lynis和扫描Linux漏洞

做为系统管理员、Linux安会技术人员或体系审核员，你的岗位责任将会牵涉以下任務：手机app傻瓜包监管、恶意程序扫面、文档完整性检查、安会核查、配备不正确查验这些。如果有这款网络安全问题自動扫描工具，那麼能够为你一直在查验普遍安全隐患层面节约很多的時间。

lynis也是Linux网站上的那样这款安会漏洞扫描工具。这个道具是免费源码道具(选用GPLv3执照)，事实上在包含Linux、FreeBSD和Mac OS其他的好几个网站上获得适用。

想把lynis安裝到Linux上，要是实行以下指令。

$ wget http://cisofy.com/files/lynis-1.6.3.tar.gz $ sudo tar xvfvz lynis-1.6.3.tar.gz -C /opt

想依靠lynis扫面Linux的网络安全问题，请运作下边这2个指令。

$ cd /opt/lynis-1.6.1/

$ sudo ./lynis --check-all -Q

如果lynis开使扫面你的体系，它就会实行很多类型的核查工做：

•系统工具：体系二进制代码

•帮助和业务：帮助装进系统和起动业务。

•操作系统：运作级別、已装进模快、操作系统配备和关键转储

•运存和程序：僵尸进程和输入输出等候程序

•客户、用户组和认证：用户组序号、sudoers文档、可插下认证模快(PAM)配备、PIN码脆化和初始掩码

•壳子

•文件系统：挂载点、临时文件和根文件系统

•储存：USB储存(usb-storage)和火线敞开式服务器控制板插口(firewire ohci)

•NFS

•手机app：名字业务：DNS检索域和BIND

•网关和程序包：易于遭受进攻/能够升級的程序包和安会储存库

•互联网：名字虚拟主机、掺杂插口和联接。

•复印机和假脱机：实用Unix打印系统(CUPS)配备

•手机app：电子邮箱和信息传输

•手机app：防火墙：iptables和pf

•手机app：网络服务器：Apache和nginx

•SSH适用：SSH配备

•SNMP适用

•数据表：MySQL根PIN码

•LDAP业务

•手机app：php：php选择项

•Squid适用

•日记和文档：syslog守卫系统和日记文件名

•不安全保障：inetd

•banner消息和身份证件

•调度任務：crontab/cronjob和atd

•内审：sysstat统计资料和auditd

•時间和同歩：ntp守卫系统

•PIN码：SSL证书期满

•虚拟化

•安会架构：AppArmor、SELinux和grsecurity情况

•手机app：文档一致性

•手机app：恶意程序扫描工具

•主目录：壳子厉史文档

具体运作中的lynis的屏幕截图给出如图：

怎样依靠lynis扫面Linux的网络安全问题?

如果扫面结束，你体系的审查报告就会自動转化成，并储存在/var/log/lynis.log中。

审查报告带有该道具检验到的不确定性网络安全问题层面的警示消息。例如：

$ sudo grep Warning /var/log/lynis.log

[20:20:04] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]

[20:20:04] Warning: PHP option expose_php is possibly turned on, which can reveal useful information for attackers. [test:PHP-2372] [impact:M]

[20:20:06] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

审查报告还带有很多提议对策，有利于堵漏你的Linux体系。例如：

$ sudo grep Suggestion /var/log/lynis.log

[20:19:41] Suggestion: Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [test:AUTH-9262]

[20:19:41] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]

[20:19:41] Suggestion: Configure pass