如何使用 Lynis 审计 Linux 系统的安全性

如果您使用 Lynis 在您的 Linux 计算机上执行安全审计，它将确保您的计算机受到尽可能多的保护。安全是互联网连接设备的一切，因此这里是确保您的设备安全锁定的方法。

您的 Linux 计算机有多安全？

Lynis 执行一套自动化测试，彻底检查 Linux 操作系统的许多系统组件和设置。它以颜色编码的 ASCII 报告的形式呈现其发现，作为分级警告、建议和应采取的行动的列表。

网络安全是一种平衡行为。彻头彻尾的偏执狂对任何人都没有用，所以你应该有多担心？如果您只访问信誉良好的网站，不打开附件或点击未经请求的电子邮件中的链接，并对您登录的所有系统使用不同的、可靠的密码，还有什么危险？尤其是当你使用 Linux 时？

让我们反过来解决这些问题。 Linux 不能免受恶意软件的侵害。事实上，第一个计算机蠕虫是在 1988 年设计的以 Unix 计算机为目标。Rootkit 以 Unix 超级用户 (root) 和它们用来安装自身以逃避检测的软件集合（工具包）命名。这使超级用户可以访问威胁参与者（即坏人）。

为什么它们以根命名？因为第一个 Rootkit 于 1990 年发布，目标是运行 SunOS Unix 的 Sun Microsystems。

因此，恶意软件开始出现在 Unix 上。当 Windows 起飞并成为众人瞩目的焦点时，它就跃跃欲试了。但现在 Linux 统治了世界，它又回来了。 Linux 和类似 Unix 的操作系统，如 macOS，正在受到威胁者的充分关注。

如果您在使用计算机时小心、明智和留心，还会有什么危险？答案又长又详细。简而言之，网络攻击种类繁多。他们有能力做不久前还被认为是不可能的事情。

像 Ryuk 这样的 Rootkit 可以在计算机关闭时通过破坏 LAN 唤醒监控功能来感染它们。还开发了概念验证代码。内盖夫本古里安大学的研究人员展示了一次成功的“攻击”，该攻击允许威胁行为者从气隙计算机中窃取数据。

无法预测未来网络威胁的能力。但是，我们确实了解计算机防御中的哪些点容易受到攻击。无论当前或未来攻击的性质如何，只有提前堵住这些漏洞才有意义。

在网络攻击总数中，只有一小部分是有意识地针对特定组织或个人的。大多数威胁都是不分青红皂白的，因为恶意软件不关心你是谁。自动端口扫描和其他技术只是寻找易受攻击的系统并对其进行攻击。你因为脆弱而将自己指定为受害者。

这就是 Lynis 的用武之地。

要在 Ubuntu 上安装 Lynis，请运行以下命令：

sudo apt-get install lynis

在 Fedora 上，键入：

sudo dnf install lynis

在 Manjaro 上，你使用 pacman：

sudo pacman -Sy lynis

Lynis 是基于终端的，所以没有 GUI。要开始审核，请打开一个终端窗口。单击并将其拖动到显示器的边缘，使其捕捉到全高或尽可能高地拉伸它。 Lynis 有很多输出，所以终端窗口越高，审查起来就越容易。

如果您专门为 Lynis 打开一个终端窗口，也会更方便。你会上下滚动很多次，所以不必处理以前命令的混乱将使导航 Lynis 输出更容易。

要开始审核，请输入这个令人耳目一新的简单命令：

sudo lynis audit system

当每个类别的测试完成时，类别名称、测试标题和结果将在终端窗口中滚动。审核最多只需要几分钟。完成后，您将返回到命令提示符。要查看结果，只需滚动终端窗口即可。

审计的第一部分检测 Linux 版本、内核版本和其他系统详细信息。

需要注意的区域以琥珀色（建议）和红色（应解决的警告）突出显示。

下面是一个警告的例子。 Lynis 分析了 postfix 邮件服务器配置并标记了与横幅有关的内容。我们可以在稍后获得有关它究竟发现了什么以及为什么它可能成为问题的更多详细信息。

下面，Lynis 警告我们我们正在使用的 Ubuntu 虚拟机上没有配置防火墙。

滚动浏览结果以查看 Lynis 标记的内容。在审核报告的底部，您会看到一个摘要屏幕。

“硬化指数”是您的考试成绩。我们得到 100 分中的 56 分，这不是很好。执行了 222 项测试并启用了一个 Lynis 插件。如果您转到 Lynis 社区版插件下载页面并订阅时事通讯，您将获得更多插件的链接。

有许多插件，包括一些用于根据标准进行审核的插件，例如 GDPR、ISO27001 和 PCI-DSS。

绿色 V 代表复选标记。您可能还会看到琥珀色问号和红色 X。

我们有绿色复选标记，因为我们有防火墙和恶意软件扫描程序。出于测试目的，我们还安装了 rkhunter，这是一种 Rootkit 检测器，以查看 Lynis 是否会发现它。正如您在上面看到的那样，确实如此； “恶意软件扫描程序”旁边有一个绿色复选标记。

合规状态未知，因为审核未使用合规插件。本次测试使用了安全和漏洞模块。

生成两个文件：日志文件和数据文件。位于“/var/log/lynis-report.dat”的数据文件是我们感兴趣的文件。它将包含我们可以在终端窗口中看到的结果副本（没有颜色突出显示） .这些可以派上用场，以了解您的硬化指数如何随着时间的推移而改善。

如果你在终端窗口中向后滚动，你会看到一个建议列表和另一个警告。警告是“大票”项目，所以我们会看看那些。

这是五个警告：

“Lynis 的版本很旧，应该更新”： 这实际上是 Ubuntu 存储库中最新版本的 Lynis。虽然它只有 4 个月大，但 Lynis 认为这已经很老了。 Manjaro 和 Fedora 软件包中的版本较新。包管理器中的更新总是可能会稍微滞后。如果您真的想要最新版本，可以从 GitHub 克隆项目并保持同步。
“没有为单一模式设置密码”： 单一是一种恢复和维护模式，在该模式下只有 root 用户可以操作。默认情况下，此模式没有设置密码。
“找不到 2 个响应的名称服务器”：Lynis 尝试与两个 DNS 服务器通信，但未成功。这是一个警告，如果当前的 DNS 服务器出现故障，将不会自动转移到另一个服务器。
“在 SMTP 横幅中发现一些信息泄露”：当应用程序或网络设备在标准回复中泄露其品牌和型号（或其他信息）时，就会发生信息泄露。这可以让威胁参与者或自动恶意软件深入了解要检查的漏洞类型。一旦他们确定了他们连接的软件或设备，一个简单的查找就会找到他们可以尝试利用的漏洞。
“iptables 模块已加载，但没有激活规则”：Linux 防火墙已启动并正在运行，但没有为其设置规则。