定期掃描

編輯 crontab 的設定檔:

crontab -e

加入這一行,讓 Lynis 每天早上 2:30 自動執行系統安全性掃描:

30  2   *   *   *   root    /path/to/lynis -c -Q --auditor "automated" --cronjob

在使用 crontab 執行 lynis 時可以加上 --cronjob 參數,這樣可以讓一些看不見的特殊字元輸出(例如控制顏色的跳脫序列,escape sequences),另外這裡的 lynis 路徑請自行更改成自己系統上的路徑。

這樣設定好之後,就可以每天從 /var/log/lynis.dat/var/log/lynis-report.dat 中看到最新的安全性檢測報告了。

Lynis 掃描檢測結果

Lynis 進行各項掃描與檢查時,可能會顯示 OK 或是 WARNING 兩種訊息,OK 代表掃描結果正常,而 WARNING 的話則是代表該項目需要注意。然而顯示 OK 的項目不一定保證沒有問題,而 WARNING 的項目也不見得很糟糕,詳細的狀況還是要閱讀 /var/log/lynis.log 中的說明,並且依照上面的指示採取必要的修正動作。

linux-security-auditing-and-scanning-with-lynis-tool-6

Lynis 掃描結果報表

如果 Lynis 發現某些項目有問題,通常在報表的最後都會有提供相關的修正建議,只要依照這些說明應該就可以修正大部分的問題。

更新 Lynis

要確保系統安全,除了善用 Lynis 這類的檢測工具之外,定期更新工具的版本也是非常重要的,若要顯示 Lynis 的更新資訊,可以執行:

./lynis update info
linux-security-auditing-and-scanning-with-lynis-tool-7

Lynis 更新資訊

而若要更新 Lynis 的發行版,可以執行:

./lynis update release

參考資料:Tecmint