-
-
如何借助lynis扫描Linux的安全漏洞?
-
发表于: 2014-11-2 16:26
-
新闻链接:287K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5@1x3e0m8Q4x3V1j5@1y4e0f1@1y4U0k6Q4x3X3g2Z5N6r3@1`.
新闻时间:2014-10-28 09:11
新闻正文:
如何借助lynis扫描Linux的安全漏洞?
作为系统管理员、Linux安全技术员或系统审查员,你的职责可能涉及下列任务:软件补丁管理、恶意软件扫描、文件完整性检查、安全审查、配置错误检查等等。要是有一款安全漏洞自动扫描工具,那么可以为你在检查常见安全问题方面节省大量的时间。
lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。
想把lynis安装到Linux上,只要执行下列命令。
$ wget daaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4A6M7$3!0X3P5g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3L8s2W2F1K9i4y4Q4x3X3b7I4i4K6u0W2y4W2)9J5k6e0y4Q4x3X3g2@1j5i4u0Q4x3X3g2Y4P5R3`.`.
$ sudo tar xvfvz lynis-1.6.3.tar.gz -C /opt
想借助lynis扫描Linux的安全漏洞,请运行下面这两个命令。
$ cd /opt/lynis-1.6.3/
$ sudo ./lynis --check-all -Q
一旦lynis开始扫描你的系统,它就会执行许多类别的审查工作:
•系统工具:系统二进制代码
•引导和服务:引导装入程序和启动服务。
•内核:运行级别、已装入模块、内核配置和核心转储
•内存和进程:僵尸进程和输入输出等待进程
•用户、用户组和验证:用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码
•外壳
•文件系统:挂载点、临时文件和根文件系统
•存储:USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci)
•NFS
•软件:名称服务:DNS搜索域和BIND
•端口和程序包:容易受到攻击/可以升级的程序包和安全存储库
•网络:名称服务器、混杂接口和连接。
•打印机和假脱机:通用Unix打印系统(CUPS)配置
•软件:电子邮件和消息传送
•软件:防火墙:iptables和pf
•软件:网站服务器:Apache和nginx
•SSH支持:SSH配置
•SNMP支持
•数据库:MySQL根密码
•LDAP服务
•软件:php:php选项
•Squid支持
•日志和文件:syslog守护程序和日志目录
•不安全服务:inetd
•banner信息和身份证明
•调度任务:crontab/cronjob和atd
•审计:sysstat数据和auditd
•时间和同步:ntp守护程序
•密码:SSL证书到期
•虚拟化
•安全框架:AppArmor、SELinux和grsecurity状态
•软件:文件完整性
•软件:恶意软件扫描工具
•主目录:外壳历史文件
实际运行中的lynis的屏幕截图如下所示:
一旦扫描完毕,你系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。
审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。比如说:
$ sudo grep Warning /var/log/lynis.log
20:20:04] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]
[20:20:04] Warning: PHP option expose_php is possibly turned on, which can reveal useful information for attackers. [test:PHP-2372] [impact:M]
[20:20:06] Warning: No running NTP daemon or available client found [test:TIME-3104
审查报告还含有许多建议措施,有助于加固你的Linux系统。比如说:
$ sudo grep Suggestion /var/log/lynis.log
20:19:41] Suggestion: Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [test:AUTH-9262]
[20:19:41] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
[20:19:41] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]
[20:19:41] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]
[20:19:42] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]
[20:19:42] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]
[20:20:03] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]
. . . .
扫描你系统的安全漏洞,作为一项日常计划任务
想最充分地利用lynis,建议经常来运行它,比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时,lynis在自动的非交互式扫描模式下运行。
下面是日常计划任务脚本,在自动模式下运行lynis,以便审查你的系统,并且将每日扫描报告进行归档。
$ sudo vi /etc/cron.daily/scan.sh
#!/bin/shAUDITOR="automated"DATE=$(date +%Y%m%d)HOST=$(hostname)LOG_DIR="/var/log/lynis"REPORT="$LOG_DIR/report-${HOST}.${DATE}"DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"cd /opt/lynis./lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}mv /var/log/lynis-report.dat ${DATA}
$ sudo chmod 755 /etc/cron.daily/scan.sh
新闻时间:2014-10-28 09:11
新闻正文:
如何借助lynis扫描Linux的安全漏洞?
作为系统管理员、Linux安全技术员或系统审查员,你的职责可能涉及下列任务:软件补丁管理、恶意软件扫描、文件完整性检查、安全审查、配置错误检查等等。要是有一款安全漏洞自动扫描工具,那么可以为你在检查常见安全问题方面节省大量的时间。
lynis就是Linux平台上的这样一款安全漏洞扫描工具。这款工具是开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。
想把lynis安装到Linux上,只要执行下列命令。
$ wget daaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4A6M7$3!0X3P5g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3L8s2W2F1K9i4y4Q4x3X3b7I4i4K6u0W2y4W2)9J5k6e0y4Q4x3X3g2@1j5i4u0Q4x3X3g2Y4P5R3`.`.
$ sudo tar xvfvz lynis-1.6.3.tar.gz -C /opt
想借助lynis扫描Linux的安全漏洞,请运行下面这两个命令。
$ cd /opt/lynis-1.6.3/
$ sudo ./lynis --check-all -Q
一旦lynis开始扫描你的系统,它就会执行许多类别的审查工作:
•系统工具:系统二进制代码
•引导和服务:引导装入程序和启动服务。
•内核:运行级别、已装入模块、内核配置和核心转储
•内存和进程:僵尸进程和输入输出等待进程
•用户、用户组和验证:用户组编号、sudoers文件、可插拔验证模块(PAM)配置、密码老化和默认掩码
•外壳
•文件系统:挂载点、临时文件和根文件系统
•存储:USB存储(usb-storage)和火线开放式主机控制器接口(firewire ohci)
•NFS
•软件:名称服务:DNS搜索域和BIND
•端口和程序包:容易受到攻击/可以升级的程序包和安全存储库
•网络:名称服务器、混杂接口和连接。
•打印机和假脱机:通用Unix打印系统(CUPS)配置
•软件:电子邮件和消息传送
•软件:防火墙:iptables和pf
•软件:网站服务器:Apache和nginx
•SSH支持:SSH配置
•SNMP支持
•数据库:MySQL根密码
•LDAP服务
•软件:php:php选项
•Squid支持
•日志和文件:syslog守护程序和日志目录
•不安全服务:inetd
•banner信息和身份证明
•调度任务:crontab/cronjob和atd
•审计:sysstat数据和auditd
•时间和同步:ntp守护程序
•密码:SSL证书到期
•虚拟化
•安全框架:AppArmor、SELinux和grsecurity状态
•软件:文件完整性
•软件:恶意软件扫描工具
•主目录:外壳历史文件
实际运行中的lynis的屏幕截图如下所示:
一旦扫描完毕,你系统的审查报告就会自动生成,并保存在/var/log/lynis.log中。
审查报告含有该工具检测到的潜在安全漏洞方面的警告信息。比如说:
$ sudo grep Warning /var/log/lynis.log
20:20:04] Warning: Root can directly login via SSH [test:SSH-7412] [impact:M]
[20:20:04] Warning: PHP option expose_php is possibly turned on, which can reveal useful information for attackers. [test:PHP-2372] [impact:M]
[20:20:06] Warning: No running NTP daemon or available client found [test:TIME-3104
审查报告还含有许多建议措施,有助于加固你的Linux系统。比如说:
$ sudo grep Suggestion /var/log/lynis.log
20:19:41] Suggestion: Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [test:AUTH-9262]
[20:19:41] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
[20:19:41] Suggestion: Configure password aging limits to enforce password changing on a regular base [test:AUTH-9286]
[20:19:41] Suggestion: Default umask in /etc/profile could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: Default umask in /etc/login.defs could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: Default umask in /etc/init.d/rc could be more strict like 027 [test:AUTH-9328]
[20:19:42] Suggestion: To decrease the impact of a full /tmp file system, place /tmp on a separated partition [test:FILE-6310]
[20:19:42] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [test:STRG-1840]
[20:19:42] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [test:STRG-1846]
[20:20:03] Suggestion: Install package apt-show-versions for patch management purposes [test:PKGS-7394]
. . . .
扫描你系统的安全漏洞,作为一项日常计划任务
想最充分地利用lynis,建议经常来运行它,比如说将它安排成一项日常计划任务。在用“--cronjob”选项来运行时,lynis在自动的非交互式扫描模式下运行。
下面是日常计划任务脚本,在自动模式下运行lynis,以便审查你的系统,并且将每日扫描报告进行归档。
$ sudo vi /etc/cron.daily/scan.sh
#!/bin/shAUDITOR="automated"DATE=$(date +%Y%m%d)HOST=$(hostname)LOG_DIR="/var/log/lynis"REPORT="$LOG_DIR/report-${HOST}.${DATE}"DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"cd /opt/lynis./lynis -c --auditor "${AUDITOR}" --cronjob > ${REPORT}mv /var/log/lynis-report.dat ${DATA}
$ sudo chmod 755 /etc/cron.daily/scan.sh
|
|
|---|---|
