Lynis 2.5.5 发布 - Linux系统安全审计和扫描工具
Lynis 是一个开源且功能强大的审计工具,适用于类 Unix/Linux 操作系统。它扫描系统的安全信息、一般系统信息、已安装和可用的软件信息、配置错误、安全问题、没有密码的用户帐户、错误的文件权限、防火墙审核等。
Lynis 是最值得信赖的自动化审核工具之一,用于基于 Unix/Linux 的系统中的软件补丁管理、恶意软件扫描和漏洞检测。该工具对于审核员、网络和系统管理员、安全专家和渗透测试人员 。
由于 Lynis 非常灵活,因此它可用于各种不同的目的,包括:
- 安全审计
- 合规性测试
- 渗透测试
- 漏洞检测
- 系统加固
经过几个月的开发,Lynis 3.0.4 的新主要版本发布了,其中包含一些新功能和测试以及许多小的改进。我鼓励所有 Linux 用户测试并升级到 Lynis 的最新版本。
在本文中,我们将向您展示如何使用源 tarball 文件在 Linux 系统中安装 Lynis 3.0.4(Linux 审核工具)。
另请阅读:
- 安装 ConfigServer 安全和防火墙 (CSF)
- 安装 Linux Rkhunter (Rootkit Hunter)
- 安装 Linux 恶意软件检测 (LMD)
在 Linux 中安装 Lynis
通过系统包管理器安装 Lynis 是开始使用 Lynis 的最简单方法之一。要在您的发行版上安装 Lynis,请按照以下说明进行操作。
在 Debian、Ubuntu 和 Mint 上安装 Lynis
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
sudo apt install apt-transport-https
echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
apt update
apt install lynis
lynis show version
在 CentOS、RHEL 和 Fedora 上安装 Lynis
yum update ca-certificates curl nss openssl
cat >/etc/yum.repos.d/cisofy-lynis.repo <<EOL
[lynis]
name=CISOfy Software - Lynis package
baseurl=https://packages.cisofy.com/community/lynis/rpm/
enabled=1
gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
gpgcheck=1
priority=2
EOL
yum makecache fast
yum install lynis
在 openSUSE 上安装 Lynis
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
sudo zypper repos
sudo zypper refresh
sudo zypper install lynis
使用源安装 Lynis
如果您不想安装Lynis,您可以下载源文件并直接从任何目录运行它。因此,最好在 /usr/local/lynis
下为 Lynis 创建一个自定义目录。
mkdir /usr/local/lynis
使用 wget 命令从受信任的网站下载稳定版本的 Lynis 源文件,并使用 tar 命令解压它,如下所示。
cd /usr/local/lynis
wget https://downloads.cisofy.com/lynis/lynis-3.0.4.tar.gz
解压缩 tarball
tar -xvf lynis-3.0.4.tar.gz
运行和使用 Lynis 基础知识
您必须是 root 用户才能运行 Lynis,因为它会创建输出并将其写入 /var/log/lynis.log
文件。要运行Lynis,请执行以下命令。
cd lynis
./lynis
通过运行不带任何选项的 ./lynis
,它将为您提供可用参数的完整列表,并返回到 shell 提示符。见下图。
要启动 Lynis 进程,您必须定义一个审核系统
参数以开始扫描整个 Linux 系统。使用以下命令开始扫描,参数如下所示。
./lynis audit system
Or
lynis audit system
一旦您执行上述命令,它将开始扫描您的系统,并要求您按 [Enter] 继续,或按 [CTRL]+C 停止) 它扫描并完成的每个进程。请参阅下面所附的屏幕截图。
创建 Lynis Cronjobs
如果您想创建系统的每日扫描报告,那么您需要为其设置一个 cron 作业。在 shell 中运行以下命令。
crontab -e
使用选项 --cronjob
添加以下 cron 作业,输出中的所有特殊字符都将被忽略,扫描将完全自动运行。
30 22 * * * root /path/to/lynis -c -Q --auditor "automated" --cronjob
上面的示例 cron 作业将在每天晚上10:30运行,并在 /var/log/lynis.log
文件下创建每日报告。
Lynis 扫描结果
扫描时,您将看到输出为 [OK] 或 [WARNING]。其中 [确定] 认为结果良好,而 [警告] 认为结果不好。但这并不意味着[确定]结果配置正确并且[警告 ] 不一定是坏事。在阅读 /var/log/lynis.log
中的日志后,您应该采取纠正措施来解决这些问题。
在大多数情况下,扫描会在扫描结束时提供解决问题的建议。请参阅附图,其中提供了解决问题的建议列表。
更新莱尼斯
如果您想更新或升级当前的lynis版本,只需键入以下命令,它就会下载并安装最新版本的lynis。
./lynis update info
Or
lynis update info
请参阅图中上述命令的附加输出。它表示我们的 Lynis 版本是最新。
莱尼斯参数
Lynis的一些参数供大家参考。
- 审核系统 – 执行系统审核。
- 显示命令 – 显示可用的 Lynis 命令。
- 显示帮助 – 提供帮助屏幕。
- 显示配置文件 – 显示发现的配置文件。
- 显示设置 – 列出配置文件中的所有活动设置。
- 显示版本 – 显示当前的 Lynis 版本。
--cronjob
:将 Lynis 作为 cronjob 运行(包括 -c -Q)。--help 或 -h
:显示有效参数。--quick 或 -Q
:不等待用户输入,错误除外。--version 或 -V
:显示 Lynis 版本。
就是这样,我们希望本文对解决运行 Linux 系统时的安全问题有很大帮助。欲了解更多信息,请访问 Lynis 官方页面:https://cisofy.com/download/lynis/。