Che cosè lynis audit system? come si usa?

Che cos’è Lynis

Lynis è un tool di audit e hardening per sistemi Linux e Unix-like. Non è un antivirus e non fa “magia” automatica: analizza il sistema, individua punti deboli, configura­zioni rischiose, permessi troppo larghi, servizi esposti e impostazioni migliorabili, poi produce un report leggibile con suggerimenti operativi.

In pratica, Lynis serve a rispondere a una domanda semplice: quanto è sano e ben configurato questo server? È molto utile su VPS, server dedicati, ambienti hosting, macchine di test, server web, database, mail server e sistemi che richiedono un controllo periodico di sicurezza.

Il suo valore sta nella diagnosi. Ti aiuta a trovare problemi come SSH troppo permissivo, aggiornamenti mancanti, servizi inutili, file di configurazione deboli, pacchetti sospetti, log non controllati, firewall assente o non attivo, permessi errati e hardening incompleto.

A cosa serve davvero

Lynis è utile in tre scenari principali:

• Audit iniziale: controlli un server appena creato o migrato.
• Hardening: verifichi se le misure di sicurezza applicate sono corrette.
• Manutenzione periodica: esegui controlli regolari per intercettare regressioni o nuove criticità.

Non sostituisce un SIEM, un EDR o una suite di monitoraggio avanzata. Però, per chi gestisce Linux in pratica, è uno dei controlli più rapidi e concreti da avere nel flusso di lavoro.

Come funziona

Lynis esegue una serie di test sul sistema e assegna punteggi e raccomandazioni. Verifica ad esempio:

• versione del kernel e del sistema operativo;
• stato degli aggiornamenti;
• servizi in ascolto;
• impostazioni SSH;
• firewall e controlli di rete;
• account e policy locali;
• permessi su file e directory;
• log, audit e strumenti di monitoraggio;
• componenti web, mail, database e virtualizzazione, se presenti.

Alla fine produce un report con avvisi, suggerimenti e riferimenti a file o impostazioni da correggere. L’obiettivo non è “fare punteggio”, ma migliorare progressivamente l’igiene del sistema.

Come si installa

Su molte distribuzioni Lynis è disponibile nei repository, ma spesso conviene usare il pacchetto ufficiale o il repository della distribuzione, in base alla versione disponibile.

Ubuntu e Debian

Di solito il modo più semplice è:

sudo apt update
sudo apt install lynis

Verifica l’installazione con:

lynis --version

Se il pacchetto non fosse disponibile o fosse troppo vecchio, puoi usare il repository ufficiale della distro oppure scaricare il tarball dal sito del progetto.

AlmaLinux, Rocky Linux, CentOS, RHEL

Su sistemi basati su RPM, la disponibilità dipende dal repository configurato. In molti casi puoi installarlo con:

sudo dnf install lynis

Se non compare nei repository, puoi ricorrere al pacchetto manuale o al repository della distribuzione, in base al contesto del server.

Primo avvio: il comando base

Il comando più semplice è:

sudo lynis audit system

Questo avvia un audit completo del sistema. Lynis analizza la macchina, raccoglie informazioni e mostra il risultato a video. In genere salva anche un log e un report in percorsi dedicati.

Se vuoi una scansione più mirata, puoi usare anche:

sudo lynis audit system --quick

La modalità quick riduce alcuni controlli più lunghi, ma non sostituisce un audit completo quando devi fare una verifica seria.

Come leggere il report

Lynis restituisce varie sezioni. Le più importanti sono:

• Warnings: elementi da correggere con priorità.
• Suggestions: miglioramenti consigliati, spesso legati all’hardening.
• Tests performed: elenco dei controlli eseguiti.
• Hardening index: una misura orientativa della maturità della configurazione.

Il punteggio non va interpretato come un certificato di sicurezza. Un indice alto non significa “server invulnerabile”, e un indice basso non significa necessariamente che il sistema sia compromesso. Serve piuttosto come indicatore di qualità della configurazione.

La parte più utile è il dettaglio dei warning. Lì trovi il vero lavoro da fare.

Esempio pratico di utilizzo

Supponiamo di avere un server web con Apache, PHP e MariaDB. Dopo aver installato Lynis, lanci l’audit:

sudo lynis audit system

Durante il test potresti vedere avvisi come:

• SSH con root login attivo;
• firewall non rilevato;
• swap non ottimizzata;
• logrotate non configurato correttamente;
• permessi troppo larghi su file sensibili;
• servizi non necessari in esecuzione.

Ogni voce va valutata nel contesto. Un warning su un servizio può essere normale in un ambiente specifico, ma va comunque verificato. L’idea corretta è: controlla, conferma, correggi, riesegui l’audit.

Come fare hardening dopo Lynis

Lynis non basta eseguirlo: va usato come guida operativa. Dopo il report, le azioni tipiche sono:

1. disabilitare l’accesso root via SSH se non serve;
2. attivare un firewall coerente con i servizi esposti;
3. rimuovere pacchetti e demoni inutili;
4. abilitare aggiornamenti di sicurezza regolari;
5. verificare permessi e ownership dei file sensibili;
6. controllare la rotazione dei log;
7. ridurre i privilegi degli utenti e dei servizi;
8. attivare strumenti di auditing e monitoraggio.

Il principio corretto è semplice: meno superficie esposta, meno rischio operativo.

Opzioni utili del comando

Alcune opzioni che tornano spesso utili:

• lynis audit system: audit completo del sistema.
• lynis audit system --quick: audit più veloce.
• lynis show details TEST-ID: mostra dettagli su un test specifico, quando disponibile.
• lynis update info: controlla informazioni di aggiornamento del tool, se supportato nella tua versione.

Le opzioni esatte possono cambiare leggermente in base alla versione. Il riferimento migliore resta l’help locale:

lynis --help

Log e report: dove guardarli

Dopo l’audit, Lynis scrive in genere un file di log e un report. I percorsi possono variare, ma spesso trovi dati utili in:

• /var/log/lynis.log
• /var/log/lynis-report.dat

Se vuoi capire perché un test ha generato un warning, il log è la prima fonte da consultare. Il report è invece più comodo per avere una panoramica rapida e confrontare le esecuzioni nel tempo.

Un buon metodo è conservare il report dopo ogni hardening importante e confrontarlo con quello precedente.

Come usarlo in modo professionale

Su server di produzione, Lynis andrebbe usato con una logica ordinata:

1. esegui un backup o almeno verifica di avere un piano di rollback;
2. lancia l’audit in una finestra di manutenzione se il server è molto carico;
3. analizza i warning più critici prima di tutto;
4. applica una modifica alla volta;
5. riesegui Lynis dopo ogni gruppo di cambiamenti;
6. documenta cosa hai corretto.

Questo evita di cambiare troppe cose insieme e poi non capire quale intervento ha risolto o rotto qualcosa.

Errori comuni nell’uso

Ci sono alcuni errori tipici:

• Eseguire Lynis e basta: il report da solo non migliora nulla.
• Ignorare i warning: molti problemi restano lì per mesi.
• Correggere alla cieca: un suggerimento va sempre interpretato nel contesto del server.
• Non rieseguire il test: senza verifica finale non sai se il fix ha funzionato.
• Confrontare sistemi diversi senza criterio: un mail server e un web server non avranno mai lo stesso profilo.

Lynis e server hosting

In ambienti hosting, Lynis è particolarmente utile per controllare:

• servizi web esposti;
• configurazioni SSH;
• permessi delle home degli utenti;
• isolamento tra account;
• componenti PHP e database;
• hardening di base del sistema operativo;
• presenza di strumenti di logging e auditing.

Se gestisci più VPS o server per clienti, può diventare parte della checklist di onboarding: installazione, aggiornamenti, hardening, audit, correzioni e nuovo audit.

Lynis e automazione

Puoi integrare Lynis in procedure periodiche, ad esempio con cron o con script di manutenzione. È una buona pratica se vuoi confrontare nel tempo l’evoluzione del sistema. Tuttavia, prima di automatizzare, conviene capire bene il report manuale, altrimenti rischi di accumulare output senza trasformarlo in azioni utili.

Una strategia sensata è questa:

• audit manuale iniziale;
• correzione dei warning principali;
• salvataggio del report come baseline;
• audit periodico automatico;
• revisione dei delta e dei nuovi warning.

Confronto con altri strumenti

Lynis non è l’unico strumento di audit, ma ha un vantaggio importante: è semplice, veloce e molto pratico per l’uso amministrativo quotidiano. Rispetto a strumenti più complessi, richiede meno curva di apprendimento. Rispetto a controlli manuali sparsi, centralizza il lavoro e riduce il rischio di dimenticare verifiche importanti.

In un flusso serio di sicurezza, Lynis si affianca bene a:

• aggiornamenti regolari del sistema;
• firewall ben configurato;
• fail2ban o sistemi equivalenti;
• monitoraggio dei log;
• backup verificati;
• scansioni di vulnerabilità periodiche;
• controllo delle configurazioni di web server, DNS ed email.

Quando non basta

Lynis è ottimo per l’audit locale, ma non basta da solo se hai bisogno di:

• analisi forense;
• rilevamento in tempo reale di compromissioni;
• correlazione avanzata degli eventi;
• compliance strutturata con processi complessi;
• protezione endpoint in stile EDR.

In questi casi Lynis resta un tassello, non la soluzione completa.

Buona pratica operativa

Se vuoi usarlo bene, pensa a Lynis come a un meccanico di controllo: non ripara il motore da solo, ma ti dice dove guardare prima di restare fermo in strada. È proprio questa la sua forza: trasformare un server “che sembra funzionare” in un sistema che puoi verificare con metodo.

Il flusso più affidabile è sempre lo stesso: audit, verifica, correzione, nuovo audit. È semplice, ma su Linux funziona davvero.

Mini checklist finale

• installa Lynis dal repository disponibile;
• esegui sudo lynis audit system;
• leggi warning e suggestions con priorità;
• correggi una voce alla volta;
• riesegui l’audit e conserva il report come baseline.

In sintesi: Lynis è uno strumento di audit e hardening per Linux che ti aiuta a trovare debolezze reali nella configurazione del sistema. Usato con metodo, è uno dei controlli più utili per mantenere un server pulito, coerente e più sicuro.