Проверяем уровень защищённости Linux с помощью утилиты Lynis

[AWSVladimir]

Для юзер машины, если все закрыто iptables зачем нужна эта тулза?

[McDuk]

У нас охранник на входе, зачем нам аудит безопасности? ;)
iptables может быть настроен неверно. Могут существовать локальные уязвимости, доступные из браузера, например.

[bykvaadm]

или, например, логические уязвимости в предоставляемом сервисе, который не закроешь iptables, например вебчик, бд,…

[nad_oby]

Еще полезен будет если систему нужно проверить на соответствие 2700x.
Чуть ли не единственный инструмент.

[powerman]

Нда. Запустил. Выдал 4 warning:

• Couldn't find 2 responsive nameservers в /etc/resolv.conf — ну да, потому что локальный. False positive.
• Found promiscuous interface — без понятия почему, его никто не слушает, возможно дело в том, что на нём висят VLan-ы. False positive.
• Found some information disclosure in SMTP banner — таки да, там честно написано Postfix без номера версии, не вижу в этом проблемы, это всё-равно несложно определить при желании. Wontfix.
• klogd is not running, which could lead to missing kernel messages in log files — неправда, у меня запущен socklog-klog. False positive.

Ещё там 44 suggestions. Первый самый забавный, но среди остальных тоже смешного хватает.

• This release is more than 4 months old. Consider upgrading — прикол в том, что это последняя версия.
• Check 420 files in /tmp which are older than 90 days — а что с ними плохого случается на 91-й день?
• Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft — мило, а ничего, что у меня домашняя рабочая станция, и USB временами таки нужен?
• Check iptables rules to see which rules are currently not used — по его мнению, 65 из 160 правил моего файрвола лишние, только потому, что текущие счётчики пакетов у них нулевые… это реально жесть!
• Change the HTTPS and SSL settings for enhanced protection of sensitive data and privacy — никаких подробностей что не так или что изменить в выводе lynis show details, но объективно у моего сайта рейтинг A+ на https://www.ssllabs.com/ssltest/analyze.html?d=powerman.name так что это явно очередной false positive.
• Дальше там ещё пара аналогично бессмысленных рекомендаций про проверку логирования nginx, в таком духе (как говорится, ничего не нашёл, но надо же показать какой я полезный и хоть что-то порекомендовать):

$ lynis show details HTTP-6712
2020-05-22 14:17:20 Performing test ID HTTP-6712 (Check nginx access logging)
2020-05-22 14:17:20 Result: no virtual hosts found which have their access log disabled
2020-05-22 14:17:20 Hardening: assigned maximum number of hardening points for this item (3). Currently having 126 points (out of 160)
2020-05-22 14:17:20 Suggestion: Check your nginx access log for proper functioning [test:HTTP-6712] [details:-] [solution:-]
2020-05-22 14:17:20 ===---------------------------------------------------------------===

• Check available certificates for expiration — молодец, нашёл пачку истёкших сертификатов… в /etc/letsencrypt/archive/, где они и должны быть.
• Test output of both 'docker ps -a' and 'docker info', to determine why they report a different amount of containers — он пишет, что docker info ему показывает 0 контейнеров… а вот когда я запускаю docker info то мне он показывает правильное количество.
• Harden compilers like restricting access to root user only — с ума сойти… компилятор, свободно доступный всем желающим… в Gentoo Linux. Просто дикая угроза безопасности, что тут скажешь.

В общем, из всего списка, потратив кучу времени, можно наковырять пару потенциально полезных изменений sysctl, и то я пока не уверен, надо доку по ним сначала почитать. Всё остальное — типичное поведение антивируса, основная задача которого показать свою полезность.