Lynis 2.5.5 リリース - Linux システム用のセキュリティ監査およびスキャン ツール

Lynis は、Unix/Linux 系オペレーティング システム用のオープンソースで非常に強力な監査ツールです。システムをスキャンして、セキュリティ情報、一般的なシステム情報、インストール済みおよび利用可能なソフトウェア情報、設定ミス、セキュリティ上の問題、パスワードのないユーザー アカウント、間違ったファイル権限、ファイアウォール監査などをスキャンします。

Lynis は、Unix/Linux ベースのシステムにおけるソフトウェア パッチ管理、マルウェア スキャン、脆弱性検出のための最も信頼できる自動監査ツールの 1 つです。このツールは監査人、ネットワークおよびシステム管理者、セキュリティ専門家、およびペネトレーションテスターに役立ちます。。

Lynis は柔軟性があるため、次のようなさまざまな目的に使用されます。

• セキュリティ監査
• コンプライアンステスト
• 侵入テスト
• 脆弱性の検出
• システムの強化

数か月の開発を経て、Lynis 3.0.4 の新しいメジャー バージョンがリリースされました。これには、いくつかの新機能とテスト、および多くの小さな改善が含まれています。すべての Linux ユーザーに、Lynis のこの最新バージョンをテストしてアップグレードすることをお勧めします。

この記事では、ソース tarball ファイルを使用して Linux システムに Lynis 3.0.4 (Linux 監査ツール) をインストールする方法を説明します。

こちらもお読みください:

• ConfigServer セキュリティとファイアウォール (CSF) をインストールする
• Linux Rkhunter (ルートキットハンター) をインストールする
• Linux マルウェア検出 (LMD) をインストールする

Linux への Lynis のインストール

システム パッケージ マネージャーを介して Lynis をインストールすることは、Lynis を使い始める最も簡単な方法の 1 つです。 Lynis をディストリビューションにインストールするには、以下の手順に従ってください。

Debian、Ubuntu、Mint に Lynis をインストールする

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
sudo apt install apt-transport-https
echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
apt update
apt install lynis
lynis show version

Lynis を CentOS、RHEL、および Fedora にインストールする

yum update ca-certificates curl nss openssl
cat >/etc/yum.repos.d/cisofy-lynis.repo <<EOL
[lynis]
name=CISOfy Software - Lynis package
baseurl=https://packages.cisofy.com/community/lynis/rpm/
enabled=1
gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
gpgcheck=1
priority=2
EOL

yum makecache fast
yum install lynis

Lynis を openSUSE にインストールする

sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
sudo zypper repos
sudo zypper refresh
sudo zypper install lynis

ソースを使用した Lynis のインストール

Lynis をインストールしたくない場合は、ソース ファイルをダウンロードして、任意のディレクトリから直接実行できます。したがって、/usr/local/lynis の下に Lynis 用のカスタム ディレクトリを作成することをお勧めします。

mkdir /usr/local/lynis

wget コマンドを使用して信頼できる Web サイトからLynis ソース ファイルの安定バージョンをダウンロードし、次に示すように tar コマンドを使用して解凍します。

cd /usr/local/lynis
wget https://downloads.cisofy.com/lynis/lynis-3.0.4.tar.gz

tarballを解凍します

tar -xvf lynis-3.0.4.tar.gz

Lynis の基本的な実行と使用

Lynis を実行するには、root ユーザーである必要があります。これは、/var/log/lynis.log ファイルを作成して出力を書き込むためです。 Lynis を実行するには、次のコマンドを実行します。

cd lynis
./lynis

オプションを指定せずに ./lynis を実行すると、使用可能なパラメータの完全なリストが表示され、シェル プロンプトに戻ります。以下の図を参照してください。

Lynis プロセスを開始するには、audit system パラメータを定義して、Linux システム全体のスキャンを開始する必要があります。次のコマンドを使用して、以下に示すパラメータでスキャンを開始します。

./lynis audit system
Or
lynis audit system

上記のコマンドを実行すると、システムのスキャンが開始され、スキャンして完了するすべてのプロセスに対して[Enter] を押して続行するか、[CTRL]+C を押して停止するかどうかを尋ねられます。以下に添付されたスクリーンショットを参照してください。

Lynis Cronジョブの作成

システムの日次スキャン レポートを作成したい場合は、そのための cron ジョブを設定する必要があります。シェルで次のコマンドを実行します。

crontab -e

オプション --cronjob を使用して次の cron ジョブを追加すると、すべての特殊文字が出力から無視され、スキャンが完全に自動で実行されます。

30	22	*	*	*	root    /path/to/lynis -c -Q --auditor "automated" --cronjob

上記の cron ジョブの例は、毎日夜の午後 10 時 30 分 に実行され、/var/log/lynis.log ファイルに日次レポートを作成します。

リニスのスキャン結果

スキャン中に、出力が [OK] または [警告] として表示されます。 [OK] は良い結果と見なされ、[警告] は悪い結果と見なされます。ただし、[OK] の結果が正しく設定されており、[警告] であることを意味するものではありません。 』が悪いわけではありません。 /var/log/lynis.log にあるログを読んだ後、これらの問題を修正するための修正手順を実行する必要があります。

ほとんどの場合、スキャンの最後に問題を修正するための提案が提供されます。問題を解決するための提案のリストを示した添付の図を参照してください。

リニスを更新しています

現在の lynis バージョンを更新またはアップグレードしたい場合は、次のコマンドを入力するだけで、lynis の最新バージョンがダウンロードされ、インストールされます。

./lynis update info         
Or
lynis update info  

図に示されている上記のコマンドの出力を参照してください。 Lynis のバージョンは最新であると表示されます。

リニスパラメータ

Lynis パラメータの一部を参考にしてください。

• 監査システム – システム監査を実行します。
• コマンドの表示 – 利用可能な Lynis コマンドを表示します。
• ヘルプを表示 – ヘルプ画面を表示します。
• プロファイルを表示 – 検出されたプロファイルを表示します。
• 設定の表示 – プロファイルのアクティブな設定をすべてリストします。
• バージョンを表示 – 現在の Lynis バージョンを表示します。
• --cronjob : Lynis を cronjob として実行します (-c -Q を含む)。
• --help または -h : 有効なパラメータを表示します。
• --quick または -Q : エラー時を除き、ユーザー入力を待ちません。
• --version または -V : Lynis のバージョンを表示します。

以上です。この記事が、Linux システム実行時のセキュリティ問題を解決するのに大いに役立つことを願っています。詳細については、Lynis 公式ページ (https://cisofy.com/download/lynis/) をご覧ください。