O Lynis, criado pelo neerlandês Patrick Boivin em 2007 e mantido pela empresa Cisofy, tornou-se a ferramenta open-source de referência para auditoria de hardening e compliance em sistemas Linux e Unix. Escrito em shell script puro, o software examina milhares de itens de configuração em servidores, estações de trabalho e dispositivos embarcados, sem exigir instalação de agentes ou dependências externas.

  • O quê: Ferramenta de auditoria de segurança e hardening para sistemas operacionais Linux e Unix.
  • Quem: Desenvolvido por Patrick Boivin (Cisofy), com comunidade de contribuidores ativa.
  • Quando: Lançado em 2007; versões atualizadas em ciclo contínuo.
  • Onde: Disponível em GitHub, pacotes de distribuições Linux e como versão comercial Enterprise.
  • Por quê: Identificar falhas de configuração e medir conformidade com boas práticas antes de atacantes.

O que é o Lynis

O Lynis opera como um scanner local que percorre o sistema de arquivos, serviços, permissões, contas de usuário e configurações de kernel em busca de desvios em relação a boas práticas de segurança. A execução não modifica o sistema: a ferramenta apenas lê arquivos e configurações, registra os achados e produz um relatório estruturado. Essa natureza não invasiva permite rodar auditorias em servidores de produção sem risco de interrupção.

Concebido para administradores de sistemas e auditores de segurança, o Lynis combina centenas de testes pré-empacotados em módulos chamados plugins. Cada plugin avalia um aspecto específico — autenticação, serviços de rede, filesystem, crypto, virtualização — e contribui com um score de hardening que varia de 0 a 100. A versão gratuita cobre o essencial; a versão Lynis Enterprise, comercial, adiciona dashboards centralizados, gestão multi-servidor, integração com SIEM e templates de compliance específicos. Para uma comparação de ferramentas de auditoria, o portal oferece análises complementares.

Funcionalidades principais

O conjunto de verificações do Lynis abrange um espectro amplo de áreas críticas para a postura de segurança de um servidor:

  • Autenticação e contas: verifica senhas sem expiração, contas sem senha, hashes fracos, configurações de PAM e políticas de sudo.
  • Hardening de kernel: avalia parâmetros do sysctl como proteção contra buffer overflow, ASLR, IP forwarding e SYN cookies.
  • Serviços e portas: lista portas em escuta, sinaliza serviços desnecessários e audita configurações de SSH, Nginx, Apache e PostgreSQL.
  • Filesystem e permissões: identifica arquivos SUID/SGID, diretórios com permissões world-writable e sticky bits ausentes em /tmp.
  • Compliance: mapeia achados contra frameworks como CIS Benchmarks, ISO 27001, PCI-DSS, HIPAA e NIST SP 800-53.
  • Logging e monitoramento: audita configurações de syslog, journald, auditd e rotação de logs.

Cada item auditado recebe uma classificação: OK (conformidade), WARNING (potencial problema) ou SUGGESTION (recomendação de melhoria opcional). O relatório final lista todos os achados, um score de hardening agregado e um plano de correção priorizado. Os resultados podem ser exportados em texto, HTML e formato estruturado para processamento automatizado.

Casos de uso práticos

Equipes de operações utilizam o Lynis para estabelecer uma linha de base de hardening em novos servidores. Após provisionar uma VM, o administrador executa o Lynis, corrige as sugestões marcadas como WARNING e eleva o score de hardening para um patamar mínimo definido pela política da organização — frequentemente acima de 80 pontos. Esse processo garante que nenhum servidor entre em produção com configurações perigosas, como PermitRootLogin yes no SSH ou serviços SNMP com comunidade “public”.

Auditores externos empregam a ferramenta durante avaliações de compliance. Em auditorias PCI-DSS, por exemplo, o Lynis gera evidência documental de que o servidor cumpre requisitos de configuração segura do Requirement 2 (não usar defaults de fornecedores) e Requirement 8 (identificação e autenticação). A documentação gerada é anexada ao relatório de auditoria, acelerando a certificação. O projeto mantém um site oficial com documentação técnica e casos de uso detalhados por setor.

Mercado de auditoria open-source

O Lynis disputa espaço com ferramentas como OpenSCAP (mantido pela Red Hat e pelo NIST), CIS-CAT Pro (Center for Internet Security) e Bastille Linux, cada uma com foco e modelo de licenciamento distintos. OpenSCAP é a escolha padrão em ambientes RHEL/CentOS pela integração nativa com o gerenciador de pacotes e com o oscap CLI. CIS-CAT é a referência para mapeamento direto contra CIS Benchmarks, mas sua versão completa é comercial.

O Lynis diferencia-se pela portabilidade: por ser escrito em shell script, roda em praticamente qualquer Unix — AIX, Solaris, FreeBSD, macOS, além de todas as distribuições Linux. A instalação resume-se a baixar um tarball e executar um binário. Essa simplicidade o tornou popular entre consultores independentes e equipes que gerenciam infraestruturas heterogêneas. Segundo dados do GitHub, o repositório do projeto acumula mais de 13.000 estrelas e downloads na casa dos milhões.

Considerações e limitações

O Lynis opera com base em assinaturas e verificações estáticas, o que significa que detecta problemas de configuração conhecidos, mas não identifica vulnerabilidades zero-day ou ataques em andamento. Para proteção contínua, deve ser combinado com ferramentas de detecção de intrusão (HIDS), como OSSEC ou Wazuh, e scanners de vulnerabilidades como Nessus ou OpenVAS.

A interpretação dos resultados exige conhecimento do ambiente. Nem toda recomendação aplica-se a todos os casos: desabilitar IPv6 pode ser correto em um servidor isolado, mas quebrar serviços em uma infraestrutura moderna. Profissionais experientes filtram os alertas conforme o contexto e documentam justificativas para exceções. O Lynis fornece a fotografia instantânea da postura de segurança; a decisão sobre quais correções aplicar — e quais aceitar como risco residual — cabe à equipe responsável pelo sistema.