Перейти к основному контенту

Периодический аудит безопасности системы, с помощью Lynis

<p><strong>Lynis</strong> — это профессиональный инструмент для глубокого аудита безопасности и укрепления (hardening) операционных систем на базе Linux. Он сканирует конфигурацию ядра, права на файлы, сетевые параметры, настройки SSH, Docker-окружение и проверяет систему на соответствие стандартам безопасности.</p>


<div style="background-color: #f5f5f5; border-left: 4px solid #00bcd4; padding: 12px; margin-bottom: 20px;">

    <strong>Зачем это нужно:</strong> Безопасность — это процесс. Даже если сейчас сервер настроен идеально, со временем, после установки новых Docker-контейнеров или изменения сетевых правил, могут появиться скрытые уязвимости. Регулярный запуск Lynis позволяет вовремя заметить «ослабление гаек».

</div>


<hr />


<h2>Шаг 1. Установка утилиты</h2>

<p>В Debian 12 утилита устанавливается стандартно:</p>


<pre><code class="language-bash">sudo apt update &amp;&amp; sudo apt install lynis -y</code></pre>


<hr />


<h2>Шаг 2. Запуск полного аудита системы</h2>

<p>Чтобы запустить комплексное сканирование всех модулей операционной системы, выполните:</p>


<pre><code class="language-bash">sudo lynis audit system</code></pre>


<p>Скрипт поочередно проверит все разделы (от загрузчика до криптографии) и выведет лог на экран в реальном времени.</p>


<hr />


<h2>Шаг 3. Анализ итоговых результатов</h2>

<p>В самом конце отчета обратите внимание на ключевой блок:</p>

<ul>

    <li><strong>Hardening index:</strong> Общий показатель защищенности системы в процентах. Желательно поддерживать его на уровне выше 70%.</li>

    <li><strong>Warnings (Предупреждения):</strong> Критичные уязвимости, требующие немедленного исправления (обозначаются знаком <code>!</code>).</li>

    <li><strong>Suggestions (Предложения):</strong> Рекомендации по улучшению безопасности (настройки SSH, оптимизация sysctl, права на директории).</li>

</ul>


<hr />


<h2>Шаг 4. Работа с конкретным тестом</h2>

<p>Каждое предложение в отчете имеет свой уникальный идентификатор (например, <code>[SSH-7408]</code>). Чтобы получить развернутую справку по конкретной рекомендации прямо в консоли, используйте команду:</p>


<pre><code class="language-bash">lynis show details TEST-ID</code></pre>

<p><em>Пример: <code>lynis show details SSH-7408</code></em></p>


<p>Полный подробный отчет о последней проверке всегда сохраняется в системном логе:</p>

<pre><code class="language-bash">less /var/log/lynis.log</code></pre>


<div style="background-color: #f9f9f9; border-left: 4px solid #4caf50; padding: 12px; margin-top: 15px;">

    <strong>Рекомендация:</strong> Запускайте этот аудит хотя бы раз в несколько месяцев или после развертывания крупных self-hosted проектов, чтобы контролировать общий уровень защищенности вашего домашнего узла.

</div>