“Per me è offensivo che in un supermercato ci sia scritto “Informatica” dove vendono computer”
Renzo Davoli
I sistemi GNU/Linux non sono più sicuri degli altri. Semplicemente, il fatto che gran parte del software che vi viene eseguito sia disponibile in codice sorgente, kernel incluso (il “cuore” di un sistema operativo), fa si che chiunque possa verificarne l’effettivo funzionamento e contribuirne, se ne è capace e volenteroso, al miglioramento.
Tuttavia, nella stragrande maggioranza dei software ci sono bugs. Errori che, una volta scoperti, possono rendere vulnerabile il nostro sistema. Avere il codice sorgente disponibile rende molto più facile scoprire i bug, così come il correggerli: ecco perché il software dei sistemi GNU/Linux è costantemente aggiornato.
Spesso però mantenere il sistema aggiornato non è sempre sufficiente: magari per errore o, perché vogliamo fare qualche prova, attiviamo o configuriamo male qualche servizio (uno degli errori più comuni è configurare un server SMTP come open relayer o un server proxy aperto a tutti). Capita a tutti, anche ai sistemisti con più esperienza, di commettere qualche errore che può rivelarsi fatale, come dimostrano le statistiche sui sistemi “bucati”.
Per difendersi, oltre agli aggiornamenti, esistono strumenti di auditing che eseguono analisi sul sistema ed evidenziano eventuali problemi. Lynis è uno di questi strumenti, presentato anche alla Black Hat Arsenal USA 2017, sviluppato dalla CISOfy, azienda olandese specializzata in sicurezza informatica.
Sviluppato in shell script, non ha bisogno di essere compilato né necessita di particolari librerie o dipendenze: una volta clonato dal repository GitHub:
git clone https://github.com/CISOfy/lynis
basta entrare nella directory lynis e lanciare il comando:
./lynis audit system
per avviare una verifica automatizzata del nostro sistema, evidenziando eventuali problematiche e suggerendo, in fondo alla scansione, le possibili soluzioni:
Ovviamente ho eseguito la scansione con l’account utente, non come root: in avvio, il programma avverte che siamo in non-privileged mode e che qualche verifica non sarà possibile. Se vi fidate (io l’ho fatto), eseguite lynis come root per abilitare verifiche più approfondite al vostro sistema.
Del prodotto esiste anche una versione enterprise per gli utenti business, che effettua controlli più estesi e approfonditi (se siete interessati, qui trovate i dettagli: https://cisofy.com/lynis-enterprise/).
La versione free, tuttavia, è sufficiente per una prima verifica del proprio sistema: non aspettate che il vostro PC o server venga compromesso !