Перейти к основному контенту

Периодический аудит безопасности системы, с помощью Lynis

Lynis — это профессиональный инструмент для глубокого аудита безопасности и укрепления (hardening) операционных систем на базе Linux. Он сканирует конфигурацию ядра, права на файлы, сетевые параметры, настройки SSH, Docker-окружение и проверяет систему на соответствие стандартам безопасности.

    Зачем это нужно: Безопасность — это процесс. Даже если сейчас сервер настроен идеально, со временем, после установки новых Docker-контейнеров или изменения сетевых правил, могут появиться скрытые уязвимости. Регулярный запуск Lynis позволяет вовремя заметить «ослабление гаек».

Шаг 1. Установка утилиты

В Debian 12 утилита устанавливается стандартно:

sudo apt update && sudo apt install lynis -y

Шаг 2. Запуск полного аудита системы

Чтобы запустить комплексное сканирование всех модулей операционной системы, выполните:

sudo lynis audit system

Скрипт поочередно проверит все разделы (от загрузчика до криптографии) и выведет лог на экран в реальном времени.


Шаг 3. Анализ итоговых результатов

В самом конце отчета обратите внимание на ключевой блок:

  •    
  • Hardening index: Общий показатель защищенности системы в процентах. Желательно поддерживать его на уровне выше 70%.
  •    
  • Warnings (Предупреждения): Критичные уязвимости, требующие немедленного исправления (обозначаются знаком !).
  •    
  • Suggestions (Предложения): Рекомендации по улучшению безопасности (настройки SSH, оптимизация sysctl, права на директории).

Шаг 4. Работа с конкретным тестом

Каждое предложение в отчете имеет свой уникальный идентификатор (например, [SSH-7408]). Чтобы получить развернутую справку по конкретной рекомендации прямо в консоли, используйте команду:

lynis show details TEST-ID

Пример: lynis show details SSH-7408

Полный подробный отчет о последней проверке всегда сохраняется в системном логе:

less /var/log/lynis.log
    Рекомендация: Запускайте этот аудит хотя бы раз в несколько месяцев или после развертывания крупных self-hosted проектов, чтобы контролировать общий уровень защищенности вашего домашнего узла.