在 Linux 系统上使用 Lynis 自动进行安全审核在 Linux 系统上使用 Lynis 自动进行安全审核在 Linux 系统上使用 Lynis 自动进行安全审核在 Linux 系统上使用 Lynis 自动进行安全审核
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

在 Linux 系统上使用 Lynis 自动进行安全审核

Linux 管理的一个重要方面是系统安全。一旦我们的系统上有了一定数量的软件包、设置和用户帐户,保护系统各个方面的任务很快就会变得不堪重负。这就是为什么使用诸如 Lynis 之类的脚本很重要,它将检查系统的大量不同区域是否存在安全缺陷或恶意程序或用户可能利用的潜在攻击面.

在本教程中,我们将介绍如何在 Linux 系统上使用 Lynis 自动进行安全审核。 Lynis 不会试图及时了解每个已知的漏洞并手动检查系统是否存在潜在的安全漏洞,而是会根据记录的漏洞和安全建议列表检查您的系统。

在本教程中您将学习:

  • 如何下载最新版本的 Lynis
  • 如何使用普通用户和root权限执行Lynis安全审核
  • 如何使用 cron 和 cron-safe 命令选项自动执行 Lynis 安全审核

如何安装和运行 Lynis

我们将首先下载 Lynis,然后执行该程序来进行安全审核,并获取有关进一步强化系统的措施的建议。 Lynis 本质上是一个增强的 Bash 脚本,因此运行该实用程序就像执行 shell 脚本一样简单。

  1. 在命令行终端中,运行以下 git 命令来克隆官方 Lynis GitHub 存储库:

    
    $ git clone https://github.com/CISOfy/lynis
    
  2. 注意
    您可以通过多种方式在 Linux 上安装 Lynis,包括使用系统包管理器通过官方软件存储库。然而,Lynis 项目会频繁更新,因此为了始终确保您的 Lynis 版本能够检测到最近发现的漏洞和攻击向量,建议从 GitHub 克隆最新内容。

  3. 文件下载完成后,更改目录并执行脚本:

    
    $ cd lynis && ./lynis audit system
    
  4. 如果 Lynis 发现任何紧迫的安全漏洞,它们将被视为“警告”并显示在建议之前。

    
      -[ Lynis 3.1.2 Results ]-
    
      Great, no warnings
    

    希望您能得到上面所示的输出。如果没有,请考虑尽快纠正警告原因。

  5. 我们没有收到来自 Lynis 安全审计的紧急警告

  6. 扫描完成后,终端中的输出还将包含强化系统的建议列表。大多数解释还附有一个链接,您可以打开该链接以获取有关建议内容的更多详细信息。

    这些都显示在警告之后的“建议”部分下。继续向上滚动 Lynis 输出并查看执行了哪些类型的安全检查以及每次检查的结果也是一个好主意,这可能会提示您采取其他方法来提高系统的安全性。

  7. Lynis 安全审核输出

  8. 为了使安全审计更加彻底,您可以使用root权限执行Lynis脚本。在此之前,开发人员建议将脚本文件的所有权更改为 root 用户,这将防止弹出警告。

    
    $ sudo chown -R 0:0 lynis
    

    此命令在上述步骤中使用 git clone 命令创建的 lynis 目录上执行。

  9. 现在让我们尝试使用 root 权限运行 Lynis 安全审核,这将允许脚本执行普通用户帐户权限无法执行的额外安全检查:

    
    $ cd lynis && sudo ./lynis audit system
    

    检查随后的输出,看看是否存在之前 Lynis 安全审核中未出现的任何新警告或建议。下面的屏幕截图显示,我们收到了来自 Lynis 的 iptables 警告,之前它无法检查该警告,因为 iptables 命令仅对 root 用户可用。

  10. 收到来自 Lynis 的安全警告

自动化莱尼斯

Lynis 提供了一个名为 Lynis Enterprise 的商业版本,它不仅提供了审计系统的工具,还提供了实施安全建议和强化安全建议所需的工具。 Lynis Enterprise 还包括自动化安全审核的功能。但是,如果您不想购买商业软件,我们可以使用 Linux 工具来自动化 Lynis 安全审核。

Lynis 为那些想要定期运行安全审核并仅收到警告的人提供了两个有用的选项。这两个选项是 --cronjob 和 --quiet:


$ sudo ./lynis audit system --cronjob --quiet

--cronjob 选项将通过禁用颜色、换行符和其他可能干扰 cron 执行的美观性来执行对 cron 更友好的测试。此外,--quiet选项不会在屏幕上显示任何输出。

让我们在 cron 中进行设置。我们将以 root 用户身份运行 Lynis,因此我们需要确保编辑的是 root 用户的 crontab,而不是普通用户的 crontab:


$ sudo crontab -e

然后,将 Lynis 配置为按计划运行。在此示例中,我们将配置 cron 以每天午夜运行 Lynis。结果将保存到 /root/lynis-audit.log 文件中。当然,请务必根据您的需要进行配置:


0 0 * * * /root/lynis/lynis audit system --cronjob --quiet > /root/lynis-audit.log

结束语

在本教程中,我们了解了如何在 Linux 系统上使用 Lynis 自动进行安全审核。我们首先下载最新版本的Lynis,然后以普通权限和root权限进行安全审核,同时关注Lynis由此发出的警告和建议。之后,我们学习了如何使用 cron 以及 Lynis 中必要的命令选项来自动化安全审核。

©2015-2025 艾丽卡 support@alaica.com