【51CTO.com 快譯】Lynis是一款功能非常強(qiáng)大的開(kāi)源審查工具，面向類似Unix/Linux的操作系統(tǒng)。它可以掃描系統(tǒng)，查找安全信息、一般的系統(tǒng)信息、已安裝軟件及可用軟件信息、配置錯(cuò)誤、安全問(wèn)題、沒(méi)有設(shè)密碼的用戶帳戶、錯(cuò)誤的文件許可權(quán)限以及防火墻審查等。

[[167287]]

Lynis是最可靠的自動(dòng)化審查工具之一，可用于基于Unix/Linux的系統(tǒng)中的軟件補(bǔ)丁管理、惡意軟件掃描和安全漏洞檢測(cè)。這款工具適用于審查人員、網(wǎng)絡(luò)及系統(tǒng)管理員、安全專家和滲透測(cè)試人員。

經(jīng)過(guò)幾個(gè)月開(kāi)發(fā)后，現(xiàn)在發(fā)布了一個(gè)新的主要升級(jí)版：Lynis 2.2.0，它隨帶一些新的功能和測(cè)試以及許多小的改進(jìn)之處。我鼓勵(lì)所有Linux用戶測(cè)試并升級(jí)到Lynis的這個(gè)***版本。

我們?cè)诒疚闹袑⒔榻B在Linux系統(tǒng)中如何使用tarball源文件安裝Lynis 2.2.0(Linux審查工具)。

Lynis的安裝

Lynis不需要任何安裝，它可以從任何目錄直接使用。所以，在/usr/local/lynis下為L(zhǎng)ynis創(chuàng)建一個(gè)自定義目錄是個(gè)好主意。

# mkdir /usr/local/lynis 

使用wget命令，從可靠的網(wǎng)站下載穩(wěn)定版本的Lynis源文件，并使用tar命令對(duì)它進(jìn)行解壓縮，所下所示。

# cd /usr/local/lynis 
 
# wget https://cisofy.com/files/lynis-2.2.0.tar.gz 

下載Lynis Linux審查工具

對(duì)tarball進(jìn)行解壓縮

# tar -xvf lynis-2.2.0.tar.gz

解壓縮Lynis工具

運(yùn)行和使用Lynis基本命令

你必須是root用戶才能運(yùn)行Lynis，因?yàn)樗鼊?chuàng)建輸出，并將輸出寫(xiě)入到/var/log/lynis.log文件。想運(yùn)行Lynis，執(zhí)行下面這個(gè)命令。

# cd lynis 
 
# ./lynis 

如果運(yùn)行不帶任何選項(xiàng)的./lynis，它會(huì)為你提供一份列有可用參數(shù)的完整列表，并回到外殼提示符。參閱下圖。

Lynis基本選項(xiàng)和幫助

想啟動(dòng)Lynis進(jìn)程，你必須定義--check-all參數(shù)，開(kāi)始掃描你的整個(gè)Linux系統(tǒng)。使用下面這個(gè)命令，開(kāi)始帶參數(shù)掃描，如下所示。

# ./lynis --check-all 

一旦你執(zhí)行了上述命令，它會(huì)開(kāi)始掃描你的系統(tǒng)，要求你按回車鍵繼續(xù)，或者按 [CTRL]+C組合鍵，停止它掃描并完成的每個(gè)進(jìn)程。參閱下面的相關(guān)圖。

Lynis：掃描整個(gè)Linux系統(tǒng)

Lynis安全掃描細(xì)節(jié)

為了防止用戶在掃描過(guò)程中進(jìn)行這種確認(rèn)(即“按回車鍵繼續(xù)”)，你需要使用-c和-Q這兩個(gè)參數(shù)，如下所示。

# ./lynis -c -Q 

它會(huì)進(jìn)行全面掃描，不用等任何用戶確認(rèn)。參閱下列屏幕播放。

Lynis：掃描Linux文件系統(tǒng)

創(chuàng)建Lynis計(jì)劃任務(wù)

如果你想為系統(tǒng)創(chuàng)建日常掃描報(bào)告，那么就需要為它設(shè)定一項(xiàng)計(jì)劃任務(wù)(croj job)。在外殼運(yùn)行下面這個(gè)命令。

# crontab -e 

用選項(xiàng)--cronjob，添加下列計(jì)劃任務(wù)，所有特殊字符都會(huì)被輸出忽視，掃描會(huì)完全自動(dòng)化運(yùn)行。

30 22 * * * root /path/to/lynis -c -Q --auditor "automated" --cronjob 

上述示例的計(jì)劃任務(wù)會(huì)每天在夜晚10：30運(yùn)行，并在/var/log/lynis.log文件下創(chuàng)建一個(gè)日常報(bào)告。

Lynis掃描結(jié)果

掃描過(guò)程中，你會(huì)看到輸出是 [OK]或[WARNING]。[OK]被認(rèn)為是好的結(jié)果，而[WARNING]是壞的結(jié)果。但是這并不意味著，[OK]結(jié)果代表配置正確，[WARNING]未必就是壞的。你在閱讀/var/log/lynis.log下的日志后，應(yīng)采取糾正措施，解決那些問(wèn)題。

在大多數(shù)情況下，掃描會(huì)在結(jié)束后提供建議，表明如何修復(fù)問(wèn)題。參閱列出了解決問(wèn)題的建議的相關(guān)圖表。

Lynis建議提示

更新Lynis

如果你想更新或升級(jí)目前的Lynis版本，只要輸入下面這個(gè)命令，它就會(huì)下載并安裝***版本的lynis。

# ./lynis update info [Show update details] 
 
# ./lynis update release [Update Lynis release] 

參閱圖中上述命令的相關(guān)輸出。它表明，我們的Lynis版本是***版本。

更新Lynis審查工具

Lynis參數(shù)

僅供參考的一些Lynis參數(shù)。

·--checkall or -c：開(kāi)始掃描。

·--check-update：檢查L(zhǎng)ynis更新版。

·--cronjob：以計(jì)劃任務(wù)運(yùn)行Lynis(包括-c –Q)。

·--help or -h：顯示有效參數(shù)。

·--quick or -Q：不等用戶輸入，除非出現(xiàn)錯(cuò)誤。

·--version or -V：顯示Lynis版本。

就是這樣。我們希望本文對(duì)你有所幫助，以便搞清楚運(yùn)行中的系統(tǒng)存在的安全問(wèn)題。想了解更多信息，請(qǐng)?jiān)L問(wèn)官方的Lynis頁(yè)面：https://cisofy.com/download/lynis/。

原文地址：Lynis 2.2.0 Released – Security Auditing and Scanning Tool for Linux Systems

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】