Вы настроили сервер, развернули фаервол и убедились, что основные сервисы работают корректно. Но уверены ли вы, что в системе нет критических уязвимостей? Оптимальны ли настройки SSH? Не используете ли вы слабые пароли или устаревшие версии пакетов? Оставлять безопасность системы на волю случая — плохая стратегия для администрирования Linux.

Для комплексного решения этих задач существует Lynis — инструмент аудита безопасности с открытым исходным кодом. Он сканирует систему по десяткам параметров: от прав доступа к файлам и конфигураций ядра до настроек сети и пользователей. Lynis предоставляет подробный отчет с практическими рекомендациями по усилению защиты. Инструмент работает без установки агентов — достаточно скачать его и запустить.

Установка Lynis

Вы можете использовать менеджер пакетов или актуальную версию из репозитория GitHub:

sudo apt install lynis
git clone https://github.com/CISOfy/lynis
cd lynis

Базовый аудит системы

Для запуска полноценного сканирования используйте следующую команду:

sudo ./lynis audit system

Если вы устанавливали утилиту через системный пакетный менеджер, команда будет выглядеть так:

sudo lynis audit system

После завершения работы Lynis выведет отчет, содержащий оценку безопасности и список рекомендаций.

Ключевые преимущества Lynis

  • Соответствие стандартам: Lynis помогает проверить систему на соответствие международным стандартам безопасности, таким как CIS Benchmarks, PCI-DSS, HIPAA и ISO27001.
  • Детальные рекомендации: Инструмент не просто указывает на проблему, а предоставляет конкретные инструкции по исправлению, например, какие параметры изменить в sshd_config.
  • Отсутствие агентов: Lynis не требует установки фоновых служб или открытия дополнительных портов.
  • Автоматизация: Легко интегрируется в CI/CD пайплайны или запускается по расписанию через cron для непрерывного мониторинга.

Что именно проверяет Lynis?

Инструмент выполняет глубокий анализ следующих областей:

  • Параметры загрузчика и конфигурации GRUB.
  • Системные конфигурационные файлы.
  • Версии установленных пакетов на наличие уязвимостей.
  • Права доступа к критически важным файлам и директориям.
  • Настройки SSH, сетевых служб и фаервола.
  • Политики паролей, учетные записи и группы.
  • Журналирование и параметры аудита системы.

Совет: Сохраняйте отчеты после каждого запуска. Сравнивая их во времени, вы сможете отслеживать динамику безопасности вашего сервера и оценивать эффективность внесенных правок.