如何在Ubuntu 16.04上用Lynis執行安全審計
譯文【51CTO.com快譯】Lynis是一個基于主機的、開源的安全審計應用程序,它可以評估安全性配置文件、Linux和其他類UNIX操作系統的安全態勢。在本教程中,你將學會安裝Lynis,并用它在一臺Ubuntu 16.04服務器上執行安全審計。然后,你將會探究一個審計樣本的結果,并通過配置Lynis來忽略那些與你的需求所不相關的各種測試。
Lynis不會自動執行任何系統的加固,但它能提供一些建議,以向你展示如何去自行加固系統。因此, 如果你有Linux系統安全方面的基本知識的話,它將對你很有幫助。你還應該對你所計劃執行審計的機器上的那些正在運行服務有所熟悉,例如各種web服務器、數據庫和其他Lynis可能會默認掃描到的服務。這將有助于你去識別出那些能夠被安全地忽略掉的結果。
注意:執行安全審計是需要時間和耐心的。你可能需要在安裝Lynis和用它來審計你的服務器之前,花上一些時間來仔細地閱讀本文全部內容。
先決條件
為了吃透本文,你需要有:一臺Ubuntu 16.04服務器,并配置了一個具有sudo特權的非根用戶和防火墻,你可以參考《用Ubuntu 16.04來初始化服務器的設置》教程來實現。
步驟1 在你的服務器上安裝Lynis
安裝Lynis可以有多種方法。你可以從源代碼來編譯它,下載并復制其二進制文件到系統上的一個適當的位置;或者你可以用包管理器來安裝它。使用包管理器是安裝并更新Lynis的最簡便的方法,所以我們在此將使用該方法。
不過,在Ubuntu 16.04上,資源庫里所提供的版本并非是最新的。為了獲得其最新的特性,我們將從其項目的官方資源庫來安裝Lynis。
Lynis的軟件資源庫使用的是HTTPS協議,因此我們首先需要確保支持HTTPS的包管理器已被安裝。你可以使用以下的命令來進行檢查:
- $ dpkg -s apt-transport-https | grep -i status
如果已安裝,該命令的輸出結果應該是:
- Output
- Status: install ok installed
如果輸出結果顯示未安裝,則可用sudo apt-get install apt-transport-https來安裝。
掃清并安裝了這個唯一的依賴性之后,我們就可以來安裝Lynis了。為了觸發此過程,我們要添加庫的鍵值:
- $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
你將能看到如下的輸出結果,它表明鍵值已被添加成功:
- Output
- Executing: /tmp/tmp.AnVzwb6Mq8/gpg.1.sh --keyserver
- keyserver.ubuntu.com
- --recv-keys
- C80E383C3DE9F082E01391A0366C67DE91CA5D5F
- gpg: requesting key 91CA5D5F from hkp server keyserver.ubuntu.com
- gpg: key 91CA5D5F: public key "CISOfy Software (signed software packages) " imported
- gpg: Total number processed: 1
- gpg: imported: 1 (RSA: 1)
然后是將Lynis的資源庫添加到那些對軟件包管理器可用的列表之中:
- $ sudo add-apt-repository "deb [arch=amd64] https://packages.cisofy.com/community/lynis/deb/ xenial main"
為了使這些新附加的資源庫能為系統所用,我們需更新包的數據庫:
- $ sudo apt-get update
最后再來安裝Lynis:
- $ sudo apt-get install lynis
在安裝完成后,你將可以訪問到lynis的命令其子命令集。接下來讓我們來看看如何使用Lynis。
步驟2 執行審計
在安裝完畢后,你就可以使用Lynis來對系統執行安全審計了。讓我們從查看Lynis所能執行的操作列表開始吧。請執行如下命令:
- $ lynis show commands
你會看到如下的輸出:
- Output
- Commands:
- lynis audit
- lynis configure
- lynis show
- lynis update
- lynis upload-only
Lynis在審計時一般用到的是概要文件(profiles),它們就像配置文件一樣通過設置來控制Lynis的審計。你可以使用如下命令來查看默認概要文件的設置:
- $ lynis show settings
你將會看到如下的輸出:
- Output
- # Colored screen output
- colors=1
- # Compressed uploads
- compressed-uploads=0
- # Use non-zero exit code if one or more warnings were found
- error-on-warnings=0
- ...
- # Upload server (ip or hostname)
- upload-server=[not configured]
- # Data upload after scanning
- upload=no
- # Verbose output
- verbose=0
- # Add --brief to hide descriptions, --configured-only to show configured items only, or --nocolors to remove colors
在執行審計之前去驗證一下是否有新版本可用是一個很好的習慣,因為這樣你將能得到最新的建議和信息。你可以通過以下命令來檢查更新:
$ lynis update info
你將得到類似于如下的輸出,它會顯示出Lynis的最新版本:
- Output
- == Lynis ==
- Version : 2.4.8
- Status : Up-to-date
- Release date : 2017-03-29
- Update location : https://cisofy.com/lynis/
- 2007-2017, CISOfy - https://cisofy.com/lynis/
或者,你可以輸入lynis update check,來產生如下的一行輸出:
- Output
- status=up-to-date
如果當前版本確實需要更新,那么你可以使用包管理器來執行更新操作。
你可使用lynis audit system命令,在系統上運行一次審計。當然,你可以選擇用特權或是非特權(滲透測試)模式來運行Lynis。對于后者的模式,一些需要root特權的測試會被忽略。因此,你應該使用sudo來將審計運行在特權模式之下。請使用如下命令來執行你的第一次審計:
$ sudo lynis audit system
驗證完成之后,Lynis將運行它的測試并將結果顯示在你的屏幕上。Lynis的一次審計通常只需要一分鐘或更短的時間。
在Lynis執行審計的過程中,它會用到各種類型的多種測試。在每次審計完成后,各種測試結果、調試信息、和對系統的加固建議都被寫到標準的輸出中(即屏幕)。而更為詳細的信息則被記錄在/var/log/lynis.log里;同時,報告數據被保存到/var/log/lynis-report.dat中。報告數據通常只包含有關服務器和應用程序本身的信息,所以你只需要關注的是日志文件。每次審計都會清除(覆蓋)日志文件,因此先前的審計結果是不會被下一次所保留下來的。
審計完成后,你應該對結果、警告和建議進行復查,然后有選擇的采納實施相關建議。
讓我們來看看運行在本教程中的設備上的一次Lynis審計結果。它也許和你自己的審計結果有所不同,但是你應該能從中領會到一些重點。
Lynis審計輸出中的第一個重要部分是其純信息的部分。它會按類別分組的形式告訴你每個測試的結果。分類的關鍵字有NONE, WEAK, DONE, FOUND, NOT_FOUND, OK, 和 WARNING。
- Output
- [+] Boot and services
- ------------------------------------
- - Service Manager [ systemd ]
- - Checking UEFI boot [ DISABLED ]
- - Checking presence GRUB [ OK ]
- - Checking presence GRUB2 [ FOUND ]
- - Checking for password protection [ WARNING ]
- ..
- [+] File systems
- ------------------------------------
- - Checking mount points
- - Checking /home mount point [ SUGGESTION ]
- - Checking /tmp mount point [ SUGGESTION ]
- - Checking /var mount point [ OK ]
- - Query swap partitions (fstab) [ NONE ]
- - Testing swap partitions [ OK ]
- - Testing /proc mount (hidepid) [ SUGGESTION ]
- - Checking for old files in /tmp [ OK ]
- - Checking /tmp sticky bit [ OK ]
- - ACL support root file system [ ENABLED ]
- - Mount options of / [ OK ]
- - Checking Locate database [ FOUND ]
- - Disable kernel support of some filesystems
- - Discovered kernel modules: udf
- ...
- [+] Hardening
- ------------------------------------
- - Installed compiler(s) [ FOUND ]
- - Installed malware scanner [ NOT FOUND ]
- - Installed malware scanner [ NOT FOUND ]
- ...
- [+] Printers and Spools
- ------------------------------------
- - Checking cups daemon [ NOT FOUND ]
- - Checking lp daemon [ NOT RUNNING ]
雖然Lynis在“開箱即用”的狀態下會執行200多種測試,但不是所有的都對你的服務器是必要的。那么如何來判斷哪些測試是必要的,而哪些不是呢?這就依靠于服務器上到底運行著什么服務了。舉個例子,如果你檢查一個典型的Lynis審計的結果部分,你會發現在Printers and Spools類別下有兩個測試:
- Output
- [+] Printers and Spools
- ------------------------------------
- - Checking cups daemon [ NOT FOUND ]
- - Checking lp daemon [ NOT RUNNING ]
你真的在Ubuntu 16.04服務器上運行著打印服務器嗎?除非你正在運行一個基于云的打印服務器,不然你是沒有必要讓Lynis每次運行該測試的。
雖然這是一個在測試中篩選忽略的完美例子,但其他的可能就沒那么顯而易見了。請看下面這個例子。例如:
- Output
- [+] Insecure services
- ------------------------------------
- - Checking inetd status [ NOT ACTIVE ]
該輸出指明它希望在Ubuntu 16.04服務器上使用到的inetd并未被激活。但實際上Ubuntu早已將systemd取代了inetd。知道了這個,你就可以在對服務器進行審計測試時標記出來,讓Lynis不去執行。
隨著對每個測試結果的復查,你會在測試中圈出更多的多余項目。有了這樣的列表,你就可以定制出在未來的審計中有所忽略的Lynis了。你會在步驟5中了解到如何完成這些操作。
在下一節里,我們將瀏覽Lynis審計輸出的其他不同部分,這樣你會對如何正確運用Lynis來審計你的系統有一個更好的理解。那么就讓我們來首先看看如何處理Lynis所發出的警告吧。
步驟3 修復Lynis的審計警告
Lynis的審計輸出并不總是帶有警告。但是當你讀到有警告部分的時候,你就會需要知道如何解決這些引發警告的根源。
警告一般羅列在結果部分的后面。每個警告都以警告性文本本身開始,并在同一行的括號中列出生成警告的測試項名稱。而下一行則包含一個可能的建議性解決方案。最后一行是一個安全控制的URL,你可能從那里發現一些有關該警告的指導說明。不過,URL并不總能提供解釋,因此你可能需要做一些進一步的研究。
以下輸出源自在本文所涉及服務器上執行過的一次Lynis審計的警告部分。讓我們瀏覽一下每個警告,來看看如何對其進行解決或改正:
- Output
- Warnings (3):
- ----------------------------
- ! Version of Lynis is very old and should be updated [LYNIS]
- https://cisofy.com/controls/LYNIS/
- ! Reboot of system is most likely needed [KRNL-5830]
- - Solution : reboot
- https://cisofy.com/controls/KRNL-5830/
- ! Found one or more vulnerable packages. [PKGS-7392]
- https://cisofy.com/controls/PKGS-7392/
第一個警告是說Lynis需要被更新。這也意味著根據該審計所使用的Lynis版本,其結果可能并不完整。正如步驟2所示,如果我們事先執行了基本的版本檢查,那么這是完全可以避免的。可見,此修復非常容易,就是更新Lynis。
第二個警告表明服務器需要被重啟。這可能是因為系統最近的更新里包含了內核的升級。這里的解決方案也就是直接重啟系統。
在深究任何警告或是測試結果時,你可以通過查詢Lynis的ID來得到更多的關于測試的信息。其對應的命令形式為:
- $ sudo lynis show details test-id
因此對于第二個ID為KRNL-5830的警告,我們可以運行這樣的命令:
- $ sudo lynis show details KRNL-5830
如下是具體測試的輸出,它能讓你對Lynis的每個測試的執行過程有所認識。在此輸出中,Lynis甚至為其警告項給出了一些具體的信息:
- Output
- 2017-03-21 01:50:03 Performing test ID KRNL-5830 (Checking if system is running on the latest installed kernel)
- 2017-03-21 01:50:04 Test: Checking presence /var/run/reboot-required.pkgs
- 2017-03-21 01:50:04 Result: file /var/run/reboot-required.pkgs exists
- 2017-03-21 01:50:04 Result: reboot is needed, related to 5 packages
- 2017-03-21 01:50:04 Package: 5
- 2017-03-21 01:50:04 Result: /boot exists, performing more tests from here
- 2017-03-21 01:50:04 Result: /boot/vmlinuz not on disk, trying to find /boot/vmlinuz*
- 2017-03-21 01:50:04 Result: using 4.4.0.64 as my kernel version (stripped)
- 2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-64-generic
- 2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-65-generic
- 2017-03-21 01:50:04 Result: found /boot/vmlinuz-4.4.0-66-generic
- 2017-03-21 01:50:04 Action: checking relevant kernels
- 2017-03-21 01:50:04 Output: 4.4.0.64 4.4.0.65 4.4.0.66
- 2017-03-21 01:50:04 Result: Found 4.4.0.64 (= our kernel)
- 2017-03-21 01:50:04 Result: found a kernel (4.4.0.65) later than running one (4.4.0.64)
- 2017-03-21 01:50:04 Result: Found 4.4.0.65
- 2017-03-21 01:50:04 Result: found a kernel (4.4.0.66) later than running one (4.4.0.64)
- 2017-03-21 01:50:04 Result: Found 4.4.0.66
- 2017-03-21 01:50:04 Warning: Reboot of system is most likely needed [test:KRNL-5830] [details:] [solution:text:reboot]
- 2017-03-21 01:50:04 Hardening: assigned partial number of hardening points (0 of 5). Currently having 7 points (out of 14)
- 2017-03-21 01:50:04 Checking permissions of /usr/share/lynis/include/tests_memory_processes
- 2017-03-21 01:50:04 File permissions are OK
- 2017-03-21 01:50:04 ===---------------------------------------------------------------===
第三個警告PKGS-7392是關于軟件漏洞包的,我們可以運行如下命令:
- $ sudo lynis show details PKGS-7392
其輸出為我們提供了有關需要升級的軟件包的更多信息:
- Output
- 2017-03-21 01:39:53 Performing test ID PKGS-7392 (Check for Debian/Ubuntu security updates)
- 2017-03-21 01:39:53 Action: updating repository with apt-get
- 2017-03-21 01:40:03 Result: apt-get finished
- 2017-03-21 01:40:03 Test: Checking if /usr/lib/update-notifier/apt-check exists
- 2017-03-21 01:40:03 Result: found /usr/lib/update-notifier/apt-check
- 2017-03-21 01:40:03 Test: checking if any of the updates contain security updates
- 2017-03-21 01:40:04 Result: found 7 security updates via apt-check
- 2017-03-21 01:40:04 Hardening: assigned partial number of hardening points (0 of 25). Currently having 96 points (out of 149)
- 2017-03-21 01:40:05 Result: found vulnerable package(s) via apt-get (-security channel)
- 2017-03-21 01:40:05 Found vulnerable package: libc-bin
- 2017-03-21 01:40:05 Found vulnerable package: libc-dev-bin
- 2017-03-21 01:40:05 Found vulnerable package: libc6
- 2017-03-21 01:40:05 Found vulnerable package: libc6-dev
- 2017-03-21 01:40:05 Found vulnerable package: libfreetype6
- 2017-03-21 01:40:05 Found vulnerable package: locales
- 2017-03-21 01:40:05 Found vulnerable package: multiarch-support
- 2017-03-21 01:40:05 Warning: Found one or more vulnerable packages. [test:PKGS-7392] [details:-] [solution:-]
- 2017-03-21 01:40:05 Suggestion: Update your system with apt-get update, apt-get upgrade, apt-get dist-upgrade and/or unattended-upgrades [test:PKGS-7392] [details:-] [solution:-]
- 2017-03-21 01:40:05 ===---------------------------------------------------------------===
對此警告的解決方案就是更新數據庫和系統。
在修復了此項警告之后,你應該再次運行審計。后續的審計就不會再對此產生警告了,當然新的警告也可能會出現在他處。因此你不得不重復進行此步驟以解決所有的警告。
至此,你已經知道了如何讀懂并修復Lynis所生成的警告,讓我們來看看如何去實施那些Lynis所提供的建議吧。
步驟4 實現Lynis的審計建議
在警告部分的后面,你將會看到一系列的建議,如果實施它們,則會讓你的服務器少受到惡意軟件的攻擊。在這個步驟中,Lynis在審計完成之后,對裝有Ubuntu 16.04系統的服務器產生了一些建議,你將了解到如何去實施它們。此過程與前面一節中的步驟基本一致。
一條具體建議是由其建議本身和緊隨其后的測試ID所組成。根據測試,其下一行會告訴你如何修改影響服務的配置文件。而最后一行是一個安全控制的URL,你可以通過它找到更多關于此主題的信息。
下面的例子是一個源自Lynis審計的建議部分,它顯示了與SSH服務相關的建議:
- Output
- Suggestions (36):
- ----------------------------
- * Consider hardening SSH configuration [SSH-7408]
- - Details : ClientAliveCountMax (3 --> 2)
- https://cisofy.com/controls/SSH-7408/
- * Consider hardening SSH configuration [SSH-7408]
- - Details : PermitRootLogin (YES --> NO)
- https://cisofy.com/controls/SSH-7408/
- * Consider hardening SSH configuration [SSH-7408]
- - Details : Port (22 --> )
- https://cisofy.com/controls/SSH-7408/
- * Consider hardening SSH configuration [SSH-7408]
- - Details : TCPKeepAlive (YES --> NO)
- https://cisofy.com/controls/SSH-7408/
- * Consider hardening SSH configuration [SSH-7408]
- - Details : UsePrivilegeSeparation (YES --> SANDBOX)
- https://cisofy.com/controls/SSH-7408/
- ...
根據你的運行環境,實施所有這些建議都是比較安全可靠的。但是,為了能做出決斷,你必須知道每一個建議的具體意思。因為這些都隸屬于SSH服務器,因此所有的更改必須體現在SSH守護進程的配置文件/etc/SSH/sshd_config中。如果你對Lynis給出的關于SSH的建議有任何疑問,請用man sshd_config指令來查看。當然這些信息在網上可以找到。
其中的一條建議是要求更改SSH的默認22號端口。如果你要更改它,請相應地在防火墻上添加一條規則,讓對于SSH的訪問能從新的端口上通過。
和警告部分一樣,你可以使用sudo lynis show details test-id來查詢Lynis的測試ID,以獲得更多有關建議的詳細信息。
其他的建議則是要求你在服務器上安裝額外的軟件。如下例所示:
- Output
- * Harden the system by installing at least one malware scanner, to perform periodic file system scans [HRDN-7230]
- - Solution : Install a tool like rkhunter, chkrootkit, OSSEC
- https://cisofy.com/controls/HRDN-7230/
該建議是安裝rkhunter、chkrootkit或OSSEC來滿足加固測試(HRDN-7230)的要求。OSSEC是一個基于主機的入侵檢測系統,它可以生成并發送警告。這是一個能夠協助Lynis執行測試的一個很好的安全應用程序。關于此工具,你可以通過DigitalOcean的各個教程(https://www.digitalocean.com/community/tutorials?q=ossec)來進行更多的了解。但是,僅僅安裝OSSEC并不能順利地通過此測試,你還需要安裝chkrootkit。這就是為什么有時候除了Lynis所給出的建議,你還要做更多的研究的原因。
讓我們來看另一個例子。這是一個在文件完整性測試后顯示的一個結果建議。
- Output
- * Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350]
- https://cisofy.com/controls/FINT-4350/
該安全控制的URL所給出的建議并沒有提到我們前面的那個OSSEC程序,但是如果安裝它,則會保證我們能通過后續的審計測試。這就是為什么OSSEC是一個很好的文件完整性監控工具的原因。
你也可以忽略一些并不適合你的建議。這里同樣也有一個例子:
- Output
- * To decrease the impact of a full /home file system, place /home on a separated partition [FILE-6310]
- https://cisofy.com/controls/FILE-6310/
- * To decrease the impact of a full /tmp file system, place /tmp on a separated partition [FILE-6310]
- https://cisofy.com/controls/FILE-6310/
傳統上,核心Linux文件系統,如/home、/tmp、/var和/usr常被掛載到一個單獨的分區里,以減少在整個服務器耗盡其磁盤空間時的影響。但是,這種耗盡的情況其實并不被經常看到,尤其是在那些云服務器上。這些文件系統如今只是作為一個目錄被掛載到同一根分區里。但是如果你對這樣的系統執行Lynis審計的話,你會得到一些類似于前面所提及的建議輸出。除非你的確想實施該建議,否則你很可能想通過配置Lynis來忽略它們,使它們將來不再執行此類審計。
使用Lynis來執行安全審計不僅僅涉及到修復警告和實施建議,它還包括識別出多余的測試。在接下來的步驟中,你將學習到如何定制缺省的概要文件來忽略此類測試。
步驟5 定制Lynis安全審計
在本節中,你將了解到如何定制Lynis,使之只運行那些對你的服務器必要的測試。用于控制審計如何運行的概要文件,在/etc/lynis目錄中常被擴展名為.prf的各種文件所定義。其中默認的概要文件被恰當地命名為default.prf。你沒有必要直接編輯該默認的概要文件。相反,你可以添加任何你想要的信息到相同目錄的custom.prf之中,作為概要文件的定義。
你可以使用文本編輯器來創建一個新的名為/etc/lynis/custom.prf的文件:
- $ sudo nano /etc/lynis/custom.prf
讓我們通過該文件來告訴Lynis需要忽略的一些測試吧。下面就是我們想忽略的測試項目:
· FILE-6310:用來檢查分區的間隔。
·HTTP-6622:用來測試web服務器上Nginx的安裝。
·HTTP-6702:用來檢查web服務器上Apache的安裝。該測試和上述Nginx測試一樣都是默認執行的。因此,如果你只安裝了Nginx和而非Apache的話,你就需要跳過Apache的測試。
·PRNT-2307和PRNT-2308:用來檢查打印服務器。
·TOOL-5002:用來檢查諸如Puppet和Salt這樣的自動化工具。如果你在服務器上沒有此類工具的話,那么你完全可以跳過對此的測試。
·SSH-7408:tcpkeepalive:幾個Lynis的測試可以被組合到一個測試ID之下。如果你想忽略屬于某個ID的測試,下面便是如何設定的方法。
要想忽略某個測試,你可以通過skip-test指令來傳遞你想要忽略的測試ID,每行一個。將下面的代碼添加到你的文件之中:
- /etc/lynis/custom.prf
- # Lines starting with "#" are comments
- # Skip a test (one per line)
- # This will ignore separation of partitions test
- skip-test=FILE-6310
- # Is Nginx installed?
- skip-test=HTTP-6622
- # Is Apache installed?
- skip-test=HTTP-6702
- # Skip checking print-related services
- skip-test=PRNT-2307
- skip-test=PRNT-2308
- # If a test id includes more than one test use this form to ignore a particular test
- skip-test=SSH-7408:tcpkeepalive
保存并關閉該文件。
當你下一次執行審計時,Lynis將忽略那些匹配上了你在定制概要文件中配置好的測試ID。而其審計輸出也會省略掉相應的測試結果部分和建議部分。
/etc/lynis/custom.prf文件允許你修改概要文件中的任何設置。要做到這一點,你可以將/etc/lynis/default.prf復制為/etc/lynis/custom.prf,并修改之。你只需要修改這些設置就行了,因此你可以集中更多的精力在尋找測試中可以忽略的地方。
接下來,讓我們來看看什么是Lynis里所謂的加固指數。
步驟6 解析加固指數
在每個Lynis審計輸出的底部,也就是建議部分的下面,你會發現一個看起來像下面輸出文字的部分:
- Output
- Lynis security scan details:
- Hardening index : 64 [############ ]
- Tests performed : 206
- Plugins enabled : 0
這個輸出會告訴你它進行了多少種測試,并且配有一個加固指數,Lynis提供該數值讓你對服務器的安全態勢有所了解。該數值為Lynis所獨有。該加固指數將會隨著你針對警告修復和針對建議的實施而作出相應的調整。通過Lynis對新的Ubuntu 16.04服務器所做的初次審計,得出了上述該輸出,它表明本系統具有64的加固指數。
在修復了警告并實施了大部分的建議之后, 審計給出了如下新的輸出。你可以看到加固指數略微升高了:
- Output
- Lynis security scan details:
- Hardening index : 86 [################# ]
- Tests performed : 205
- Plugins enabled : 0
加固指數并非是對服務器安全程度的一個準確評估,而只是一個基于Lynis所執行的測試后服務器在安全配置(或加固)方面的衡量。正如你所看到的,該指數為越高越好。Lynis安全審計的目的不僅僅是為了獲得高的加固指數,更是為了修復各種它所產生的警告和建議。
結論
在本教程中,你已安裝了Lynis,用它對Ubuntu 16.04服務器執行了安全審計,探究了如何修復它生成的警告和建議,以及如何定制Lynis所執行的各種測試。
這雖然需要花費一些額外的時間和精力,但是為了讓你的機器更加安全,和使得Lynis的審計過程更加順利,這是完全值得投入的。
關于Lynis的更多信息,請參考《開始使用Lynis》這個官方文檔。Lynis是一個開源的項目,因此如果你樂于奉獻的話,請訪問該項目的GitHub頁面。
原文標題:How to Perform Security Audits With Lynis on Ubuntu 16.04,作者:Imesh Gunaratne
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
