定期掃描
編輯 crontab
的設定檔:
crontab -e
加入這一行,讓 Lynis 每天早上 2:30 自動執行系統安全性掃描:
30 2 * * * root /path/to/lynis -c -Q --auditor "automated" --cronjob
在使用 crontab
執行 lynis
時可以加上 --cronjob
參數,這樣可以讓一些看不見的特殊字元輸出(例如控制顏色的跳脫序列,escape sequences),另外這裡的 lynis
路徑請自行更改成自己系統上的路徑。
這樣設定好之後,就可以每天從 /var/log/lynis.dat
與 /var/log/lynis-report.dat
中看到最新的安全性檢測報告了。
Lynis 掃描檢測結果
Lynis 進行各項掃描與檢查時,可能會顯示 OK
或是 WARNING
兩種訊息,OK
代表掃描結果正常,而 WARNING
的話則是代表該項目需要注意。然而顯示 OK
的項目不一定保證沒有問題,而 WARNING
的項目也不見得很糟糕,詳細的狀況還是要閱讀 /var/log/lynis.log
中的說明,並且依照上面的指示採取必要的修正動作。
如果 Lynis 發現某些項目有問題,通常在報表的最後都會有提供相關的修正建議,只要依照這些說明應該就可以修正大部分的問題。
更新 Lynis
要確保系統安全,除了善用 Lynis 這類的檢測工具之外,定期更新工具的版本也是非常重要的,若要顯示 Lynis 的更新資訊,可以執行:
./lynis update info
而若要更新 Lynis 的發行版,可以執行:
./lynis update release
參考資料:Tecmint
繼續閱讀: 12