调兵山 调查 厅局 图片站 问政 桂刊
政务 社会 体育 通讯员 娱乐 爆料
红豆社区 红豆村 博客 漫画  3C  交友 汽车 保险
红豆相亲 房产 健康 理财 会展 商城 新知 游戏
柳州 梧州 防城港 
玉林 百色 北海  
 
如何借助lynis扫描Linux的安全漏洞
http://kongxiangkew.com.cn  2020/3/18 18:27:33  
作为系统管理员、Linux安全技术员或系统审查员,你的职责可能涉及下列任务:软件补丁管理、恶意软件扫描、文件完整性检查、安全审查、配置错误检查等等。要是有一款安全漏洞自动扫描工具,那么可以为你在检查常见安全问题方面节省大量的时间。

 

lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。

 

想把lynis安装到Linux上,只要执行下列命令。

 

$ wget http://cisofy.com/files/lynis-1.6.3.tar.gz

 

$ sudo tar xvfvz lynis-1.6.3.tar.gz -C /opt

 

想借助lynis扫描Linux的安全漏洞,请运行下面这两个命令。

 

$ cd /opt/lynis-1.6.3/

 

$ sudo ./lynis --check-all -Q

 

一旦lynis开始扫描你的系统,它就会执行许多类别的审查工作:

 

系统工具:系统二进制代码

 

引导和服务:引导装入程序和启动服务。

 

内核:运行级别、已装入模块、内核配置和核心转储

 

内存和进程:僵尸进程和输入输出等待进程

 

用户、用户组和验证:用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码

 

外壳

 

文件系统:挂载点、临时文件和根文件系统

 

存储:USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci)

 

NFS

 

软件:名称服务:DNS搜索域和BIND

 

端口和程序包:容易受到攻击/可以升级的程序包和安全存储库

 

网络:名称服务器、混杂接口和连接。

 

打印机和假脱机:通用Unix打印系统(CUPS)配置

 

软件:电子邮件和消息传送

 

软件:防火墙:iptables和pf

 

软件:网站服务器:Apache和nginx

 

SSH支持:SSH配置

 

SNMP支持

 

数据库:MySQL根密码

 

LDAP服务

 

软件:php:php选项

 

Squid支持

 

日志和文件:syslog守护程序和日志目录

 

不安全服务:inetd

 

banner信息和身份证明

 

调度任务:crontab/cronjob和atd

 

审计:sysstat数据和auditd

 

时间和同步:ntp守护程序

 

密码:SSL证书到期

 

虚拟化

 

安全框架:AppArmor、SELinux和grsecurity状态

 

软件:文件完整性

 

软件:恶意软件扫描工具

 

主目录:外壳历史文件

 

实际运行中的lynis的屏幕截图如下所示:

 

如何借助lynis扫描Linux的安全漏洞?

一旦扫描完毕,你系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。

 

审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。比如说:

 

$ sudo grep Warning /var/log/lynis.log

 

[20:20:04] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]

 

[20:20:04] Warning: PHP option expose_php is possibly turned on, which can reveal useful information for attackers. [test:PHP-2372] [impact:M]

 

[20:20:06] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]

 

审查报告还含有许多建议措施,有助于加固你的Linux系统。比如说:

 

$ sudo grep Suggestion /var/log/lynis.log

 

[20:19:41] Suggestion: Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [test:AUTH-9262]

 

[20:19:41] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]

 

[20:19:41] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]

 

[20:19:41] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]

 

[20:19:42] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]

 

[20:19:42] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]

 

[20:19:42] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]

 

[20:19:42] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]

 

[20:19:42] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]

 

[20:20:03] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]

 

. . . .

 

扫描你系统的安全漏洞,作为一项日常计划任务

 

想最充分地利用lynis,建议经常来运行它,比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时,lynis在自动的非交互式扫描模式下运行。

 

下面是日常计划任务脚本,在自动模式下运行lynis,以便审查你的系统,并且将每日扫描报告进行归档。

 

$ sudo vi /etc/cron.daily/scan.sh

 

#!/bin/shAUDITOR="automated"DATE=$(date +%Y%m%d)HOST=$(hostname)LOG_DIR="/var/log/lynis"REPORT="$LOG_DIR/report-${HOST}.${DATE}"DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"cd /opt/lynis./lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}mv /var/log/lynis-report.dat ${DATA}

 

$ sudo chmod 755 /etc/cron.daily/scan.sh

 

原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/59/13122559.shtml


相关阅读:
丙通沙 https://www.chunyuyisheng.com/pc/qa/I6F73HZ6Cw2cnTAsCQ8sLA/
请选择您看到这篇新闻时的心情
0
0
0
0
0