Якщо ви відчуваєте, що безпека вашої Linux-системи недостатня, варто провести її аудит. Чудовий спосіб здійснити це – скористатися програмою, яка перевіряє рівень безпеки та пропонує конкретні рекомендації для покращення. Одним із таких інструментів є Lynis. Це програмне забезпечення, призначене для сканування та оцінки безпеки будь-якого комп’ютера з операційною системою Linux. Воно аналізує систему, виявляє потенційні вразливості та формує звіт з переліком проблем та можливих шляхів їх вирішення. Головною перевагою цього інструменту є його простота у використанні, що робить його доступним для широкого кола користувачів.
Ubuntu/Debian
Lynis має відмінну підтримку для дистрибутивів Debian та Ubuntu завдяки власному сховищу програмного забезпечення. Процес підключення цього сховища дещо відрізняється від інших джерел, оскільки воно є традиційним. Тут немає потреби в PPA або інших подібних рішеннях. Це забезпечує безпроблемну роботу Lynis як на Debian, так і на Ubuntu.
Щоб розпочати встановлення, відкрийте термінал та завантажте потрібний GPG-ключ.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Після успішного додавання ключа, додайте нове джерело програмного забезпечення Lynis до вашої системи.
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Сховище програмного забезпечення Lynis потребує спеціального пакету. Цей пакет забезпечить можливість взаємодії Ubuntu (або Debian) з джерелами програмного забезпечення через протокол HTTPS.
sudo apt install apt-transport-https
або
sudo apt-get install apt-transport-https
З встановленим пакетом `apt-transport-https` можна безпечно оновити перелік доступних джерел програмного забезпечення. Запустіть оновлення у терміналі.
sudo apt update
або
sudo apt-get update
Наостанок, встановіть Lynis.
sudo apt install lynis
або
sudo apt-get install lynis
Arch Linux
Як і більшість корисних програм, Arch Linux має інструмент безпеки Lynis в AUR (Arch User Repository). Для його встановлення відкрийте термінал та встановіть пакети Git та Base-devel. Потім завантажте код та згенеруйте новий пакет для Arch.
Важливе зауваження: Встановлення програмного забезпечення безпосередньо з Arch AUR, а не з офіційних сховищ, іноді може призвести до проблем із залежностями, які не встановлюються автоматично. У таких випадках вам може знадобитися встановити необхідні пакети вручну. Інформацію про залежності можна знайти внизу цієї сторінки.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Fedora
Lynis підтримує Fedora, хоча для його встановлення потрібне стороннє програмне забезпечення. Підключіть відповідне джерело, відкривши термінал та виконавши команди `touch` та `echo`.
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Далі оновіть необхідні пакети у вашій системі:
sudo dnf update ca-certificates curl nss openssl -y
Нарешті, встановіть Lynis за допомогою команди `dnf install`.
sudo dnf install lynis -y
OpenSUSE
Інструмент Lynis має своє сховище програмного забезпечення, доступне для всіх версій OpenSUSE. Підключіть його, виконавши наступні команди у терміналі.
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Після додавання репозиторію, настав час оновити систему.
sudo zypper refresh
Завершіть процес встановлення, скориставшись Zypper для встановлення Lynis.
sudo zypper install lynis
Загальний Linux
Для дистрибутивів Linux, які не мають прямої підтримки від розробника, Lynis пропонує загальний Tarball. Цей архів не потребує компіляції – користувачі можуть просто завантажити його та запустити програму безпосередньо.
Для встановлення Lynis за допомогою Tarball, скористайтесь командою `wget` для завантаження архіву, а потім розпакуйте його.
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Запустіть інструмент Lynis за допомогою:
./lynis
Використання Lynis
Lynis – це простий у використанні інструмент з широким набором опцій. Для звичайного користувача буде достатньо базових параметрів. Найпростіша (але всеосяжна) дія, яку може виконати програма, – це повний аудит системи. Щоб запустити аудит, відкрийте термінал та введіть наступну команду.
lynis audit system
Виконання вищезазначеної команди без прав адміністратора (sudo) просканує багато аспектів системи, проте не всі. Для виконання повного сканування потрібні права суперкористувача.
sudo lynis audit system --pentest
Бажаєте зберегти результати для подальшого аналізу? Перенаправте їх у текстовий файл.
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Сканування Dockerfile
Docker стає все більш популярним у Linux-системах. З огляду на велику кількість готових образів Docker, не виключені порушення безпеки. На щастя, Lynis дозволяє користувачам сканувати Dockerfile та перевіряти їх на наявність вразливостей. Для запуску сканування, виконайте наступну команду.
lynis audit dockerfile /home/username/path/to/dockerfile
Швидке сканування
Lynis підтримує різні види сканування. Якщо у вас обмежений час, вам може допомогти режим «швидкого» сканування. Він перевіряє основні компоненти системи для швидкого отримання результатів.
Запустіть швидкий аудит системи за допомогою:
lynis audit system -Q