如何借助lynis扫描Linux的安全漏洞?

谁践踏了优雅 2022-10-02 12:57 241阅读 0赞

## lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证)，实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。 ##

作者：布加迪编译来源：51CTO.com|*2014-10-28 09:11*

作为系统管理员、Linux安全技术员或系统审查员，你的职责可能涉及下列任务：软件补丁管理、恶意软件扫描、文件完整性检查、安全审查、配置错误检查等等。要是有一款安全漏洞自动扫描工具，那么可以为你在检查常见安全问题方面节省大量的时间。

[![wKiom1U3YijBAq9sAAEc1BntNeQ448.jpg-wh_651x-s_818609524.jpg][]][wKiom1U3YijBAq9sAAEc1BntNeQ448.jpg-wh_651x-s_818609524.jpg]

lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证)，实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。

想把lynis安装到Linux上，只要执行下列命令。

$ wget http://cisofy.com/files/lynis-1.6.3.tar.gz $ sudo tar xvfvz lynis-1.6.3.tar.gz -C /opt

想借助lynis扫描Linux的安全漏洞，请运行下面这两个命令。

$ cd /opt/lynis-1.6.3/
    $ sudo ./lynis --check-all -Q

一旦lynis开始扫描你的系统，它就会执行许多类别的审查工作：

**•系统工具**：系统二进制代码

**•引导和服务**：引导装入程序和启动服务。

**•内核**：运行级别、已装入模块、内核配置和核心转储

**•内存和进程**：僵尸进程和输入输出等待进程

**•用户、用户组和验证**：用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码

**•外壳**

**•文件系统**：挂载点、临时文件和根文件系统

**•存储**：USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci)

**•NFS**

**•软件**：名称服务：DNS搜索域和BIND

**•端口和程序包**：容易受到攻击/可以升级的程序包和安全存储库

**•网络**：名称服务器、混杂接口和连接。

**•打印机和假脱机**：通用Unix打印系统(CUPS)配置

**•软件**：电子邮件和消息传送

**•软件**：防火墙：iptables和pf

**•软件**：网站服务器：Apache和nginx

**•SSH支**持：SSH配置

**•SNMP支持**

**•数据库**：MySQL根密码

**•LDAP服务**

**•软件**：php：php选项

**•Squid支持**

**•日志和文件**：syslog守护程序和日志目录

**•不安全服务**：inetd

**•banner信息和身份证明**

**•调度任务**：crontab/cronjob和atd

**•审计**：sysstat数据和auditd

**•时间和同步**：ntp守护程序

**•密码**：SSL证书到期

**•虚拟化**

**•安全框架**：AppArmor、SELinux和grsecurity状态

**•软件**：文件完整性

**•软件**：恶意软件扫描工具

**•主目录**：外壳历史文件

实际运行中的lynis的屏幕截图如下所示：

[![如何借助lynis扫描Linux的安全漏洞?][lynis_Linux]][lynis_Linux]

一旦扫描完毕，你系统的审查报告就会自动生成，并保存在/var/log/lynis.log中。

审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。比如说：

$ sudo grep Warning /var/log/lynis.log

[20:20:04] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]
    [20:20:04] Warning: PHP option expose_php is possibly turned on, which can reveal useful information for attackers. [test:PHP-2372] [impact:M]
    [20:20:06] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

审查报告还含有许多建议措施，有助于加固你的Linux系统。比如说：

$ sudo grep Suggestion /var/log/lynis.log

[20:19:41] Suggestion: Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [test:AUTH-9262]
    [20:19:41] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
    [20:19:41] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]
    [20:19:41] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]
    [20:19:42] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]
    [20:19:42] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]
    [20:19:42] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]
    [20:19:42] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]
    [20:19:42] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]
    [20:20:03] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]
    . . . .

扫描你系统的安全漏洞，作为一项日常计划任务

想最充分地利用lynis，建议经常来运行它，比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时，lynis在自动的非交互式扫描模式下运行。

下面是日常计划任务脚本，在自动模式下运行lynis，以便审查你的系统，并且将每日扫描报告进行归档。

$ sudo vi /etc/cron.daily/scan.sh

\#!/bin/sh

AUDITOR="automated"  
DATE=$(date +%Y%m%d)  
HOST=$(hostname)  
LOG\_DIR="/var/log/lynis"  
REPORT="$LOG\_DIR/report-$\{HOST\}.$\{DATE\}"  
DATA="$LOG\_DIR/report-data-$\{HOST\}.$\{DATE\}.txt"

cd /opt/lynis  
./lynis -c --auditor "$\{AUDITOR\}" --cronjob > $\{REPORT\}

mv /var/log/lynis-report.dat $\{DATA\}

$ sudo chmod 755 /etc/cron.daily/scan.sh

原文地址：http://xmodulo.com/how-to-scan-linux-for-vulnerabilities.html

[wKiom1U3YijBAq9sAAEc1BntNeQ448.jpg-wh_651x-s_818609524.jpg]: /images/20220112/52babbb716df49cb9204675bab55947d.png
[lynis_Linux]: /images/20220112/571626b45dda49c2a0af7d50c4003f6c.png