Пользовательская настройка аудита Lynis
Этот раздел научит вас создавать пользовательские списки тестов аудита Lynis и исключать ненужные тесты.
Профили, которые управляют аудитом, определяются в файлах с
расширением .prf в каталоге /etc/lynis. Профиль по умолчанию называется
default.prf. Не редактируйте этот профиль по умолчанию напрямую. Любые
изменения, которые вы хотите внести в аудит, добавляются в файл
custom.prf в том же каталоге.
Создайте файл /etc/lynis/custom.prf:
Для GitHub создайте файл в директории lynis-master/
В этом файле можно определить список тестов, которые нужно исключить из аудита Lynis. Например:
- FILE-6310: проверка разделов.
- HTTP-6622: тест установки Nginx.
- HTTP-6702: тест установки Apache. Этот и предыдущий тест выполняются
по умолчанию. Если вы используете Nginx, отключите тест Apache (и
наоборот). - PRNT-2307 и PRNT-2308: тесты принт-сервера.
- TOOL-5002: тест инструментов автоматизации (типа Puppet и Salt).
Если вы не пользуетесь такими инструментами, исключите этот тест.
Чтобы исключить тест, используйте директиву skip-test и укажите ID теста. Добавьте в файл custom.prf такие строки:
Сохраните и закройте файл.
Во время следующего аудита Lynis пропустит тесты, указанные в
пользовательском профиле. Тесты будут исключены из результатов аудита, а
также из раздела предложений.
Актуальную версию плагинов от сообщества, можно скачать с соответствующей страницы на сайте.
При необходимости, можно настроить регулярную проверку сервера по крону, делается это, вот таким скриптом:
Возможно пути до директории с lynis и логами будут отличаться в зависимости от ОС.
Вместо заключения… Lynis — удобный и функциональный
инструмент для аудита безопасности системы. Со своими задачами
справляется отлично. В рабочем процессе использую его вместе с такими
утилитами как rkhunter и chkrootkit и, рекомендую его к использованию
другим администраторам.
5
3
голоса
Рейтинг статьи
4: Рекомендации Lynis по безопасности системы
После раздела предупреждений вы увидите ряд предложений, которые, если они будут реализованы, могут сделать ваш сервер менее уязвимым к атакам и вредоносному ПО. В этом разделе вы узнаете, как реализовать некоторые предложения, сгенерированные Lynis после аудита сервера Ubuntu 16.04.
После текста совета идёт ID теста. В зависимости от теста, в следующей строке будут указаны изменения, которые рекомендуется внести в конфигурационный файл уязвимого сервиса. Последняя строка – это URL-адрес, по которому вы можете найти дополнительную информацию по теме.
Рассмотрим такой результат аудита Lynis, содержащий предложения по защите SSH:
В зависимости от среды все эти предложения можно реализовать без риска для безопасности. Однако вы должны знать, что означает каждая директива. Поскольку рекомендации относятся к серверу SSH, все изменения нужно внести в конфигурационный файл SSH, /etc/ssh/sshd_config. Если у вас есть какие-либо сомнения в отношении рекомендаций Lynis, откройте мануал директивы с помощью команды man sshd_config. Также можно поискать информацию в Интернете.
К примеру, Lynis предлагает изменить стандартный SSH-порт 22. Если вы хотите внести это изменение, сначала проверьте состояние брандмауэра; если он включен, обязательно добавьте правило для доступа к SSH по новому порту.
Больше информации о предложении Lynis можно получить с помощью id теста и следующей команды:
Иногда Lynis требует установить дополнительное программное обеспечение на сервер. Например:
Тут Lynis предлагает установить rkhunter, chkrootkit или OSSEC для того, чтобы пройти тест на повышение защиты системы (HRDN-7230). OSSEC – это система обнаружения вторжений, которая может генерировать и отправлять предупреждения. Это очень хорошее приложение, которое поможет улучшить результаты аудита Lynis. Вы можете больше узнать об этом инструменте в Информатории.
Однако просто установить OSSEC недостаточно, чтобы пройти этот тест. Для этого можно установить chkrootkit. Это еще один случай, когда вам придётся самостоятельно проводить дополнительные исследования.
Рассмотрим другой пример; это предложение, которое выдаёт тест целостности файла.
В этом предложении не упоминается ранее предложенный сервис OSSEC. Но установки OSSEC будет достаточно, чтобы пройти тест при последующем аудите. Это связано с тем, что OSSEC – довольно хороший инструмент для мониторинга целостности файлов.
Вы можете игнорировать некоторые предложения. Вот пример:
Основные файловые системы Linux (/home, /tmp, /var и /usr) монтировались в отдельный раздел, чтобы минимизировать воздействие на сервер, если у них заканчивается свободное дисковое пространство. Но сегодня этот подход редко используется, особенно на облачных серверах. Теперь эти файловые системы просто монтируются как каталог в корневом разделе. Но если вы выполняете аудит Lynis в такой системе, вы получите пару предложений по оптимизации файловых систем (как показано выше). Эти рекомендации можно проигнорировать и просто исключить из аудита Lynis тест, вызвавший их.
How it works
Lynis scanning is modular and opportunistic. This means it will only use and test the components that it can find, such as the available system tools and its libraries. The benefit is that no installation of other tools is needed, so you can keep your systems clean.
By using this scanning method, the tool can run with almost no dependencies. Also, the more components it discovers, the more extensive the audit will be. In other words: Lynis will always perform scans that are tailored to your system. No audit will be the same!
Example: When Lynis detects that you are running Apache, it will perform an initial round of Apache related tests. Then when it performs the specific Apache tests, it may also discover a SSL/TLS configuration. It then performs additional auditing steps based on that. A good example is collecting any discovered certificates, so that they can be scanned later as well.
Audit steps
This is what happens during a typical scan with Lynis:
- Initialization
- Perform basic checks, such as file ownership
- Determine operating system and tools
- Search for available software components
- Check latest Lynis version
- Run enabled plugins
- Run security tests per category
- Perform execution of your custom tests (optional)
- Report status of security scan
Besides the report and information displayed on screen, all technical details about the scan are stored in a log file (lynis.log). Findings like warnings and suggestions are stored in a separate report file (lynis-report.dat).
Lynis tests (controls)
Lynis performs hundreds of individual tests. Each test will help to determine the security state of the system. Most tests are written in shell script and have a unique identifier (e.g. KRNL-6000).
Interested in learning more about the tests? Have a look at the Lynis controls and individual tests.
Flexibility
With the unique identifiers it is possible to tune a security scan. For example, if a test is too strict for your scanning appetite, simply disable it. This way you get an optimal system audit for your environment.
Lynis is modular and allows to run your self-created tests. You can even create them in other scripting or programming languages.
Lynis Plugins
Plugins are modular extensions to Lynis. With the help of the plugins, Lynis will perform additional tests and collect more system information.
Each plugin has the objective to collect specific data. This data is stored in the Lynis report file (lynis-report.dat). Depending on your usage of Lynis, the collected data might provide valuable insights between systems or between individual scans.
The plugins provide the most value in environments with more than 10 systems. Some plugins are available in the downloads section.
Extra plugins
As part of our Lynis Enterprise offering, the core developers maintain a set of plugins for our customers. The data that is collected centrally (SaaS or self-hosted), provide additional insights, such as available users, processes, and network details. Another important area is compliance testing, where the data points help to test against common standards and hardening guides.
Lynis plugins overview
Насколько защищен ваш компьютер с Linux?
Lynis выполняет набор автоматизированных тестов это тщательно проверяет многие системные компоненты и настройки вашей операционной системы Linux. Он представляет свои выводы в цветовой кодировке ASCII отчет в виде списка дифференцированных предупреждений, предложений и действий, которые следует предпринять.
Кибербезопасность — это балансирование. Прямая паранойя никому не нужна, так как же вы должны быть обеспокоены? Если вы посещаете только авторитетные веб-сайты, не открываете вложения или не переходите по ссылкам в нежелательных письмах и используете разные надежные пароли для всех систем, в которые вы входите, какая опасность остается? Особенно, когда вы используете Linux?
Давайте рассмотрим их в обратном порядке. Linux не застрахован от вредоносных программ. На самом деле, самый первый компьютерный червь был разработан для компьютеров Unix в 1988 году. Руткит были названы в честь суперпользователя Unix (root) и набора программного обеспечения (комплектов), с помощью которого они устанавливаются, чтобы избежать обнаружения. Это дает суперпользователю доступ к субъекту угрозы (то есть плохому парню).
Почему они названы в честь корня? Поскольку первый руткит был выпущен в 1990 году и был нацелен на Sun Microsystems работает SunOS Unix.
Итак, вредоносное ПО получило свое начало в Unix. Он прыгнул через забор, когда Windows взлетела и включила свет. Но теперь, когда Linux управляет миром, он вернулся
Linux и Unix-подобные операционные системы, такие как macOS, привлекают все внимание субъектов угроз
Какая опасность остается, если вы осторожны, разумны и внимательны, когда используете компьютер? Ответ длинный и подробный. Чтобы несколько сжать, кибератак много и разнообразно. Они способны делать то, что совсем недавно считалось невозможным.
Руткиты, вроде Ryukможет заразить компьютеры, когда они выключены, Wake On LAN функции мониторинга. Код подтверждения концепции также был разработан. Успешная «атака» была продемонстрирована исследователями в Университет Бен-Гуриона в Негеве что позволило бы субъектам угрозы отфильтровать данные из компьютер с воздушным зазором,
Невозможно предсказать, на что способны киберугрозы в будущем. Однако мы понимаем, какие точки защиты компьютера уязвимы. Независимо от характера настоящих или будущих атак, имеет смысл лишь заранее устранить эти пробелы.
Из общего числа кибератак лишь небольшой процент сознательно ориентирован на конкретные организации или отдельных лиц. Большинство угроз являются неизбирательными, потому что вредоносным программам все равно, кто вы. Автоматическое сканирование портов и другие методы просто ищут уязвимые системы и атакуют их. Вы называете себя жертвой, будучи уязвимым.
И вот тут приходит Lynis.
Запуск Lynis
Я сделал быстрый тест на моей Linux Mint с использованием Lynis.
./lynis --auditor "MiAl" -c -Q
Если у кого-то «затык» при проверки PHP:
Software: PHP
————————————
— Checking PHP
— Checking PHP disabled functions
То отредактируйте файл include/tests_php — сделайте инклуд файла php.ini.
Вы можете использовать различные команды:
mial-VirtualBox lynis # ./lynis -c (или) mial-VirtualBox lynis # ./lynis --auditor "codeby.net" -c -Q (или) mial-VirtualBox lynis # ./lynis --auditor "codeby.net" -c -Q -q (или) mial-VirtualBox lynis # ./lynis --auditor "codeby.net" -c -q -Q --pentest (или подобные)
Как далеко вы должны идти?
Если вы никогда не выполняли никаких действий по усилению защиты системы на вашем компьютере, вы, скорее всего, получите примерно столько же предупреждений и предложений. Вам следует просмотреть их все и, руководствуясь веб-страницами Lynis для каждого из них, принять решение о том, следует ли их решать.
Метод учебника, конечно, должен был бы попытаться очистить их всех. Это может быть легче сказать, чем сделать, хотя. Кроме того, некоторые предложения могут быть излишними для обычного домашнего компьютера.
Черный список драйверов ядра USB для отключения доступа к USB, когда вы им не пользуетесь? Для критически важного компьютера, который предоставляет конфиденциальный бизнес-сервис, это может быть необходимо. Но для домашнего компьютера с Ubuntu? Возможно нет
Просмотры:
136
Lynis, an introduction
Auditing, system hardening, compliance testing
Lynis is a battle-tested security tool for systems running Linux, macOS, or Unix-based operating system. It performs an extensive health scan of your systems to support system hardening and compliance testing. The project is open source software with the GPL license and available since 2007.
Security scan with Lynis (click for full image)
Project goals
Since Lynis is flexible, it is used for several different purposes. Typical use cases for Lynis include:
- Security auditing
- Compliance testing (e.g. PCI, HIPAA, SOx)
- Penetration testing
- Vulnerability detection
- System hardening
Audience and use cases
- Developers: Test that Docker image, or improve the hardening of your deployed web application.
- System administrators: Run daily health scans to discover new weaknesses.
- IT auditors: Show colleagues or clients what can be done to improve security.
- Penetration testers: Discover security weaknesses on systems of your clients, that may eventually result in system compromise.
Процесс установки Linux — пошаговая инструкция
Шаг 1 — Приветствие. После запуска образа Ubuntu Вы увидите вкладку приветствия «Добро пожаловать». Здесь следует выбрать язык «Русский» и нажать на кнопку установить Ubuntu.
Обратите внимание на первую ссылку «Запустить Ubuntu». Она позволит Вам загрузиться с диска без установки (LiveCD)
Эта возможность позволяет посмотреть как выглядит Ubuntu, стоит ли Вам ее ставить и т.д. Все изменения внесенные после такого старта не будут сохранены, поэтому для практичного использования такой вариант вряд ли подойдет.
Шаг 2 — Автоматическая загразку обновлений. Вторым шагом Ubuntu спросит разрешение на автоматическую установку и обновление всех драйверов. Для этого потребуется доступ к интернету.
Думаю, что логично было бы разрешить это сделать, чтобы Ваши драйвера имели самую актуальную версию после установки линукса.
Шаг 3 — Выбор типа установки. На этом шаге нужно выбрать место куда устанавливать Ubuntu, а также разбиение диска. Поскольку в нашем примере мы ставим Linux на VirtualBox, то мы можем выбрать первый пункт «Стереть диск и установить Ubuntu»:
Если Вы устанавливаете Ubuntu совместно с другой системой, то необходимо выбрать «другой вариант» и самостоятельно разбить диск. Для этого потребуется указать основной раздел, домашнюю папку, размер диска, размер файла подкачки и выбрать типы файловых систем (ext4 основной и swap для файла подкачки).
Шаг 4 — Раскладка клавиатуры. Выберите «Английская (США)» по умолчанию, чтобы в дальнейшем не иметь проблем с раскладкой. После установки можно будет добавить русскую раскладку.
Шаг 5 — Задание имени. Требуется указать имя пользователя и пароль. Это имя будет использоваться в качестве имени для домашней директории Linux. Также я выбрал пункт «входить в систему автоматически»:
Шаг 6 — Установка. Дальше наступает процесс установки. Теперь нужно просто подождать окончания.
По завершению, установщик скажет, что нужно перезагрузить компьютер:
После чего нужно будет нажать Enter:
После перезагрузки Ubuntu запустится. Вы увидите следующую картинку:
Собственно на этом установка Ubuntu завершена. Теперь можно начинать пользоваться.
Рекомендую сделать «снимок» в VirtualBox новой системы, чтобы всегда иметь возможно откатиться к ее исходному состоянию.
Использование, тестирование cgroups в Unix/Linux
Запуск службы cgconfig создает виртуальную файловую систему, установленную в /cgroup со всеми подсистемами. Проверим это:
# ls /cgroup
blkio cpu cpuacct cpuset devices freezer memory net_cls
Можно запустить команду `lscgroup ‘для проверки:
$ sudo lscgroup
Вы увидите подсистемы в несколько иной компоновке:
cpuset:/ cpu:/ cpuacct:/ memory:/ devices:/ freezer:/ net_cls:/ blkio:/
Протестируем ограничение на диск, для этого — нужно установить утилиту hdparm. Например, для rpm’s ОС, выполните:
# yum install hdparm
Теперь давайте запустим команду для измерения скорости чтения вашего жесткого диска, например:
# hdparm --direct -t /dev/vda
Вывод будет такой:
/dev/vda: Timing O_DIRECT disk reads: 6 MB in 3.00 seconds = 2.00 MB/sec
На выходе показана пропускная способность диска 2 МБ/с. Если вы остановите службы cgconfig и cgred и снова запустите команду hdparm, вы можете увидеть исходную/стандартную скорость чтения с того момента, когда правила группы не были реализованы.
Создание cgroups в Unix/Linux
Чтобы создать CGroup c ограничением по CPU/RAM, выполним:
# cgcreate -g cpu,memory:your_cgroup_name
Где:
- cpu,memory — Какие ресурсы будут ограничены. Можно еще ограничить — cpuset,cpuacct.
- your_cgroup_name — Название вашей cgroup группы.
Можно установить ограничение прям в консоле, например, — установим ограничение по использованию RAM:
# cgset -r memory.limit_in_bytes=1G your_cgroup_name
Можно установить ограничение прям в консоле, например, — установим ограничение по использованию CPU приоритет до ~10% (1024 — это 100% приоритет):
# cgset -r cpu.shares=102 your_cgroup_name
Если используете systemD, то можно использовать SystemD Slices, нпример:
# systemctl set-property user.slice MemoryLimit=512M # systemctl set-property system.slice MemoryLimit=1024M
Или, можно закинуть в fstab:
# cat /etc/fstab | grep -E "cgroup" cgroup /sys/fs/cgroup cgroup defaults 0 0
Мне этого хватило что-бы пофиксить кое-что связанное с докером. Если появятся мысли что дополнить — обязательно дополню. Вот и все, статья «Установка cgroups в Unix/Linux» завершена.
Настройка/Запуск Logstash в Unix/Linux
И так, установили ЛС и можно приступать к его настройке.
Настройка Logstash в Unix/Linux
Рассмотрим готовый пример, у меня используется ОС — CentOS 6/7 и я настрою LS на ней.
Прописываем переменное окружение:
У меня это:
PS: Для того чтобы узнать где лежит ( куда выполнилась установка LS, используйте — whereis logstash команду)!
Чтобы изменения применились, выполните:
И так, основной конфиг я не трогал и он имеет следующую структуру:
Ничего сложного в понимании данных строк — НЕТ!
Все конфиги должны быть в /etc/logstash/conf.d.
Запуск Logstash в Unix/Linux
Перед началом запуска, проверяем что у нас используется «SysV init vs systemdedit»:
Запуск Logstash используя Systemd
Такие дистрибутивы, как Debian Jessie, Ubuntu 15.10+ и многие производные SUSE, используют systemd и команду systemctl для запуска и остановки служб. После установки пакета вы можете запустить Logstash с помощью:
Добавим службу в автозагрузку ОС:
Настройте брандмауэр, чтобы Logstash мог получать логи от клиентов (TCP-порт 5044):
Запуск Logstash используя init/Upstart
Для систем, использующих «upstart», вы можете запустить Logstash с помощью:
Автоматически созданный файл конфигурации для «upstart» систем — /etc/init/logstash.conf.
Настройте брандмауэр, чтобы Logstash мог получать логи от клиентов (TCP-порт 5044).
Запуск Logstash используя SysV
Для систем, использующих SysV, для систем, использующих»
Автоматически созданный файл конфигурации для систем SysV — /etc/init.d/logstash.
Настройте брандмауэр, чтобы Logstash мог получать логи от клиентов (TCP-порт 5044).
Проверяем какие плагины имеются:
Для установки плагина, используйте:
Для обновления:
Чтобы удалить:
Работа с Logstash в Unix/Linux
Сначала давайте проверим вашу установку Logstash, запустив самый простой конвейер Logstash.
Конвейер Logstash имеет два обязательных элемента: вход и выход и один необязательный элемент — фильтр. Плагины ввода используют данные из источника, плагины фильтров изменяют данные, как вы указали, а выходные плагины записывают данные в пункт назначения.
Чтобы проверить установку Logstash, запустите самый простой конвейер Logstash. Например:
Или (если прописали переменное окружение):
Можно прописать что-то и LS отдаст (выход CTR +C).
Как работает LogStash?
Конвейер обработки событий Logstash имеет три этапа: inputs (входы) → filters (фильтры) → outputs (выходы). Входы генерируют события, фильтры изменяют их, а выходы отправляют их в другое место. Входы и выходы поддерживают кодеки, которые позволяют кодировать или декодировать данные при входе или выходе из конвейера без использования отдельного фильтра.
Inputs
Вы используете inputs для получения данных в Logstash. Некоторые из наиболее часто используемых inputs:
Дополнительные сведения о доступных inputs см. в разделе «Input Plugins».
Filters
Фильтры (Filters) являются промежуточными устройствами обработки данных в конвейере Logstash. Вы можете комбинировать фильтры с условными выражениями для выполнения действия над событиями, если оно соответствует определенным критериям. Некоторые полезные фильтры:
Дополнительные сведения о доступных фильтрах см. в разделе «Модули фильтра»(Filter Plugins).
Outputs
Outputs (Выходы) являются заключительной фазой конвейера Logstash. Событие может проходить через несколько выходов, но как только вся обработка вывода завершена, событие завершило свое выполнение. Некоторые часто используемые результатов включают:
Дополнительные сведения о доступных outputs см. в разделе плагины вывода (Output Plugins).
Codecs
Кодеки (Codecs) — это в основном потоковые фильтры, которые могут работать как часть входа (input) или выхода (output). Codecs позволяют вам легко отделить передачу ваших сообщений от процесса сериализации. Популярные кодеки включают в себя json, msgpack и plain (text):
Дополнительные сведения о доступных кодеках см. в разделе плагины кодеков (Codec Plugins).
А на этом, у меня все! Статья «Установка Logstash в Unix/Linux » завершена.
Part III: Lynis Enterprise
Introduction
Requirements
To use Lynis Enterprise, you need a license key and an active user account. An account can be created during the ordering process or before.
Management happens with a web based solution. No external plugins have to be installed to work with our solution.
For auditing purposes, Lynis needs to be configured on the systems that are to be audited. Optionally the Lynis Collector can be used
to collect data, then upload it to the central system.
Please refer to Section I and Section II to install and configure these components.
14. Account Management
An account on the Lynis Enterprise service provides access to the systems and configuration of a company. Each account can be linked only
to one company.
15. Management of systems
Adding new system
During the life cycle of a system, it can be easily added by uploading the data to Lynis Enterprise. If the unique ID of the system is not known
yet, the system will be added to the pool of machines.
Removing
When a system is being decommissioned, the absence of new scan data will be noticed and a related event will be raised. If the system is to
be removed altogether, select the system and use the delete icon ( ).
20. Software upgrades
Option 1. Using software packages
If the platform(s) used provides an up-to-date Lynis package, it could be used as part of your software upgrade strategy.
In case the
vendor maintains only «stable» releases, they will usually not release newer versions of Lynis, until the next OS release. Then you
might consider creating a Lynis package yourself. See the on how to create a package.
Option 2. No install
Instead of installing Lynis at all, a cronjob could be used to fetch the latest Lynis package from an internal server (e.g. HTTP/FTP/SCP/NFS). The cronjob
first extracts the tarball into a temporary directory. Then it runs Lynis from there, and before cleaning up, it sends the data to the Lynis Collector.
Updating to a new release would mean the administrator will test the new version first on a few systems and then upload it to the central location. From that very moment
all systems will be using the latest version.
Параметры запуска Lynis
Ниже приведен набор наиболее часто используемых параметров при запуске Lynis.
—auditor : «Учитывая Имя и Фамилия» Назначение аудитора, имя аудита (отчет).—checkall, -c : Начать проверку системы.—check-update : Проверьте обновления для Lynis.—cronjob : Выполнить Lynis как CronJob (включает в себя -c и -Q).—help, -h : Показывает допустимые параметры .—manpage : Посмотреть справочную страницу (мануалы).—nocolors : Не использовать цвета.—quick, -Q : Не ждать ввода пользователя, за исключением ошибок.—quiet : Показать только предупреждения (включает в себя —quick, но не ждет).—reverse-colors : Используйте другую цветовую схему для более легких фонов.—version, -V : Проверьте программу на версию и после окончания выход.
Cronjobs
Запуск Lynis как CronJob также возможно. Для этой цели служит параметр —cronjob. Добавив этот параметр все специальные символы будут удалены из вывода и сканирования будет работать полностью автоматизированно (вмешательство пользователя не требуется). Но для этого служит скрипт, пример его можно посмотреть тут. Добавить содержимое этого сценария в /etc/cron.daily/lynis и создать соответствующие пути к скрипту (/usr/local/lynis) и к логу (/var/log/lynis).
Тема «Как установить и использовать Lynis на Centos / Redhat RHEL / Fedora» завершена полностью.
WSL1 против WSL2
В мае 2020 года для Windows 10 Microsoft представила пользователям WSL2 обновленную и улучшенную версию WSL1. Основное различие между первой версией и второй версией этой подсистемы состоит в том, что, хотя первая версия работала на промежуточном уровне между аппаратным обеспечением и операционной системой, WSL2 теперь имеет свою собственную виртуальную машину Hyper-V, которая наряду с ядром A специально Скомпилированный для этой цели, позволяет намного лучше взаимодействовать с системными вызовами, улучшая производительность и все возможности, которые он нам предлагает.
WSL2 имеет родной гипервизор, позволяющий запускать настоящее ядро прямо в Windows , При этом все проблемы с производительностью и совместимостью со службами и программами решаются, даже достигая улучшение производительности до 500% при выполнении определенных задач. Ввод и вывод данных также значительно улучшен, и к ним можно получить доступ даже из самого проводника файлов, а также значительно быстрее и проще изменить распределение.
WSL2 против виртуальной машины
Итак, какие преимущества (и недостатки) дает WSL2 по сравнению с установкой Linux на виртуальной машине, такой как VirtualBox or VMware? Первое отличие состоит в том, что, хотя Linux на виртуальной машине изолирован, WSL2 полностью интегрирован с Windows, поэтому обе системы могут взаимодействовать друг с другом. Кроме того, подсистема Windows может загружать Linux всего за одну секунду, тогда как виртуальная машина значительно медленнее загружает систему.
Потребление ресурсов также очень значительно. Пока WSL2 очень легкий и потребляет очень мало Оперативная память В этом отношении виртуальная машина потребляет гораздо больше ресурсов.
И, хотя это правда, что виртуальная машина предлагает больше контроля и больше настроек Подсистема Windows для Linux запускается только тогда, когда она нам нужна, и загружает только процессы и службы, необходимые для того, что нам нужно сделать.
Если мы не знаем, какую систему использовать, мы рекомендуем используя виртуальную машину когда:
- Давайте должны получить максимальную отдачу от Linux.
- Давайте сделаем прогноз масштабируемости, основанный на уровнях производства.
- Мы хотим использовать операционную систему с графическим интерфейсом и приложениями.
- Давайте интенсивно использовать сеть, в которой важна производительность.
И мы можем выбрать WSL, когда:
- Мы хотим запустить основные команды Linux.
- Мы хотим тратить мало памяти и мало ресурсов ПК.
- Нам нужна эффективность хранения.
- Мы не хотим / можем / не знаем, как использовать виртуальные машины.
- Нам нужен быстрый доступ к файловой системе и непосредственное взаимодействие с файловой системой Windows.
Архив блога
-
►
2018
(2)
-
►
апреля
(1)
►
27 апр
(1)
-
►
февраля
(1)
►
08 фев
(1)
-
-
►
2017
(5)
-
►
декабря
(2)
►
13 дек
(2)
-
►
июля
(1)
►
14 июл
(1)
-
►
марта
(1)
►
22 мар
(1)
-
►
января
(1)
►
23 янв
(1)
-
-
►
2016
(7)
-
►
декабря
(1)
►
29 дек
(1)
-
►
октября
(2)
►
26 окт
(1)
►
13 окт
(1)
-
►
сентября
(1)
►
26 сен
(1)
-
►
марта
(1)
►
02 мар
(1)
-
►
февраля
(1)
►
19 фев
(1)
-
►
января
(1)
►
27 янв
(1)
-
-
►
2015
(11)
-
►
октября
(1)
►
23 окт
(1)
-
►
сентября
(1)
►
24 сен
(1)
-
►
июля
(3)
►
14 июл
(1)
►
13 июл
(1)
►
10 июл
(1)
-
►
апреля
(1)
►
23 апр
(1)
-
►
марта
(2)
►
27 мар
(1)
►
18 мар
(1)
-
►
февраля
(1)
►
04 фев
(1)
-
►
января
(2)
►
28 янв
(1)
►
22 янв
(1)
-
-
▼
2014
(6)
-
►
декабря
(1)
►
18 дек
(1)
-
►
ноября
(1)
►
10 ноя
(1)
-
►
сентября
(1)
►
26 сен
(1)
-
▼
июня
(1)
-
▼
03 июн
(1)
Lynis: аудит безопасности сервера. Обновление Lyni…
-
-
-
►
мая
(1)
►
21 мая
(1)
-
►
февраля
(1)
►
18 фев
(1)
-
-
►
2013
(24)
-
►
декабря
(2)
►
17 дек
(1)
►
12 дек
(1)
-
►
ноября
(1)
►
08 ноя
(1)
-
►
октября
(5)
►
29 окт
(1)
►
28 окт
(1)
►
15 окт
(1)
►
04 окт
(2)
-
►
августа
(2)
►
13 авг
(1)
►
01 авг
(1)
-
►
июля
(1)
►
07 июл
(1)
-
►
июня
(6)
►
25 июн
(1)
►
21 июн
(1)
►
20 июн
(1)
►
19 июн
(1)
►
14 июн
(1)
►
11 июн
(1)
-
►
мая
(1)
►
06 мая
(1)
-
►
марта
(2)
►
31 мар
(1)
►
12 мар
(1)
-
►
февраля
(2)
►
18 фев
(1)
►
07 фев
(1)
-
►
января
(2)
►
23 янв
(1)
►
09 янв
(1)
-
-
►
2012
(34)
-
►
декабря
(2)
►
03 дек
(1)
►
01 дек
(1)
-
►
ноября
(7)
►
25 ноя
(1)
►
22 ноя
(2)
►
15 ноя
(1)
►
08 ноя
(1)
►
03 ноя
(1)
►
02 ноя
(1)
-
►
октября
(1)
►
18 окт
(1)
-
►
сентября
(4)
►
21 сен
(1)
►
10 сен
(3)
-
►
августа
(2)
►
25 авг
(1)
►
22 авг
(1)
-
►
июля
(2)
►
27 июл
(1)
►
03 июл
(1)
-
►
июня
(5)
►
12 июн
(2)
►
11 июн
(1)
►
08 июн
(1)
►
07 июн
(1)
-
►
мая
(10)
►
27 мая
(1)
►
24 мая
(2)
►
16 мая
(1)
►
14 мая
(2)
►
12 мая
(1)
►
11 мая
(1)
►
10 мая
(2)
-
►
января
(1)
►
30 янв
(1)
-
-
►
2011
(19)
-
►
ноября
(2)
►
30 ноя
(1)
►
10 ноя
(1)
-
►
сентября
(7)
►
23 сен
(1)
►
13 сен
(1)
►
12 сен
(2)
►
09 сен
(2)
►
01 сен
(1)
-
►
августа
(4)
►
30 авг
(1)
►
27 авг
(1)
►
26 авг
(1)
►
24 авг
(1)
-
►
июля
(1)
►
25 июл
(1)
-
►
июня
(1)
►
01 июн
(1)
-
►
апреля
(2)
►
27 апр
(1)
►
25 апр
(1)
-
►
марта
(2)
►
29 мар
(1)
►
19 мар
(1)
-
-
►
2010
(59)
-
►
декабря
(3)
►
24 дек
(1)
►
12 дек
(1)
►
11 дек
(1)
-
►
ноября
(5)
►
22 ноя
(2)
►
13 ноя
(2)
►
03 ноя
(1)
-
►
октября
(3)
►
12 окт
(1)
►
11 окт
(1)
►
01 окт
(1)
-
►
сентября
(3)
►
16 сен
(1)
►
15 сен
(2)
-
►
августа
(3)
►
28 авг
(1)
►
17 авг
(1)
►
02 авг
(1)
-
►
июля
(4)
►
14 июл
(1)
►
13 июл
(1)
►
01 июл
(2)
-
►
июня
(5)
►
29 июн
(1)
►
23 июн
(1)
►
21 июн
(1)
►
17 июн
(1)
►
11 июн
(1)
-
►
мая
(4)
►
26 мая
(1)
►
15 мая
(1)
►
13 мая
(1)
►
12 мая
(1)
-
►
апреля
(9)
►
26 апр
(1)
►
23 апр
(1)
►
15 апр
(3)
►
08 апр
(1)
►
07 апр
(2)
►
01 апр
(1)
-
►
марта
(5)
►
30 мар
(1)
►
15 мар
(1)
►
09 мар
(1)
►
08 мар
(1)
►
05 мар
(1)
-
►
февраля
(3)
►
22 фев
(1)
►
18 фев
(1)
►
17 фев
(1)
-
►
января
(12)
►
27 янв
(2)
►
24 янв
(1)
►
18 янв
(1)
►
14 янв
(1)
►
06 янв
(1)
►
05 янв
(1)
►
04 янв
(2)
►
02 янв
(3)
-
-
►
2009
(8)
-
►
декабря
(3)
►
24 дек
(1)
►
18 дек
(1)
►
09 дек
(1)
-
►
ноября
(1)
►
01 ноя
(1)
-
►
октября
(1)
►
12 окт
(1)
-
►
июля
(1)
►
29 июл
(1)
-
►
июня
(1)
►
19 июн
(1)
-
►
апреля
(1)
►
29 апр
(1)
-
-
►
2008
(6)
-
►
апреля
(1)
►
26 апр
(1)
-
►
марта
(1)
►
16 мар
(1)
-
►
февраля
(2)
►
27 фев
(1)
►
23 фев
(1)
-
►
января
(2)
►
15 янв
(1)
►
13 янв
(1)
-
-
►
2007
(9)
-
►
декабря
(3)
►
18 дек
(1)
►
17 дек
(1)
►
05 дек
(1)
-
►
ноября
(2)
►
29 ноя
(1)
►
28 ноя
(1)
-
►
июля
(4)
►
27 июл
(1)
►
21 июл
(1)
►
20 июл
(1)
►
19 июл
(1)
-
Правильное время
Настраиваем временную зону:
timedatectl set-timezone Europe/Moscow
* В данном примере мы задаем зону по московскому времени.
* Список всех доступных зон можно посмотреть командой timedatectl list-timezones. Если мы увидим только одну зону UTC, скорее всего, у нас установлена минимальная версия Ubuntu. Для установки всех зон вводим apt-get install tzdata.
Устанавливаем утилиту для синхронизации времени, разрешаем запуск демона и стартуем его.
а) если на системе Ubuntu / Debian:
apt-get install chrony
systemctl enable chrony
б) если на системе Rocky Linux / CentOS / Red Hat:
yum install chrony
systemctl enable chronyd —now
Как работает аудит безопасности Linux?
Lynis выполняет сотни индивидуальных тестов для определения состояния безопасности системы. Многие из этих тестов являются частью общих руководящих принципов безопасности и стандартов. Примеры включают в себя поиск установленного программного обеспечения и определение возможных недостатков конфигурации. Lynis идёт дальше и делает также тест индивидуальных компонентов программного обеспечения, проверяет связанные конфигурационные файлы и измеряет производительности. После этих тестов, будет отображён отчёт по сканированию с вскрытыми находками.
Обычное использование Lynis:
- Аудит безопасности
- Сканирование на уязвимости
- Усиление системы
Заключение
В целом, я думаю это хороший инструмент, который нужно иметь хотя бы для автоматизации большого количества тестов. Всё можно улучшить, и Lynis не исключение. Любой сервер, будь то Linux, Windows или Unix требует регулярного аудита. Хотя нет спасения от уязвимости нулевого дня, но с регулярным аудитом вы сможете сохранить ваши ценные ресурсы. Lynis — это хороший инструмент, но вам следует использовать более чем один инструмент хотя бы потому, что различные поставщики (или разработчики софта) имеют различный взгляд на безопасность
А нам важно обеспечить безопасность сервера с высоким аптаймом и надёжно защищёнными данными.
Инструмент: Lynis
Страница проекта: http://cisofy.com/lynis/
Использование: Бесплатно
Лицензия: GPLv3
Загрузка http://cisofy.com/downloads/
Итак, делайте аудит своей системы и исправьте все оставшиеся проблемы, которые, по вашему мнению, могут затронуть вас.
