Lynisは、システムの広範なスキャンとそのセキュリティ防御のためのオープンソースのセキュリティ監査ツールであり、コンプライアンステストとシステム強化を実現します。このソフトウェアは2004年からGPLライセンスの下で配布されています。サーバー強化ガイドライン、ソフトウェアパッチ管理、完全自動監査を支援します。実際、lynisはサーバー自体を強化しませんが、脆弱性に関する情報を提供し、別の方法を提案します。ソフトウェアを強化します。
この記事は、公式パッケージリポジトリからLynisをインストールし、Ubuntu20.04LTSシステムのシステムセキュリティを監査するのに役立ちます。
Lynisの使用法:
lynisコマンド[オプション]
次のコマンドを使用して、該当するすべてのコマンドを表示できます。
$ lynis show command
Lynisコマンドリスト。
パッケージを介したLynisのインストール
Lynisはさまざまな方法でインストールできますが、Lynisを更新するだけでなく、パッケージマネージャーを介してインストールするのが最も簡単な方法です。 lynisパッケージはUbuntu20.04ですでに保守されていますが、最新のものではありません。そのため、公式のLynisパッケージリポジトリを使用して最新のものをインストールします。
Lynisリポジトリは安全なトランスポートにHTTPセキュアプロトコルを使用しているため、apt-transport-httpsがインストールされていることを確認してください。次のコマンドは使用しません。
$ sudo apt update
$ sudo apt install apt-transport-https
Lynisリポジトリを実装する前に、次のコマンドを使用してリポジトリキーを追加する必要があります。
$ sudo wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add -
Lynisのみを英語で使用するには、次のコマンドを使用して翻訳をスキップします。これにより、帯域幅を節約できます。
$ echo 'Acquire::Languages "none";' | sudo tee /etc/apt/apt.conf.d/99disable-translations
次に、次のコマンドを使用して、Lynisリポジトリをシステムパッケージリポジトリリストに追加します。
$ echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
パッケージをインストールする前にパッケージ情報を更新してください
$ sudo apt update
$ sudo apt install lynis
ここで、インストールが完了したら、次のコマンドを使用して、Lynisのバージョンが最新のものであるかどうかを確認します。
$ lynis show version
Lynisを使用したLinuxシステムの監査
次のlynisコマンドを使用して、基本的なシステム監査を実行できます。このコマンドを実行するためにroot権限は必要ありませんが、それを使用すると監査結果が得られます。
$ sudo lynis audit system
監査プロセス中に、さまざまなテストを実行し、標準出力へのテストのストリームで結果を出します。監査プロセスでは、テストを実行し、結果をセキュリティ、提案、ファイルシステム、テスト結果、デバッグ情報などのさまざまなカテゴリに分類して出力します。すべてのテストおよびデバッグ情報は /var/に記録されます。 log / lynis.log 監査レポートは/var/log/lynis-report.datに保存されます。 レポートファイルには、システムアプリケーション、サーバーの脆弱性のあるパッケージなどに関する一般的な情報が含まれています。システム監査を実行するたびに、以前のテスト結果が上書きされます。
次のシステム監査の例では、Ok、Found、Not Found、Suggestion、Warningなどのキーワードでラベル付けされたさまざまな監査結果を確認できます。Warningキーワードでラベル付けされた出力は、Lynisのアドバイスに従って修正する必要があります。
>
システム監査の出力
システム監査の出力。
監査出力の最後に、Lynisがシステム強化インデックスを計算するセキュリティスキャンの詳細、実行されたいくつかのスキャン、およびセキュリティに関連するその他の多くを確認できます。
Lynisセキュリティスキャンの詳細。
Lynis監査の警告と提案の評価
結果セクションに、警告がある場合はそのリストが表示されます。最初の行には、問題の種類とそのtest-idが表示されます。 2行目には、提案された解決策が含まれていますが、存在しない場合は何も表示されません。最後に、警告のガイダンスを参照しているURLを確認できます。
上記の監査警告セクションでわかるように、警告に対する解決策はありません。 test-idを使用して次のコマンドを使用すると、警告の詳細を表示できます。
$ sudo lynis show details PKGS-7392
特定の警告に関する詳細情報を表示すると、次の出力が表示されます。最後に、警告に対する最適な解決策も示しています。
警告の詳細を表示します。
次の提案セクションでは、システムを強化するための37の提案があります。同様に、test-idを使用して、推奨されるセキュリティ修正に関する詳細情報を表示することもできます。
提案
カスタムLynisプロファイルを作成する
Lynisはプロファイルを使用して、システム監査用の事前定義されたオプションのセットを用意しています。カスタムプロファイルを作成し、テストIDとともにskip-testディレクティブを使用することで、特定のテストIDの監査をスキップできます。以下の例では、カスタムプロファイル(custom.prf)を作成し、1行に1つずつテストIDとともにskip-testディレクティブを追加しました。基本的に、システムに適切であると判断した警告のテストをスキップできます。
$ sudo vim /etc/lynis/custom.prf
システム監査を保存して再度実行すると、以前の警告のうち2つがlynisによってスキップされたことがわかります。
警告をスキップした後の結果。
結論
この記事では、Lynisを使用してシステムを監査し、警告の修正とシステムセキュリティを強化するための提案を確認する方法を学びます。必要に応じて、公式サイトから詳細を学ぶことができます。この記事を読んでいただきありがとうございます。