083 | Seguridad proactiva: Lynis y el enfoque moderno para el endurecimiento de servidores Linux

Introducción: de la protección reactiva a la seguridad proactiva

En 2025 los ataques a servidores se vuelven cada vez más sofisticados, y las medidas reactivas (firewall, Fail2Ban, CrowdSec) ya no son suficientes. El enfoque moderno DevSecOps exige un hardening proactivo —el fortalecimiento del sistema— para minimizar la superficie de ataque antes de que aparezcan exploits públicos.

Lynis sigue siendo una de las herramientas open-source clave para auditorías de seguridad en sistemas Unix, pero hoy es importante complementarlo con la integración de marcos de estándares de seguridad (CIS, SCAP) y la automatización en pipelines CI/CD.

Qué es Lynis y cómo funciona

Lynis —es un escáner de seguridad para sistemas Linux y BSD, que realiza más de 2000 comprobaciones de configuración del sistema. Su funcionamiento se basa en tres etapas:

• Escaneo: comprobación del kernel, paquetes instalados, servicios de red, permisos, criptografía, registro, políticas de actualización y muchos otros parámetros.
• Análisis: generación de un informe detallado con categorías (Authentication, Networking, Storage, File Permissions, etc.).
• Recomendaciones: proporcionar una lista de pasos concretos para elevar el nivel de seguridad.

Ejemplo de ejecución de Lynis:

sudo lynis audit system

El informe está disponible en /var/log/lynis-report.dat y contiene el Hardening Index final, que muestra el nivel general de protección del sistema.

Prácticas modernas de hardening 2025+

1️⃣ Uso de CIS Benchmarks

CIS Benchmarks son estándares de seguridad industriales para sistemas Linux.
Recomendación: realizar la auditoría con Lynis en paralelo con cis-cat-lite u OpenSCAP para cubrir los requisitos de los niveles Level 1/2.

Ejemplo de ejecución de OpenSCAP:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis --results report.xml /usr/share/xml/scap/ssg/content/ssg-ubuntu2204-ds.xml

2️⃣ Automatización del hardening (Ansible, Chef, Terraform)

El procesamiento manual de las recomendaciones de Lynis lleva tiempo. Hoy la mejor práctica es la automatización:

• Integrar la auditoría en la canalización CI/CD (Jenkins/GitLab CI → Ansible playbook → hardening).
• Usar roles listos (por ejemplo, devsec.hardening de Ansible Galaxy) para configurar automáticamente SSH, sysctl, auditd.

Ejemplo de playbook para aplicar las recomendaciones de Lynis:

- name: Apply security hardening
  hosts: all
  become: yes
  tasks:
    - name: Ensure password expiration is set
      lineinfile:
        path: /etc/login.defs
        regexp: '^PASS_MAX_DAYS'
        line: 'PASS_MAX_DAYS   90'

3️⃣ Integración con DevSecOps y Security-as-Code

Ejecutar Lynis como contenedor en la canalización:

docker run --rm --privileged -v /:/mnt ghcr.io/cisofy/lynis audit system

Configurar ejecución regular mediante GitLab CI:

security_audit:
  stage: security
  image: ghcr.io/cisofy/lynis
  script:
    - lynis audit system

Usar los resultados de Lynis para abrir automáticamente tareas en Jira o GitHub Issues.

4️⃣ Áreas de atención modernas (2025)

• Kernel hardening: habilitar kernel.unprivileged_bpf_disabled=1, dmesg_restrict=1.
• Seguridad de systemd: uso de SystemCallFilter, ProtectHome, ProtectKernelTunables.
• SSH: migración obligatoria a Ed25519, prohibición de contraseñas, uso de claves FIDO2.
• Hardening de API: si el servidor sirve APIs, aplicar rate-limiting, WAF (ModSecurity/Coraza).
• Integración SIEM: conectar Lynis a Elastic/Graylog para análisis centralizado.

Limitaciones de Lynis

❌ No ofrece protección en tiempo real — se necesita Fail2ban/CrowdSec.
❌ No cubre todos los escenarios de contenedores (es mejor usar Falco, Trivy para Kubernetes).
❌ No proporciona playbooks listos — todavía se requiere interpretación experta de los informes.

Conclusión

Lynis sigue siendo una herramienta clave para el hardening proactivo de servidores Linux en 2025. Sin embargo, su eficacia es mucho mayor al integrarlo con:

• CIS Benchmarks / OpenSCAP para cumplimiento de estándares.
• Automatización mediante Ansible/Terraform.
• Una canalización DevSecOps que garantice auditoría continua y control de configuraciones.

La estrategia de seguridad moderna debe construirse en 3 capas:

1. Perímetro básico: UFW, nftables, minimización de servicios.
2. Protección activa: Fail2ban, CrowdSec, WAF.
3. Hardening proactivo: Lynis + OpenSCAP + automatización con Ansible.

Esto permitirá alcanzar no solo una alta puntuación del Hardening Index, sino también una verdadera resiliencia frente a ataques, reduciendo el riesgo de explotación de vulnerabilidades antes de que aparezcan en CVE.