Auditar seguridad con Lynis
Dedicated & VPS
23

Auditar seguridad con Lynis

Lynis es un auditor de seguridad para sistemas Unix y Linux. En lugar de detectar malware o bloquear atacantes, revisa cómo está configurado tu servidor y te dice qué podrías endurecer. Piensa en él como un consultor automático de hardening: corre cientos de pruebas contra tu sistema y te entrega un reporte con recomendaciones concretas.

Instalación

En Debian o Ubuntu:

sudo apt install lynis -y

En AlmaLinux o Rocky:

sudo dnf install epel-release -y
sudo dnf install lynis -y

Si quieres siempre la última versión, puedes clonarlo directamente del repositorio oficial en GitHub y correrlo desde ahí; las versiones empaquetadas de las distros suelen ir un poco atrás.

Ejecutar la auditoría

El comando más común es:

sudo lynis audit system

Lynis recorrerá secciones como el bootloader, servicios SSH, cuentas de usuario, permisos de archivos críticos, firewall, actualizaciones pendientes, módulos del kernel y mucho más. El escaneo tarda uno o dos minutos y no requiere reiniciar nada.

Interpretar el reporte

Al terminar, verás tres tipos de resultados:

  • Warnings: problemas reales que deberías atender pronto. Por ejemplo, permisos demasiado abiertos en /etc/shadow o servicios inseguros expuestos.
  • Suggestions: recomendaciones de mejora que no son críticas pero sí buenas prácticas. La mayoría de tu trabajo estará acá.
  • Hardening Index: un puntaje de 0 a 100 que resume qué tan endurecido está tu sistema. Un VPS recién instalado suele rondar 55-65; con un par de horas de trabajo se puede llevar a 80+.

Cómo aplicar recomendaciones

Cada sugerencia viene con un código tipo AUTH-9262. Para ver el detalle de cualquiera de ellos:

sudo lynis show details AUTH-9262

Eso te explica qué prueba hizo, por qué es relevante y cómo solucionarlo. No intentes aplicar todo de golpe; prioriza warnings, luego trabaja por categorías (SSH, kernel, firewall, logging) y vuelve a correr Lynis después de cada tanda de cambios para ver cómo sube el índice.

Reportes y logs

Los resultados quedan en /var/log/lynis.log (detallado) y /var/log/lynis-report.dat (estructurado, útil para parsear desde scripts). Si gestionas varios servidores, puedes centralizar estos reportes y compararlos.

Ejecución periódica

Agenda Lynis para correr una vez por semana y revisa los cambios. La seguridad no es un estado, es un proceso: cada actualización, cada paquete nuevo y cada cambio de configuración puede abrir o cerrar huecos. Un cron semanal con el reporte enviado por correo al admin es la forma más barata de mantenerte al día.

0 5 * * 1 /usr/sbin/lynis audit system --cronjob --quick

Con eso tendrás un chequeo automático cada lunes de madrugada.