目錄表

Lynis 系統安全稽核工具介紹

lynis 是一個 UNIX-based 系統安全稽核程式,它會執行一些常見的基本檢查項目,包含檢查系統設定與軟體安裝是否有常見的缺失,並提供適當的改善建議。目前支援 Linux、FreeBSD、OpenBSD、Mac OS X 與 Solaris 平台。

:!: 您對 Lynis 檢查後產出的缺失報告與建議,如有明確了解且為必要需求,則可以忽略該建議。

Lynis 檢查項目大致如下:

  1. 系統程式是否有被置換或竄改,避免管理者或使用者執行到惡意程式。
  2. 開機程式及設定,並檢查目前已啟動的服務。
  3. 系統中的帳號資訊 (使用者、群組) 及帳號驗證方式等資訊。
  4. 檔案系統相關資訊,如 ACL 權限。
  5. 軟體套件管理是否正常,是否存在有弱點的套件。
  6. 防火牆設定是否啟用。
  7. Web Server、MySQL、PHP、Postfix 設定檢查。
  8. NTP 對時是否有啟動。
  9. 其他。

安裝方式

# yum install lynis
或
# yum --nogpgcheck localinstall lynis-?.?.?-?.?.noarch.rpm
# apt-get install lynis
# cd /usr/local/src
# wget http://www.rootkit.nl/files/lynis-?.?.?.tar.gz
# tar xvfz http://www.rootkit.nl/files/lynis-?.?.?.tar.gz
# cd lynis-?.?.?
# sh ./lynis

更新資料庫

在使用 Lynis 進行檢查前,不妨先更新資料庫以便獲得較新版本的資訊。

# lynis --check--update

執行方式

首先,您必須獲得 root 權限來執行,可以使用 --help 了解有哪些參數可以運用:

# lynis --help
--check-all 檢查整個系統
--quick 快速模式,不等待使用者互動確認
--tests 僅執行特定項目的檢查
# lynis --check-all --quick
# lynis --check-all --quick --no-colors > /tmp/lynis.txt
# lynis --quick --tests "HOME-9302"

常見問題說明與改善方式

# ps -ef | grep logd
# grep nameserver /etc/resolv.conf

error_reporting = E_ALL & ~E_NOTICE
display_errors = Off
register_globals = Off
expose_php = Off
allow_url_fopen = Off
allow_url_include = Off
file_uploads = Off
enable_dl = Off
ServerTokens Prod
ServerSignature Off
TraceEnable Off

相關連結