Lynis实践

直接输入Lynis运行，会列出支持的命令、选项等

也可以lynis show commands看看可以执行哪些类型的命令

在扫描开始前，先查看当前是否是最新版本，一般情况下版本越新扫描越有效率
可以使用如下命令

可以看到当前安装版本和最新版本，如果提示是Outdated，那么该更新了，可以使用软件包管理器进行更新

接下来可以进行扫描了

它将通过一系列测试，分为几类。 每次审核后，将测试结果，调试信息和加固系统建议写入标准输出（屏幕）。
拉到最下面，可以看到一些细节

上图中可以看到Hardening Index即加固指数，这个数字是lynis自生成的，可以让我们更直观感受到系统的安全性，如果我们稍后根据修复警告和实施建议进行加固了，这个数字会升高，表面系统更加安全了。
更详细的信息记录到/var/log/lynis.log ，而报告数据保存到/var/log/lynis-report.dat。这两个有什么区别呢？报告数据包含有关服务器和应用程序本身的一般信息，所以我们需要注意的文件是日志文件。 日志文件在每次审核时被覆盖，因此以前的结果不会被保存。
我们可以直接查看日志

回到我们扫描后的结果中来
以下图为例

可以看到lynis是按照自己划分的模块进行扫描并给出结果的，左边黄色的kernel,boor and services等就是一些模块分类。而右边【】里则有FOUND、DONE、WARNING等检测结果，这些结果根据不同的分类会有不同的解释，最简单的方法就是绿色正常、黄色提醒、红色警告，当然这不是绝对的，需要根据实际情况进行判断。

lynis扫描后输出的信息非常多，我们可以过滤掉一些，比如指向查看结果，那么可以这样

会直接把最重要的结果给我们，包括警示、建议等
或者也可以在扫描结束之后通过正则在日志中进行匹配
比如匹配Suggestions

前面提到，lynis安装模块进行分类扫描，事实上，很多情况下我们不需要扫描全部的模块，可以使用-tests-from-group执行要扫描的模块
在此之前，我们需要先知道有哪些模块

比如指定只扫描内核

在给出的建议中可以看到最后都有一个id

以最后一条为例

可以使用show details查看这条建议的详细说明

也可以直接点击给出的链接去浏览器中访问

在网页中会给出描述以及解决措施

lynis的配置信息以 .prf 文件的格式保存在 /etc/lynis 目录中。 其中，默认lynis自带一个名为 default.prf 的默认配置文件。

不过我们无需直接修改这个默认的配置文件，只需要新增一个 custom.prf 文件将自定义的信息加入其中就可以了。关于配置文件中各配置项的意义，在 default.prf 中都有相应的注释说明,可以自行修改配置。

这里简单的举个例子，如图新建一个文件

上图的意思是跳过检测DEB-0880
再次扫描

对比之前的结果，DEB-0880相关的信息已经不再出现在结果里了，说明配置是生效的。其他配置参数的使用请参照default.prf的注释说明进行使用。

为了便于管理，我们还可以设施之cronjob，为lynis创建计划任务
比如设置为每天晚上10.30扫描并生成报告，那么可以输入下面的命令

30 22 * * * root /opt/lynis -c -Q --auditor “automated” --cronjob

8 参考
官方手册
https://cisofy.com/documentation/lynis/get-started/