* Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350]
https://cisofy.com/controls/FINT-4350/
该安全控制的URL所给出的建议并没有提到我们前面的那个OSSEC程序,但是如果安装它,则会保证我们能通过后续的审计测试。这就是为什么OSSEC是一个很好的文件完整性监控工具的原因。
你也可以忽略一些并不适合你的建议。这里同样也有一个例子:
Output
* To decrease the impact of a full /home file system, place /home on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/
* To decrease the impact of a full /tmp file system, place /tmp on a separated partition [FILE-6310]
https://cisofy.com/controls/FILE-6310/
传统上,核心Linux文件系统,如/home、/tmp、/var和/usr常被挂载到一个单独的分区里,以减少在整个服务器耗尽其磁盘空间时的影响。但是,这种耗尽的情况其实并不被经常看到,尤其是在那些云服务器上。这些文件系统如今只是作为一个目录被挂载到同一根分区里。但是如果你对这样的系统执行Lynis审计的话,你会得到一些类似于前面所提及的建议输出。除非你的确想实施该建议,否则你很可能想通过配置Lynis来忽略它们,使它们将来不再执行此类审计。
使用Lynis来执行安全审计不仅仅涉及到修复警告和实施建议,它还包括识别出多余的测试。在接下来的步骤中,你将学习到如何定制缺省的概要文件来忽略此类测试。
步骤5 定制Lynis安全审计
在本节中,你将了解到如何定制Lynis,使之只运行那些对你的服务器必要的测试。用于控制审计如何运行的概要文件,在/etc/lynis目录中常被扩展名为.prf的各种文件所定义。其中默认的概要文件被恰当地命名为default.prf。你没有必要直接编辑该默认的概要文件。相反,你可以添加任何你想要的信息到相同目录的custom.prf之中,作为概要文件的定义。
你可以使用文本编辑器来创建一个新的名为/etc/lynis/custom.prf的文件:
$ sudo nano /etc/lynis/custom.prf
让我们通过该文件来告诉Lynis需要忽略的一些测试吧。下面就是我们想忽略的测试项目:
· FILE-6310:用来检查分区的间隔。
·HTTP-6622:用来测试web服务器上Nginx的安装。
·HTTP-6702:用来检查web服务器上Apache的安装。该测试和上述Nginx测试一样都是默认执行的。因此,如果你只安装了Nginx和而非Apache的话,你就需要跳过Apache的测试。
·PRNT-2307和PRNT-2308:用来检查打印服务器。
·TOOL-5002:用来检查诸如Puppet和Salt这样的自动化工具。如果你在服务器上没有此类工具的话,那么你完全可以跳过对此的测试。
·SSH-7408:tcpkeepalive:几个Lynis的测试可以被组合到一个测试ID之下。如果你想忽略属于某个ID的测试,下面便是如何设定的方法。
要想忽略某个测试,你可以通过skip-test指令来传递你想要忽略的测试ID,每行一个。将下面的代码添加到你的文件之中:
/etc/lynis/custom.prf
# Lines starting with "#" are comments
# Skip a test (one per line)
# This will ignore separation of partitions test
skip-test=FILE-6310
# Is Nginx installed?
skip-test=HTTP-6622
# Is Apache installed?
skip-test=HTTP-6702
# Skip checking print-related services
skip-test=PRNT-2307
skip-test=PRNT-2308