Linux Security

Lynis unter Linux – Server professionell auf Sicherheit prüfen und härten

Die Sicherheit eines Linux-Servers sollte regelmäßig überprüft werden – nicht erst nach einem Sicherheitsvorfall. Mit Lynis steht ein leistungsstarkes Open-Source-Werkzeug zur Verfügung, das Systeme umfassend analysiert, Schwachstellen aufdeckt und konkrete Empfehlungen zur Härtung liefert. In diesem Artikel erfährst du, wie du Lynis unter Debian 13 installierst, einen Sicherheits-Audit durchführst und die Ergebnisse richtig interpretierst.

3 min Lesezeit
Grafik: Lynis - Linux-Server professionell absichern

Was ist Lynis?

Lynis ist ein Open-Source-Sicherheits-Audit-Tool für Linux-, Unix- und macOS-Systeme. Es wurde speziell entwickelt, um Administratoren dabei zu unterstützen, Sicherheitslücken, Fehlkonfigurationen und Optimierungspotenziale schnell zu erkennen.

Im Gegensatz zu klassischen Schwachstellenscannern durchsucht Lynis das lokale System und überprüft unter anderem:

  • Betriebssystem
  • Kernel
  • installierte Pakete
  • Benutzer und Berechtigungen
  • Authentifizierung
  • SSH-Konfiguration
  • Firewall
  • Netzwerkdienste
  • Cronjobs und Systemd-Timer
  • Dateisysteme
  • Logs
  • Kernel-Parameter
  • Malware-Schutz
  • Kryptografie
  • Docker- und Container-Umgebungen

Am Ende erstellt Lynis einen ausführlichen Bericht mit einer Sicherheitsbewertung und konkreten Verbesserungsvorschlägen.


Vorteile von Lynis

Lynis bietet zahlreiche Vorteile:

  • vollständig Open Source
  • kostenlos nutzbar
  • keine Agenten erforderlich
  • keine Netzwerkverbindung notwendig
  • sehr geringer Ressourcenverbrauch
  • ideal für Server, virtuelle Maschinen und Container
  • unterstützt nahezu alle Linux-Distributionen
  • zahlreiche Sicherheitsprüfungen integriert
  • konkrete Hardening-Empfehlungen

Gerade für Administratoren von Debian-, Ubuntu-, AlmaLinux-, Rocky- oder RHEL-Systemen gehört Lynis zu den Standardwerkzeugen.


Installation unter Debian 13

Die Installation ist denkbar einfach.

Zunächst die Paketlisten aktualisieren:

sudo apt update

Danach Lynis installieren:

sudo apt install lynis

Version prüfen:

lynis --version

Beispiel:

3.x.x

Ersten Systemaudit durchführen

Ein vollständiger Sicherheitscheck wird mit Root-Rechten ausgeführt:

sudo lynis audit system

Während der Analyse überprüft Lynis mehrere hundert Einzeltests.

Unter anderem werden kontrolliert:

  • installierte Kernel
  • Bootloader
  • Benutzerkonten
  • SSH
  • Firewall
  • Dateiberechtigungen
  • Cronjobs
  • PAM
  • Passwort-Richtlinien
  • Systemdienste
  • Logs
  • Kernelparameter
  • Netzwerkkonfiguration
  • Verschlüsselung

Der Audit dauert je nach Server meist zwischen einer und fünf Minuten.


Aufbau der Ausgabe

Nach Abschluss erscheint eine umfangreiche Zusammenfassung.

Typische Bereiche sind:

Boot and services

Kernel

Memory and Processes

Users and Groups

Authentication

Shells

File Systems

USB Devices

Networking

Firewalls

Software

Malware

Containers

SSH

Logging

Time

Cryptography

Databases

Web Servers

Jeder Bereich erhält mehrere Einzelprüfungen.


Warnungen verstehen

Lynis unterscheidet verschiedene Hinweise.

OK

Alles in Ordnung.

Beispiel:

SSH PermitRootLogin disabled

Warning

Hier wurde ein potenzielles Sicherheitsproblem erkannt.

Beispiel:

Warning: No firewall detected

Suggestion

Hier besteht Optimierungspotenzial.

Beispiel:

Suggestion: Install fail2ban

Recommendation

Empfohlene Maßnahme zur Verbesserung.

Zum Beispiel:

Enable process accounting

Hardening Index

Am Ende des Audits zeigt Lynis den sogenannten Hardening Index.

Beispielsweise:

Hardening index : 77 [######### ]

Dieser Wert ist keine Prozentzahl im eigentlichen Sinn, sondern eine Kennzahl für den aktuellen Sicherheitsstatus.

Typische Einordnung:

Hardening IndexBewertungunter 50deutlicher Verbesserungsbedarf50–70durchschnittlich70–85gut abgesichertüber 85sehr gut gehärtet

Der Index verbessert sich mit jeder umgesetzten Empfehlung.


Einzelne Tests ausführen

Auch einzelne Prüfungen lassen sich starten.

Beispielsweise:

sudo lynis show commands

zeigt verfügbare Prüfungen.

Informationen über ein bestimmtes Plugin:

sudo lynis show profiles

Bericht speichern

Der eigentliche Bericht wird automatisch abgelegt.

Typische Dateien:

/var/log/lynis.log

und

/var/log/lynis-report.dat

Die Logdatei enthält sämtliche Prüfschritte.

Der Report eignet sich hervorragend zur automatisierten Auswertung.


Report durchsuchen

Warnungen anzeigen:

grep Warning /var/log/lynis.log

Empfehlungen:

grep Suggestion /var/log/lynis.log

Hardening Index anzeigen:

grep hardening /var/log/lynis-report.dat

Automatische Sicherheitsprüfung

Lynis eignet sich hervorragend für regelmäßige Audits.

Beispielsweise kann monatlich ein Audit gestartet werden.

Systemd-Timer oder Cronjob:

sudo lynis audit system --quick

Der Parameter --quick überspringt einige interaktive Prüfungen und eignet sich besonders für automatisierte Kontrollen.


Eigenes Profil verwenden

Lynis unterstützt benutzerdefinierte Profile.

Standardprofil:

/etc/lynis/default.prf

Eigenes Profil:

/etc/lynis/custom.prf

Audit mit eigenem Profil:

sudo lynis audit system --profile /etc/lynis/custom.prf

Damit lassen sich Prüfungen deaktivieren oder zusätzliche Einstellungen vornehmen.


Aktualisierung

Da regelmäßig neue Sicherheitsprüfungen hinzukommen, sollte Lynis aktuell gehalten werden.

Unter Debian genügt:

sudo apt update
sudo apt upgrade

Typische Empfehlungen von Lynis

Bei vielen Servern werden ähnliche Hinweise ausgegeben.

Dazu gehören:

  • SSH stärker absichern
  • Root-Login deaktivieren
  • Fail2ban installieren
  • UFW oder nftables konfigurieren
  • AppArmor aktivieren
  • automatische Sicherheitsupdates einschalten
  • Kernelparameter härten
  • unnötige Dienste deaktivieren
  • Passwort-Richtlinien verbessern
  • Audit-Logging aktivieren
  • Malware-Scanner installieren
  • Zeitserver korrekt konfigurieren

Viele dieser Maßnahmen lassen sich innerhalb weniger Minuten umsetzen und erhöhen die Sicherheit deutlich.


Einsatz in professionellen Umgebungen

Lynis eignet sich hervorragend für:

  • Webserver
  • Datenbankserver
  • Mailserver
  • Virtualisierungsserver
  • Docker-Hosts
  • Kubernetes-Knoten
  • NAS-Systeme
  • Raspberry Pi
  • Cloud-Server
  • VPS
  • Root-Server

Auch vor einer Produktivsetzung empfiehlt sich ein vollständiger Audit.


Grenzen von Lynis

Lynis ist kein klassischer Vulnerability-Scanner.

Es ersetzt daher nicht:

  • Penetrationstests
  • Netzwerkscanner wie Nmap
  • Schwachstellenscanner wie OpenVAS oder Greenbone
  • Malware-Scanner
  • SIEM-Systeme

Vielmehr ergänzt Lynis diese Werkzeuge ideal, indem es lokale Sicherheitskonfigurationen und Systemhärtung überprüft.


Best Practices

Für einen dauerhaft sicheren Linux-Server empfiehlt sich folgendes Vorgehen:

  1. Lynis nach jeder Neuinstallation ausführen.
  2. Alle Warnungen analysieren.
  3. Empfehlungen schrittweise umsetzen.
  4. Firewall aktivieren.
  5. SSH absichern.
  6. Regelmäßige Updates installieren.
  7. Monatliche Audits automatisieren.
  8. Ergebnisse dokumentieren.
  9. Hardening Index regelmäßig vergleichen.
  10. Nach größeren Änderungen erneut einen Audit starten.


Lynis zählt zu den besten kostenlosen Sicherheitswerkzeugen für Linux-Systeme. Mit wenigen Befehlen analysiert das Tool Hunderte sicherheitsrelevante Einstellungen und liefert verständliche Hinweise zur Systemhärtung. Besonders Administratoren von Debian-Servern profitieren von der einfachen Installation, den ausführlichen Prüfberichten und dem aussagekräftigen Hardening Index.

Als Bestandteil eines regelmäßigen Sicherheitskonzepts hilft Lynis dabei, Fehlkonfigurationen frühzeitig zu erkennen, Risiken zu minimieren und die Sicherheit von Servern nachhaltig zu verbessern. In Kombination mit einer Firewall, aktuellen Sicherheitsupdates, starken Authentifizierungsmechanismen und weiteren Hardening-Maßnahmen ist Lynis ein unverzichtbares Werkzeug für jeden Linux-Administrator.