Lynis-安全审计工具
笔记-常用命令:
安装I:
$ git clone https://github.com/CISOfy/lynis
$ cd lynis
$ ./lynis audit system # 运行
安装II:
yum --enablerepo=epel -y install lynis
常用命令:
lynis -h #帮助
lynis show version #查看版本号
lynis show commands #可用命令
lynis audit system #审计当前系统 ---系统的安全态势
lynis audit system --wait #--wait选项:等待用户按回车键显示下一节的报告。
lynis show groups #有时我们不想扫描或审计整个系统的应用程序或服务,所以我们可以按类别审计自定义应用程序。我们可以先列出所有的组,然后选择需要审计或扫描的组
lynis --tests-from-group "kernel firewalls" #对"kernel"和"firewalls"进行简单的审计
lynis update info #更新
一旦扫描完毕,系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。
具体的审查流程可以查看var/log/lynis-report.dat
审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。比如说:
#grep Warning /var/log/lynis.log 用来检查报告内容
审查报告还含有许多建议措施,有助于加固你的Linux系统。比如说:
#grep Suggestion /var/log/lynis.log 用来检查建议内容扫描你系统的安全漏洞
创建Lynis计划任务
如果你想为你的系统创建一个日扫描报告,你可以设置cron:
$ crontab -e 添加cron任务: 30 22 * * * /usr/bin/lynis -c --auditor "automated" --cronjob > /var/log/lynis/report.txt 上面任务每天晚上10:30会执行扫描,并把输出的信息保存到/var/log/lynis.log日志文件中。
一旦lynis开始扫描你的系统,它就会执行以下类别的审查工作
| category | 类别 | 作用 |
| System Tools | 系统工具 | 扫描可用工具;检测系统二进制代码 |
| Boot and Services | 引导和服务 | 引导装入程序和启动服务 |
| Kernel | 内核 | 运行级别、已装入模块、内核配置和核心转储 |
| Memory and Processes | 内存和进程 | 僵尸进程和输入输出等待进程 |
| Users,Groups and Authentication | 用户、用户组和验证 | 用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码 |
| Shells | ||
| File systems | 文件系统 | 挂载点、临时文件和根文件系统 |
| Storage存储 | USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci) | |
| NFS Check running NFS daemon | ||
| Name services | 名称服务 | DNS搜索 |
| Ports and packages | 端口和软件包 | 容易受到攻击/可以升级的程序包和安全存储库 |
| Networking | 网络 | 名称服务器、混杂接口和连接 |
| Printers and Spools | 打印机和假脱机 | 通用Unix打印系统(CUPS)配置 |
| Software:email and messaging | 软件:电子邮件和消息传送 | Exim status、postfix status、dovecot status、qmail status、sendmail status |
| Software:firewalls | 防火墙 | Iptables、host based firewall |
| Software:webserver | 网站服务器 | Apache、nginx |
| SSH support | SSH支持 | Checking running SSH daemon |
| SNMP Support | Checking running SNMP daemon | |
| Databases | MySQL根密码 | |
| LDAP Services | Checking OpenLDA | |
| PHP | ||
| Squid Support | ||
| Logging and files | 日志和文件 | syslog守护程序和日志目录 |
| Insecure services | 不安全服务 | Checking inetd status |
| Banners and identificationBanner | 信息和身份认证 | |
| Scheduled tasks | 调度任务 | Checking crontab/cronjob /vrontabs |
| Accounting | 账号 | Accounting information/sysstat accounting data/auditd |
| Time and Synchronization | 时间和同步 | ntp守护程序 |
| Cryptography | 密码学 | Checking for expired SSL certificates |
| Virtualization虚拟化 | ||
| Containers | ||
| Security frameworks | 安全框架 | AppArmor、SELinux、grsecurity、MAC framework |
| Software:file integrity | 文件完整性 | |
| Software:system tooling | Checking automation tooling/Checing for IDS/IPS tooling | |
| Software:Malware | 恶意软件扫描工具 | |
| File permissions | ||
| Home directories | 主目录 | Checking shell history files |
| Kernel hardening | ||
| Hardening | Installed compiler Installed malware scanner | |
| Custom tests | Running custom tests |