Lynis是一款Unix系統(tǒng)的安全審計(jì)以及加固工具，能夠進(jìn)行深層次的安全掃描，其目的是檢測潛在的時(shí)間并對未來的系統(tǒng)加固提供建議。這款軟件會掃描一般系統(tǒng)信息，脆弱軟件包以及潛在的錯(cuò)誤配置。掃描完成后，Lynis還會為我們生成一份包含所有掃描結(jié)果的安全報(bào)告。
Lynis是Unix/Linux系統(tǒng)用于軟件補(bǔ)丁管理，惡意軟件掃描和漏洞檢測的最值得信賴的自動化審計(jì)工具之一。此工具非常適合于安全審計(jì)人員，網(wǎng)絡(luò)安全專家，滲透測試人員，網(wǎng)絡(luò)和系統(tǒng)管理人員以及安全工程師使用。
與Lynis兼容的操作系統(tǒng)包括：
AIX
Arch Linux
BackTrack Linux
CentOS
Debian, DragonFlyBSD
Fedora Core, FreeBSD
Gentoo
HPUX
Kali, Knoppix
Linux Mint
MacOS X, Mageia, Mandriva
NetBSD
OpenBSD, OpenSolaris, openSUSE, Oracle Linux
PcBSD, PCLinuxOS
Red Hat Enterprise Linux (RHEL) and derivatives
Sabayon, Scientific Linux, Slackware, Solaris 10, SuSE
TrueOS
Ubuntu and derivatives
Lynis也可以被用于軟件審計(jì)
Database servers: MySQL, Oracle, PostgreSQL
Time daemons: dntpd, ntpd, timed
Web servers: Apache, Nginx
一旦lynis開始掃描你的系統(tǒng)，它將執(zhí)行多個(gè)類別的審計(jì)：
系統(tǒng)工具：系統(tǒng)二進(jìn)制文件
啟動和服務(wù)：啟動加載程序，啟動服務(wù)
內(nèi)核：運(yùn)行級別，加載模塊，內(nèi)核配置，核心轉(zhuǎn)儲
內(nèi)存和進(jìn)程：僵尸進(jìn)程，IO等待進(jìn)程
用戶，組和身份驗(yàn)證：組ID，sudoers，PAM配置，password aging，默認(rèn)掩碼
Shells
文件系統(tǒng)：掛載點(diǎn)，/tmp文件， root文件系統(tǒng)
存儲：usb-storage，firewire ohci
NFS
軟件：名稱服務(wù)：DNS搜索域，BIND
端口和軟件包：易受攻擊/可升級軟件包，安全存儲庫
網(wǎng)絡(luò)：名稱服務(wù)器，混雜接口（promiscuous interfaces），連接
打印機(jī)和spools： cups配置
軟件：電子郵件和消息
軟件：防火墻：iptables，pf
軟件：webserver：Apache，nginx
SSH支持：SSH配置
SNMP支持
數(shù)據(jù)庫：MySQL root密碼
LDAP服務(wù)
軟件：php：php選項(xiàng)
Squid支持
日志記錄和文件：Syslog daemon，日志目錄
不安全服務(wù)：inetd
Banners和標(biāo)識
計(jì)劃任務(wù)：crontab/cronjob，atd
Accounting：sysstat數(shù)據(jù)，auditd
時(shí)間和同步：ntp daemon
加密：SSL證書過期
虛擬化
安全框架：AppArmor，SELinux，安全狀態(tài)
軟件：文件完整性
軟件：惡意軟件掃描器
主目錄：shell歷史文件
第一次運(yùn)行Lynis建議使用-c參數(shù)，-c表示對系統(tǒng)進(jìn)行最全面的檢查。如果你想要添加審計(jì)員的名字，可以使用–auditor參數(shù)。
從GitHub下載和安裝Lynis。
git clone https://github.com/CISOfy/lynis
$ cd lynis-1.3.8
# ./lynis
使用示例：
# lynis -c –auditor “BALAJI”
圖1.初始化

圖2.系統(tǒng)工具

圖3. Boot＆Services和Kernel

圖4.用戶和組

圖5.Shell和存儲

圖6.軟件，端口和軟件包

圖7.網(wǎng)絡(luò)和打印機(jī)

圖8.電子郵件，防火墻和Web服務(wù)器

圖9. SSH，SNMP和數(shù)據(jù)庫

圖10. PHP，Squid代理和日志記錄

圖11. Inetd，Banner和Cron

圖12.Accounting，NTP和密碼學(xué)

圖13.虛擬化，安全框架和文件完整性

圖14.惡意軟件掃描程序，系統(tǒng)工具和主目錄

圖15.內(nèi)核加固

圖16.加固，自定義測試和結(jié)果

圖17.index加固

自定義測試
你的當(dāng)前測試的系統(tǒng)可能并不需要對所有內(nèi)容進(jìn)行測試，例如你的系統(tǒng)并沒有運(yùn)行Web服務(wù)器，那么我們可以使用-tests參數(shù)，語法如下：
# lynis –tests “Test-IDs”
有超過100個(gè)我們可以做的測試。以下是Lynis  Tests-ID的部分列表。
FILE-7502 (檢查系統(tǒng)所有的二進(jìn)制文件)
BOOT-5121 (GRUB boot loader存在檢查).
BOOT-5139 (LILO boot loader存在檢查)
BOOT-5142 (檢查SPARC Improved boot loader (SILO))
BOOT-5155 (檢查YABOOT boot loader配置文件)
BOOT-5159 (OpenBSD i386 boot loader存在檢查)
BOOT-5165 (檢查FreeBSD boot services)
BOOT-5177 (檢查Linux boot和正在運(yùn)行的services)
BOOT-5180 (檢查Linux boot services (Debian style))
BOOT-5184 (檢查引導(dǎo)文件/腳本的權(quán)限)
BOOT-5202 (檢查系統(tǒng)的正常運(yùn)行時(shí)間)
KRNL-5677 (檢查CPU選項(xiàng)和支持)
KRNL-5695 (確定Linux內(nèi)核版本和版本號)
KRNL-5723 (確定Linux內(nèi)核是否為單內(nèi)核)
KRNL-5726 (檢查Linux加載的內(nèi)核模塊)
KRNL-5728 (檢查Linux內(nèi)核配置)
KRNL-5745 (檢查FreeBSD加載的內(nèi)核模塊)
KRNL-5770 (檢查活動內(nèi)核模塊)
KRNL-5788 (檢查新內(nèi)核的可用性）
KRNL-5820 (檢查核心轉(zhuǎn)儲配置)
以下是運(yùn)行“檢查系統(tǒng)正常運(yùn)行時(shí)間”和“檢查核心轉(zhuǎn)儲配置”測試的命令示例。
# ./lynis –tests “BOOT-5202 KRNL-5820”

想要獲得更多Tests-ID，可以在/var/log/lynis.log中找到。這里有一個(gè)竅門。
1.首先，我們使用-c (check-all)參數(shù)運(yùn)行l(wèi)ynis。
# ./lynis -c -Q
2.然后看看/var/log/lynis.log文件。使用cat命令并與grep結(jié)合使用。假設(shè)你想搜索與Kernel相關(guān)的Test-ID。則可以使用關(guān)鍵字KRNL找到它。
# cat /var/log/lynis.log | grep KRNL

以下是Lynis提供的完整的Test-ID關(guān)鍵字。
BOOT KRNL (kernel) PROC (processor) AUTH (authentication) SHLL (shell) FILE STRG (storage) NAME (dns) PKGS (packaging) NETW (network) PRNT (printer) MAIL FIRE (firewall) HTTP (webserver) SSH SNMP DBS (database) PHP LDAP SQD (squid proxy) LOGG (logging) INSE (insecure services – inetd) SCHD (scheduling – cron job) ACCT (accounting) TIME (time protocol – NTP) CRYP (cryptography) VIRT (virtualization) MACF (AppArmor – SELINUX) MALW (malware) HOME HRDN (hardening)
如果你覺得輸入Test-ID是件非常麻煩的事，那么你可以使用-test-category參數(shù)。使用該選項(xiàng)，Lynis將運(yùn)行包含在特定類別內(nèi)的Test-ID。例如，你想運(yùn)行防火墻和內(nèi)核測試。你可以輸入以下命令：
# ./lynis –tests-category “firewalls kernel”

將Lynis作為Cronjob運(yùn)行
除了以上的方便之外，我們還可以將Lynis作為Cronjob定期自動運(yùn)行。以下是每月運(yùn)行一次的示例：
#!/bin/sh
AUDITOR=”automated”
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR=”/var/log/lynis”
REPORT=”$LOG_DIR/report-${HOST}.${DATE}”
DATA=”$LOG_DIR/report-data-${HOST}.${DATE}.txt”
cd /usr/local/lynis
./lynis -c –auditor “${AUDITOR}” –cronjob > ${REPORT}
mv /var/log/lynis-report.dat ${DATA}
# End
將腳本保存到/etc/cron.monthly/lynis。還有千萬不要忘記添加相關(guān)路徑（/usr/local/lynis和/var/log/lynis），否則腳本將無法正常工作。