Lynis简介

最新推荐文章于 2026-04-11 22:33:08 发布

原创最新推荐文章于 2026-04-11 22:33:08 发布 · 2.3k 阅读

本内容遵循CC 4.0 BY-SA版权协议

Lynis是一款开源安全工具，适用于Linux、macOS和基于Unix的系统，提供全面的系统健康扫描，支持系统强化和合规性测试。它执行数百项测试，涵盖安全审核、一致性测试、渗透测试、漏洞检测和系统强化，同时提供灵活的模块化功能，允许用户根据需求定制扫描。

Lynis简介

审核，系统强化，合规性测试

Lynis是经过考验的安全工具，适用于运行Linux，macOS或基于Unix操作系统的系统。它对您的系统执行全面的运行状况扫描，以支持系统强化和合规性测试。该项目是具有GPL许可证的开源软件，自2007年起可用。

使用Lynis进行安全扫描（单击以查看完整图像）

项目目标

由于Lynis具有灵活性，因此可用于多种不同目的。Lynis的典型用例包括：

安全审核
一致性测试（例如，PCI，HIPAA，SOx）
渗透测试
漏洞检测
系统强化

受众和用例

开发人员：测试该Docker映像，或改善已部署Web应用程序的强化。
系统管理员：运行日常运行状况扫描以发现新的漏洞。
IT审核员：向同事或客户展示可以采取哪些措施来提高安全性。
渗透测试人员：发现客户端系统上的安全漏洞，最终可能导致系统受损。

支持的操作系统

Lynis几乎可以在所有基于UNIX的系统和版本上运行，包括：

艾克斯
FreeBSD
HP-UX
的Linux
苹果系统
NetBSD
操作系统
OpenBSD的
的Solaris
和别的

它甚至可以在Raspberry Pi，IoT设备和QNAP存储设备等系统上运行。

这个怎么运作

Lynis扫描是模块化的并且是机会主义的。这意味着它将仅使用和测试可以找到的组件，例如可用的系统工具及其库。好处是不需要安装其他工具，因此您可以保持系统清洁。

通过使用这种扫描方法，该工具几乎可以没有依赖项地运行。而且，它发现的组件越多，审计范围就越广。换句话说：Lynis将始终执行针对您的系统量身定制的扫描。没有审核将是一样的！

示例：当Lynis检测到您正在运行Apache时，它将执行与Apache相关的测试的第一轮。然后，当它执行特定的Apache测试时，它可能还会发现SSL / TLS配置。然后，它基于此执行其他审核步骤。一个很好的例子是收集所有发现的证书，以便以后也可以对其进行扫描。

审核步骤

这是在使用Lynis进行的典型扫描期间发生的情况：

初始化
执行基本检查，例如文件所有权
确定操作系统和工具
搜索可用的软件组件
检查最新的Lynis版本
运行启用的插件
按类别运行安全测试
执行自定义测试（可选）
报告安全扫描状态

除了屏幕上显示的报告和信息外，有关扫描的所有技术细节都存储在日志文件（lynis.log）中。警告和建议之类的结果存储在单独的报告文件（lynis-report.dat）中。

Lynis测试（控件）

Lynis执行数百项单独的测试。每个测试将有助于确定系统的安全状态。大多数测试都是用Shell脚本编写的，并且具有唯一的标识符（例如KRNL-6000）。

有兴趣了解有关测试的更多信息吗？看一下Lynis控件和单个测试。

灵活性

利用唯一标识符，可以调整安全扫描。例如，如果测试对您的扫描食欲太严格，则只需将其禁用即可。这样，您就可以针对您的环境进行最佳的系统审核。

Lynis是模块化的，可以运行您自己创建的测试。您甚至可以用其他脚本或编程语言创建它们。

Lynis插件

插件是Lynis的模块化扩展。借助插件，Lynis将执行附加测试并收集更多系统信息。

每个插件都有收集特定数据的目的。此数据存储在Lynis报告文件（lynis-report.dat）中。根据您对Lynis的使用情况，收集的数据可能会提供系统之间或各个扫描之间的宝贵见解。

该插件在拥有10个以上系统的环境中提供最大的价值。下载部分提供了一些插件。

额外的插件

作为Lynis Enterprise产品的一部分，核心开发人员为我们的客户维护了一组插件。集中收集的数据（SaaS或自托管）可提供其他见解，例如可用的用户，流程和网络详细信息。另一个重要领域是合规性测试，其中的数据点有助于根据通用标准和强化指南进行测试。

Lynis插件概述

支持的标准

其他工具通常使用相同的数据文件来执行测试。Lynis不仅限于特定的Linux发行版，因此它使用了超过10年的丰富知识。它可以帮助您自动化或测试来自以下来源的安全最佳实践：

独联体基准
国家标准技术研究所
国家安全局
OpenSCAP数据
供应商指南和建议（例如Debian Gentoo，Red Hat）

演示（30秒内！）

时间是宝贵的。因此，请查看安装Lynis并使其执行安全扫描的速度。那很难被打败，对吧？

00:00

与其他工具的比较

Lynis的处事方式不同，因此您可以获得更大的灵活性。毕竟，您应该决定哪种安全控制措施对您的环境有意义。这是与其他一些知名工具的比较。

巴士底狱Linux

长期以来，Bastille是用于强化Linux系统的最著名的实用程序。它主要侧重于自动强化系统。

与巴士底狱的差异

自动强化工具很有用，但同时可能会给人以错误的安全感。Lynis不仅执行一些设置，还执行深度安全扫描。您是决定哪种安全级别适合您的环境的人。毕竟，并非所有系统都必须像Fort Knox一样，除非您希望如此。

Lynis的好处

支持更多操作系统
不会破坏您的系统
更深入的审计

OpenVAS和Nessus

这些产品主要关注漏洞扫描。他们通过搜索可发现的服务来通过网络进行此操作。（可选）他们将登录系统并收集数据。

Nessus或OpenVAS的差异

Lynis在主机本身上运行。因此，与基于网络的扫描相比，它可以执行更深入的分析。这意味着影响业务流程的风险较小，并且日志文件不会因连接尝试和错误请求而保持干净。

尽管Lynis是审核工具，但它也会发现漏洞。通过使用现有工具并分析配置文件来实现。

Lynis和OpenVAS都是开源的，可以免费使用。Nessus是专有软件，仅作为商业产品的一部分提供。

Lynis的好处

快多了
日志文件无污染
降低业务服务中断的风险
基于主机的扫描可提供更深入的审核

虎

Tiger是测试Linux系统安全性的首批工具之一。它是由德克萨斯大学A＆M校园的CIS Network组创建的。

Lynis和Tiger相似，但有一个很大的区别：Lynis仍然保持不变，Tiger则没有。

Lynis的好处

保持
支持更新的技术

安装

Lynis重量轻且易于使用。尽管大多数用户将通过软件包安装Lynis，但不需要安装！只需提取存档（tarball）并运行./lynis audit system

安装选项

通过GitHub克隆
软件包
塔球
家酿
端口（BSD）

初次使用Lynis的用户？我们建议您遵循《入门指南》。

下载

下载tarball

如果您喜欢使用tarball进行测试和部署，请参阅下载页面上的详细信息

的GitHub

Lynis项目可以通过GitHub轻松克隆

打包安装

宁可使用软件包安装？大多数发行版已经具有可用的软件包版本。它们可能已过时，因此我们通过软件存储库提供最新的软件包。