直接输入Lynis运行,会列出支持的命令、选项等
也可以lynis show commands看看可以执行哪些类型的命令
在扫描开始前,先查看当前是否是最新版本,一般情况下版本越新扫描越有效率
可以使用如下命令
可以看到当前安装版本和最新版本,如果提示是Outdated,那么该更新了,可以使用软件包管理器进行更新
接下来可以进行扫描了
它将通过一系列测试,分为几类。 每次审核后,将测试结果,调试信息和加固系统建议写入标准输出(屏幕)。
拉到最下面,可以看到一些细节
上图中可以看到Hardening Index即加固指数,这个数字是lynis自生成的,可以让我们更直观感受到系统的安全性,如果我们稍后根据修复警告和实施建议进行加固了,这个数字会升高,表面系统更加安全了。
更详细的信息记录到/var/log/lynis.log ,而报告数据保存到/var/log/lynis-report.dat。这两个有什么区别呢?报告数据包含有关服务器和应用程序本身的一般信息,所以我们需要注意的文件是日志文件。 日志文件在每次审核时被覆盖,因此以前的结果不会被保存。
我们可以直接查看日志
回到我们扫描后的结果中来
以下图为例
可以看到lynis是按照自己划分的模块进行扫描并给出结果的,左边黄色的kernel,boor and services等就是一些模块分类。而右边【】里则有FOUND、DONE、WARNING等检测结果,这些结果根据不同的分类会有不同的解释,最简单的方法就是绿色正常、黄色提醒、红色警告,当然这不是绝对的,需要根据实际情况进行判断。
lynis扫描后输出的信息非常多,我们可以过滤掉一些,比如指向查看结果,那么可以这样
会直接把最重要的结果给我们,包括警示、建议等
或者也可以在扫描结束之后通过正则在日志中进行匹配
比如匹配Suggestions
前面提到,lynis安装模块进行分类扫描,事实上,很多情况下我们不需要扫描全部的模块,可以使用-tests-from-group执行要扫描的模块
在此之前,我们需要先知道有哪些模块
比如指定只扫描内核
在给出的建议中可以看到最后都有一个id
以最后一条为例
可以使用show details查看这条建议的详细说明
也可以直接点击给出的链接去浏览器中访问
在网页中会给出描述以及解决措施
lynis的配置信息以 .prf 文件的格式保存在 /etc/lynis 目录中。 其中,默认lynis自带一个名为 default.prf 的默认配置文件。
不过我们无需直接修改这个默认的配置文件,只需要新增一个 custom.prf 文件将自定义的信息加入其中就可以了。关于配置文件中各配置项的意义,在 default.prf 中都有相应的注释说明,可以自行修改配置。
这里简单的举个例子,如图新建一个文件
上图的意思是跳过检测DEB-0880
再次扫描
对比之前的结果,DEB-0880相关的信息已经不再出现在结果里了,说明配置是生效的。其他配置参数的使用请参照default.prf的注释说明进行使用。
为了便于管理,我们还可以设施之cronjob,为lynis创建计划任务
比如设置为每天晚上10.30扫描并生成报告,那么可以输入下面的命令
30 22 * * * root /opt/lynis -c -Q --auditor “automated” --cronjob
8 参考
官方手册
https://cisofy.com/documentation/lynis/get-started/
574
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
