【51CTO.com 快譯】Lynis是一款功能非常強大的開源審查工具，面向類似Unix/Linux的操作系統。它可以掃描系統，查找安全信息、一般的系統信息、已安裝軟件及可用軟件信息、配置錯誤、安全問題、沒有設密碼的用戶帳戶、錯誤的文件許可權限以及防火墻審查等。

[[167287]]

Lynis是最可靠的自動化審查工具之一，可用于基于Unix/Linux的系統中的軟件補丁管理、惡意軟件掃描和安全漏洞檢測。這款工具適用于審查人員、網絡及系統管理員、安全專家和滲透測試人員。

經過幾個月開發后，現在發布了一個新的主要升級版：Lynis 2.2.0，它隨帶一些新的功能和測試以及許多小的改進之處。我鼓勵所有Linux用戶測試并升級到Lynis的這個***版本。

我們在本文中將介紹在Linux系統中如何使用tarball源文件安裝Lynis 2.2.0(Linux審查工具)。

Lynis的安裝

Lynis不需要任何安裝，它可以從任何目錄直接使用。所以，在/usr/local/lynis下為Lynis創建一個自定義目錄是個好主意。

# mkdir /usr/local/lynis 

使用wget命令，從可靠的網站下載穩定版本的Lynis源文件，并使用tar命令對它進行解壓縮，所下所示。

# cd /usr/local/lynis 
 
# wget https://cisofy.com/files/lynis-2.2.0.tar.gz 

下載Lynis Linux審查工具

對tarball進行解壓縮

# tar -xvf lynis-2.2.0.tar.gz

解壓縮Lynis工具

運行和使用Lynis基本命令

你必須是root用戶才能運行Lynis，因為它創建輸出，并將輸出寫入到/var/log/lynis.log文件。想運行Lynis，執行下面這個命令。

# cd lynis 
 
# ./lynis 

如果運行不帶任何選項的./lynis，它會為你提供一份列有可用參數的完整列表，并回到外殼提示符。參閱下圖。

Lynis基本選項和幫助

想啟動Lynis進程，你必須定義--check-all參數，開始掃描你的整個Linux系統。使用下面這個命令，開始帶參數掃描，如下所示。

# ./lynis --check-all 

一旦你執行了上述命令，它會開始掃描你的系統，要求你按回車鍵繼續，或者按 [CTRL]+C組合鍵，停止它掃描并完成的每個進程。參閱下面的相關圖。

Lynis：掃描整個Linux系統

Lynis安全掃描細節

為了防止用戶在掃描過程中進行這種確認(即“按回車鍵繼續”)，你需要使用-c和-Q這兩個參數，如下所示。

# ./lynis -c -Q 

它會進行全面掃描，不用等任何用戶確認。參閱下列屏幕播放。

Lynis：掃描Linux文件系統

創建Lynis計劃任務

如果你想為系統創建日常掃描報告，那么就需要為它設定一項計劃任務(croj job)。在外殼運行下面這個命令。

# crontab -e 

用選項--cronjob，添加下列計劃任務，所有特殊字符都會被輸出忽視，掃描會完全自動化運行。

30 22 * * * root /path/to/lynis -c -Q --auditor "automated" --cronjob 

上述示例的計劃任務會每天在夜晚10：30運行，并在/var/log/lynis.log文件下創建一個日常報告。

Lynis掃描結果

掃描過程中，你會看到輸出是 [OK]或[WARNING]。[OK]被認為是好的結果，而[WARNING]是壞的結果。但是這并不意味著，[OK]結果代表配置正確，[WARNING]未必就是壞的。你在閱讀/var/log/lynis.log下的日志后，應采取糾正措施，解決那些問題。

在大多數情況下，掃描會在結束后提供建議，表明如何修復問題。參閱列出了解決問題的建議的相關圖表。

Lynis建議提示

更新Lynis

如果你想更新或升級目前的Lynis版本，只要輸入下面這個命令，它就會下載并安裝***版本的lynis。

# ./lynis update info [Show update details] 
 
# ./lynis update release [Update Lynis release] 

參閱圖中上述命令的相關輸出。它表明，我們的Lynis版本是***版本。

更新Lynis審查工具

Lynis參數

僅供參考的一些Lynis參數。

·--checkall or -c：開始掃描。

·--check-update：檢查Lynis更新版。

·--cronjob：以計劃任務運行Lynis(包括-c –Q)。

·--help or -h：顯示有效參數。

·--quick or -Q：不等用戶輸入，除非出現錯誤。

·--version or -V：顯示Lynis版本。

就是這樣。我們希望本文對你有所幫助，以便搞清楚運行中的系統存在的安全問題。想了解更多信息，請訪問官方的Lynis頁面：https://cisofy.com/download/lynis/。

原文地址：Lynis 2.2.0 Released – Security Auditing and Scanning Tool for Linux Systems

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】