一、工具介绍
Lynis是一款Unix系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在的时间并对未来的系统加固提供建议。这款软件会扫描一般系统信息,脆弱软件包以及潜在的错误配置。扫描完成后,Lynis还会为我们生成一份包含所有扫描结果的安全报告。
Lynis 的主要目标包括:
- 自动化安全审计
- 合规性测试(如 ISO27001、PCI-DSS、HIPAA)
- 漏洞检测
受众人群:
- 开发人员:测试该Docker映像,或改善已部署Web应用程序的强化。
- 系统管理员:运行日常运行状况扫描,以发现新的漏洞。
- IT审核员:向同事或客户展示可以采取哪些措施来提高安全性。
- 渗透测试人员:发现客户端系统上的安全漏洞,最终可能导致系统受损。
二、工具安装
1、软件包安装
对于运行 Linux、BSD 和 macOS 的系统,通常有现成的软件包。这是获取 Lynis 的首选方式,因为它安装快速且易于更新。Lynis 官方还提供 RPM 或 DEB 格式的软件包,适用于以下系统:CentOS、Debian、Fedora、OEL、openSUSE、RHEL、Ubuntu 等。
sudo apt install lynis
2、git安装
克隆或下载项目文件(无需编译或安装):
git clone https://github.com/CISOfy/lynis
三、工具使用
./lynis audit system常用参数列表
| 参数 | 缩写 | 描述 |
|---|---|---|
--auditor "Name" | 为审计报告指定审计者名称 | |
--checkall | -c | 启动全面检查 |
--check-update | 检查 Lynis 是否为最新版本 | |
--cronjob | 以 cron 作业方式运行 Lynis(包含 -c -Q) | |
--help | -h | 显示有效参数 |
--manpage | 查看手册页 | |
--nocolors | 不使用任何颜色 | |
--pentest | 执行渗透测试扫描(非特权用户模式) | |
--quick | -Q | 除非出错,否则不等待用户输入 |
--quiet | 仅显示警告信息(包含 --quick,但不等待) | |
--reverse-colors | 为浅色背景使用不同配色方案 | |
--version | -V | 检查程序版本(并退出) |
日志查看
nano /var/log/lynis-report.dat查看其中的告警(WARNING)以及建议(SUGGESTION)
grep Warning /var/log/lynis.log
grep Suggestion /var/log/lynis.log