Was ist Lynis?
Lynis ist ein Open-Source-Sicherheits-Audit-Tool für Linux-, Unix- und macOS-Systeme. Es wurde speziell entwickelt, um Administratoren dabei zu unterstützen, Sicherheitslücken, Fehlkonfigurationen und Optimierungspotenziale schnell zu erkennen.
Im Gegensatz zu klassischen Schwachstellenscannern durchsucht Lynis das lokale System und überprüft unter anderem:
- Betriebssystem
- Kernel
- installierte Pakete
- Benutzer und Berechtigungen
- Authentifizierung
- SSH-Konfiguration
- Firewall
- Netzwerkdienste
- Cronjobs und Systemd-Timer
- Dateisysteme
- Logs
- Kernel-Parameter
- Malware-Schutz
- Kryptografie
- Docker- und Container-Umgebungen
Am Ende erstellt Lynis einen ausführlichen Bericht mit einer Sicherheitsbewertung und konkreten Verbesserungsvorschlägen.
Vorteile von Lynis
Lynis bietet zahlreiche Vorteile:
- vollständig Open Source
- kostenlos nutzbar
- keine Agenten erforderlich
- keine Netzwerkverbindung notwendig
- sehr geringer Ressourcenverbrauch
- ideal für Server, virtuelle Maschinen und Container
- unterstützt nahezu alle Linux-Distributionen
- zahlreiche Sicherheitsprüfungen integriert
- konkrete Hardening-Empfehlungen
Gerade für Administratoren von Debian-, Ubuntu-, AlmaLinux-, Rocky- oder RHEL-Systemen gehört Lynis zu den Standardwerkzeugen.
Installation unter Debian 13
Die Installation ist denkbar einfach.
Zunächst die Paketlisten aktualisieren:
sudo apt update
Danach Lynis installieren:
sudo apt install lynis
Version prüfen:
lynis --version
Beispiel:
3.x.x
Ersten Systemaudit durchführen
Ein vollständiger Sicherheitscheck wird mit Root-Rechten ausgeführt:
sudo lynis audit system
Während der Analyse überprüft Lynis mehrere hundert Einzeltests.
Unter anderem werden kontrolliert:
- installierte Kernel
- Bootloader
- Benutzerkonten
- SSH
- Firewall
- Dateiberechtigungen
- Cronjobs
- PAM
- Passwort-Richtlinien
- Systemdienste
- Logs
- Kernelparameter
- Netzwerkkonfiguration
- Verschlüsselung
Der Audit dauert je nach Server meist zwischen einer und fünf Minuten.
Aufbau der Ausgabe
Nach Abschluss erscheint eine umfangreiche Zusammenfassung.
Typische Bereiche sind:
Boot and services Kernel Memory and Processes Users and Groups Authentication Shells File Systems USB Devices Networking Firewalls Software Malware Containers SSH Logging Time Cryptography Databases Web Servers
Jeder Bereich erhält mehrere Einzelprüfungen.
Warnungen verstehen
Lynis unterscheidet verschiedene Hinweise.
OK
Alles in Ordnung.
Beispiel:
SSH PermitRootLogin disabled
Warning
Hier wurde ein potenzielles Sicherheitsproblem erkannt.
Beispiel:
Warning: No firewall detected
Suggestion
Hier besteht Optimierungspotenzial.
Beispiel:
Suggestion: Install fail2ban
Recommendation
Empfohlene Maßnahme zur Verbesserung.
Zum Beispiel:
Enable process accounting
Hardening Index
Am Ende des Audits zeigt Lynis den sogenannten Hardening Index.
Beispielsweise:
Hardening index : 77 [######### ]
Dieser Wert ist keine Prozentzahl im eigentlichen Sinn, sondern eine Kennzahl für den aktuellen Sicherheitsstatus.
Typische Einordnung:
Hardening IndexBewertungunter 50deutlicher Verbesserungsbedarf50–70durchschnittlich70–85gut abgesichertüber 85sehr gut gehärtet
Der Index verbessert sich mit jeder umgesetzten Empfehlung.
Einzelne Tests ausführen
Auch einzelne Prüfungen lassen sich starten.
Beispielsweise:
sudo lynis show commands
zeigt verfügbare Prüfungen.
Informationen über ein bestimmtes Plugin:
sudo lynis show profiles
Bericht speichern
Der eigentliche Bericht wird automatisch abgelegt.
Typische Dateien:
/var/log/lynis.log
und
/var/log/lynis-report.dat
Die Logdatei enthält sämtliche Prüfschritte.
Der Report eignet sich hervorragend zur automatisierten Auswertung.
Report durchsuchen
Warnungen anzeigen:
grep Warning /var/log/lynis.log
Empfehlungen:
grep Suggestion /var/log/lynis.log
Hardening Index anzeigen:
grep hardening /var/log/lynis-report.dat
Automatische Sicherheitsprüfung
Lynis eignet sich hervorragend für regelmäßige Audits.
Beispielsweise kann monatlich ein Audit gestartet werden.
Systemd-Timer oder Cronjob:
sudo lynis audit system --quick
Der Parameter --quick überspringt einige interaktive Prüfungen und eignet sich besonders für automatisierte Kontrollen.
Eigenes Profil verwenden
Lynis unterstützt benutzerdefinierte Profile.
Standardprofil:
/etc/lynis/default.prf
Eigenes Profil:
/etc/lynis/custom.prf
Audit mit eigenem Profil:
sudo lynis audit system --profile /etc/lynis/custom.prf
Damit lassen sich Prüfungen deaktivieren oder zusätzliche Einstellungen vornehmen.
Aktualisierung
Da regelmäßig neue Sicherheitsprüfungen hinzukommen, sollte Lynis aktuell gehalten werden.
Unter Debian genügt:
sudo apt update sudo apt upgrade
Typische Empfehlungen von Lynis
Bei vielen Servern werden ähnliche Hinweise ausgegeben.
Dazu gehören:
- SSH stärker absichern
- Root-Login deaktivieren
- Fail2ban installieren
- UFW oder nftables konfigurieren
- AppArmor aktivieren
- automatische Sicherheitsupdates einschalten
- Kernelparameter härten
- unnötige Dienste deaktivieren
- Passwort-Richtlinien verbessern
- Audit-Logging aktivieren
- Malware-Scanner installieren
- Zeitserver korrekt konfigurieren
Viele dieser Maßnahmen lassen sich innerhalb weniger Minuten umsetzen und erhöhen die Sicherheit deutlich.
Einsatz in professionellen Umgebungen
Lynis eignet sich hervorragend für:
- Webserver
- Datenbankserver
- Mailserver
- Virtualisierungsserver
- Docker-Hosts
- Kubernetes-Knoten
- NAS-Systeme
- Raspberry Pi
- Cloud-Server
- VPS
- Root-Server
Auch vor einer Produktivsetzung empfiehlt sich ein vollständiger Audit.
Grenzen von Lynis
Lynis ist kein klassischer Vulnerability-Scanner.
Es ersetzt daher nicht:
- Penetrationstests
- Netzwerkscanner wie Nmap
- Schwachstellenscanner wie OpenVAS oder Greenbone
- Malware-Scanner
- SIEM-Systeme
Vielmehr ergänzt Lynis diese Werkzeuge ideal, indem es lokale Sicherheitskonfigurationen und Systemhärtung überprüft.
Best Practices
Für einen dauerhaft sicheren Linux-Server empfiehlt sich folgendes Vorgehen:
- Lynis nach jeder Neuinstallation ausführen.
- Alle Warnungen analysieren.
- Empfehlungen schrittweise umsetzen.
- Firewall aktivieren.
- SSH absichern.
- Regelmäßige Updates installieren.
- Monatliche Audits automatisieren.
- Ergebnisse dokumentieren.
- Hardening Index regelmäßig vergleichen.
- Nach größeren Änderungen erneut einen Audit starten.
Lynis zählt zu den besten kostenlosen Sicherheitswerkzeugen für Linux-Systeme. Mit wenigen Befehlen analysiert das Tool Hunderte sicherheitsrelevante Einstellungen und liefert verständliche Hinweise zur Systemhärtung. Besonders Administratoren von Debian-Servern profitieren von der einfachen Installation, den ausführlichen Prüfberichten und dem aussagekräftigen Hardening Index.
Als Bestandteil eines regelmäßigen Sicherheitskonzepts hilft Lynis dabei, Fehlkonfigurationen frühzeitig zu erkennen, Risiken zu minimieren und die Sicherheit von Servern nachhaltig zu verbessern. In Kombination mit einer Firewall, aktuellen Sicherheitsupdates, starken Authentifizierungsmechanismen und weiteren Hardening-Maßnahmen ist Lynis ein unverzichtbares Werkzeug für jeden Linux-Administrator.