Linux安全審計工具Lynis的使用

介紹

Lynis是基於UNIX的系統的安全審計，如Linux，macOS，BSD等。它執行深刻的安全掃描並在系統自己上運行。主要目標是測試安全防護並提供進一步系統強化的提示。Lynis專一於從內部掃描系統自己。它還將掃描通常系統信息，易受攻擊的軟件包以及可能的配置問題。系統管理員和審計員一般使用Lynis來評估其系統的安全防護。如今滲透測試人員也在他們的工具包中有Lynis。

Lynis和Lynis Enterprise之間的區別

Lynis Enterprise版本比Lynis更加擴展。包含了不少組件。比Lynis強大得多。（出錢了確定強大的多）
參考來源：https://linux-audit.com/diffe...

下載與使用

github地址爲：https://github.com/CISOfy/lynis

$ git clone https://github.com/CISOfy/lynis
$ cd lynis
$ ./lynis audit system # 審計系統

審計

審計的目標能夠包括：

• system
• dockerfile

一些經常使用的選項：

參數	說明
--auditor	審計人員
--checkall,-c	開始審查整個系統
--check-update	檢查lynis是否須要升級
--cronjob	做爲定時任務啓動 (includes -c -Q)
--help,-h	顯示幫助
--manpage	查看手冊頁
--nocolors	不使用任何顏色
--pentest	執行滲透測試掃描(非特權)
--quick,-Q	除錯誤外，不要等待用戶輸入
--quiet	僅顯示警告(包括 -quick，但不等待)
--reverse-colors	爲淺色背景使用不一樣的配色方案
--version,-V	檢查版本

例如進行一次簡單的審計：

$ lynis -c --auditor "root"

報告和記錄

lynis的審計結果一般有三種：屏幕、記錄、報告。
次Lynis掃描結束時，將顯示報告，收集的大量信息會存儲在日誌文件中，默認狀況下在/var/log/lynis.log，每次掃描都會清除日誌文件。
報告文件/var/log/lynis-repot.dat包含有用的審計結果。

強化指數

每次lynis的掃描都會顯示一個強化指數：

這個數字只是採起措施的一個指標。

自定義測試

Test-IDs

當前測試的系統可能並不須要對全部內容進行測試，咱們能夠指定參數來進行測試：

$ lynis -tests "Test-IDs"

Test-ID部分列表：

FILE-7502 (檢查系統全部的二進制文件)
BOOT-5121 (GRUB boot loader存在檢查).
BOOT-5139 (LILO boot loader存在檢查)
BOOT-5142 (檢查SPARC Improved boot loader (SILO))
BOOT-5155 (檢查YABOOT boot loader配置文件)
BOOT-5159 (OpenBSD i386 boot loader存在檢查)
BOOT-5165 (檢查FreeBSD boot services)
BOOT-5177 (檢查Linux boot和正在運行的services)
BOOT-5180 (檢查Linux boot services (Debian style))
BOOT-5184 (檢查引導文件/腳本的權限)
BOOT-5202 (檢查系統的正常運行時間)
KRNL-5677 (檢查CPU選項和支持)
KRNL-5695 (肯定Linux內核版本和版本號)
KRNL-5723 (肯定Linux內核是否爲單內核)
KRNL-5726 (檢查Linux加載的內核模塊)
KRNL-5728 (檢查Linux內核配置)
KRNL-5745 (檢查FreeBSD加載的內核模塊)
KRNL-5770 (檢查活動內核模塊)
KRNL-5788 (檢查新內核的可用性）
KRNL-5820 (檢查覈心轉儲配置)

能夠同時運行多個Test-IDs：

$ lynis -tests 'Test1 Test2 ...'

運行特定類別

使用-test-category參數運行包含在特定類別內的Test-ID

$ lynis –tests-category 「firewalls kernel」

經常使用命令

$ ./lynis -c --auditor "Root"

參考文章

www.freebuf.com/sectool/173491.html
官方文檔：https://cisofy.com/documentat...