Eine unzureichende Linux-Sicherheit kann riskant sein. Daher ist es ratsam, Ihr System regelmäßig zu überprüfen. Eine gute Methode hierfür ist der Einsatz eines Programms, das Sicherheitslücken aufdeckt und konkrete Verbesserungsvorschläge bietet. Lynis ist ein solches Tool. Es analysiert die Sicherheit eines Linux-Rechners, identifiziert potenzielle Probleme und schlägt Lösungen vor. Das Tool ist benutzerfreundlich und für jeden geeignet.
Installation auf Ubuntu/Debian
Lynis bietet hervorragende Unterstützung für Debian und Ubuntu durch ein eigenes Software-Repository. Die Aktivierung unterscheidet sich leicht von anderen Quellen, da es sich um ein traditionelles Repository handelt – es gibt keine PPAs. Dadurch ist Lynis auf beiden Systemen problemlos einsetzbar.
Öffnen Sie ein Terminal und laden Sie den passenden GPG-Schlüssel herunter:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Nachdem der Schlüssel akzeptiert wurde, fügen Sie die Lynis-Softwarequelle hinzu:
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Das Lynis-Repository benötigt ein spezielles Paket, um mit HTTPS-Quellen zu interagieren:
sudo apt install apt-transport-https
oder
sudo apt-get install apt-transport-https
Aktualisieren Sie nun die Softwarequellen:
sudo apt update
oder
sudo apt-get update
Zum Schluss installieren Sie Lynis:
sudo apt install lynis
oder
sudo apt-get install lynis
Installation auf Arch Linux
Lynis ist im AUR (Arch User Repository) verfügbar. Um es zu installieren, öffnen Sie ein Terminal, installieren Sie Git und die Base-devel-Pakete. Anschließend laden Sie den Code herunter und generieren ein Arch-Paket.
Achtung: Die Installation von Software aus dem AUR birgt das Risiko, dass Abhängigkeiten nicht automatisch installiert werden. Diese müssen Sie gegebenenfalls manuell installieren. Eine Liste der Abhängigkeiten finden Sie unter diesem Link.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Installation auf Fedora
Für Fedora ist Lynis über ein Drittanbieter-Repository verfügbar. Fügen Sie dieses mit den folgenden Befehlen hinzu:
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Aktualisieren Sie die folgenden Pakete:
sudo dnf update ca-certificates curl nss openssl -y
Installieren Sie Lynis:
sudo dnf install lynis -y
Installation auf OpenSUSE
Für OpenSUSE existiert ein eigenes Lynis-Repository. Aktivieren Sie es mit diesen Befehlen:
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Aktualisieren Sie das System:
sudo zypper refresh
Installieren Sie Lynis mit Zypper:
sudo zypper install lynis
Generische Linux-Distributionen
Für Distributionen ohne direkte Unterstützung bietet Lynis eine Tarball-Datei. Diese muss nicht kompiliert werden, sondern kann direkt nach dem Entpacken ausgeführt werden.
Laden Sie die Tarball-Datei herunter und entpacken Sie sie:
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Starten Sie Lynis:
./lynis
Verwendung von Lynis
Lynis bietet viele Optionen, für den Durchschnittsnutzer reichen jedoch die Standardfunktionen. Eine umfassende Prüfung des Systems führen Sie mit folgendem Befehl aus:
lynis audit system
Ohne Root-Rechte werden nicht alle Aspekte überprüft. Für einen vollständigen Scan sind Root-Rechte notwendig:
sudo lynis audit system --pentest
Um die Ergebnisse zu speichern, leiten Sie die Ausgabe in eine Textdatei um:
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Scannen von Docker-Dateien
Docker erfreut sich großer Beliebtheit. Fertige Docker-Images können Sicherheitsrisiken bergen. Lynis ermöglicht das Scannen von Docker-Dateien:
lynis audit dockerfile /home/username/path/to/dockerfile
Schnellscan
Für einen schnellen Überblick über die grundlegende Sicherheit nutzen Sie den Schnellscan:
lynis audit system -Q