Lynis 2.2.0：面向Linux系统的安全审查和扫描

【51CTO.com 快译】Lynis是一款功能非常强大的开源审查工具，面向类似Unix/Linux的操作系统。它可以扫描系统，查找安全信息、一般的系统信息、已安装软件及可用软件信息、配置错误、安全问题、没有设密码的用户帐户、错误的文件许可权限以及防火墙审查等。

Lynis是最可靠的自动化审查工具之一，可用于基于Unix/Linux的系统中的软件补丁管理、恶意软件扫描和安全漏洞检测。这款工具适用于审查人员、 络及系统管理员、安全专家和渗透测试人员。

经过几个月开发后，现在发布了一个新的主要升级版：Lynis 2.2.0，它随带一些新的功能和测试以及许多小的改进之处。我鼓励所有Linux用户测试并升级到Lynis的这个最新版本。

Lynis的安装

Lynis不需要任何安装，它可以从任何目录直接使用。所以，在/usr/local/lynis下为Lynis创建一个自定义目录是个好主意。

# mkdir /usr/local/lynis

使用wget命令，从可靠的 站下载稳定版本的Lynis源文件，并使用tar命令对它进行解压缩，所下所示。

# cd /usr/local/lynis # wget https://cisofy.com/files/lynis-2.2.0.tar.gz

下载Lynis Linux审查工具

对tarball进行解压缩

# tar -xvf lynis-2.2.0.tar.gz

解压缩Lynis工具

运行和使用Lynis基本命令

你必须是root用户才能运行Lynis，因为它创建输出，并将输出写入到/var/log/lynis.log文件。想运行Lynis，执行下面这个命令。

# cd lynis # ./lynis

如果运行不带任何选项的./lynis，它会为你提供一份列有可用参数的完整列表，并回到外壳提示符。参阅下图。

Lynis基本选项和帮助

想启动Lynis进程，你必须定义–check-all参数，开始扫描你的整个Linux系统。使用下面这个命令，开始带参数扫描，如下所示。

# ./lynis –check-all

一旦你执行了上述命令，它会开始扫描你的系统，要求你按回车键继续，或者按 [CTRL]+C组合键，停止它扫描并完成的每个进程。参阅下面的相关图。

Lynis：扫描整个Linux系统

Lynis安全扫描细节

为了防止用户在扫描过程中进行这种确认(即“按回车键继续”)，你需要使用-c和-Q这两个参数，如下所示。

# ./lynis -c -Q

它会进行全面扫描，不用等任何用户确认。参阅下列屏幕播放。

Lynis：扫描Linux文件系统

创建Lynis计划任务

如果你想为系统创建日常扫描 告，那么就需要为它设定一项计划任务(croj job)。在外壳运行下面这个命令。

# crontab -e

用选项–cronjob，添加下列计划任务，所有特殊字符都会被输出忽视，扫描会完全自动化运行。

30 22 * * * root /path/to/lynis -c -Q –auditor “automated” –cronjob

上述示例的计划任务会每天在夜晚10：30运行，并在/var/log/lynis.log文件下创建一个日常 告。

Lynis扫描结果

扫描过程中，你会看到输出是 [OK]或[WARNING]。[OK]被认为是好的结果，而[WARNING]是坏的结果。但是这并不意味着，[OK]结果代表配置正确，[WARNING]未必就是坏的。你在阅读/var/log/lynis.log下的日志后，应采取纠正措施，解决那些问题。

在大多数情况下，扫描会在结束后提供建议，表明如何修复问题。参阅列出了解决问题的建议的相关图表。

Lynis建议提示

更新Lynis

如果你想更新或升级目前的Lynis版本，只要输入下面这个命令，它就会下载并安装最新版本的lynis。

# ./lynis update info [Show update details] # ./lynis update release [Update Lynis release]

参阅图中上述命令的相关输出。它表明，我们的Lynis版本是最新版本。

更新Lynis审查工具

Lynis参数

仅供参考的一些Lynis参数。

·–checkall or -c：开始扫描。

·–check-update：检查Lynis更新版。

·–cronjob：以计划任务运行Lynis(包括-c –Q)。

·–help or -h：显示有效参数。

·–quick or -Q：不等用户输入，除非出现错误。

·–version or -V：显示Lynis版本。

原文地址：Lynis 2.2.0 Released – Security Auditing and Scanning Tool for Linux Systems