Lynis是Linux系统中的审计工具,能够对Linux系统的安全进行检测,在对系统进行扫描检测后,会生成安全报告。
这款工具是开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。
安装lynis# yum -y install lynis
安装完毕进行快速检测# lynis --check-all -Q
一旦扫描完毕,你系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。
审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。
审查报告还含有许多建议措施,有助于加固你的Linux系统# grep Warning /var/log/lynis.log #警告
# grep Suggestion /var/log/lynis.log #建议
扫描系统的安全漏洞,作为一项日常计划任务,想最充分地利用lynis,建议经常来运行它,比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时,lynis在自动的非交互式扫描模式下运行。
下面是日常计划任务脚本,在自动模式下运行lynis,以便审查你的系统,并且将每日扫描报告进行归档。# vi /etc/cron.daily/scan.sh#!/bin/sh
AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/lynis"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"
/usr/bin/lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}
mv /var/log/lynis-report.dat ${DATA}# chmod +x /etc/cron.daily/scan.sh