete Zertifikate liegen. Ein m\u00f6glicher Ort ist \/opt\/psa\/var\/certificates. Mit folgenden skript wird gepr\u00fcft ob ein Zertifikat gel\u00f6scht werden kann:<\/p>\n\n\n\n
#!\/bin\/bash\n\nfor filename in \/opt\/psa\/var\/certificates\/*; do\n if ! openssl x509 -checkend 0 -noout -in ${filename} &>\/dev\/null; then\n if ! grep --quiet -R \"${filename}\" \/etc\/nginx\/plesk.conf.d\/*; then\n if ! grep --quiet \"${filename}\" \/etc\/apache2\/plesk.conf.d\/server.conf; then\n echo \"${filename} can be deleted\"\n else\n echo \"${filename} is expired but still in use by apache (default cert)\"\n fi\n else\n echo \"${filename} is expired but still in use by nginx\"\n fi\n fi\ndone<\/code><\/pre>\n\n\n\n
Warnungen ignorieren<\/h2>\n\n\n\n
Damit nur eine Mail verschickt wird, wenn ein neuer Fehler auftaucht, m\u00fcssen alle Warnungen die ignoriert werden sollen deaktiviert werden. Dazu muss die default.prf editiert werden.<\/p>\n\n\n\n
Unterbinden eines core dumps \u00fcber die \/etc\/security\/limits.conf<\/p>\n\n\n\n
* hard core 0<\/code><\/pre>\n\n\n\n
System Passwort Einstellungen<\/h2>\n\n\n\n
Auf heutiger Hardware k\u00f6nnen deutlich mehr Runden als der default 5000 f\u00fcr die Generierung von Passwort Hashes verwendet werden. Dazu in der Datei \/etc\/login.defs folgende Werte anpassen:<\/p>\n\n\n\n
![\"\"](\"https:\/\/nissel.it\/wp-content\/uploads\/2021\/01\/grafik.png\")
![\"\"](\"https:\/\/nissel.it\/wp-content\/uploads\/2021\/01\/grafik-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/nissel.it\/wp-content\/uploads\/2021\/01\/grafik-2-150x150.png\")