Linux系统安全审计工具Lynis

你是否怀疑你的Linux服务器遭到黑客入侵，或是已经被黑客植入了木马/rootkit后门，或者是存在可疑的系统账户和守护进程。这里推荐一款可以对Linux系统进行全面安全检查的工具，可以发现系统、账户、进程等多个层面所存在的安全风险，并以直观的方式逐一列出，支持目前主流的Linux平台。

Lynis系统安全检查工具介绍

1、LYNIS检查项目大致如下

1. 系统程序是否被置换或篡改，避免管理者或使用者执行恶意程序

2. 开机程序及系统设置，并检测目前已开启的服务

3. 系统中的帐号信息（用户、组）及帐号验证方式

4. 是否存在有风险的三方软件

5. 防火墙设置是否开启

6. Web Server、 MySQL、 PHP、 Postfix检查

7. 等等

2、工具使用

通过 ./lynis �Chelp 查看命令帮助

./lynis �Cview-manpage 查看视图主页，以下为视图主页全部信息并包含各命令参数详解。

OPTIONS

�Cauditor <full name> 审计者姓名

定义审计者的名字，例如：lynis �Cauditor “fuck”

�Ccheckall (or -c) 完整扫描

执行一个完整的扫描，并输出标准的执行结果，详细日志默认保存在

(default is /var/log/lynis.log).

�Ccheck-update (or �Cinfo)

Show program, database and update information

�Ccronjob 制定工作

自动执行扫描，可以设置安全参数(no colors, no questions, no breaks)

�Cno-colors 不使用颜色

扫描报告中警告部分不要使用颜色信息

�Cno-log 扫描结果不保存在默认位置，防止信息泄露

�Cquick (-Q) 快速扫描

�Cquiet (-q) 安静扫描

扫描过程结果中不显示扫描详细信息，只显示警告信息.整个过程比快速扫描要快其扫描结果就是快速扫描结果中的警告部分）

�Creverse-colors 反色

可以用回车键来控制各扫描部分的结果，方便查看扫描结果

�Ctests TEST-IDs 指定单个测试项

此参数可以用来对全面扫描结果进行复查，在全面扫描结果的”result”部分能看到警告部分和建议部分的测试项ID，命令如”./lynis -tests “<FILE-6310>”

3、常用命令

必须以root权限来执行

安装过程:

tar �Cxvfz lynis.tar.gz
cd lynis
./lynis
./lynis �Ccheck-all �Cquick

整个命令会持续一段几分钟供检查到145项，命令执行结束后会形成文字总结，包括”警告部分”为需要修改的地方，”建议部分”为修改建议

./lynis �Ccheck-all �Cquick > /tmp/fanchixy.txt

将扫描结果导出并保存为文档格式便于分析

./lynis �Cc �Ctests"<FILE-6310>"

对全面扫描结果中警告部分或建议部分的单个项目进行检查，方便对单个项目进行分析

./lynis �Cc �Cq

安静扫描，整个扫描过程不显示详细扫描信息，只显示需要引起警觉的扫描项

4、支持平台

Lynis目前支持的Linux平台如下

- Arch Linux
- CentOS
- Debian
- Fedora Core 4 and higher
- FreeBSD
- Gentoo
- Knoppix
- Mac OS X
- Mandriva 2007
- OpenBSD 4.x
- OpenSolaris
- OpenSuSE
- PcBSD
- PCLinuxOS
- Red Hat, RHEL 5.x
- Slackware 12.1
- Solaris 10
- Ubuntu