关于运维:用于Linux服务器的自动安全审计工具

Lynis是Unix/Linux等操作系统的一款平安审计工具，它能够发现基于Linux零碎中的恶意软件和安全漏洞。Lynis是收费开源的服务器审计工具，一旦审计实现，咱们能够审查后果、正告和倡议，而后咱们能够依据它实现咱们的安全策略。它将显示一个报告，该报告能够被分成几个局部。

通常咱们在Linux服务器上运行很多货色，比方网络服务、数据库服务、电子邮件服务、FTP服务等等。通过在所有Linux机器上进行主动的平安审计和浸透测试，Lynis能够简化管理员的工作。

环境

Centos8

lynis-3.0.0

装置Lynix

Lynis是一款轻量级的软件，它不会毁坏零碎，也不会影响Linux零碎上的任何应用程序或服务。首先，咱们将为Lynis的装置创立一个目录，进入该目录，wget下载最新的Lynis源代码：

[root@localhost ~]# mkdir /usr/local/lynis
[root@localhost ~]# cd /usr/local/lynis/
[root@localhost lynis]# wget https://downloads.cisofy.com/...

解压压缩包，进入解压进去的目录

[root@localhost lynis]# tar xvf lynis-3.0.0.tar.gz
[root@localhost lynis]# cd lynis

运行lynis显示帮忙信息。具备管理员权限的用户能够运行该脚本，所有日志和输入将保留在/var/log/lynis.log文件中：

[root@localhost lynis]# ./lynis

开始审计并查找破绽

执行本地平安扫描，所以应用‘audit system’参数来扫描整个零碎。运行上面的命令来启动对整个零碎的审计：

[root@localhost lynis]# ./lynis audit system
或者
[root@localhost lynis]# ./lynis audit system --wait

--wait选项：期待用户按回车键显示下一节的报告。

有时咱们不想扫描或审计整个零碎的应用程序或服务，所以咱们能够按类别审计自定义应用程序。咱们能够先列出所有的组，而后抉择须要审计或扫描的组。

[root@localhost lynis]# ./lynis show groups

当初咱们将对"kernel"和"firewalls"进行简略的审计，咱们将应用上面的命令。

[root@localhost lynis]# ./lynis --tests-from-group "kernel firewalls"

要查看更多的lynis命令选项，请参考它的手册页：

[root@localhost lynis]# ./lynis --man

总结

Lynis是Unix/Linux等操作系统的一款平安审计工具，它能够发现基于Linux零碎中的恶意软件和安全漏洞。