Lynis2.5.5リリース-Linuxシステム用のセキュリティ監査およびスキャンツール


Lynisは、オペレーティングシステムのようなUnix/Linux用のオープンソースで非常に強力な監査ツールです。システムをスキャンして、セキュリティ情報、一般的なシステム情報、インストール済みおよび利用可能なソフトウェア情報、構成の間違い、セキュリティの問題、パスワードのないユーザーアカウント、間違ったファイル権限、ファイアウォール監査などを探します。

Lynisは、Unix/Linuxベースのシステムでのソフトウェアパッチ管理、マルウェアスキャン、および脆弱性検出のための最も信頼できる自動監査ツールの1つです。このツールは、監査人、ネットワークおよびシステム管理者、セキュリティスペシャリスト、侵入テスターに役立ちます。

Lynis 2.5.5の新しいメジャーアップグレードバージョンがリリースされました。数か月の開発期間を経て、いくつかの新機能とテスト、および多くの小さな改善が含まれています。すべてのLinuxユーザーに、この最新バージョンのLynisをテストしてアップグレードすることをお勧めします。

この記事では、ソースtarballファイルを使用してLinuxシステムにLynis 2.5.5(Linux監査ツール)をインストールする方法を紹介します。

こちらもお読みください:

  1. Install ConfigServer Security & Firewall (CSF)
  2. Install Linux Rkhunter (Rootkit Hunter)
  3. Install Linux Malware Detect (LMD)

Lynisのインストール

Lynisはインストールを必要とせず、どのディレクトリからでも直接使用できます。したがって、/usr/local/lynis の下にLynisのカスタムディレクトリを作成することをお勧めします。

# mkdir /usr/local/lynis

以下に示すように、wgetコマンドを使用して信頼できるWebサイトから安定バージョンのLynisソースファイルをダウンロードし、tarコマンドを使用して解凍します。

# cd /usr/local/lynis
# wget https://cisofy.com/files/lynis-2.5.5.tar.gz

tarballを解凍します

# tar -xvf lynis-2.5.5.tar.gz

LynisBasicsの実行と使用

Lynisを実行するには、rootユーザーである必要があります。これは、出力を作成して /var/log/lynis.log ファイルに書き込むためです。 Lynisを実行するには、次のコマンドを実行します。

# cd lynis
# ./lynis

オプションなしで ./ lynis を実行すると、使用可能なパラメーターの完全なリストが提供され、シェルプロンプトに戻ります。下の図を参照してください。

Lynisプロセスを開始するには、 -check-all パラメーターを定義して、Linuxシステム全体のスキャンを開始する必要があります。次のコマンドを使用して、以下に示すパラメーターでスキャンを開始します。

# ./lynis --check-all

上記のコマンドを実行すると、システムのスキャンが開始され、スキャンして完了するすべてのプロセスで[Enter]キーを押して続行するか、[CTRL] + Cキーを押して停止するように求められます。下の添付の図を参照してください。

スキャン中にユーザーがこのような確認応答(つまり、「Enterキーを押して続行」)を行わないようにするには、以下に示すように -c および -Q パラメーターを使用する必要があります。

# ./lynis -c -Q

ユーザーの確認を待たずに完全なスキャンを実行します。次のスクリーンキャストを参照してください。

LynisCronjobsの作成

システムの日次スキャンレポートを作成する場合は、そのcronジョブを設定する必要があります。シェルで次のコマンドを実行します。

# crontab -e

オプション -cronjob を使用して次のcronジョブを追加すると、すべての特殊文字が出力から無視され、スキャンが完全に自動化されて実行されます。

30	22	*	*	*	root    /path/to/lynis -c -Q --auditor "automated" --cronjob

上記の例のcronジョブは、毎日午後10時30分に実行され、 /var/log/lynis.log ファイルの下に日次レポートを作成します。

Lynisスキャン結果

スキャン中は、[OK]または[警告]として出力が表示されます。 [OK]は良い結果と見なされ、[WARNING]は悪い結果と見なされます。ただし、[OK]の結果が正しく構成されているわけではなく、[警告]が悪い必要はありません。 /var/log/lynis.log でログを読み取った後、これらの問題を修正するための修正手順を実行する必要があります。

ほとんどの場合、スキャンはスキャンの最後に問題を修正するための提案を提供します。問題を修正するための提案のリストを提供する添付の図を参照してください。

Lynisの更新

現在のlynisバージョンを更新またはアップグレードする場合は、次のコマンドを入力するだけで、最新バージョンのlynisがダウンロードおよびインストールされます。

# ./lynis update info         [Show update details]
# ./lynis update release      [Update Lynis release]

図の上記のコマンドの添付出力を参照してください。それは私たちのlynisバージョンが最新であると言います。

Lynisパラメータ

参照用のLynisパラメーターの一部。

  1. --checkall or -c : Start the scan.
  2. --check-update : Checks for Lynis update.
  3. --cronjob : Runs Lynis as cronjob (includes -c -Q).
  4. --help or -h : Shows valid parameters
  5. --quick or -Q : Don’t wait for user input, except on errors
  6. --version or -V : Shows Lynis version.

以上です。この記事が、実行中のシステムのセキュリティ問題を理解するのに役立つことを願っています。詳細については、https://cisofy.com/download/lynis/の公式Lynisページをご覧ください。