MIYAKAWA AI

人の役に立つそんな情報発信を目指します

Linux 環境における Lynis のインストール、動作確認、定期実行の設定手順

Linux Security Lynis

Written by

Miyakawa

in

,

はじめに

Lynis はシステムのセキュリティ監査を行うためのツールです。本記事では、Debian系およびRedHat系ディストリビューション環境において、Lynis を GitHub からインストールし、動作確認、定期実行(Cron)の設定、さらに Logwatch を利用してレポートをメールで受け取るまでのプロセスを整理して解説します。

想定環境

  • 対応ディストリビューション:
    • Debian系: Ubuntu, Debian
    • RedHat系: Rocky Linux, AlmaLinux, CentOS
  • 必要なツール: gitsudocrontablogwatch(任意)

1. Lynis のインストール

1.1 必要なパッケージのインストール

まず、Git をインストールします。

Debian系:

sudo apt update
sudo apt install -y git

RedHat系:

sudo dnf install -y git

1.2 GitHub から Lynis をクローン

Lynis の公式リポジトリを /usr/local/lynis にクローンします。

sudo git clone https://github.com/CISOfy/lynis.git /usr/local/lynis

1.3 実行ファイルへのシンボリックリンクを作成

Lynis をシステム全体で利用できるように、/usr/local/bin にシンボリックリンクを作成します。

sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

2. 動作確認

Lynis が正しくインストールされたか確認します。

lynis show version

成功すれば、Lynis のバージョンが表示されます。

また、基本的なシステム監査を以下のコマンドで実行できます。

sudo lynis audit system

3. 定期実行の設定(Cron)

Lynis を定期的に実行し、その結果をログファイルに保存するように設定します。

3.1 Cron ジョブを設定

  1. root ユーザーで Cron を編集します。sudo crontab -e
  2. 以下の行を追加して保存します(例: 毎週日曜日の深夜2時に実行)。
0 2 * * 0 /usr/local/bin/lynis audit system --quiet > /var/log/lynis.log

これにより、Lynis の監査結果が /var/log/lynis.log に保存されます。

4. Logwatch でレポートをメール送信

Lynis のログを Logwatch に取り込み、メールで監査レポートを受け取れるように設定します。

4.1 Logwatch のインストール

Logwatch がインストールされていない場合は、以下のコマンドでインストールします。

Debian系:

sudo apt install -y logwatch

RedHat系:

sudo dnf install -y logwatch

4.2 Logwatch 用の設定ファイル作成

  1. Logwatch に Lynis のログを取り込むための設定ファイルを作成します。sudo vi /etc/logwatch/conf/logfiles/lynis.conf
  2. 以下の内容を記述して保存します。LogFile = /var/log/lynis.log *OnlyService = lynis

4.3 メール設定

Logwatch のメール送信先を設定します。

  1. 設定ファイルを編集します。sudo vi /etc/logwatch/conf/logwatch.conf
  2. 以下の行を確認または追加します。MailTo = your-email@example.com MailFrom = logwatch@example.com
    • your-email@example.com を監査レポートを受け取るメールアドレスに置き換えてください。
    • MailFrom は適切な送信者アドレスを設定してください。

4.4 Logwatch の動作確認

以下のコマンドで Logwatch のレポートがメールで届くか確認します。

sudo logwatch --service lynis --range today

5. 定期的なアップデート

Lynis は GitHub からインストールしているため、簡単に最新バージョンに更新できます。

5.1 更新手順

  1. Lynis ディレクトリに移動します。cd /usr/local/lynis
  2. リポジトリを更新します。sudo git pull origin main
  3. 動作確認:lynis show version

おわりに

この手順を実施することで、Debian系およびRedHat系ディストリビューション環境で Lynis を利用したセキュリティ監査を自動化し、その結果をメールで受け取ることが可能になります。システムのセキュリティを向上させるため、定期的な監査の実施と最新バージョンへのアップデートを忘れずに行いましょう。

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

More posts