Lynis: Audit Keamanan Otomatis Server Linux dan Cara Meningkatkan Score di Atas 70

Keamanan server Linux tidak cukup hanya mengandalkan firewall dan update sistem. Banyak celah keamanan tersembunyi yang sering luput dari perhatian administrator, mulai dari konfigurasi SSH yang kurang aman hingga pengaturan autentikasi yang belum optimal.

Di sinilah Lynis menjadi salah satu tool audit keamanan paling populer yang digunakan oleh administrator sistem, engineer DevOps, hingga auditor keamanan profesional. Dengan sekali perintah, Lynis mampu menganalisis ratusan aspek keamanan server dan memberikan rekomendasi perbaikan yang dapat langsung diterapkan.

Jika Anda ingin mengetahui tingkat keamanan server Linux sekaligus meningkatkan hardening score hingga di atas 70, panduan ini akan membantu Anda langkah demi langkah.

---

Apa Itu Lynis?

Lynis adalah tool audit keamanan open source yang dirancang untuk sistem operasi Linux, Unix, dan BSD.

Tool ini dikembangkan untuk melakukan pemeriksaan otomatis terhadap:

• Konfigurasi sistem
• Pengaturan kernel
• File permissions
• User authentication
• SSH security
• Networking
• Firewall
• Malware detection
• Compliance checking
• Security hardening

Keunggulan Lynis adalah kemampuannya memberikan rekomendasi spesifik berdasarkan kondisi aktual server.

---

Mengapa Administrator Linux Menggunakan Lynis?

Beberapa alasan utama menggunakan Lynis:

• Audit keamanan otomatis
• Deteksi konfigurasi yang berisiko
• Memberikan rekomendasi hardening
• Mendukung berbagai distribusi Linux
• Ringan dan mudah dijalankan
• Open source dan gratis

Bahkan banyak auditor keamanan menjadikan Lynis sebagai salah satu tools wajib saat melakukan security assessment.

---

Cara Install Lynis

Ubuntu dan Debian

apt update
apt install lynis -y

Download Versi Terbaru dari GitHub

git clone https://github.com/CISOfy/lynis
cd lynis

Cek versi:

./lynis --version

---

Cara Menjalankan Audit Keamanan

Setelah instalasi selesai, jalankan audit dengan perintah:

lynis audit system

atau jika menggunakan versi GitHub:

./lynis audit system

Proses audit biasanya berlangsung antara 1 hingga 5 menit tergantung spesifikasi server.

---

Memahami Hasil Audit Lynis

Setelah proses selesai, Lynis akan menampilkan berbagai informasi penting.

Contoh:

Hardening index : 63 [#############]
Tests performed : 230
Plugins enabled : Yes

Hardening Index

Hardening Index merupakan indikator tingkat keamanan server.

Kategori umum:

• 0 – 49 : Rendah
• 50 – 69 : Cukup
• 70 – 89 : Baik
• 90 – 100 : Sangat Baik

Target minimal yang direkomendasikan adalah:

Hardening Score 70+

---

Kategori Audit yang Dicek Lynis

File Permissions

Memeriksa:

• Permission file sistem
• Ownership file penting
• File sensitif yang dapat diakses sembarang user

Authentication

Memeriksa:

• Password policy
• Hashing algorithm
• PAM configuration
• User account security

Networking

Memeriksa:

• Firewall
• Open ports
• Network services
• Remote access configuration

Kernel

Memeriksa:

• Kernel security settings
• Sysctl parameters
• Security modules

---

Temuan Umum Lynis dan Cara Memperbaikinya

BOOT-5264 — Password GRUB Belum Ditetapkan

Temuan ini menunjukkan bahwa bootloader GRUB belum dilindungi password.

Risiko:

• Seseorang dapat mengubah parameter boot saat startup.
• Memungkinkan bypass beberapa mekanisme keamanan.

Generate password:

grub-mkpasswd-pbkdf2

Simpan hash yang dihasilkan.

Edit konfigurasi:

nano /etc/grub.d/40_custom

Tambahkan:

set superusers="admin"
password_pbkdf2 admin HASH_PASSWORD

Update GRUB:

update-grub

---

AUTH-9328 — Password Hashing Algorithm Lemah

Jika masih menggunakan algoritma lama, password menjadi lebih mudah di-crack.

Periksa file:

/etc/pam.d/common-password

Gunakan SHA512:

password [success=1 default=ignore] pam_unix.so obscure sha512

Simpan lalu restart layanan terkait.

Manfaat:

• Password lebih sulit dipecahkan.
• Meningkatkan keamanan autentikasi.

---

SSH-7408 — AllowTcpForwarding Belum Dinonaktifkan

Forwarding SSH dapat menjadi celah jika tidak diperlukan.

Edit konfigurasi SSH:

nano /etc/ssh/sshd_config

Cari:

AllowTcpForwarding yes

Ubah menjadi:

AllowTcpForwarding no

Restart SSH:

systemctl restart ssh

Atau:

systemctl restart sshd

Keuntungan:

• Mengurangi potensi penyalahgunaan tunnel SSH.
• Mengurangi attack surface server.

---

Strategi Meningkatkan Score Lynis di Atas 70

Selain memperbaiki temuan utama, lakukan langkah berikut:

Aktifkan Firewall

Ubuntu:

ufw enable

Cek status:

ufw status

Nonaktifkan Service Tidak Digunakan

Lihat service aktif:

systemctl list-units --type=service

Matikan service yang tidak diperlukan:

systemctl disable nama-service

Update Sistem Secara Berkala

apt update && apt upgrade -y

Gunakan SSH Key Authentication

Nonaktifkan login password:

PasswordAuthentication no

Aktifkan Fail2Ban

apt install fail2ban -y

Melindungi server dari brute force attack.

Periksa User Tidak Aktif

cat /etc/passwd

Hapus akun yang sudah tidak digunakan.

Hardening Kernel

Tambahkan parameter keamanan pada:

/etc/sysctl.conf

Contoh:

net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1

Lalu jalankan:

sysctl -p

---

Best Practice Menggunakan Lynis

Agar hasil audit tetap relevan:

• Jalankan audit setiap bulan
• Audit setelah update besar
• Simpan laporan audit sebelumnya
• Bandingkan perubahan score
• Prioritaskan temuan berisiko tinggi
• Integrasikan dengan SOP keamanan server

---

Kesimpulan

Lynis merupakan salah satu tool audit keamanan Linux terbaik yang dapat digunakan secara gratis untuk mengidentifikasi kelemahan konfigurasi server. Dengan menjalankan audit secara rutin dan memperbaiki rekomendasi yang diberikan, administrator dapat meningkatkan Hardening Index secara signifikan.

Fokus utama perbaikan biasanya berada pada area boot security, authentication, SSH hardening, firewall, dan kernel security. Dengan menerapkan rekomendasi tersebut, mencapai skor Lynis di atas 70 bukanlah hal yang sulit, bahkan pada server yang baru dikonfigurasi.

Semakin tinggi skor Lynis, semakin kecil peluang server menjadi target serangan akibat kesalahan konfigurasi yang sebenarnya dapat dicegah.

---

“Keamanan server bukan tentang menjadi sempurna, tetapi tentang terus memperkecil peluang terjadinya kompromi.”

---

FAQ

1. Apa itu Lynis?

Lynis adalah tool audit keamanan open source untuk Linux, Unix, dan BSD yang digunakan untuk mengevaluasi konfigurasi keamanan sistem.

2. Bagaimana cara menjalankan Lynis?

Gunakan perintah:

lynis audit system

3. Berapa skor Lynis yang dianggap aman?

Umumnya skor 70 ke atas dianggap baik untuk sebagian besar server produksi.

4. Apakah Lynis gratis?

Ya, Lynis tersedia dalam versi open source yang dapat digunakan secara gratis.

5. Seberapa sering audit Lynis dilakukan?

Disarankan minimal satu kali setiap bulan atau setelah perubahan besar pada sistem.

6. Apakah Lynis bisa digunakan pada VPS?

Ya. Lynis sangat cocok digunakan pada VPS maupun dedicated server.

7. Apakah skor Lynis 100 bisa dicapai?

Secara teknis bisa, tetapi tidak selalu diperlukan karena beberapa rekomendasi mungkin tidak relevan dengan kebutuhan sistem tertentu.

---

Sudah mencoba Lynis pada server Anda? Bagikan skor hardening yang berhasil Anda capai di kolom komentar.

Jika artikel ini bermanfaat, jangan lupa membagikannya ke rekan sysadmin dan tim IT Anda. Subscribe website ini untuk mendapatkan panduan Linux, jaringan, keamanan server, dan DevOps terbaru. Anda juga bisa membaca artikel lainnya tentang hardening Linux, monitoring server, serta praktik keamanan infrastruktur modern.