Lynis (Güvenlik Denetimi)
Lynis, sunucuda hızlı bir güvenlik denetimi yapıp, sisteminizi 100 üzerinden puanlayan ve eksikleri raporlayan bir araçtır. Bir "Antivirüs" değildir; bir "Müfettiş"tir.
1. Kurulum
2. Tarama Başlatma
Taramayı başlatın:
(Enter'a basarak ilerleyebilirsiniz. Hızlı geçmek için -Q parametresini kullanabilirsiniz: sudo lynis audit system -Q)
3. Yaygın Uyarılar ve Çözümleri
Tarama sonucunda muhtemelen şunları göreceksiniz:
⚠️ Malware scanner not found
Anlamı: Lynis, sistemde virüs veya rootkit tarayıcısı (ClamAV, Rkhunter) bulamadı. Çözüm: Bu bir "hata" değil, eksikliktir. Linux sunucularda antivirüs şart değildir ama "Rootkit Hunter" kurmak iyi bir pratiktir. Çözüm: Bu bir "hata" değil, eksikliktir. Linux sunucularda antivirüs şart değildir ama "Rootkit Hunter" kurmak iyi bir pratiktir. Kurulum (Opsiyonel):
Detaylı kurulum ve yapılandırma için Malware & Rootkit Taraması sayfasını inceleyin.
⚠️ Security repository not found (PKGS-7388)
Anlamı: Lynis, Ubuntu 24.04'ün yeni kaynak formatını (.sources) bazen tanıyamaz ve güvenlik deposu yok sanır.
Çözüm: Bu bir False Positive (Yanlış Alarm) durumudur. Eğer apt-cache policy çıktısında -security görüyorsanız bu uyarıyı görmezden gelebilirsiniz.
4. Sık Kullanılan Parametreler 🛠️
Lynis'i daha efektif kullanmak için şu parametreleri bilmenizde fayda var:
| Parametre | Ne İş Yapar? | Örnek |
|---|---|---|
-Q (Quick) |
Hiçbir tuşa basmanızı beklemez, otomatik tarar. | lynis audit system -Q |
--pentest |
Root olmayan (non-privileged) bir tarama yapar. | lynis audit system --pentest |
--verbose |
Ekrana daha detaylı çıktı (kırmızı/yeşil) basar. | lynis audit system --verbose |
--log-file |
Raporu özel bir dosyaya kaydeder. | lynis audit system --log-file=/tmp/lynis.log |
⚠️ Old version / Update available
Anlamı: Lynis'in kendi sürümü eski olabilir. Ubuntu depolarındaki (apt install lynis) sürüm, resmi siteden birkaç ay/yıl geriden gelebilir.
Çözüm: Bu bir güvenlik açığı değildir, sadece yeni özelliklerin eksik olduğunu gösterir.
Nasıl Güncellenir? (Opsiyonel) Eğer bu uyarıyı kaldırmak ve en son sürümü kullanmak isterseniz, resmi deposunu ekleyebilirsiniz:
# 1. Eski sürümü sil
sudo apt remove lynis -y
# 2. Resmi CISOfy deposunu ekle
wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add -
echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
# 3. Güncel sürümü kur
sudo apt update
sudo apt install lynis
⚠️ Firewall not active
Anlamı: UFW veya Iptables aktif değil.
Çözüm: Firewall bölümündeki ayarları yapın. (Docker kullanıyorsanız bu uyarı bazen yanıltıcı olabilir, nft list ruleset ile kontrol edin).
⚠️ Banner / Issue file
Anlamı: SSH ile bağlanırken ekranda "Ubuntu 22.04" gibi versiyon bilgisi yazıyor. Saldırganlara bilgi vermemek için bunu gizlemenizi önerir.
Çözüm: /etc/issue.net dosyasının içeriğini temizleyebilirsiniz.
4. Raporu Okuma
Tarama bitince size bir Hardening Index (Örn: 65/100) verir.
- 60 altı: Güvenlik zayıf, acil önlem lazım.
- 70-80 arası: Gayet iyi, standart bir sunucu için yeterli.
- 90 üstü: Çok sıkı (Hardened), bazen kullanımı zorlaştırabilir.
Detaylı rapor /var/log/lynis.log dosyasındadır.
5. Otomatik Tarama (Cron)
Ayda bir sistemin sağlık durumunu kontrol etmek için: