利用lynis如何进行linux漏洞扫描详解

作者：透明的眼泪2502913707 | 来源：互联网 | 2021-09-18 07:27

这篇文章主要给大家介绍了关于利用lynis如何进行linux漏洞扫描的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

前言

lynis 是一款运行在 Unix/Linux 平台上的基于主机的、开源的安全审计软件。Lynis是针对Unix/Linux的安全检查工具，可以发现潜在的安全威胁。这个工具覆盖可疑文件监测、漏洞、恶意程序扫描、配置错误等。下面一起来看看使用lynis进行linux漏洞扫描的相关内容吧

安装lynis

在 archlinux 上可以直接通过 pacman 来安装

sudo pacman -S lynis --noconfirm

resolving dependencies...
looking for conflicting packages...
 
Packages (1) lynis-2.6.4-1
 
Total Installed Size: 1.35 MiB
Net Upgrade Size:  0.00 MiB
 
:: Proceed with installation&＃63; [Y/n] 
(0/1) checking keys in keyring      [----------------------] 0%
(1/1) checking keys in keyring      [######################] 100%
(0/1) checking package integrity     [----------------------] 0%
(1/1) checking package integrity     [######################] 100%
(0/1) loading package files      [----------------------] 0%
(1/1) loading package files      [######################] 100%
(0/1) checking for file conflicts     [----------------------] 0%
(1/1) checking for file conflicts     [######################] 100%
(0/1) checking available disk space    [----------------------] 0%
(1/1) checking available disk space    [######################] 100%
:: Processing package changes...
(1/1) reinstalling lynis       [----------------------] 0%
(1/1) reinstalling lynis       [######################] 100%
:: Running post-transaction hooks...
(1/2) Reloading system manager configuration...
(2/2) Arming ConditionNeedsUpdate...

使用lynis进行主机扫描

首先让我们不带任何参数运行 lynis, 这会列出 lynis 支持的那些参数

[lujun9972@T520 linux和它的小伙伴]$ lynis
 
[ Lynis 2.6.4 ]
 
################################################################################
 Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
 welcome to redistribute it under the terms of the GNU General Public License.
 See the LICENSE file for details about using this software.
 
 2007-2018, CISOfy - https://cisofy.com/lynis/
 Enterprise support available (compliance, plugins, interface and tools)
################################################################################
 
 
[+] Initializing program
------------------------------------
 
 
 Usage: lynis command [options]
 
 
 Command:
 
 audit
  audit system     : Perform local security scan
  audit system remote  : Remote security scan
  audit dockerfile   : Analyze Dockerfile
 
 show
  show       : Show all commands
  show version     : Show Lynis version
  show help      : Show help
 
 update
  update info     : Show update details
 
 
 Options:
 
 --no-log       : Don't create a log file
 --pentest       : Non-privileged scan (useful for pentest)
 --profile     : Scan the system with the given profile file
 --quick (-Q)      : Quick mode, don't wait for user input
 
 Layout options
 --no-colors      : Don't use colors in output
 --quiet (-q)      : No output
 --reverse-colors     : Optimize color display for light backgrounds
 
 Misc options
 --debug       : Debug logging to screen
 --view-manpage (--man)   : View man page
 --verbose       : Show more details on screen
 --version (-V)     : Display version number and quit
 
 Enterprise options
 --plugindir     : Define path of available plugins
 --upload       : Upload data to central node
 
 More options available. Run '/usr/bin/lynis show options', or use the man page.
 
 No command provided. Exiting..

从上面可以看出，使用 lynis 进行主机扫描很简单，只需要带上参数 audit system 即可。 Lynis在审计的过程中,会进行多种类似的测试,在审计过程中会将各种测试结果、调试信息、和对系统的加固建议都被写到 stdin 。我们可以执行下面命令来跳过检查过程,直接截取最后的扫描建议来看。

sudo lynis audit system |sed '1,/Results/d'

lynis将扫描的内容分成几大类，可以通过 show groups 参数来获取类别

lynis show groups

accounting
authentication
banners
boot_services
containers
crypto
databases
dns
file_integrity
file_permissions
filesystems
firewalls
hardening
homedirs
insecure_services
kernel
kernel_hardening
ldap
logging
mac_frameworks
mail_messaging
malware
memory_processes
nameservices
networking
php
ports_packages
printers_spools
scheduling
shells
snmp
squid
ssh
storage
storage_nfs
system_integrity
time
tooling
usb
virtualization
webservers

若指向扫描某几类的内容，则可以通过 –tests-from-group 参数来指定。

比如我只想扫描 shells 和 networking 方面的内容，则可以执行

sudo lynis --tests-from-group "shells networking" --no-colors

[ Lynis 2.6.4 ]
 
################################################################################
 Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
 welcome to redistribute it under the terms of the GNU General Public License.
 See the LICENSE file for details about using this software.
 
 2007-2018, CISOfy - https://cisofy.com/lynis/
 Enterprise support available (compliance, plugins, interface and tools)
################################################################################
 
 
[+] Initializing program
------------------------------------
[2C- Detecting OS... [41C [ DONE ]
[2C- Checking profiles...[37C [ DONE ]
[2C- Detecting language and localization[22C [ zh ]
[4CNotice: no language file found for 'zh' (tried: /usr/share/lynis/db/languages/zh)[0C
 
 ---------------------------------------------------
 Program version:   2.6.4
 Operating system:   Linux
 Operating system name:  Arch Linux
 Operating system version: Rolling release
 Kernel version:   4.16.13
 Hardware platform:   x86_64
 Hostname:     T520
 ---------------------------------------------------
 Profiles:     /etc/lynis/default.prf
 Log file:     /var/log/lynis.log
 Report file:    /var/log/lynis-report.dat
 Report version:   1.0
 Plugin directory:   /usr/share/lynis/plugins
 ---------------------------------------------------
 Auditor:     [Not Specified]
 Language:     zh
 Test category:    all
 Test group:    shells networking
 ---------------------------------------------------
[2C- Program update status... [32C [ NO UPDATE ]
 
[+] System Tools
------------------------------------
[2C- Scanning available tools...[30C
[2C- Checking system binaries...[30C
 
[+] Plugins (phase 1)
------------------------------------
[0CNote: plugins have more extensive tests and may take several minutes to complete[0C
[0C [0C
[2C- Plugins enabled[42C [ NONE ]
 
[+] Shells
------------------------------------
[2C- Checking shells from /etc/shells[25C
[4CResult: found 5 shells (valid shells: 5).[16C
[4C- Session timeout settings/tools[25C [ NONE ]
[2C- Checking default umask values[28C
[4C- Checking default umask in /etc/bash.bashrc[13C [ NONE ]
[4C- Checking default umask in /etc/profile[17C [ WEAK ]
 
[+] Networking
------------------------------------
[2C- Checking IPv6 configuration[30C [ ENABLED ]
[6CConfiguration method[35C [ AUTO ]
[6CIPv6 only[46C [ NO ]
[2C- Checking configured nameservers[26C
[4C- Testing nameservers[36C
[6CNameserver: 202.96.134.33[30C [ SKIPPED ]
[6CNameserver: 202.96.128.86[30C [ SKIPPED ]
[4C- Minimal of 2 responsive nameservers[20C [ SKIPPED ]
[2C- Getting listening ports (TCP/UDP)[24C [ DONE ]
[6C* Found 11 ports[39C
[2C- Checking status DHCP client[30C [ RUNNING ]
[2C- Checking for ARP monitoring software[21C [ NOT FOUND ]
 
[+] Custom Tests
------------------------------------
[2C- Running custom tests... [33C [ NONE ]
 
[+] Plugins (phase 2)
------------------------------------
 
================================================================================
 
 -[ Lynis 2.6.4 Results ]-
 
 Great, no warnings
 
 Suggestions (1):
 ----------------------------
 * Consider running ARP monitoring software (arpwatch,arpon) [NETW-3032] 
 
https://cisofy.com/controls/NETW-3032/
 
 Follow-up:
 ----------------------------
 - Show details of a test (lynis show details TEST-ID)
 - Check the logfile for all details (less /var/log/lynis.log)
 - Read security controls texts (https://cisofy.com)
 - Use --upload to upload data to central system (Lynis Enterprise users)
 
================================================================================
 
 Lynis security scan details:
 
 Hardening index : 33 [######    ]
 Tests performed : 13
 Plugins enabled : 0
 
 Components:
 - Firewall    [X]
 - Malware scanner  [X]
 
 Lynis Modules:
 - Compliance Status  [&＃63;]
 - Security Audit   [V]
 - Vulnerability Scan  [V]
 
 Files:
 - Test and debug information  : /var/log/lynis.log
 - Report data      : /var/log/lynis-report.dat
 
================================================================================
 
 Lynis 2.6.4
 
 Auditing, system hardening, and compliance for UNIX-based systems
 (Linux, macOS, BSD, and others)
 
 2007-2018, CISOfy - https://cisofy.com/lynis/
 Enterprise support available (compliance, plugins, interface and tools)
 
================================================================================
 
 [TIP]: Enhance Lynis audits by adding your settings to custom.prf (see /etc/lynis/default.prf for all settings)

查看详细说明

在查看审计结果时,你可以通过 show details 参数来获取关于某条警告/建议的详细说明。其对应的命令形式为:

lynis show details ${test_id}

比如，上面图中有一个建议

* Consider running ARP monitoring software (arpwatch,arpon) [NETW-3032]

我们可以运行命令：

sudo lynis show details NETW-3032

2018-06-08 18:18:01 Performing test ID NETW-3032 (Checking for ARP monitoring software)
2018-06-08 18:18:01 IsRunning: process 'arpwatch' not found
2018-06-08 18:18:01 IsRunning: process 'arpon' not found
2018-06-08 18:18:01 Suggestion: Consider running ARP monitoring software (arpwatch,arpon) [test:NETW-3032] [details:-] [solution:-]
2018-06-08 18:18:01 Checking permissions of /usr/share/lynis/include/tests_printers_spools
2018-06-08 18:18:01 File permissions are OK
2018-06-08 18:18:01 ===---------------------------------------------------------------===

查看日志文件

lynis在审计完成后会将详细的信息记录在 /var/log/lynis.log 中.

sudo tail /var/log/lynis.log

2018-06-08 17:59:46 ================================================================================
2018-06-08 17:59:46 Lynis 2.6.4
2018-06-08 17:59:46 2007-2018, CISOfy - https://cisofy.com/lynis/
2018-06-08 17:59:46 Enterprise support available (compliance, plugins, interface and tools)
2018-06-08 17:59:46 Program ended successfully
2018-06-08 17:59:46 ================================================================================
2018-06-08 17:59:46 PID file removed (/var/run/lynis.pid)
2018-06-08 17:59:46 Temporary files: /tmp/lynis.sGxCR0hSPz
2018-06-08 17:59:46 Action: removing temporary file /tmp/lynis.sGxCR0hSPz
2018-06-08 17:59:46 Lynis ended successfully.

同时将报告数据被保存到 /var/log/lynis-report.dat 中.

sudo tail /var/log/lynis-report.dat

另外需要注意的是，每次审计都会覆盖原日志文件.

检查更新

审计软件需要随时进行更新从而得到最新的建议和信息，我们可以使用 update info 参数来检查更新:

lynis update info --no-colors

== [1;37mLynis[0m ==
 
 Version   : 2.6.4
 Status    : [1;32mUp-to-date[0m
 Release date  : 2018-05-02
 Update location : https://cisofy.com/lynis/
 
 
2007-2018, CISOfy - https://cisofy.com/lynis/

自定义lynis安全审计策略

lynis的配置信息以 .prf 文件的格式保存在 /etc/lynis 目录中。其中，默认lynis自带一个名为 default.prf 的默认配置文件。

不过我们无需直接修改这个默认的配置文件，只需要新增一个 custom.prf 文件将自定义的信息加入其中就可以了。

关于配置文件中各配置项的意义，在 default.prf 中都有相应的注释说明,这里就不详述了。

想了解lynis的更多信息，可以访问它的官网.

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作具有一定的参考学习价值，如果有疑问大家可以留言交流，谢谢大家对的支持。

推荐阅读

config
2016 linux发行版排行_灵越7590 安装 linux (manjarognome)

RT之前做了一次灵越7590黑苹果炒作业的文章，希望能够分享给更多不想折腾的人。kawauso：教你如何给灵越7590黑苹果抄作业zhuanlan.z ... [详细]

蜡笔小新 2023-12-10 19:11:07
int
解决Docker中volume的权限问题的方法

在Docker中，将主机目录挂载到容器中作为volume使用时，常常会遇到文件权限问题。这是因为容器内外的UID不同所导致的。本文介绍了解决这个问题的方法，包括使用gosu和suexec工具以及在Dockerfile中配置volume的权限。通过这些方法，可以避免在使用Docker时出现无写权限的情况。 ... [详细]

蜡笔小新 2023-12-14 18:48:02
int
Docker Data Center系列（四）离线安装UCP和DTR

DockerDataCenter系列（四）-离线安装UCP和DTR,Go语言社区,Golang程序员人脉社 ... [详细]

蜡笔小新 2023-10-17 17:40:43
int
安卓投屏到电脑使用scrcpy

scrcpy通过adb调试的方式来将手机屏幕投到电脑上，并可以通过电脑控制您的Android设备。它可以通过USB连接，也可以通过Wifi连接（类似于隔空投屏），而且不需要任何ro ... [详细]

蜡笔小新 2023-10-17 16:14:28
int
ADT Plugin for eclipse 最新下载地址（2015年10月）

安卓及谷歌官网不容易上，在此整理好下载地址，这样就可以直接用迅雷下载了。Eclipse最新Mars版Eclipse（暂时还没被墙）Mac版：http:www.eclipse.org ... [详细]

蜡笔小新 2023-10-17 12:38:26
int
MACElasticsearch安装步骤及验证方法

本文介绍了MACElasticsearch的安装步骤，包括下载ZIP文件、解压到安装目录、启动服务，并提供了验证启动是否成功的方法。同时，还介绍了安装elasticsearch-head插件的方法，以便于进行查询操作。 ... [详细]

蜡笔小新 2023-12-13 23:42:43
ip
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
shell
Centos7部署安装zabbix5.0详细步骤及注意事项

本文详细介绍了在Centos7上部署安装zabbix5.0的步骤和注意事项，包括准备工作、获取所需的yum源、关闭防火墙和SELINUX等。提供了一步一步的操作指南，帮助读者顺利完成安装过程。 ... [详细]

蜡笔小新 2023-12-10 09:35:39
rsa
Android开发者技能笔记分享，帮助提升内功实力和面试准备

本文分享了一位Android开发者多年来对于Android开发所需掌握的技能的笔记，包括架构师基础、高级UI开源框架、Android Framework开发、性能优化、音视频精编源码解析、Flutter学习进阶、微信小程序开发以及百大框架源码解读等方面的知识。文章强调了技术栈和布局的重要性，鼓励开发者做好学习规划和技术布局，以提升自己的竞争力和市场价值。 ... [详细]

蜡笔小新 2023-12-09 07:23:04
config
大坑|左上角_pycharm连接服务器同步写代码(图文详细过程)

篇首语：本文由编程笔记#小编为大家整理，主要介绍了pycharm连接服务器同步写代码(图文详细过程)相关的知识，希望对你有一定的参考价值。pycharm连接服务 ... [详细]

蜡笔小新 2023-10-17 19:47:17
config
markdown [软件代理设置]

本文由编程笔记#小编为大家整理，主要介绍了markdown[软件代理设置]相关的知识，希望对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-10-17 18:19:28
config
5分钟搭建基于Docker的静态服务器

现在比较流行使用静态网站生成器来搭建网站，博客产品着陆页微信转发页面等。但每次都需要对服务器进行配置，也是一个重复但繁琐的工作。使用DockerWeb，只需5分钟就能搭建一个基于D ... [详细]

蜡笔小新 2023-10-17 17:54:38
config
明明白白你的Linux服务器——网络篇(2)

三、寻找恶意IP并用iptables禁止掉找出恶意连接你的服务器80端口的IP，直接用iptables来drop掉它；这里建议写脚本来运行， ... [详细]

蜡笔小新 2023-10-17 13:01:54
char
MySQL5.6.40在CentOS7 64下安装过程

MySQL5.6.40在CentOS764下安装过程 ... [详细]

蜡笔小新 2023-10-17 11:48:04
ip
ipad可以开发python_这15个应用,程序员用iPad照样可以编程!

1、DashAPI文档Dash是一个API文档浏览器，使用户可以使用离线功能即时搜索无数API。程序员使用Dash可访问iOS，MacOS， ... [详细]

蜡笔小新 2023-10-17 10:15:42

透明的眼泪2502913707

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章