如何在CentOS 7上安装和使用Lynis

• 先决条件
• 步骤1：更新系统
• 步骤2：安装Lynis和Lynis插件（社区）

Lynis是一个开放源代码安全审核工具，已广泛用于各种类Unix操作系统上。借助Lynis，系统管理员和安全专家可以在几分钟之内执行深入的全系统安全扫描。

在本文中，我将解释如何在CentOS 7服务器上安装和使用Lynis。

先决条件

• 一个CentOS 7 x64服​​务器实例。
• 一个sudo的用户。

步骤1：更新系统

以sudo用户身份从SSH终端登录，然后按以下方式更新系统：

sudo yum install epel-release -y
sudo yum update -y
sudo shutdown -r now

系统重新引导后，以相同的sudo用户身份重新登录。

步骤2：安装Lynis和Lynis插件（社区）

2.1安装Lynis

在CentOS 7上，您可以使用先前安装的EPEL YUM存储库轻松安装Lynis：

sudo yum install lynis -y

2.2安装Lynis插件（社区）

如果要增强Lynis的功能，可以安装只能从订阅中获得的Lynis插件（社区）：

1. 在Lynis官方插件下载页面上，单击Download按钮。
2. 在下一页上，输入您的电子邮件地址，然后单击Subscribe按钮。
3. 您将在电子邮件收件箱中收到一封电子邮件，单击其中的链接以确认您的订阅。
4. 您将收到另一封电子邮件，其中包含Lynis插件的下载URL，例如http://sable.madmimi.com/c/6938?id=44150.2674.1.a12c46882ca668ab69e63acbe670c747。

现在，如下下载并解压缩插件档案：

cd
wget http://sable.madmimi.com/c/6938?id=44150.2674.1.a12c46882ca668ab69e63acbe670c747 -O  lynis-community-plugins.tar.gz
sudo tar -zxvf lynis-community-plugins.tar.gz --strip-components=1 -C /usr/share/lynis/plugins

设置适当的权限：

sudo chown root:root /usr/share/lynis/plugins/plugin_*
sudo chmod 600 /usr/share/lynis/plugins/plugin_*

最后，检查Lynis配置文件，以确保新添加的插件（这是pam和systemd我们的情况下）被启用：

sudo grep plugin= /etc/lynis/default.prf

输出应包括plugin=pam和plugin-systemd：

plugin=compliance
plugin=configuration
plugin=control-panels
plugin=crypto
plugin=dns
plugin=docker
plugin=file-integrity
plugin=file-systems
plugin=firewalls
plugin=forensics
plugin=intrusion-detection
plugin=intrusion-prevention
plugin=kernel
plugin=malware
plugin=memory
plugin=nginx
plugin=pam
plugin=processes
plugin=security-modules
plugin=software
plugin=system-integrity
plugin=systemd
plugin=users

步骤3：使用Lynis

仅运行不带任何参数的Lynis将显示Lynis参数：

sudo lynis

如果要执行完整的安全扫描，请使用以下命令：

sudo lynis audit system

所有扫描结果将存储在Lynis日志文件中/var/log/lynis.log。

完全安全扫描之后，可以Warning使用以下grep命令对Lynis日志文件中的所有消息进行排序：

sudo grep Warning /var/log/lynis.log

同样，您可以Suggestion使用另一个grep命令显示所有消息：

sudo grep Suggestion /var/log/lynis.log

而已。如果您想了解有关Lynis的更多详细信息，请访问Lynis官方网站。