1.2.5 安全配置核查
我认为,安全配置核查是企业安全保障工作中最重要的一部分,是每个企业都需要认真做好的安全基本功,它的重要程度甚至比很多安全设备还要高,但真正认识到这点的企业却不多。当面对成百上千的服务器、虚拟机、路由器、交换机、防火墙、数据库时,如何能保证所有资产的配置都是我们所期望和要求的呢?工具在很大程度上能够帮助我们做好这件事,下面我们就介绍一个安全配置核查工具——Lynis,它能够帮助企业尽可能地简化一些日常重复性的工作。注意,工具并不是万能的。
Lynis是基于UNIX系统的安全审计,它可以在被扫描的主机上执行,并且可以执行比较深入的安全检测。其主要目的是测试安全配置是否合适,并提供进一步强化系统的建议。Lynis专注于从内部扫描系统本身,除此之外,它还可以扫描一般的系统信息,包括易受攻击的软件包以及可能存在的配置问题。系统管理员和审计员可以利用Lynis对其系统的安全配置做一次简单、快速的评估。
Lynis可以运行在多种操作系统上,例如AIX、FreeBSD、HP-UX、Linux、macOS、Net-BSD、NixOS、OpenBSD、Solaris。除此之外,它还可以运行在Raspberry Pi或物联网设备上。Lynis有两个版本,一个是免费的Lynis,另外一个是收费的Lynis Enterprise。Lynis Enterprise有比Lynis更多的扩展功能(例如管理和报表功能等)和组件,比Lynis强大很多。
Lynis的官方网站是https://cisofy.com/lynis,如果有需要可以从中获得更多的信息。
在这里,我准备了一个测试环境,并通过它给大家介绍Lynis的安装和使用方法。
测试环境如下所示。 虚拟化:VirtualBox 5.6.2 虚拟机:target(操作系统:Ubuntu 16.04.5 LTS, 安装软件:Lynis, IP地址:192.168.1.12)
(1)Lynis的安装
Lynis的安装非常简单,在Ubuntu上,把Lynis在GitHub的代码复制到本地就可以了。
root@target:~# git clone https://github.com/CISOfy/lynis
(2)Lynis的使用
Lynis的使用方法也很简单,想要检测本机的话,直接执行./lynis audit system即可。
root@target:~# cd lynis/ root@target:~/lynis# ./lynis audit system [ Lynis 3.0.0 ] ################################################################################ Lynis comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under the terms of the GNU General Public License. See the LICENSE file for details about using this software. 2007-2019, CISOfy - https://cisofy.com/lynis/ Enterprise support available (compliance, plugins, interface and tools) ################################################################################ ... root@target:~/lynis#
(3)Lynis的订制
企业需要根据自身情况制定合适的安全配置标准,并且基于这个标准,准备相应的检查工具。这往往会涉及在Lynis基础之上进行订制的工作,例如Plugin的开发等工作。这些内容可以参看Lynis的相关文档,或将其升级为Lynis Enterprise,当然,我们也可以自己开发一套类似的安全配置核查工具。