Hace unos meses escribí una pequeña referencia a un par de herramientas que nos permitían comprobar si nuestro sistema Linux tenia oculto algun rootkit. Podemos complementar esas herramienta con Lynis, la cual realiza diversas comprobaciones en el sistema para informar de posibles debilidades de configuración, como por ejemplo:

1. Gestor de arranque protegido por contraseña
2. Kernel actualizado
3. Usuarios con uid 0 (p.ej. root)
4. Política de contraseñas
5. Firewall
6. Etc…

A modo de ejemplo:

  Warnings:
  ----------------------------
   - [19:23:40] Warning: No password set on GRUB bootloader [test:BOOT-5121] [impact:M]
   - [19:24:04] Warning: grpck binary found errors in one or more group files [test:AUTH-9216] [impact:M]
   - [19:24:48] Warning: iptables module(s) loaded, but no rules active [test:FIRE-4512] [impact:L]
   - [19:25:04] Warning: No NTP daemon or client found [test:TIME-3104] [impact:M]

El detalle del análisis se puede localizar en el fichero ‘/var/log/lynis.log’. Si buscamos por “Suggestion” en el log podremos identificar las sugerencias que Lynis realiza para mejorar la seguridad de la configuración del sistema.

En definitiva, Lynis es una herramienta que nos ayuda a identificar mejoras en el sistema (no realiza modificaciones/hardening sobre el sistema como Bastille) y nos puede resultar de gran utilidad tanto para auditorías UNIX como para la implantación de sistemas seguros.