# Add --brief to hide descriptions, --configured-only to show configured items only, or --nocolors to remove colors
在执行审计之前去验证一下是否有新版本可用是一个很好的习惯,因为这样你将能得到最新的建议和信息。你可以通过以下命令来检查更新:
$ lynis update info
你将得到类似于如下的输出,它会显示出Lynis的最新版本:
Output
== Lynis ==
Version : 2.4.8
Status : Up-to-date
Release date : 2017-03-29
Update location : https://cisofy.com/lynis/
2007-2017, CISOfy - https://cisofy.com/lynis/
或者,你可以输入lynis update check,来产生如下的一行输出:
Output
status=up-to-date
如果当前版本确实需要更新,那么你可以使用包管理器来执行更新操作。
你可使用lynis audit system命令,在系统上运行一次审计。当然,你可以选择用特权或是非特权(渗透测试)模式来运行Lynis。对于后者的模式,一些需要root特权的测试会被忽略。因此,你应该使用sudo来将审计运行在特权模式之下。请使用如下命令来执行你的第一次审计:
$ sudo lynis audit system
验证完成之后,Lynis将运行它的测试并将结果显示在你的屏幕上。Lynis的一次审计通常只需要一分钟或更短的时间。
在Lynis执行审计的过程中,它会用到各种类型的多种测试。在每次审计完成后,各种测试结果、调试信息、和对系统的加固建议都被写到标准的输出中(即屏幕)。而更为详细的信息则被记录在/var/log/lynis.log里;同时,报告数据被保存到/var/log/lynis-report.dat中。报告数据通常只包含有关服务器和应用程序本身的信息,所以你只需要关注的是日志文件。每次审计都会清除(覆盖)日志文件,因此先前的审计结果是不会被下一次所保留下来的。
审计完成后,你应该对结果、警告和建议进行复查,然后有选择的采纳实施相关建议。
让我们来看看运行在本教程中的设备上的一次Lynis审计结果。它也许和你自己的审计结果有所不同,但是你应该能从中领会到一些重点。
Lynis审计输出中的第一个重要部分是其纯信息的部���。它会按类别分组的形式告诉你每个测试的结果。分类的关键字有NONE, WEAK, DONE, FOUND, NOT_FOUND, OK, 和 WARNING。
Output
[+] Boot and services
------------------------------------
- Service Manager [ systemd ]
- Checking UEFI boot [ DISABLED ]
- Checking presence GRUB [ OK ]
- Checking presence GRUB2 [ FOUND ]
- Checking for password protection [ WARNING ]
..
[+] File systems
------------------------------------
- Checking mount points
- Checking /home mount point [ SUGGESTION ]
- Checking /tmp mount point [ SUGGESTION ]
- Checking /var mount point [ OK ]
- Query swap partitions (fstab) [ NONE ]
- Testing swap partitions [ OK ]
- Testing /proc mount (hidepid) [ SUGGESTION ]
- Checking for old files in /tmp [ OK ]
- Checking /tmp sticky bit [ OK ]
- ACL support root file system [ ENABLED ]
- Mount options of / [ OK ]
- Checking Locate database [ FOUND ]
- Disable kernel support of some filesystems
- Discovered kernel modules: udf
...
[+] Hardening
------------------------------------
- Installed compiler(s) [ FOUND ]
- Installed malware scanner [ NOT FOUND ]
- Installed malware scanner [ NOT FOUND ]
...
[+] Printers and Spools
------------------------------------
- Checking cups daemon [ NOT FOUND ]
- Checking lp daemon [ NOT RUNNING ]