Lynis: автоматизированный аудит безопасности вашего Linux-сервера
Вы настроили сервер, развернули фаервол и убедились, что основные сервисы работают корректно. Но уверены ли вы, что в системе нет критических уязвимостей? Оптимальны ли настройки SSH? Не используете ли вы слабые пароли или устаревшие версии пакетов? Оставлять безопасность системы на волю случая — плохая стратегия для администрирования Linux.
Для комплексного решения этих задач существует Lynis — инструмент аудита безопасности с открытым исходным кодом. Он сканирует систему по десяткам параметров: от прав доступа к файлам и конфигураций ядра до настроек сети и пользователей. Lynis предоставляет подробный отчет с практическими рекомендациями по усилению защиты. Инструмент работает без установки агентов — достаточно скачать его и запустить.
Установка Lynis
Вы можете использовать менеджер пакетов или актуальную версию из репозитория GitHub:
sudo apt install lynis
git clone https://github.com/CISOfy/lynis
cd lynis
Базовый аудит системы
Для запуска полноценного сканирования используйте следующую команду:
sudo ./lynis audit system
Если вы устанавливали утилиту через системный пакетный менеджер, команда будет выглядеть так:
sudo lynis audit system
После завершения работы Lynis выведет отчет, содержащий оценку безопасности и список рекомендаций.
Ключевые преимущества Lynis
- Соответствие стандартам: Lynis помогает проверить систему на соответствие международным стандартам безопасности, таким как CIS Benchmarks, PCI-DSS, HIPAA и ISO27001.
- Детальные рекомендации: Инструмент не просто указывает на проблему, а предоставляет конкретные инструкции по исправлению, например, какие параметры изменить в
sshd_config. - Отсутствие агентов: Lynis не требует установки фоновых служб или открытия дополнительных портов.
- Автоматизация: Легко интегрируется в CI/CD пайплайны или запускается по расписанию через cron для непрерывного мониторинга.
Что именно проверяет Lynis?
Инструмент выполняет глубокий анализ следующих областей:
- Параметры загрузчика и конфигурации GRUB.
- Системные конфигурационные файлы.
- Версии установленных пакетов на наличие уязвимостей.
- Права доступа к критически важным файлам и директориям.
- Настройки SSH, сетевых служб и фаервола.
- Политики паролей, учетные записи и группы.
- Журналирование и параметры аудита системы.
Совет: Сохраняйте отчеты после каждого запуска. Сравнивая их во времени, вы сможете отслеживать динамику безопасности вашего сервера и оценивать эффективность внесенных правок.