安装lynis_CentOS7下使用开源安全审计工具Lynis

最新推荐文章于 2024-09-09 21:08:06 发布
原创 最新推荐文章于 2024-09-09 21:08:06 发布 · 432 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安装lynis

本文介绍了开源安全审计工具Lynis,用于检测Linux系统潜在问题并提供加固建议。在CentOS7环境下,详细阐述了Lynis的安装过程、系统扫描步骤以及如何依据扫描结果进行安全加固,特别是针对SSH的安全配置优化。

点击上方"walkingcloud"关注

49ad422bcf2451adf081995c6705a79c.png
04d0d614352069cce51ea17e23aaced8.png

开源安全审计工具Lynis简单介绍

Lynis是一款Linux系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在的时间并对未来的系统加固提供建议。

这款软件会扫描一般系统信息,脆弱软件包以及潜在的错误配置,执行全面的运行状况扫描,以支持系统强化和合规性测试

官网:https://cisofy.com/lynis/

66e0c6b7670996a791053cef9850056d.png

下面介绍使用Lynis扫描CentOS7系统并进行安全加固

1、配置lynis的源,并安装lynis

vi /etc/yum.repos.d/cisofy-lynis.repo[lynis]name=CISOfy Software - Lynis packagebaseurl=https://packages.cisofy.com/community/lynis/rpm/enabled=1gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.keygpgcheck=1priority=2yum install lynis
26b60ca5812137fe1b023bc0c4edea96.png

(图片可放大查看)

24af6044bfe1ca0830c0c2979186e999.png

(图片可放大查看)

2、使用用lynis扫描系统

lynis -hlynis audit system
d908c9bea85e9ec45e697245f095eca4.png

(图片可放大查看)

e6a72f5d6023ceec471da4c17dc7d5ff.png

(图片可放大查看)

3、根据上面安全加固建议进行安全加固

例如扫描出来的SSH的加固建议有如下加固项

026ccba69620d921fc57506023678967.png
b14c22bdf4a6f24ebb57c4fa411cd03e.png

(图片可放大查看)

修改之前的CentOS7安全加固脚本中ssh加固部分,可以参考之前文章

CentOS7一键安全加固及系统优化脚本

修改成如下

sec_ssh() {    echo "============= sec ssh =============" >> ${LOCK} 2>&1    echo -en "${RGB_WAIT}Configuring...${RGB_END}"    sed -i 's/#UseDNS.*$/UseDNS no/' /etc/ssh/sshd_config    sed -i 's/^#LoginGraceTime.*$/LoginGraceTime 60/' /etc/ssh/sshd_config    sed -i 's/^#PermitEmptyPasswords.*$/PermitEmptyPasswords no/' /etc/ssh/sshd_config    sed -i 's/^#PubkeyAuthentication.*$/PubkeyAuthentication yes/' /etc/ssh/sshd_config    sed -i 's/^#MaxAuthTries.*$/MaxAuthTries 3/' /etc/ssh/sshd_config    sed -i "s/#ClientAliveInterval 0/ClientAliveInterval 30/g" /etc/ssh/sshd_config    sed -i "s/#ClientAliveCountMax 3/ClientAliveCountMax 3/g" /etc/ssh/sshd_config    sed -i "s/X11Forwarding yes/X11Forwarding no/g" /etc/ssh/sshd_config    sed -i "s/#AllowAgentForwarding yes/AllowAgentForwarding no/g" /etc/ssh/sshd_config    sed -i "s/#AllowTcpForwarding yes/AllowTcpForwarding no/g" /etc/ssh/sshd_config    sed -i "s/#TCPKeepAlive yes/TCPKeepAlive no/g" /etc/ssh/sshd_config    sed -i "s/#Compression delayed/Compression no/g" /etc/ssh/sshd_config    sed -i "s/#MaxSessions 10/MaxSessions 2/g" /etc/ssh/sshd_config    sed -i "s/#LogLevel INFO/LogLevel VERBOSE/g" /etc/ssh/sshd_config    sed -i "s/#Banner none/Banner /etc/issue.net/g" /etc/ssh/sshd_config    echo "Authorized users only. All activity may be monitored and reported.">/etc/issue.net    systemctl restart sshd.service >> ${LOCK} 2>&1    cat /etc/ssh/sshd_config >> ${LOCK} 2>&1    echo -e "${RGB_SUCCESS}Configuration Success${RGB_END}"}

然后执行CentOS7安全加固脚本后,再进行lynis扫描

a43287f6c9c7b6205837a205caccbe37.png

(图片可放大查看)

57d49b0370a208a65c1910b2d8605eea.png
b041f1bd507680ca06c5f073d5f4d9ec.png

(图片可放大查看)

可以看到目前SSH安全基线只剩下3个安全加固建议

Centos 7.6 Install Lynis
极致,细节
08-08 904
Lynis是基于UNIX的系统的安全审计,如Linux,macOS,BSD等。它执行深入的安全扫描并在系统本身上运行。主要目标是测试安全防御并提供进一步系统强化的提示。Lynis专注于从内部扫描系统本身。它还将扫描一般系统信息,易受攻击的软件包以及可能的配置问题。系统管理员和审计员通常使用Lynis来评估其系统的安全防御。现在渗透测试人员也在他们的工具包中有Lynis。 定义源 yu...
安全审计工具lynis
没刮胡子的程序员专栏
08-26 260
安全审计工具lynis
Centos 7 | Lynis安装使用
我是一块小石头
05-05 2460
文章目录环境安装使用运行扫描扫描类别指定类别扫描查看扫描详细信息查看日志与数据文件检查更新配置文件 环境 产品 版本 Centos 7 3.10.0-1062.9.1.el7.x86_64 lynis lynis-2.7.5-4.el7.noarch 需要安装epel源,可以参考下面的链接 阿里云Epel 镜像 安装 找到相应版本 yum search lynis ...
Docker系列教程01-使用Docker镜像_开源docker镜像 如何使用
2301_77118221的博客
04-26 574
Docker镜像是一个只读的模板。如果读者之前是VM管理员,则可以把Docker镜像理解为VM模板,如果您是一名研发人员,可以将镜像理解为类(class)。简单说,Docker镜像是一个不包含系统内核而又精简的操作系统。例如:一个镜像可以包含一个基本的 ubuntu 操作系统环境,里面仅安装了 Nginx 应用程序。可以把它称为Nginx镜像。
Linux自建笔记工具,如何在centos安装lynis Linux审核工具
weixin_26711801的博客
05-05 281
Lynis是针对Unix操作系统的开源和强大的审核工具。它会扫描系统以获取保护知识,通用方法知识,任何预装的软件知识,配置错误,安全性障碍,无密码的用户帐户,不合适的文件权限,防火墙审核等。了解LynisLinux执行个别测试用例以保护您的Linux系统。要显示测试报告,请遵循以下情况–确定操作系统搜索可用的工具和实用程序检查Lynis更新从启用的插件运行测试按类别运行安全测试报告安全扫描状态在测...
安装lynis_安装Lynis系统安全审计扫描工具
weixin_36387104的博客
01-17 354
介绍lynislynis是一款开源的unix-based平台的审计工具。可以帮助审计员扫描Linux/Unix系统以及可用的软件。支持本地扫描,网络主机扫描,dockerfile文件的扫描。程序主要探测,系统上安装的程序包,配置上的错误,以及安全问题和系统信息。安装lynis解压缩后可以直接执行lynis脚本,不需要额外的安装工作。把lynis目录移动到/opt目录来运行# mv lynis /o...
Centos8 中安装 Lynis审计工具
永远在学习Linux之路上
05-23 400
Lynis 是一款开源安全审计工具,专为Linux、UNIX 衍生产品(如 FreeBSD 和 OpenBSD)而设计。它用于多种目的,包括安全审计、漏洞检测和合规性测试。利用 Lynis审计工具的目的是检测和解决任何潜在的安全漏洞和配置错误,例如弱密码或不恰当权限。 安装Lynis 下面使用dnf包管理器来安装Lynis [root@localhost ~]# yum -y install lynis 查看一下版本吧,版本和目前官网的版本是一致的: [root@localhost.
精选资源
linux安全审计扫描工具-Lynis
08-15
Linux安全审计扫描工具Lynis是一款强大的开源工具,主要用于评估和增强Linux系统的安全性。它适合于开发者、系统管理员、审计管理员以及渗透测试人员使用,帮助他们进行合规性测试、系统安全评估以及防御加固。Lynis...
Lynis – 用于Linux服务器的自动安全审计工具
qq_40907977的博客
10-22 274
介绍 Lynis是Unix/Linux等操作系统的一款安全审计工具,它可以发现基于Linux系统中的恶意软件和安全漏洞。Lynis是免费开源的服务器审计工具,一旦审计完成,我们可以审查结果、警告和建议,然后我们可以根据它实现我们的安全策略。它将显示一个报告,该报告可以被分成几个部分。 通常我们在Linux服务器上运行很多东西,比如网络服务、数据库服务、电子邮件服务、FTP服务等等。通过在所有Linux机器上进行自动的安全审计和渗透测试,Lynis可以简化管理员的工作。 环 境 Centos8 lyni
安全基线检查平台之Centos7
Zer0ne安全研究
12-26 1812
0x00 前言# 最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。 我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什...
CentOS7基线检查工具
02-27
等级保护,CentOS 7 基线检查工具,包含身份鉴别,访问控制,安全审计等信息集中采集。
linux添加审计账户_Lynis 2.7.3:一款针对Unix和Linux系统的多功能安全审计工具
weixin_42647395的博客
12-21 722
Lynis介绍Lynis是一款开源安全审计工具,广大系统管理员、安全专家和审计人员都可以利用该工具来对Linux以及类Unix系统进行安全审计。该工具可直接在测试主机上运行,而且跟常规漏洞扫描工具相比,Lynis的安全扫描范围更加广泛。近期,研究人员又发布了全新版本的多功能安全审计工具-Lynis。这个版本不仅对Lynis的核心功能进行了重大改进,而且还添加了很多额外的安全审计功能。支持...
开源安全审计系统漏洞扫描工具lynis
wzj的博客
04-21 2892
lynis 是一款运行在 Unix/Linux 平台上的软件,它是开源安全审计软件。Lynis是针对Unix/Linux的安全检查工具,可以发现潜在的安全威胁。此工具可以说还算可以,扫描本地还是不错的,可以扫描很多的信息。但是有一个小缺点,远程扫描需要上传东西到远程服务器才能扫描 命令: lynis show : 显示所有命令 lynis show version : 显示Lynis版本 lynis show help : 显示帮助 lynis audit system : 执行本地安全扫描 lynis
安装lynis_Lynis 2.2.0 :面向Linux系统的安全审查和扫描工具
weixin_39900286的博客
01-17 245
【51CTO.com 快译】Lynis是一款功能非常强大的开源审查工具,面向类似Unix/Linux的操作系统。它可以扫描系统,查找安全信息、一般的系统信息、已安装软件及可用软件信息、配置错误、安全问题、没有设密码的用户帐户、错误的文件许可权限以及防火墙审查等。Lynis是最可靠的自动化审查工具之一,可用于基于Unix/Linux的系统中的软件补丁管理、恶意软件扫描和安全漏洞检测。这款工具适用于审...
KeyarchOS(KOS)安装Lynis
weixin_49230371的博客
08-07 83
Lynis 是一个安全审计工具,适用于所有基于 UNIX 的系统,如 Linux、macOS、BSD 等。Lynis 能够执行深度安全扫描,主要目标是测试本机安全防御能力并给出相关建议。它还将扫描常规的系统信息、易受攻击的软件包、以及可能的配置问题。系统管理员和审计员通常使用Lynis来评估其系统的安全防御。除了“蓝队”,现在渗透测试人员的工具包中也有Lynis
kali中安装Lynis
XXokok的博客
09-09 607
kali中如何安装Lynis
Lynis安装使用
友人A的博客
05-19 3881
一、部署安装 二、使用 ./lynis audit system -Q
安装lynis_安装使用lynis扫描Linux的安全漏洞
weixin_28901739的博客
01-17 340
LynisLinux系统中的审计工具,能够对Linux系统的安全进行检测,在对系统进行扫描检测后,会生成安全报告。这款工具开源工具(采用GPLv3许可证),实际上在包括Linux、FreeBSD和Mac OS在内的多个平台上得到支持。安装lynis#yum-yinstalllynis安装完毕进行快速检测#lynis--check-all-Q一旦扫描完毕,你系统的审查报告就会自动生...
centos stream linux漏洞扫描工具
最新发布
07-08
CentOS Stream 系统上,漏洞扫描工具可以帮助识别系统中的安全问题、配置错误以及潜在的软件缺陷。以下是一些推荐的漏洞扫描工具及其特点: ### 3.1 OpenVAS(Greenbone Vulnerability Management) OpenVAS 是一个功能强大的开源漏洞扫描工具,支持多种 Linux 发行版,包括 CentOS Stream。它能够检测网络服务、操作系统漏洞、Web 应用程序缺陷等。最新版本的 Greenbone 社区版支持 CentOS 9 Stream,并且可以部署在 Docker 容器中以简化安装和维护过程[^3]。 - **优点**: - 开源免费,社区活跃。 - 支持广泛的漏洞数据库。 - 提供 Web 界面进行管理与报告生成。 - **安装方式**: - 可通过官方仓库安装。 - 推荐使用 Docker 部署以获得更灵活的配置选项。 示例:使用 Docker 部署 OpenVAS ```bash docker run -d -p 443:443 --name openvas mikesplain/openvas ``` --- ### 3.2 Nessus Nessus 是由 Tenable 公司开发的商业级漏洞扫描工具,广泛用于企业环境中。它提供全面的资产发现、漏洞评估和合规性检查功能。 - **优点**: - 漏洞检测规则更新频繁,覆盖范围广。 - 图形化界面友好,支持自定义策略。 - 支持与 SIEM、SOAR 等平台集成。 - **适用场景**: - 适用于对安全性要求较高的生产环境。 - 适合需要定期生成合规性报告的企业。 --- ### 3.3 Lynis Lynis 是一款轻量级的主机漏洞扫描工具,专注于本地系统的安全审计。它可以检查文件权限、服务配置、内核参数等,并提供改进建议。 - **优点**: - 不依赖网络连接,适用于离线环境。 - 脚本形式部署简单,资源占用低。 - 支持多种 Linux 发行版,包括 CentOS Stream。 - **使用方法**: ```bash git clone https://github.com/CISOfy/lynis.git cd lynis ./lynis audit system ``` --- ### 3.4 ClamAV ClamAV 是一款开源的反病毒引擎,适用于检测恶意软件、后门和其他类型的恶意代码。虽然主要用于邮件网关,但在服务器端也可作为辅助漏洞扫描工具。 - **优点**: - 实时更新病毒库。 - 支持命令行扫描和守护进程模式。 - 可与其他工具(如 Maldet)结合使用增强检测能力。 - **安装命令**: ```bash sudo dnf install clamav sudo freshclam sudo clamscan -r /path/to/scan ``` --- ### 3.5 Wazuh Wazuh 是一个集成了入侵检测、日志分析、完整性监控和漏洞检测的综合安全平台。它可以通过代理或无代理方式监控 CentOS Stream 主机,并整合漏洞信息进行集中展示。 - **优点**: - 支持实时告警与日志分析。 - 可与 Elastic Stack 集成实现可视化。 - 支持 CVE 数据关联分析。 - **适用场景**: - 多节点环境下的统一安全管理。 - 需要持续监控与响应的安全团队。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值