Гид по технологиям

Аудит безопасности Linux с помощью Lynis

6 min read Безопасность Обновлено 05 Jan 2026
Аудит Linux с Lynis — руководство
Аудит Linux с Lynis — руководство

К чему эта инструкция

Lynis помогает выявить конфигурационные риски, устаревшие пакеты, открытые порты и слабые настройки аутентификации. Этот материал полезен администраторам, аудиторам и инженерам безопасности, которые хотят регулярно проверять серверы и рабочие станции на Linux и других Unix-подобных ОС.

Важно: запускать аудит нужно с правами root (sudo или su). Не выполняйте рекомендации из отчёта автоматически на продакшене без предварительного тестирования.

Краткое определение

Lynis — модульный сканер конфигурации и безопасности для Unix-подобных систем. Он не устанавливает агенты и может запускаться «с носителя» для минимального следа.

Как работает Lynis

Lynis самостоятельно профилирует систему: определяет ОС, менеджер служб, ядро, доступные утилиты и библиотеки. Затем выполняет набор тестов, применимых к найденным компонентам. Каждый тест генерирует предупреждение, рекомендацию или пометку «OK». Результат выводится в консоль и сохраняется в логах:

  • /var/log/lynis.log — технические данные сканирования;
  • /var/log/lynis-report.dat — свод рекомендаций и предупреждений.

Lynis не пытается «взламывать» систему — он ориентирован на конфигурационный анализ и hardening.

Установка и запуск

Ниже приведены два распространённых способа получить и запустить Lynis.

Установка через пакетный менеджер

На Debian/Ubuntu:

sudo apt install lynis

На RHEL/Fedora:

sudo dnf install lynis

На Arch:

sudo pacman -S lynis

Проверить версию:

sudo lynis --version

Примечание: в разных дистрибутивах имя пакета может отличаться. Всегда проверьте официальные репозитории или документацию дистрибутива.

Запуск из исходников или tarball

Если хотите минимальный след, скачайте tarball с официального сайта и запустите без установки:

tar xzf lynis-*.tar.gz
cd lynis-*
sudo ./lynis audit system

Скачивание и проверка архива: используйте HTTPS и проверяйте подписи/хеши по возможности.

Базовый аудит системы

Запустите полный аудит:

sudo lynis audit system

Аудит пройдёт по секциям: загрузка, службы, пользователи, сети, пакеты, файловая система, логирование, модуль PAM и т. п. По завершении вы увидите краткий итог с оценкой и набором рекомендаций.

специалисты по безопасности проводят аудит Linux на ПК

Разбор отчёта

вывод отчёта аудита Lynis

Отчёт разделён по категориям. Ниже — ключевые разделы и что искать в каждом из них.

  • Boot and Services — какие init-системы и сервисы запущены, какие из них включены в автозагрузку, есть ли уязвимые или небезопасные сервисы.
  • Users, Groups, and Authentication — проверка учётных записей, политик паролей, сроков действия паролей, прав на /etc/passwd и PAM-конфигурации.
  • USB Devices — наличие контролей доступа к USB и возможных рисков от автоматического монтирования устройств.
  • Ports and Packages — список открытых портов, необновлённых пакетов и известных рискованных сервисов.
  • Logging and Files — состояние логирования, доступность файлов логов, ротация и права доступа.

Lynis помечает результаты цветом, чтобы выделить приоритеты.

Цветовая кодировка

  • Зелёный — OK, действие не требуется.
  • Оранжевый — есть рекомендация; требуется изучение и возможное вмешательство.
  • Красный — критическая проблема, требует срочной реакции.

Важное замечание: цветовая пометка — подсказка, а не окончательное решение. Контекст окружения (например, тестовая система или продуктовый сервер) меняет приоритеты.

Как читать рекомендации

В конце отчёта Lynis часто даёт URL для подробных инструкций. Ссылки — отправная точка, но итоговое решение должно соответствовать политике вашей организации. Для каждой рекомендации проделайте: воспроизведение в тестовом окружении, оценка рисков, план отката.

подсказки и ссылки в отчёте Lynis

Типичный рабочий процесс (мини-методология)

  1. Подготовка: создайте снимок системы (snapshot) или снимите бэкап важных данных.
  2. Запуск Lynis в тестовом окружении.
  3. Сбор отчётов и фильтрация по приоритету: критичные → средние → информационные.
  4. Создание задач в системе управления инцидентами (Jira, Redmine и т. п.) с указанием шага воспроизведения и критичности.
  5. Внедрение исправлений в тестовом окружении.
  6. Регресс-тест и повторный запуск Lynis.
  7. Выкат на продуктив с планом отката.

Чеклист ролей

Для администратора (sysadmin)

  • Проверить права на /etc и /var/log.
  • Обновить устаревшие пакеты.
  • Отключить ненужные сетевые сервисы.
  • Настроить ротацию логов и централизованное логирование.

Для инженера безопасности

  • Оценить рекомендации Lynis по priority и соответствию корпоративным политикам.
  • Провести контроль изменений перед исправлением.
  • Подготовить правила для IPS/IDS и файервола.

Для аудитора

  • Сохранить полные отчёты Lynis (lynis-report.dat и lynis.log).
  • Проверить, что предыдущие рекомендации были закрыты.
  • Зафиксировать отклонения от базовых политик.

Примеры команд и «cheat sheet»

Запустить быстрый проверочный аудит:

sudo lynis quick --tests-from-group malware,authentication,network

Включить детальный режим (debug):

sudo lynis -c -Q --log-file /tmp/lynis-custom.log audit system

Показать доступные опции и модули:

sudo lynis show tools
sudo lynis show installed

Документация и справка:

sudo lynis show
man lynis

Когда Lynis даёт ложные срабатывания или не подходит

  • Если система сильно кастомизирована (нетипичные пути, самописные сервисы), Lynis может не распознать компоненты и дать предупреждение.
  • Если в окружении используются специфичные дистрибутивы или контейнерные образы с минимальным набором утилит, некоторые тесты будут неприменимы.

Контрприём: создавать собственные профили и исключения, адаптировать политики и хранить документацию по исключениям.

Альтернативные инструменты и подходы

  • OpenSCAP — для соответствия стандартам (CIS, STIG).
  • Lynis в сочетании с сетевым сканером (Nmap) и анализом пакетов (Wireshark, tcpdump) даёт полную картину.
  • Для CI/CD можно интегрировать статический анализ конфигураций (Ansible Lint, Docker Bench).

Decision flow: как реагировать на критическое предупреждение

flowchart TD
  A[Найдена проблема] --> B{Критичность}
  B -->|Критичная| C[Остановить сервис/изолировать узел]
  B -->|Средняя| D[Создать задачу, приоритизировать]
  B -->|Низкая| E[Запланировать исправление]
  C --> F[Воспроизвести в тесте]
  F --> G[Внедрить исправление и мониторить]
  D --> G
  E --> H[Мониторинг]
  G --> I[Повторный запуск Lynis]
  I --> J[Закрыть задачу]

Критерии приёмки

  • Нет критических предупреждений в отчёте для целей безопасности в продакшене.
  • Устранённые критические элементы подтверждены повторным запуском Lynis.
  • Изменения задокументированы и покрыты регресс-тестами.

Тесты и приёмочные критерии

  • Тест: отключение уязвимого сервиса должно убрать соответствующий красный маркер.
  • Критерий: после исправления и перезапуска Lynis — маркер становится зелёным или исчезает из отчёта.

Советы по безопасности и жёсткому укреплению

  • Минимизируйте набор пакетов в образе/сервере.
  • Используйте централизованное логирование и ротацию logrotate.
  • Включите двухфакторную аутентификацию для привилегированных учётных записей.
  • Регулярно применяйте обновления безопасности и проверяйте список установленных пакетов на предмет уязвимостей.

Совместимость и миграция

Lynis работает на большинстве Unix-подобных систем: Linux, macOS, FreeBSD, Solaris. При миграции между дистрибутивами обратите внимание на отличия в менеджерах пакетов и путях к конфигурациям (например, systemd vs OpenRC).

Конфиденциальность и хранение логов

  • Логи Lynis могут содержать технические детали об окружении. Ограничьте доступ к /var/log/lynis.log и lynis-report.dat по принципу наименьших привилегий.
  • Определите политику хранения логов в соответствии с требованиями конфиденциальности вашей организации или регуляторов.

Пример плана исправления (SOP)

  1. Создать резервную копию конфигураций и данных.
  2. Выполнить исправление в тестовом окружении.
  3. Провести функциональные и регрессионные тесты.
  4. Согласовать окно обслуживания для продуктивного ввода исправлений.
  5. Применить исправление и наблюдать метрики в течение запланированного времени.
  6. Повторный запуск Lynis и закрытие задачи при успешном результате.

Когда стоит применять дополнительные инструменты

  • Для поиска уязвимых пакетов используйте сканеры уязвимостей (например, OpenVAS, Nessus).
  • Для непрерывной проверки включайте Lynis в pipeline или плановое задание cron и отправляйте результаты в систему управления задачами.

Заключение

Lynis — лёгкий и мощный инструмент для аудита безопасности Unix-систем. Он даёт полезные рекомендации и помогает преобразовать результаты аудитов в конкретные задачи по улучшению безопасности. Внедрите регулярные проверки, интегрируйте их в процессы управления изменениями и используйте чеклисты для ускорения реакции на критические находки.

Ключевые шаги: установить или запустить Lynis, собрать отчёт, приоритизировать результаты, выполнить исправления в тестовой среде и подтвердить их повторным аудитом.

Краткое резюме

  • Lynis профилирует систему и выполняет модульные проверки.
  • Отчёты сохраняются в /var/log/lynis.log и /var/log/lynis-report.dat.
  • Внедряйте исправления через тестовую среду и документируйте все изменения.
  • Используйте чеклисты ролей и decision flow для оперативной реакции на критические находки.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство