MIYAKAWA AI

人の役に立つそんな情報発信を目指します

カテゴリー: Security

  • Linux 環境における Lynis のインストール、動作確認、定期実行の設定手順

    Linux 環境における Lynis のインストール、動作確認、定期実行の設定手順

    はじめに

    Lynis はシステムのセキュリティ監査を行うためのツールです。本記事では、Debian系およびRedHat系ディストリビューション環境において、Lynis を GitHub からインストールし、動作確認、定期実行(Cron)の設定、さらに Logwatch を利用してレポートをメールで受け取るまでのプロセスを整理して解説します。

    想定環境

    • 対応ディストリビューション:
      • Debian系: Ubuntu, Debian
      • RedHat系: Rocky Linux, AlmaLinux, CentOS
    • 必要なツール: gitsudocrontablogwatch(任意)

    1. Lynis のインストール

    1.1 必要なパッケージのインストール

    まず、Git をインストールします。

    Debian系:

    sudo apt update
sudo apt install -y git

    RedHat系:

    sudo dnf install -y git

    1.2 GitHub から Lynis をクローン

    Lynis の公式リポジトリを /usr/local/lynis にクローンします。

    sudo git clone https://github.com/CISOfy/lynis.git /usr/local/lynis

    1.3 実行ファイルへのシンボリックリンクを作成

    Lynis をシステム全体で利用できるように、/usr/local/bin にシンボリックリンクを作成します。

    sudo ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

    2. 動作確認

    Lynis が正しくインストールされたか確認します。

    lynis show version

    成功すれば、Lynis のバージョンが表示されます。

    また、基本的なシステム監査を以下のコマンドで実行できます。

    sudo lynis audit system

    3. 定期実行の設定(Cron)

    Lynis を定期的に実行し、その結果をログファイルに保存するように設定します。

    3.1 Cron ジョブを設定

    1. root ユーザーで Cron を編集します。sudo crontab -e
    2. 以下の行を追加して保存します(例: 毎週日曜日の深夜2時に実行)。
    0 2 * * 0 /usr/local/bin/lynis audit system --quiet > /var/log/lynis.log

    これにより、Lynis の監査結果が /var/log/lynis.log に保存されます。

    4. Logwatch でレポートをメール送信

    Lynis のログを Logwatch に取り込み、メールで監査レポートを受け取れるように設定します。

    4.1 Logwatch のインストール

    Logwatch がインストールされていない場合は、以下のコマンドでインストールします。

    Debian系:

    sudo apt install -y logwatch

    RedHat系:

    sudo dnf install -y logwatch

    4.2 Logwatch 用の設定ファイル作成

    1. Logwatch に Lynis のログを取り込むための設定ファイルを作成します。sudo vi /etc/logwatch/conf/logfiles/lynis.conf
    2. 以下の内容を記述して保存します。LogFile = /var/log/lynis.log *OnlyService = lynis

    4.3 メール設定

    Logwatch のメール送信先を設定します。

    1. 設定ファイルを編集します。sudo vi /etc/logwatch/conf/logwatch.conf
    2. 以下の行を確認または追加します。MailTo = your-email@example.com MailFrom = logwatch@example.com
      • your-email@example.com を監査レポートを受け取るメールアドレスに置き換えてください。
      • MailFrom は適切な送信者アドレスを設定してください。

    4.4 Logwatch の動作確認

    以下のコマンドで Logwatch のレポートがメールで届くか確認します。

    sudo logwatch --service lynis --range today

    5. 定期的なアップデート

    Lynis は GitHub からインストールしているため、簡単に最新バージョンに更新できます。

    5.1 更新手順

    1. Lynis ディレクトリに移動します。cd /usr/local/lynis
    2. リポジトリを更新します。sudo git pull origin main
    3. 動作確認:lynis show version

    おわりに

    この手順を実施することで、Debian系およびRedHat系ディストリビューション環境で Lynis を利用したセキュリティ監査を自動化し、その結果をメールで受け取ることが可能になります。システムのセキュリティを向上させるため、定期的な監査の実施と最新バージョンへのアップデートを忘れずに行いましょう。