Lynis是一款Unix系统的安全审计以及加固工具，能够进行深层次的安全扫描，其目的是检测潜在的时间并对未来的系统加固提供建议。这款软件会扫描一般系统信息，脆弱软件包以及潜在的错误配置。

安装

方式1 git下载使用

git clone https://github.com/CISOfy/lynis
方式2 直接下载tar包，解压使用

wget https://github.com/CISOfy/lynis/archive/refs/tags/3.1.1.tar.gz
tar -zxvf 3.1.1.tar.gz

使用

进入lynis的目录，输入./lynis即可

./lynis audit system来进行对系统的全盘扫描，这种扫描方式会产生一系列人机交互，无法自动化扫描。

故我们在其后加上参数-Q即快速扫描，从而自动化扫描。

以下是常用的lynis的参数：

Parameter	Abbreviated	Description
--auditor "Given name Surname"		配发审计人员的名字
--checkall	-c	开始检查
--check-update		更新
--cronjob		计划任务 (includes -c -Q)
--help	-h	帮助
--manpage		用户手册
--nocolors		无配色
--pentest		低权限渗透测试扫描
--quick	-Q	自动模式
--quiet		静默且自动模式
--reverse-colors		浅色背景配色模式
--version	-V	版本号

如果要进行深层次的检查的话，可能需要让lynis处于root权限运行，那么我们只要

sudo cp -R /path/to/lynis /usr/local/lynis

即可将lynis置于root权限中，如此一来就可以进行深层次的检查了。

 审计报告&日志

 

 

我们对该文件进行输出，查看其中的告警（WARNING）以及建议（SUGGESTION）

grep -E "Warning|Suggestion" /var/log/lynis.log

 

审计报告

执行审计程序之后，lynis会对其发现进行收集并获得其他数据点，数据会被存储在报告文件中。不过这个文件读起来比较吃力，采用的是 数据名=值 的方式，要是一个数据有多个值，则在其后加个[]。如下图：