[Linux]Lynis 자동 보안 점검 - 리눅스 서버 보안 점검 자동화

 

안녕하세요. 주식회사 서버몬 입니다.

 

우리 서버, 정말 안전한가요?

새로 구축한 리눅스 서버. SSH는 설정했고, 방화벽도 켰고, 업데이트도 했습니다. 하지만 정말 안전할까요?

 

Lynis란?

Lynis는 리눅스/유닉스 시스템을 위한 오픈소스 보안 감사 도구입니다.

주요 기능:

• 200개 이상의 자동화된 보안 점검
• CIS Benchmark, PCI-DSS 기준 준수 확인
• 취약점 탐지 및 구체적인 개선 방안 제시
• 시스템 강화(Hardening) 점수 산출
• 정기 실행으로 보안 수준 추적

 

Lynis의 장점:

• 완전 무료 (엔터프라이즈 버전도 있음)
• 에이전트 불필요 (서버에서 직접 실행)
• 빠른 스캔 (5분 이내)
• 구체적인 개선 방안 제시
• 정기 실행 자동화 용이

개발사: CISOfy

• 회사명: CISOfy (https://cisofy.com)
• 본사: 네덜란드 (Netherlands)
• 프로젝트 시작: 2007년

실습 환경 준비

테스트 환경

• OS: Ubuntu 22.04 LTS 또는 Rocky Linux 9
• 최소 요구사항: 거의 없음 (CPU/RAM 무관)
• 실행 시간: 3-5분

 

Lynis 설치

Ubuntu/Debian:

# APT 저장소 추가
sudo apt update
sudo apt install -y wget apt-transport-https

# CISOfy 저장소 키 추가
wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo gpg --dearmor -o /usr/share/keyrings/cisofy-archive-keyring.gpg

# 저장소 추가
echo "deb [signed-by=/usr/share/keyrings/cisofy-archive-keyring.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list

# Lynis 설치
sudo apt update
sudo apt install -y lynis

# 버전 확인
lynis version

 

Rocky Linux/CentOS:

# EPEL 저장소 활성화
sudo dnf install -y epel-release

# Lynis 설치
sudo dnf install -y lynis

# 버전 확인
lynis version

 

 

 

첫 번째 보안 스캔 실행

기본 스캔

# 전체 시스템 스캔 sudo lynis audit system

 

 

점수 기준:

• 90-100: 매우 우수 (엔터프라이즈급)
• 70-89: 우수 (프로덕션 권장)
• 50-69: 보통 (개선 필요)
• 30-49: 취약 (즉시 조치 필요)
• 0-29: 매우 취약 (위험)

기본 설치 시 일반적 점수:

• Ubuntu 22.04 기본: 55-65
• Rocky Linux 9 기본: 60-70
• 보안 강화 후: 80-90

 

경고(Warnings) vs 제안(Suggestions)

Warnings (즉시 조치 필요): 보안 위험이 있는 명확한 문제점

! iptables module(s) loaded, but no rules active [FIRE-4512]
→ 방화벽이 설정되지 않음

 

 

Suggestions (권장 사항): 보안을 더 강화할 수 있는 개선 사항

* Install fail2ban to automatically ban hosts [TOOL-5104]
→ fail2ban 설치 권장

 

상세 로그 확인

# 전체 로그 확인
sudo cat /var/log/lynis.log

# 경고만 확인
sudo grep "warning" /var/log/lynis.log

# 제안만 확인
sudo grep "suggestion" /var/log/lynis.log

# 특정 테스트 ID 검색
sudo grep "AUTH-9262" /var/log/lynis.log

 

권장 워크플로우:

1. 초기 스캔 - 현재 보안 수준 파악
2. 우선순위 결정 - Warnings부터 해결
3. 점진적 개선 - Suggestions 하나씩 적용
4. 자동화 구축 - 정기 스캔 및 모니터링
5. 지속적 관리 - 점수 추세 추적

서버를 새로 구축할 때마다, 정기적인 보안 점검 시마다 Lynis를 실행하세요. 단 한 번의 명령으로 놓쳤던 보안 취약점을 발견하고, 서버를 더욱 안전하게 만들 수 있습니다.

 

1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트