开源安全审计工具Lynis简单介绍
Lynis是一款Linux系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在的时间并对未来的系统加固提供建议。
这款软件会扫描一般系统信息,脆弱软件包以及潜在的错误配置,执行全面的运行状况扫描,以支持系统强化和合规性测试
官网:https://cisofy.com/lynis/

下面介绍使用Lynis扫描CentOS7系统并进行安全加固
1、配置lynis的源,并安装lynis
vi /etc/yum.repos.d/cisofy-lynis.repo [lynis] name=CISOfy Software - Lynis package baseurl=https://packages.cisofy.com/community/lynis/rpm/ enabled=1 gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key gpgcheck=1 priority=2 yum install lynis

(图片可放大查看)

(图片可放大查看)
2、使用用lynis扫描系统
lynis -h lynis audit system

(图片可放大查看)

(图片可放大查看)
3、根据上面安全加固建议进行安全加固
例如扫描出来的SSH的加固建议有如下加固项


(图片可放大查看)
修改之前的CentOS7安全加固脚本中ssh加固部分,可以参考之前文章
CentOS7一键安全加固及系统优化脚本
修改成如下
sec_ssh() { echo "============= sec ssh =============" >> ${LOCK} 2>&1 echo -en "${RGB_WAIT}Configuring...${RGB_END}" sed -i 's/#UseDNS.*$/UseDNS no/' /etc/ssh/sshd_config sed -i 's/^#LoginGraceTime.*$/LoginGraceTime 60/' /etc/ssh/sshd_config sed -i 's/^#PermitEmptyPasswords.*$/PermitEmptyPasswords no/' /etc/ssh/sshd_config sed -i 's/^#PubkeyAuthentication.*$/PubkeyAuthentication yes/' /etc/ssh/sshd_config sed -i 's/^#MaxAuthTries.*$/MaxAuthTries 3/' /etc/ssh/sshd_config sed -i "s/#ClientAliveInterval 0/ClientAliveInterval 30/g" /etc/ssh/sshd_config sed -i "s/#ClientAliveCountMax 3/ClientAliveCountMax 3/g" /etc/ssh/sshd_config sed -i "s/X11Forwarding yes/X11Forwarding no/g" /etc/ssh/sshd_config sed -i "s/#AllowAgentForwarding yes/AllowAgentForwarding no/g" /etc/ssh/sshd_config sed -i "s/#AllowTcpForwarding yes/AllowTcpForwarding no/g" /etc/ssh/sshd_config sed -i "s/#TCPKeepAlive yes/TCPKeepAlive no/g" /etc/ssh/sshd_config sed -i "s/#Compression delayed/Compression no/g" /etc/ssh/sshd_config sed -i "s/#MaxSessions 10/MaxSessions 2/g" /etc/ssh/sshd_config sed -i "s/#LogLevel INFO/LogLevel VERBOSE/g" /etc/ssh/sshd_config sed -i "s/#Banner none/Banner \/etc\/issue.net/g" /etc/ssh/sshd_config echo "Authorized users only. All activity may be monitored and reported.">/etc/issue.net systemctl restart sshd.service >> ${LOCK} 2>&1 cat /etc/ssh/sshd_config >> ${LOCK} 2>&1 echo -e "\r${RGB_SUCCESS}Configuration Success${RGB_END}"}
然后执行CentOS7安全加固脚本后,再进行lynis扫描

(图片可放大查看)


(图片可放大查看)
可以看到目前SSH安全基线只剩下3个安全加固建议
上篇:
Web漏洞扫描神器Nikto使用指南
下篇:
用云服务器搭建VPN,构建自己的企业专线
1 11 个最热门的 MCP 资源平台,收藏备用 2 从 0 到 1:使用 Loki + Promtail + Grafana 搭建日... 3 Unsloth:大模型微调的革命性工具,支持DeepSeek QwQ Gemma... 4 选品、支付、运营、翻译和客户服务等工具是跨境电商的关键。 5 快速对QWen2.5大模型进行微调 6 ImagePrompt:一款 AI 图片提示词工具,使用图片 7 VLAN基础+划分详细教程 8 使用Easy Dataset为大模型准备训练数据,在线部署 9 Kubernetes集群日志-使用Loki实现高效日志分析和查询 10 静态路由:使用静态让所有主机实现相互通信,并都可以访问公网_采用静态路由方式,实... 11 链路聚合:二层和三层设备都使用链路聚合(实现负载均衡),并使所有vlan可以相互... 12 使用 OSPF 协议(多区域)实现不同路由器间互通