Auditoría general de Linux con Tiger

Publicado el 16 marzo 2016 por Drassill
Siguiendo con la línea del anterior artículo, es decir, con el tema de las auditorías, hoy quiero veniros con una utilidad que reúne una serie de herramientas conocidas, entre ellas john the ripper, que trabajan en conjunto con el fin facilitarnos la vida. Es cierto que las herramientas especializadas que se usan única y exclusivamente para una tarea en concreto, suelen ofrecer resultados mucho más precisos y que generalmente son las más deseables ¿Pero quien no quiere una herramienta que puedan englobar las características de varias herramientas de auditoría para hacer una revisión global del sistema? Una de las virtudes de este tipo de opciones es que al englobar tantas funciones puede ejecutar tareas que de otra manera podríamos haber pasado por alto, como por ejemplo la revisión del fichero /etc/passwd o la seguridad de nuestra conexión ssh., con lo que puede ser interesante darle una oportunidad; el nombre de la utilidad de la que hoy quiero hablaros sería Tiger.

Al igual que otras muchas herramientas de auditoría (por no decir que prácticamente todas), esa una herramienta de doble filo que puede usarse para comprobar la seguridad de nuestro sistema o para comprobar vulnerabilidades en éste. El objetivo de Tiger sería revisar uno por uno cada fichero de configuración y de contraseñas; es decir no revisa puertos de red ni busca vulnerabilidades asociadas con las versiones de los diferentes softwares... Aún así no penséis por ello que es una herramienta incompleta, es más, con una revisión probablemente encontrareis varios puntos que, si bien probablemente no sean de por sí vulnerabilidades graves, sí que pueden ser peligrosos y pueden ser usados para hacer daño.
Para poder sacar partido a este animal, habría que pasar a instalarlo primero, si bien hay que tener en cuenta que instalará un buen número de aplicaciones relacionadas con Tiger, tales como john the riper (como he comentado antes) o Tripwire, con lo que no solo ocuparemos cierto espacio en el disco, sino que la instalación en sí llevará cierto tiempo.  Su instalación es extremadamente sencilla, pues se realiza desde los propios repositorios; por ejemplo en Debian o derivados se usaría este comando:
apt-get install tiger
La instalación requerirá seguir una serie de pasos relacionados con Tripwire, pues para funcionar necesita que instalemos dos claves (con sus respectivas contraseñas): Una clave local que se usa cifrar la información del estado de los archivos y una clave del sitio que se usa para cifrar archivos de configuración; estas claves no serían usadas por nosotros, pero sí que sería necesario instalarlas para asegurarnos de que tiger funcionará a la perfección.
Con tiger instalado, podríamos pasar a auditar nuestro sistema... Es recomendable saber que tiger puede realizar informes en texto plano o en html; Aquí uno debe decidir, pero personalmente me parece más cómodo el informe en html debido a su facilidad de lectura de cara al usuario final, si bien esto depende de los gustos de cada uno; si queremos realizar una revisión que genere un informe "normal", tendríamos que ejecutar tiger "a secas":
tiger
En cambio, si deseamos optar por la visión más visual, tendríamos que acompañar al comando del parámetro -H, tal que así:
tiger -H
Dependiendo de la cantidad de archivos de configuración que tengamos, usuarios, procesos activos, etc... La duración de la auditoría variaría... A mí por ejemplo en un entorno recién instalado me tomó 5 minutos, pero si ejecutásemos el programa en un equipo al que se le haya dado más uso probablemente tomaría más tiempo.
Cualquier informe que generemos, tenga el formato que tenga, se volcaría sobre el directorio /var/log/tiger; cada informe tendría el formato:

security.report.hostname.día.mes.año-hora.extensión

Aquí tendríamos dos opciones; si fuese un fichero de texto plano se podría leer directamente mediante algún editor de texto, pero si tratasemos un html podríamos jugar con él y hacerlo visible en nuestro servidor web para poder leerlo con más facilidad. Imaginemos que tenemos un arhivo llamado security.report.debianserver.150316-20:18.html, podríamos hacerlo visible en nuestro servidor mediante el siguiente procedimiento:
  1. mkdir /var/www/html/tiger
  2. cp /var/log/tiger/security.report.debianserver.150316-20:18.html /var/www/html/tiger/informe.html
  3. chmod 444 /var/www/html/tiger/informe.html

Ahora únicamente con escribir la URL de nuestro servidor web seguido de /tiger/informe.html, podríamos visualizar el informe con comodidad desde nuestro navegador; ahora solo quedaría revisarlo y ver en qué aspectos podemos mejorar nuestra seguridad.
Espero que os haya resultado útil.
Saludos.