Linux系统安全检查工具Lynis

356
安全审计
  1. 使用场景
  2. 使用
    1. 全部检查(最常用)
    2. 采用crontab自动检查
    3. 查看日志中的敏感信息
    4. 审计报告
  3. 配置文件

Lynis是一个为系统管理员提供的 Linux和Unix的审计工具 。

扫描系统的配置,并创建概述系统信息与安全问题所使用的专业审计,同时它也是一款开源审计工具,Lynis能够运行在几乎所有的Unix版本上,例如可在AIX、FreeBSD、HP-UX、Linux、Mac OS、NetBSD、OpenBSD、Solaris等系统环境下运行。甚至还可以运行在Raspberry Pi(树莓派)或者QNAP的存储设备上。值得注意的是,该工具由一系列的shell脚本构成,并具备通用性公开许可证(GPL)。

当Lynis开始扫描系统,它就会执行许多类别的审查工作:包括系统工具,内核,内存和进程,用户、用户组和验证,同时还有文件系统、存储、数据库、日志和文件等等。因为lynis内置一个检查列表,所以它执行的非常详细,就像政府部门的审计工作一样,非常的细致。但是需要定期执行,并及时修补指出的问题,才能保证网站的高安全性。

使用场景

  • 安全审计
  • 安全合规 (PCI, HIPAA, SOx)
  • 漏洞检测和扫描
  • 系统增强

下载地址

使用

全部检查(最常用)

1
lynis --check-all -Q

采用crontab自动检查

1
lynis -c --auditor "automated" --cronjob > /var/log/lynis/report.txt

查看日志中的敏感信息

日志文件中对比标准输出,会有更多的信息,这些信息适用于更深层次的检查。

日志里会有事件操作的执行时间,测试失败或跳过的原因,内部测试的输出,对于配置选项不恰当该如何修改的建议,威胁指数。 

1
2
3
grep Warning /var/log/lynis.log
grep Suggestingon /var/log/lynis.log

审计报告

执行审计程序之后,lynis会对其发现进行收集并获得其他数据点,数据会被存储在报告文件lynis-report.dat中。不过这个文件读起来比较吃力,采用的是 数据名=值 的方式,要是一个数据有多个值,则在其后加个[]。

配置文件

针对不同的操作系统、系统定位以及安全等级定制不同的配置文件。如果不通过--profile来指定配置文件的话,就会使用默认的配置文件default.prf。我们可以通过修改这个默认配置文件来满足我们的需求。