Аудит безопасности VPS через Lynis
Lynis — открытый аудитор безопасности Linux. Один запуск даёт список слабых мест сервера и понятный индекс защищённости с конкретными рекомендациями.
Содержание
Что делает Lynis
['Lynis проходит по десяткам категорий: параметры ядра, настройки SSH, состояние фаервола, права на важные файлы, запущенные службы, механизм обновлений, политика паролей и аутентификация. По итогам он выдаёт три вида находок — предупреждения (warnings), подсказки (suggestions) — и общий hardening index: число от 0 до 100, отражающее уровень защищённости.', 'Ключевое свойство инструмента: он только читает конфигурацию и ничего не меняет. Поэтому запускать Lynis безопасно даже на боевом сервере в рабочее время. На VPS MAATRIX с полным root-доступом Lynis видит все системные настройки и даёт максимально полный отчёт, а не урезанный из-за нехватки прав.', 'Lynis не заменяет остальные меры, а дополняет их: он показывает, что вы упустили, и задаёт направление для hardening. Это отличный способ проверить себя после первичной настройки сервера по чек-листу.']Нужен сервер под эту задачу?
Разверните VPS MAATRIX за пару минут: NVMe, AMD EPYC, root-доступ, локации UK и США. Оплата картой РФ и по СБП.
Арендовать VPS для аудитаУстановка
['Ставьте из репозитория дистрибутива или берите свежую версию с официального GitHub. Для актуальных проверок лучше свежая версия, так как база тестов регулярно пополняется.', 'apt update && apt install lynis -y\nlynis show version', 'Если нужна самая новая версия, можно клонировать репозиторий и запускать из каталога напрямую: git clone https://github.com/CISOfy/lynis и затем ./lynis audit system. Для большинства задач достаточно пакета из apt.']
Запуск аудита
['Полное сканирование системы запускается одной командой. Отчёт выводится на экран по секциям и параллельно пишется в лог-файлы.', 'lynis audit system', 'После завершения смотрите итоговую сводку: hardening index, число warnings и suggestions, а также пути к подробным данным в /var/log/lynis.log и машиночитаемом /var/log/lynis-report.dat. Второй файл удобно парсить, если вы собираете метрики безопасности с нескольких серверов.']
Разбор результатов
['Начинайте с раздела Warnings — это наиболее критичные пункты, требующие внимания. Затем переходите к Suggestions, отбирая релевантные роли сервера. Типичные находки на свежем VPS:', '- Разрешён вход root по SSH.
- Не настроен или отключён фаервол.
- Нет системы обнаружения вторжений.
- Слабые параметры паролей и отсутствие 2FA.
- Не включены автообновления безопасности.
- Открыты лишние сетевые службы.
[SSH-7408] или [AUTH-9328], по которому легко найти детали и рекомендованные значения в документации Lynis. Это превращает абстрактное «сервер небезопасен» в конкретный список задач.']
Закрываем типовые находки
['Пример: Lynis советует ужесточить SSH. Открываем конфиг и применяем рекомендации, например запрещаем вход root.', "sudo sed -i 's/^#\\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config\nsudo systemctl restart ssh", 'Другой частый пункт — включить автообновления безопасности:', 'apt install unattended-upgrades -y\ndpkg-reconfigure --priority=low unattended-upgrades', 'После правок запустите аудит повторно и убедитесь, что индекс вырос, а конкретное предупреждение исчезло. Так, итеративно закрывая пункты, доводят сервер с типичных 55–65 до уверенных 80–90.']
Регулярность и частые ошибки
['Аудит полезно прогонять после каждого крупного изменения конфигурации и раз в месяц по расписанию через cron.', "echo '0 3 1 * * root lynis audit system --cronjob' > /etc/cron.d/lynis", '- Гнаться за индексом 100 в ущерб работе сервисов — часть подсказок не подходит вашей роли сервера.
- Игнорировать warnings и смотреть только на итоговую цифру индекса.
- Не перепроверять результат после внесённых правок.
- Применять рекомендации не глядя, ломая нужные вам службы.
Нужен сервер под эту задачу?
Разверните VPS MAATRIX за пару минут: NVMe, AMD EPYC, root-доступ, локации UK и США. Оплата картой РФ и по СБП.
Арендовать VPS для аудитаЧастые вопросы
Lynis что-то меняет в системе?
Нет, он только читает и анализирует конфигурацию. Все изменения вы применяете сами по его рекомендациям, поэтому запуск полностью безопасен даже на боевом сервере.
Какой hardening index считается хорошим?
Для боевого сервера ориентир — 75–90. Значение 100 обычно недостижимо и не нужно: часть подсказок противоречит функциям конкретного сервера.
Чем Lynis отличается от сканеров уязвимостей?
Lynis проверяет конфигурацию и hardening локально, а не ищет CVE в сети. Его хорошо дополняют внешние сканеры портов и своевременное обновление пакетов.