Бесплатные сканеры уязвимостей под Linux: Полный обзор

канеры уязвимостей Linux OpenVAS Nikto Nmap Lynis Trivy Wapiti OWASP ZAP бесплатные инструменты безопасности кибербезопасность pentest
Бесплатные сканеры уязвимостей под Linux: Полный обзор

Сканировать инфраструктуру на уязвимости — как регулярно проверять давление в шинах перед дальней поездкой. Можно игнорировать, но на трассе потом будет больно. В этом материале под лупой десять бесплатных сканеров для Linux: поговорим о сильных и слабых сторонах, подскажем, где они особенно полезны, а где лучше поискать альтернативу. Пристёгиваем ремни — будет живо и без канцелярщины.

Почему регулярное сканирование — не «паранойя для админов»

Каждый день кто-то выплёвывает в интернет новый эксплойт (а он, зараза, там уже остаётся). NVD добавляет тысячи CVE в год. От большинства из них мы защищены патчами, но часто — увы — не вовремя. Поэтому сканер уязвимостей — наш еженедельный контрольный «залп» по собственной системе: не вывалилось ли чего нового по дороге.

  • Бизнес-причина: штрафы за утечки и простой сервисов стоят дороже, чем час сканирования.
  • Техническая причина: автоматизация. 10 серверов руками ещё можно проверить, а вот 200 — сложно.
  • Экзистенциальная причина: спокойный сон админа (хотя тут гарантий всё равно нет).

Метод отбора героев обзора

Чтобы в список попал инструмент, мы предъявили три простых, но жёстких критерия:

  1. Бесплатность. Полностью FOSS или условно-бесплатная «Essentials»-лицензия.
  2. Свежие сигнатуры. Апдейты базы CVE не реже раза в квартал.
  3. Нативная работа под Linux. Не через Wine и танцы с бубном.

Попутно смотрели на активность комьюнити, удобство CLI/GUI и документацию. Если какая-нибудь утилита обновлялась последний раз, когда GNOME 2 был в новинку — сразу мимо.

Коротко о каждом сканере

OpenVAS / Greenbone Vulnerability Manager

«Большая зелёная пушка» сетевого сканирования. Умеет строить детальные отчёты, оперирует тысячами NVT-плагинов, из коробки поддерживает политики CIS Benchmark. Потребляет ресурсы как голодный PostgreSQL, зато покрывает почти всё: от SMB до TLS-конфигов.

  • Плюсы: мощная база, полноценный веб-GUI.
  • Минусы: установка напоминает квест «собери Frankenstein из контейнеров».
  • Где хорош: корпоративные сети, где нужен отчёт «для начальства».
  • Документация

Nmap + NSE

Старый добрый Nmap сам по себе — не сканер уязвимостей, но его nmap scripting engine превращает инструмент в швейцарский нож аудита . Сотни скриптов: от обнаружения Heartbleed до поиска не патченных SSL.

  • Плюсы: лёгкий, работает везде, легко автоматизировать.
  • Минусы: нужно понимать, какие скрипты запускать и как интерпретировать вывод.
  • Где хорош: быстрая разведка перед глубоким сканированием.
  • Каталог скриптов NSE

Nikto

Веб-сканер эпохи динозавров, но до сих пор актуален. Проверяет конфиги HTTP-серверов, ищет раскрытые директории, устаревшие модули и прочую веб-экзотику.

  • Плюсы: запускается одной командой, словарь постоянно пополняют.
  • Минусы: много «шумных» (false-positive) находок.
  • Где хорош: быстрая проверка сайта перед выкладкой.
  • Официальный сайт

Lynis

Не сетевой, а хостовый аудитор: заходит под root, читает конфиги, проверяет права, модули ядра, даёт hardening index. Запустил, пополнил чек-лист и идёшь скрепя сердце чинить.

  • Плюсы: быстрая установка, подробные рекомендации в plain-text.
  • Минусы: только Linux/Unix, никакого GUI.
  • Где хорош: серверы, где надо быстро оценить «уровень брони».
  • Документация

Trivy

Звезда Docker-эры от Aqua Security. Сканирует образы контейнеров, репозитории, Kubernetes-кластеры и конфиги IaC. Можно пускать как CI-проверку — действует отрезвляюще.

  • Плюсы: за секунды ставится одной бинарью, поддерживает SBOM.
  • Минусы: ориентирован на контейнерный мир, для «голого» сервера мало смысла.
  • Где хорош: DevOps-пайплайн, supply-chain аудит.
  • Документация

Wapiti

Французский лёгкий веб-сканер (да-да, багетами не бросается). Ищет XSS, SQL-инъекции, SSRF и другую классическую боль.

  • Плюсы: CLI-тул в один файл, понятный HTML-отчёт.
  • Минусы: медленнее Nikto, требует настройки для SPA.
  • Где хорош: инженерам, кто хочет «быстрый и тихий» веб-аудит.
  • Документация

OWASP ZAP

Если нужно что-то посолиднее для веба, ZAP — почти Burp, только бесплатно. Запускается с GUI, перехватывает трафик, фуззит запросы, рисует графики атаки.

  • Плюсы: обилие плагинов, активная комьюнити OWASP.
  • Минусы: пожирает память, Java GUI пугает минималистов.
  • Где хорош: глубокое тестирование REST-и GraphQL-API.
  • Официальный сайт

Сравнительная мини-таблица

Инструмент Тип сканирования GUI Обновления базы Годен для CI/CD
OpenVAS Сеть Веб Ежедневно Опционально
Nmap + NSE Сеть Нет Ад-хок Да
Nikto Веб Нет Еженедельно Да
Lynis Хост Нет Ежемесячно Да
Trivy Контейнеры Нет Ежедневно Да
Wapiti Веб Нет Нерегулярно Да
OWASP ZAP Веб Да Часто Скриптами

Как выбрать «свой» сканер

Плохая новость: серебряной пули нет. Хорошая: комбинация инструментов покрывает 95 % бытовых нужд. Лайф-хак: держите Nmap –sn для быстрой разведки, Trivy — для контейнеров, и что-то тяжёлое вроде OpenVAS, когда нужен отчёт «на 500 страниц в PDF».

  • Сеть + Windows-хосты? OpenVAS.
  • Быстрый скан портов? Nmap/NSE.
  • Сайт на WordPress? Nikto + Wapiti.
  • Kubernetes-кластер? Trivy.
  • Тест-лавирование REST API? ZAP.

Подводные камни и как их обойти

Самая часто встречающаяся ошибка — запускать сканер «в лоб» в боевом PROD-стеке без ограничения скорости. Результат: мониторинг орёт, база грозится упасть. Настраивайте rate limit и чёрные списки (например, для /health-checks).

Вторая беда — ложноположительные. Любой инструмент, пытаясь перестраховаться, иногда видит призрак CVE там, где его нет. Выход простой: верификация. Заведите отдельный плейбук: «увидели критическую уязвимость — перепроверяем руками или вторым сканером».

Советы по автоматизации

  1. CI/CD-хук. Триггерите Trivy/Nikto при каждом push в main — разработчики быстро усвоят, что устаревший пакет — это «красный билд».
  2. Cron и Slack-бот. Раз в неделю запускайте OpenVAS, а резюме отправляйте боту в #sec-ops.
  3. Парсинг XML/JSON-вывода. Nmap и ZAP умеют JSON — легко кормить в ELK или Grafana Loki.

Заключение: не искать «лучшую», а искать «подходящую»

Бесплатные инструменты под Linux закрывают большинство задач безопасности, если использовать их с головой. Не надейтесь, что любой сканер волшебно «залатает дырки». Он лишь подсказывает, где эти дыры зловеще хлюпают ветром. А чинить придётся всё равно вам — или вашему дежурному девопсу, который уже готовит кофе покрепче. Так что собирайте свой «комбо-набор», ставьте его на автопилот, но не забывайте время от времени глянуть в отчёт — и сон будет куда спокойнее.

Удачных вам сканов, чистых логов и минимум «critical severity» по утрам!

канеры уязвимостей Linux OpenVAS Nikto Nmap Lynis Trivy Wapiti OWASP ZAP бесплатные инструменты безопасности кибербезопасность pentest
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Твой код — безопасный?

Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.

Участвовать

article-title

Николай Нечепуренков

Я – ваш цифровой телохранитель и гид по джунглям интернета. Устал видеть, как хорошие люди попадаются на уловки кибермошенников, поэтому решил действовать. Здесь я делюсь своими секретами безопасности без занудства и сложных терминов. Неважно, считаешь ты себя гуру технологий или только учишься включать компьютер – у меня найдутся советы для каждого. Моя миссия? Сделать цифровой мир безопаснее, а тебя – увереннее в сети.