lynis扫描Linux的安全漏洞安装及使用

  • A+
所属分类:Linux

作为系统管理员、Linux安全技术员或系统审查员,你的职责可能涉及下列任务:软件补丁管理、恶意软件扫描、文件完整性检查、安全审查、配置错误检查等等。要是有一款安全漏洞自动扫描工具,那么可以为你在检查常见安全问题方面节省大量的时间。

lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。

lynis安装

yum --enablerepo=epel -y install lynis

lynis扫描Linux的安全漏洞

lynis --check-all -Q

一旦lynis开始扫描你的系统,它就会执行许多类别的审查工作:

•系统工具:系统二进制代码

•引导和服务:引导装入程序和启动服务。

•内核:运行级别、已装入模块、内核配置和核心转储

•内存和进程:僵尸进程和输入输出等待进程

•用户、用户组和验证:用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码

•外壳

•文件系统:挂载点、临时文件和根文件系统

•存储:USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci)

•NFS

•软件:名称服务:DNS搜索域和BIND

•端口和程序包:容易受到攻击/可以升级的程序包和安全存储库

•网络:名称服务器、混杂接口和连接。

•打印机和假脱机:通用Unix打印系统(CUPS)配置

•软件:电子邮件和消息传送

•软件:防火墙:iptables和pf

•软件:网站服务器:Apache和nginx

•SSH支持:SSH配置

•SNMP支持

•数据库:MySQL根密码

•LDAP服务

•软件:php:php选项

•Squid支持

•日志和文件:syslog守护程序和日志目录

•不安全服务:inetd

•banner信息和身份证明

•调度任务:crontab/cronjob和atd

•审计:sysstat数据和auditd

•时间和同步:ntp守护程序

•密码:SSL证书到期

•虚拟化

•安全框架:AppArmor、SELinux和grsecurity状态

•软件:文件完整性

•软件:恶意软件扫描工具

•主目录:外壳历史文件

实际运行中的lynis的屏幕截图如下所示:

lynis扫描Linux的安全漏洞安装及使用

一旦扫描完毕,你系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。

审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。

审查报告还含有许多建议措施,有助于加固你的Linux系统

grep Warning /var/log/lynis.log    #警告

grep Suggestion /var/log/lynis.log   #建议

lynis扫描Linux的安全漏洞安装及使用

扫描你系统的安全漏洞,作为一项日常计划任务,想最充分地利用lynis,建议经常来运行它,比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时,lynis在自动的非交互式扫描模式下运行。

下面是日常计划任务脚本,在自动模式下运行lynis,以便审查你的系统,并且将每日扫描报告进行归档。

vi /etc/cron.daily/scan.sh

#!/bin/sh

AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/lynis"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"

cd /opt/lynis
./lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}

mv /var/log/lynis-report.dat ${DATA}

执行命令$ sudo chmod 755 /etc/cron.daily/scan.sh

 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: