【51CTO.com 快譯】Lynis是一款功能非常強(qiáng)大的開源審查工具，面向類似Unix/Linux的操作系統(tǒng)。它可以掃描系統(tǒng)，查找安全信息、一般的系統(tǒng)信息、已安裝軟件及可用軟件信息、配置錯誤、安全問題、沒有設(shè)密碼的用戶帳戶、錯誤的文件許可權(quán)限以及防火墻審查等。

[[167287]]

Lynis是最可靠的自動化審查工具之一，可用于基于Unix/Linux的系統(tǒng)中的軟件補(bǔ)丁管理、惡意軟件掃描和安全漏洞檢測。這款工具適用于審查人員、網(wǎng)絡(luò)及系統(tǒng)管理員、安全專家和滲透測試人員。

經(jīng)過幾個月開發(fā)后，現(xiàn)在發(fā)布了一個新的主要升級版：Lynis 2.2.0，它隨帶一些新的功能和測試以及許多小的改進(jìn)之處。我鼓勵所有Linux用戶測試并升級到Lynis的這個***版本。

我們在本文中將介紹在Linux系統(tǒng)中如何使用tarball源文件安裝Lynis 2.2.0(Linux審查工具)。

Lynis的安裝

Lynis不需要任何安裝，它可以從任何目錄直接使用。所以，在/usr/local/lynis下為Lynis創(chuàng)建一個自定義目錄是個好主意。

# mkdir /usr/local/lynis 

使用wget命令，從可靠的網(wǎng)站下載穩(wěn)定版本的Lynis源文件，并使用tar命令對它進(jìn)行解壓縮，所下所示。

# cd /usr/local/lynis 
 
# wget https://cisofy.com/files/lynis-2.2.0.tar.gz 

下載Lynis Linux審查工具

對tarball進(jìn)行解壓縮

# tar -xvf lynis-2.2.0.tar.gz

解壓縮Lynis工具

運(yùn)行和使用Lynis基本命令

你必須是root用戶才能運(yùn)行Lynis，因?yàn)樗鼊?chuàng)建輸出，并將輸出寫入到/var/log/lynis.log文件。想運(yùn)行Lynis，執(zhí)行下面這個命令。

# cd lynis 
 
# ./lynis 

如果運(yùn)行不帶任何選項(xiàng)的./lynis，它會為你提供一份列有可用參數(shù)的完整列表，并回到外殼提示符。參閱下圖。

Lynis基本選項(xiàng)和幫助

想啟動Lynis進(jìn)程，你必須定義--check-all參數(shù)，開始掃描你的整個Linux系統(tǒng)。使用下面這個命令，開始帶參數(shù)掃描，如下所示。

# ./lynis --check-all 

一旦你執(zhí)行了上述命令，它會開始掃描你的系統(tǒng)，要求你按回車鍵繼續(xù)，或者按 [CTRL]+C組合鍵，停止它掃描并完成的每個進(jìn)程。參閱下面的相關(guān)圖。

Lynis：掃描整個Linux系統(tǒng)

Lynis安全掃描細(xì)節(jié)

為了防止用戶在掃描過程中進(jìn)行這種確認(rèn)(即“按回車鍵繼續(xù)”)，你需要使用-c和-Q這兩個參數(shù)，如下所示。

# ./lynis -c -Q 

它會進(jìn)行全面掃描，不用等任何用戶確認(rèn)。參閱下列屏幕播放。

Lynis：掃描Linux文件系統(tǒng)

創(chuàng)建Lynis計劃任務(wù)

如果你想為系統(tǒng)創(chuàng)建日常掃描報告，那么就需要為它設(shè)定一項(xiàng)計劃任務(wù)(croj job)。在外殼運(yùn)行下面這個命令。

# crontab -e 

用選項(xiàng)--cronjob，添加下列計劃任務(wù)，所有特殊字符都會被輸出忽視，掃描會完全自動化運(yùn)行。

30 22 * * * root /path/to/lynis -c -Q --auditor "automated" --cronjob 

上述示例的計劃任務(wù)會每天在夜晚10：30運(yùn)行，并在/var/log/lynis.log文件下創(chuàng)建一個日常報告。

Lynis掃描結(jié)果

掃描過程中，你會看到輸出是 [OK]或[WARNING]。[OK]被認(rèn)為是好的結(jié)果，而[WARNING]是壞的結(jié)果。但是這并不意味著，[OK]結(jié)果代表配置正確，[WARNING]未必就是壞的。你在閱讀/var/log/lynis.log下的日志后，應(yīng)采取糾正措施，解決那些問題。

在大多數(shù)情況下，掃描會在結(jié)束后提供建議，表明如何修復(fù)問題。參閱列出了解決問題的建議的相關(guān)圖表。

Lynis建議提示

更新Lynis

如果你想更新或升級目前的Lynis版本，只要輸入下面這個命令，它就會下載并安裝***版本的lynis。

# ./lynis update info [Show update details] 
 
# ./lynis update release [Update Lynis release] 

參閱圖中上述命令的相關(guān)輸出。它表明，我們的Lynis版本是***版本。

更新Lynis審查工具

Lynis參數(shù)

僅供參考的一些Lynis參數(shù)。

·--checkall or -c：開始掃描。

·--check-update：檢查Lynis更新版。

·--cronjob：以計劃任務(wù)運(yùn)行Lynis(包括-c –Q)。

·--help or -h：顯示有效參數(shù)。

·--quick or -Q：不等用戶輸入，除非出現(xiàn)錯誤。

·--version or -V：顯示Lynis版本。

就是這樣。我們希望本文對你有所幫助，以便搞清楚運(yùn)行中的系統(tǒng)存在的安全問題。想了解更多信息，請訪問官方的Lynis頁面：https://cisofy.com/download/lynis/。

原文地址：Lynis 2.2.0 Released – Security Auditing and Scanning Tool for Linux Systems

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】