Lynis基线检测使用解析

最近要做企业级的基线检测，虽然已经有了比较成熟的基线检测工具，但是搜索的时候看到Lynis这款工具，以前接触过，不过没有自己研究，刚好趁这个机会，学习一下这款工具的使用。

介绍
Lynis是一款开源的安全审计工具。功能主要是对Unix / Linux系统进行基线检测。
除了程序原有的配置外，同时也可以根据需要对配置文件的定制

安装
下载地址:https://github.com/CISOfy/Lynis

程序完全用shell脚本编写，下载之后就可直接运行，需要root权限，并读写目录/var/log/ and /tmp，用来存放扫描日志以及报告文件

执行./lynis –c可开始扫描任务。程序会运行多个子脚本来进行不同类型的审计检测，最后把结果输出到report文件中。

常用参数

------------------------------------
  Scan options:
    --auditor ""            : 检测者的名字
    --check-all (-c)              : 进行基线检测
    --no-log                      : 选择是否输出日志
    --profile            : 指定扫描使用的配置，默认使用的是程序目录下的default.prf文件，用户可以复制此文件后自己编辑自己的任务配置文件
    --quick (-Q)                  : 快速模式，不需要每一步都由用户来确认
    --tests ""             : 对特定的项目进行测试
    --tests-category "" : 对特定目录进行测试

  Layout options:
    --no-colors                   : 无颜色输出
    --quiet (-q)                  : 只输出警告
    --reverse-colors              : 优化显示

  Misc options:
    --check-update                : 检查更新
    --view-manpage (--man)        : man命令，查看详细参数
    --version (-V)                : 显示版本信息

 可以通过阅读说明文档获得更多的信息

配置

通过运行Lynis默认的命令已经是一个不错的选择，但是同样，你也可以通过添加自己的配置信息进行定制化的扫描

Example：
----------------------------------------------
#!/bin/sh

AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/lynis"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"

cd /usr/local/lynis
./lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}
mv /var/log/lynis-report.dat ${DATA}

# The End
-----------------------------------------------

把这个脚本添加到/etc/cron.daily/lynis，
并且在脚本中创建路径信息

/usr/local/lynis 
/var/log/lynis

如果只是想以安静模式来进行检测，只看警告的信息，可以通过命令
--cronjob --quiet

========================================

参考：https://cisofy.com/documentation/lynis/