Se a sua configuração Linux não estiver tão segura quanto deveria, realizar uma análise de segurança é uma excelente estratégia. Uma maneira eficaz de fazer isso é usar um programa que avalie a segurança e forneça soluções claras. Uma ferramenta de análise desse tipo é o Lynis. Ele inspeciona seu sistema Linux, testa sua segurança e gera uma lista de vulnerabilidades e correções. A grande vantagem é que ele é simples de usar e acessível a todos.
Instalação em Ubuntu/Debian
O Lynis oferece excelente suporte para Debian e Ubuntu por meio de um repositório próprio. Ativar este repositório é um pouco diferente do que comumente se vê, já que ele não usa PPA. Ele foi projetado para funcionar perfeitamente nessas distribuições.
Para começar, abra o terminal e obtenha a chave GPG necessária:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Com a chave instalada, adicione o repositório do Lynis:
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
O repositório precisa de um pacote especial para comunicação HTTPS:
sudo apt install apt-transport-https
ou
sudo apt-get install apt-transport-https
Agora, atualize as fontes de software:
sudo apt update
ou
sudo apt-get update
Finalmente, instale o Lynis:
sudo apt install lynis
ou
sudo apt-get install lynis
Instalação em Arch Linux
O Arch Linux disponibiliza o Lynis no AUR. Para instalar, use o terminal, instale Git e base-devel, baixe o código e construa o pacote.
Importante: Instalar software do AUR pode trazer problemas de dependências. Caso ocorram, consulte a página de documentação do Lynis para detalhes.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Instalação em Fedora
O Fedora requer um repositório de terceiros para instalar o Lynis. Habilite-o com os seguintes comandos no terminal:
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Atualize os pacotes necessários:
sudo dnf update ca-certificates curl nss openssl -y
Finalmente, instale o Lynis:
sudo dnf install lynis -y
Instalação em OpenSUSE
O Lynis possui um repositório para OpenSUSE. Adicione-o via terminal:
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Atualize o sistema:
sudo zypper refresh
E instale o Lynis:
sudo zypper install lynis
Instalação Genérica
Para outras distribuições, o Lynis oferece um arquivo Tarball, que não precisa ser compilado. Basta baixar e executar.
Para instalar, use wget, baixe e extraia o pacote:
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Execute o Lynis com:
./lynis
Usando o Lynis
O Lynis é fácil de usar. A função mais básica é uma análise completa do sistema. Execute-a com:
lynis audit system
Para obter resultados mais completos, utilize o comando com sudo:
sudo lynis audit system --pentest
Para salvar os resultados em um arquivo:
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Verificando arquivos Docker
O Lynis também permite analisar arquivos Docker em busca de problemas. Para isso, use:
lynis audit dockerfile /home/username/path/to/dockerfile
Análise rápida
Para uma análise mais rápida, use o modo de verificação “rápida”:
Execute uma análise rápida com:
lynis audit system -Q