Lynis简介
Lynis简介
审核,系统强化,合规性测试
Lynis是经过考验的安全工具,适用于运行Linux,macOS或基于Unix操作系统的系统。它对您的系统执行全面的运行状况扫描,以支持系统强化和合规性测试。该项目是具有GPL许可证的开源软件,自2007年起可用。
使用Lynis进行安全扫描(单击以查看完整图像)
项目目标
由于Lynis具有灵活性,因此可用于多种不同目的。Lynis的典型用例包括:
- 安全审核
- 一致性测试(例如,PCI,HIPAA,SOx)
- 渗透测试
- 漏洞检测
- 系统强化
受众和用例
- 开发人员:测试该Docker映像,或改善已部署Web应用程序的强化。
- 系统管理员:运行日常运行状况扫描以发现新的漏洞。
- IT审核员:向同事或客户展示可以采取哪些措施来提高安全性。
- 渗透测试人员:发现客户端系统上的安全漏洞,最终可能导致系统受损。
支持的操作系统
Lynis几乎可以在所有基于UNIX的系统和版本上运行,包括:
- 艾克斯
- FreeBSD
- HP-UX
- 的Linux
- 苹果系统
- NetBSD
- 操作系统
- OpenBSD的
- 的Solaris
- 和别的
它甚至可以在Raspberry Pi,IoT设备和QNAP存储设备等系统上运行。
这个怎么运作
Lynis扫描是模块化的并且是机会主义的。这意味着它将仅使用和测试可以找到的组件,例如可用的系统工具及其库。好处是不需要安装其他工具,因此您可以保持系统清洁。
通过使用这种扫描方法,该工具几乎可以没有依赖项地运行。而且,它发现的组件越多,审计范围就越广。换句话说:Lynis将始终执行针对您的系统量身定制的扫描。没有审核将是一样的!
示例:当Lynis检测到您正在运行Apache时,它将执行与Apache相关的测试的第一轮。然后,当它执行特定的Apache测试时,它可能还会发现SSL / TLS配置。然后,它基于此执行其他审核步骤。一个很好的例子是收集所有发现的证书,以便以后也可以对其进行扫描。
审核步骤
这是在使用Lynis进行的典型扫描期间发生的情况:
- 初始化
- 执行基本检查,例如文件所有权
- 确定操作系统和工具
- 搜索可用的软件组件
- 检查最新的Lynis版本
- 运行启用的插件
- 按类别运行安全测试
- 执行自定义测试(可选)
- 报告安全扫描状态
除了屏幕上显示的报告和信息外,有关扫描的所有技术细节都存储在日志文件(lynis.log)中。警告和建议之类的结果存储在单独的报告文件(lynis-report.dat)中。
Lynis测试(控件)
Lynis执行数百项单独的测试。每个测试将有助于确定系统的安全状态。大多数测试都是用Shell脚本编写的,并且具有唯一的标识符(例如KRNL-6000)。
有兴趣了解有关测试的更多信息吗?看一下Lynis控件和单个测试。
灵活性
利用唯一标识符,可以调整安全扫描。例如,如果测试对您的扫描食欲太严格,则只需将其禁用即可。这样,您就可以针对您的环境进行最佳的系统审核。
Lynis是模块化的,可以运行您自己创建的测试。您甚至可以用其他脚本或编程语言创建它们。
Lynis插件
插件是Lynis的模块化扩展。借助插件,Lynis将执行附加测试并收集更多系统信息。
每个插件都有收集特定数据的目的。此数据存储在Lynis报告文件(lynis-report.dat)中。根据您对Lynis的使用情况,收集的数据可能会提供系统之间或各个扫描之间的宝贵见解。
该插件在拥有10个以上系统的环境中提供最大的价值。下载部分提供了一些插件。
额外的插件
作为Lynis Enterprise产品的一部分,核心开发人员为我们的客户维护了一组插件。集中收集的数据(SaaS或自托管)可提供其他见解,例如可用的用户,流程和网络详细信息。另一个重要领域是合规性测试,其中的数据点有助于根据通用标准和强化指南进行测试。
Lynis插件概述支持的标准
其他工具通常使用相同的数据文件来执行测试。Lynis不仅限于特定的Linux发行版,因此它使用了超过10年的丰富知识。它可以帮助您自动化或测试来自以下来源的安全最佳实践:
- 独联体基准
- 国家标准技术研究所
- 国家安全局
- OpenSCAP数据
- 供应商指南和建议(例如Debian Gentoo,Red Hat)
演示(30秒内!)
时间是宝贵的。因此,请查看安装Lynis并使其执行安全扫描的速度。那很难被打败,对吧?
与其他工具的比较
Lynis的处事方式不同,因此您可以获得更大的灵活性。毕竟,您应该决定哪种安全控制措施对您的环境有意义。这是与其他一些知名工具的比较。
巴士底狱Linux
长期以来,Bastille是用于强化Linux系统的最著名的实用程序。它主要侧重于自动强化系统。
与巴士底狱的差异
自动强化工具很有用,但同时可能会给人以错误的安全感。Lynis不仅执行一些设置,还执行深度安全扫描。您是决定哪种安全级别适合您的环境的人。毕竟,并非所有系统都必须像Fort Knox一样,除非您希望如此。
Lynis的好处
- 支持更多操作系统
- 不会破坏您的系统
- 更深入的审计
OpenVAS和Nessus
这些产品主要关注漏洞扫描。他们通过搜索可发现的服务来通过网络进行此操作。(可选)他们将登录系统并收集数据。
Nessus或OpenVAS的差异
Lynis在主机本身上运行。因此,与基于网络的扫描相比,它可以执行更深入的分析。这意味着影响业务流程的风险较小,并且日志文件不会因连接尝试和错误请求而保持干净。
尽管Lynis是审核工具,但它也会发现漏洞。通过使用现有工具并分析配置文件来实现。
Lynis和OpenVAS都是开源的,可以免费使用。Nessus是专有软件,仅作为商业产品的一部分提供。
Lynis的好处
- 快多了
- 日志文件无污染
- 降低业务服务中断的风险
- 基于主机的扫描可提供更深入的审核
虎
Tiger是测试Linux系统安全性的首批工具之一。它是由德克萨斯大学A&M校园的CIS Network组创建的。
Lynis和Tiger相似,但有一个很大的区别:Lynis仍然保持不变,Tiger则没有。
Lynis的好处
- 保持
- 支持更新的技术
安装
Lynis重量轻且易于使用。尽管大多数用户将通过软件包安装Lynis,但不需要安装!只需提取存档(tarball)并运行./lynis audit system
安装选项
- 通过GitHub克隆
- 软件包
- 塔球
- 家酿
- 端口(BSD)
初次使用Lynis的用户?我们建议您遵循《入门指南》。