Pokud se obáváte o zabezpečení vašeho Linuxového systému, je rozumné provést jeho důkladnou kontrolu. Vynikajícím způsobem, jak to udělat, je použít specializovaný software, který otestuje bezpečnost a nabídne konkrétní nápravná opatření. Jedním z takových nástrojů je Lynis. Tento program dokáže prověřit zabezpečení libovolného počítače s Linuxem. Prohledá váš systém, vyhodnotí jeho bezpečnostní stav a vygeneruje seznam možných problémů a doporučení k jejich odstranění. Výhodou Lynisu je jeho snadné používání, díky čemuž je dostupný pro širokou škálu uživatelů.
Ubuntu/Debian
Lynis je skvěle podporován na systémech Debian a Ubuntu díky jejich vlastnímu softwarovému repozitáři. Aktivace tohoto repozitáře se trochu liší od ostatních zdrojů softwaru, protože se jedná o tradiční úložiště. Nejsou zde žádné PPA ani podobné mechanismy. Lynis tedy funguje bez jakýchkoli komplikací na obou distribucích, Debianu i Ubuntu.
Pro zahájení instalace otevřete terminál a nejprve stáhněte správný GPG klíč.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Po ověření klíče přidejte do systému nový zdroj softwaru pro Lynis.
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Softwarové úložiště Lynis vyžaduje speciální balíček. Ten umožní Ubuntu (nebo Debianu) komunikovat se zdroji softwaru přes HTTPS.
sudo apt install apt-transport-https
nebo
sudo apt-get install apt-transport-https
S balíčkem `apt-transport-https` správně fungujícím na vašem systému můžete bezpečně aktualizovat zdroje softwaru. Spusťte aktualizaci v terminálu.
sudo apt update
nebo
sudo apt-get update
Nyní můžete konečně nainstalovat samotný Lynis.
sudo apt install lynis
nebo
sudo apt-get install lynis
Arch Linux
Podobně jako u většiny programů, i pro Arch Linux je Lynis dostupný v AUR. Pro instalaci otevřete terminál a nejprve nainstalujte Git a balíčky `base-devel`. Poté stáhněte zdrojový kód a vygenerujte nový balíček pro Arch.
Poznámka: Instalace softwaru přímo z Arch AUR, namísto oficiálních zdrojů softwaru, může způsobit, že se některé závislosti nenainstalují automaticky. Pokud k tomu dojde během instalace Lynisu, budete možná muset tyto balíčky doinstalovat ručně. Jejich seznam naleznete na spodní části této stránky.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Fedora
Lynis podporuje i Fedoru, avšak pro jeho instalaci je nutné přidat repozitář třetí strany. Aktivujte tento zdroj pomocí příkazů `touch` a `echo` v terminálu.
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Následně aktualizujte některé základní balíčky ve vašem systému:
sudo dnf update ca-certificates curl nss openssl -y
Nyní můžete nainstalovat Lynis pomocí správce balíčků `dnf`.
sudo dnf install lynis -y
OpenSUSE
Nástroj Lynis má dostupné softwarové repozitáře pro všechny verze OpenSUSE. Aktivujte ho pomocí následujících příkazů v terminálu.
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Po přidání repozitáře je vhodné aktualizovat systém.
sudo zypper refresh
Dokončete instalaci pomocí `zypperu` k instalaci Lynisu.
sudo zypper install lynis
Obecný Linux
Pro uživatele distribucí Linuxu, které nejsou přímo podporovány vývojáři Lynisu, je k dispozici univerzální archiv Tarball. Tento archiv nevyžaduje žádnou kompilaci. Uživatelé si ho jednoduše stáhnou a mohou program okamžitě spustit.
Pro instalaci Lynisu pomocí archivu Tar, použijte nástroj `wget` ke stažení balíčku a následně ho rozbalte.
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Spusťte nástroj Lynis pomocí:
./lynis
Použití Lynisu
Lynis je jednoduchý nástroj, který nabízí mnoho možností. Pro běžného uživatele postačí základní funkce. Tou nejzákladnější (avšak zároveň velmi důkladnou) operací, kterou program umí, je provedení kompletního auditu systému. Pro spuštění auditu otevřete terminál a zadejte následující příkaz:
lynis audit system
Výše uvedený příkaz, spuštěný bez práv administrátora (`sudo`), prohledá mnoho aspektů systému. Ovšem nezjistí úplně vše. Pro provedení kompletní kontroly jsou potřeba administrátorská práva.
sudo lynis audit system --pentest
Potřebujete uložit výsledky auditu pro pozdější analýzu? Přesměrujte výstup do textového souboru:
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Skenování Docker souboru
Docker se stává stále populárnější na Linuxových systémech. Vzhledem k množství předpřipravených Docker obrazů může docházet k bezpečnostním rizikům. Lynis naštěstí umožňuje skenovat Docker soubory a testovat je na potenciální problémy. Pro spuštění testu použijte následující příkaz:
lynis audit dockerfile /home/username/path/to/dockerfile
Rychlá kontrola
Lynis nabízí různé typy skenování. Pokud potřebujete rychlou kontrolu, můžete použít režim „rychlého“ skenování. Tento režim otestuje základní oblasti systému a poskytne rychlé výsledky.
Spusťte rychlý audit systému pomocí:
lynis audit system -Q