.png)
Linux系统安全审计工具--Lynis
一、介绍
Lynis 是一个为系统管理员提供的 Linux 和 Unix 的审计工具 。 Lynis 扫描系统的配置,并创建概述系统信息与安全问题所使用的专业审计。 Lynis是一款轻量级的软件,用于发现Linux系统中的安全漏洞和威胁程序。开源免费。自动进行安全扫码工作,并生成报告,提供修复建议。
1.1、网址
官网 : https://cisofy.com/lynis/
Github : https://github.com/CISOfy/lynis
oschina : https://www.oschina.net/p/lynis
二、安装Lynix
2.1、基础环境
操作系统:CentOS 7.3 1611(GNOME Desktop)
软件版本:lynis-3.0.8
2.2、RPM包安装
2.2.1、更新依赖包,确保他们是最新的版本
yum update ca-certificates curl nss openssl
2.2.2、创建yum源文件
vim /etc/yum.repos.d/cisofy-lynis.repo
[lynis]
name=CISOfy Software - Lynis package
baseurl=https://packages.cisofy.com/community/lynis/rpm/
enabled=1
gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
gpgcheck=1
priority=2
2.2.3、yum 安装 Lynis
yum install lynis
2.3、源码包安装
步骤 1. 创建目录
Lynis 可以从每个目录启动。所以选择一个你想要存储 Lynis 的目录。对于我们的示例目的,我们使用 /usr/local/lynis,因为 /usr/local 目录存在于大多数发行版中。
mkdir -p /usr/local/lynis
cd /usr/local
步骤 2. 下载
下一步是将最新版本的 Lynis tar包以 lynis-.tar.gz 结尾)下载到 /usr/local 目录中。
cd /usr/local
wget https://cisofy.com/files/lynis-<version>.tar.gz
或者
#macOS用户可以使用curl工具,而 BSD 用户可以使用fetch。
curl https://cisofy.com/files/lynis-<version>.tar.gz -o lynis.tar.gz
步骤 3. 解压压缩包
cd /usr/local
tar xfvz lynis-<version>.tar.gz
三、启动Lynis
Lynis 无需任何预配置即可运行。
如果 Lynis 是RPM包安装的,直接执行启动命令即可
源码包安装的,使用"./"加命令启动
cd /安装目录
./lynis
Lynis 无需任何预配置即可运行。虽然配置和微调是可能的,但将在后面的部分中介绍。现在我们将运行基本扫描:
#执行扫描
lynis audit system
Lynis 终止和暂停 默认情况下,Lynis 在第一节之后开始并暂停。使用 CTRL+C 可以停止程序。使用 ENTER 将继续进行下一组测试。如果我们想在没有任何暂停的情况下运行 Lynis,
常用参数
我们可以给它一个额外的参数:--quick。这将启用“快速”选项,非常适合在您做其他事情时运行 Lynis。
lynis audit system --quick
常用命令
| 命令 | 描述 |
|---|---|
| audit system | 执行系统审核 |
| show commands | 显示可用的 Lynis 命令 |
| show help | 显示帮助 |
| show profiles | 显示配置文件 |
| show settings | 显示设置 |
| show version | 显示版本 |
show命令需要最新版本的 Lynis 。
常用选项
| 选项 | 缩写 | 描述 |
|---|---|---|
| --auditor "名字姓氏" | 为审计(报告)分配审计员名称 | |
| --cronjob | 将 Lynis 作为 cronjob 运行(包括 -c -Q) | |
| --debug | 显示调试信息,对故障排除和开发有用 | |
| - help | -h | 显示有效参数 |
| --man-page | 查看手册页 | |
| --no-colors | 不要使用任何颜色 | |
| --pentest | 执行渗透测试扫描(非特权) | |
| - quick | -Q | 不要等待用户输入,除非出现错误 |
| - quiet | -q | 仅显示警告(包括 --quick,但不等待) |
| --reverse-colors | 为较浅的背景使用不同的配色方案 | |
| --verbose | 显示更多屏幕输出 |
提示
- 如果 Lynis 未作为软件包安装(包含手册页),请使用--man或nroff -man ./lynis.8
- 对于外壳背景较浅的系统,请使用--nocolors或--reverse-colors
- 使用命令show options查看 Lynis 的所有可用参数
四、报告和记录
Lynis 执行深入审计并将其调查结果报告给以下输出:
- 屏幕
- 日志记录
- 报告
1.画面输出
Lynis 扫描系统并执行数百次测试。对于大多数这些测试,结果将显示在屏幕上。
可能的测试结果包括:
- 正常或警告
- 找到或未找到
- 一个值
2.日志文件
结果在系统扫描期间显示在屏幕上。其他详细信息记录在单独的文件中(默认:/var/log/lynis.log)。此信息对于高级测试人员很有用,可以查看程序在后台执行的操作或异常出现的位置。
日志文件中的信息:
- 动作/事件的时间
- 测试失败或被跳过的原因
- (内部)测试的输出
- 关于配置选项或如何修复/改进的建议
- 威胁/影响分数
备注:
每次扫描都会清除日志文件。如果您需要先前扫描的调试或记录信息,请在再次运行 Lynis 之前安排日志轮换或进行备份。
3. 报告文件
在审计过程中,Lynis 将收集调查结果和其他数据点。此信息存储在报告文件中,默认情况下为/var/log/lynis-report.dat。
Lynis 支持一种报告格式,可用于收集结果并将其显示在自定义或(更)友好的演示文稿中。报告文件还可用于将过去的扫描结果与当前扫描结果进行比较。Lynis Enterprise 具有更多显示数据的可能性,包括多种格式的扩展报告。
报告文件内容:
- 备注 = #<备注>
- 部分 = [<部分名称>]
- 选项/值 = <选项名称>=<选项值>
当一个选项可以有多个值(例如已安装的软件包)时,会添加括号 ([])。示例:installed_package[]=Package-1.0.0
