虽然Lynis在“开箱即用”的状态下会执行200多种测试,但不是所有的都对你的服务器是必要的。那么如何来判断哪些测试是必要的,而哪些不是呢?这就依靠于服务器上到底运行着什么服务了。举个例子,如果你检查一个典型的Lynis审计的结果部分,你会发现在Printers and Spools类别下有两个测试:
Output
[+] Printers and Spools
------------------------------------
- Checking cups daemon [ NOT FOUND ]
- Checking lp daemon [ NOT RUNNING ]
你真的在Ubuntu 16.04服务器上运行着打印服务器吗?除非你正在运行一个基于云的打印服务器,不然你是没有必要让Lynis每次运行该测试的。
虽然这是一个在测试中筛选忽略的完美例子,但其他的可能就没那么显而易见了。请看下面这个例子。例如:
Output
[+] Insecure services
------------------------------------
- Checking inetd status [ NOT ACTIVE ]
该输出指明它希望在Ubuntu 16.04服务器上使用到的inetd并未被激活。但实际上Ubuntu早已将systemd取代了inetd。知道了这个,你就可以在对服务器进行审计测试时标记出来,让Lynis不去执行。
随着对每个测试结果的复查,你会在测试中圈出更多的多余项目。有了这样的列表,你就可以定制出在未来的审计中有所忽略的Lynis了。你会在步骤5中了解到如何完成这些操作。