如果您使用Lynis在Linux计算机上执行安全审计，它将确保您的计算机受到尽可能多的保护。安全是互联网连接设备的一切，所以这里有如何确保您的安全锁定。

你的linux电脑有多安全？

Lynis执行一套自动化测试，彻底检查Linux操作系统的许多系统组件和设置。它以颜色编码的ASCII报告的形式，列出了分级警告、建议和应采取的措施。

网络安全是一种平衡行为。完全的妄想症对任何人都没用，那么你该多担心呢？如果你只访问信誉良好的网站，不打开附件或跟踪未经请求的电子邮件中的链接，并且对你登录的所有系统使用不同的、可靠的密码，还有什么危险？尤其是在使用Linux时？

我们倒过来谈谈。Linux不能免疫恶意软件。事实上，第一个计算机蠕虫病毒是1988年针对Unix计算机设计的。rootkit是以Unix超级用户（root）和软件集合（kit）命名的，它们用这些软件来安装自己以逃避检测。这使超级用户能够访问威胁参与者（即坏人）。

为什么它们以根命名？因为第一个rootkit是在1990年发布的，目标是运行SunOS Unix的Sun微系统。

所以，恶意软件从Unix开始。当窗户打开时，它跳过了栅栏，占据了聚光灯。但是现在Linux已经在世界上运行了，它又回来了。Linux和类似Unix的操作系统，比如macOS，正得到威胁参与者的充分关注。

当你使用电脑时，如果你小心、理智、小心，还有什么危险？答案冗长而详细。简单地说，网络攻击是多种多样的。他们有能力做一些在不久前被认为是不可能的事情。

rootkit，比如Ryuk，可以通过破坏wake-on-LAN监控功能，在计算机关闭时感染计算机。还开发了概念验证代码。内盖夫的本古里安大学的研究人员证明了一种成功的“攻击”，它可以让威胁者从一台有气隙的计算机中过滤数据。

我们不可能预测未来会有什么样的网络威胁。但是，我们知道计算机防御系统中的哪些点是易受攻击的。无论当前或未来攻击的性质如何，只有提前填补这些漏洞才有意义。

在网络攻击总数中，只有一小部分是有意识地针对特定组织或个人的。大多数威胁都是不加区分的，因为恶意软件不关心你是谁。自动端口扫描和其他技术只是寻找易受攻击的系统并对其进行攻击。你把自己列为受害者是因为你很脆弱。

这就是Lynis进来的原因。

安装lynis

要在Ubuntu上安装Lynis，请运行以下命令：

在软呢帽上，键入：

在曼加罗，你使用吃豆人：

进行审计

Lynis是基于终端的，所以没有GUI。要启动审核，请打开终端窗口。单击并将其拖动到显示器的边缘，使其捕捉到最大高度或尽可能地拉伸。Lynis有很多输出，所以终端窗口越高，审查就越容易。

如果你专门为Lynis打开一个终端窗口，也会更方便。您将经常上下滚动，因此不必处理以前命令的混乱将使导航Lynis输出变得更容易。

要启动审核，请键入以下命令：

类别名称、测试标题和结果将在每个类别的测试完成后在终端窗口中滚动。审计最多只需要几分钟。完成后，您将返回到命令提示符。要查看结果，只需滚动终端窗口。

审计的第一部分检测Linux版本、内核版本和其他系统细节。

需要查看的区域以琥珀色（建议）和红色（应处理的警告）突出显示。

下面是一个警告示例。Lynis分析了postfix邮件服务器的配置，并标记了与横幅有关的内容。我们可以更详细地了解它究竟发现了什么，以及为什么以后可能会出现问题。

下面，Lynis警告我们，我们使用的Ubuntu虚拟机上没有配置防火墙。

滚动查看结果以查看标记了什么。在审计报告的底部，您将看到一个摘要屏幕。

“硬化指数”是你的考试成绩。我们100分中有56分，这不太好。执行了222个测试，启用了一个Lynis插件。如果你去Lynis社区版插件下载页面并订阅时事通讯，你会得到更多插件的链接。

有许多插件，包括一些用于根据标准进行审计的插件，如GDPR、ISO27001和PCI-DSS。

绿色V表示复选标记。你可能还会看到琥珀色的问号和红色的X。

我们有绿色的复选标记，因为我们有防火墙和恶意软件扫描器。出于测试目的，我们还安装了rootkit探测器rkhunter，以查看Lynis是否会发现它。正如你在上面看到的，它做到了；我们在“恶意软件扫描器”旁边有一个绿色的复选标记

法规遵从性状态未知，因为审核未使用法规遵从性插件。测试中使用了安全模块和漏洞模块。

生成两个文件：日志文件和数据文件。位于“/var/log/lynis”的数据文件-报表.dat，“是我们感兴趣的。它将包含一个结果的副本（没有突出显示颜色），我们可以在终端窗口中看到。这些都是有用的，看看你的硬化指数如何改善随着时间的推移。

如果在终端窗口中向后滚动，您将看到一个建议列表和另一个警告列表。警告是“大票”项目，所以我们来看看。

以下是五个警告：

• “Lynis的版本非常旧，应该更新”：这实际上是Ubuntu存储库中Lynis的最新版本。虽然它只有4个月的历史，但Lynis认为它非常古老，Manjaro和Fedora软件包中的版本比较新。包管理器中的更新总是可能稍微落后。如果您真的想要最新版本，可以从GitHub克隆项目并保持同步。
• “没有为单一模式设置密码”：单一是一种恢复和维护模式，其中只有根用户可操作。默认情况下，没有为此模式设置密码。
• “找不到2个响应名称服务器”：Lynis尝试与两个DNS服务器通信，但未成功。这是一个警告，如果当前DNS服务器出现故障，将不会自动回滚到另一个服务器。
• “在SMTP横幅中发现一些信息泄露”：当应用程序或网络设备在标准回复中泄露其品牌和型号（或其他信息）时，就会发生信息泄露。这可以让威胁参与者或自动恶意软件深入了解要检查的漏洞类型。一旦他们确定了他们所连接的软件或设备，一个简单的查找就会发现他们可以尝试利用的漏洞。
• “iptables模块已加载，但没有激活的规则”：Linux防火墙已启动并运行，但没有为其设置规则。

清除警告

每个警告都有一个指向网页的链接，该网页描述了问题以及您可以采取的补救措施。只需将鼠标指针悬停在其中一个链接上，然后按Ctrl键并单击它。默认浏览器将在网页上打开该消息或警告。

当我们按住Ctrl键并单击上一节中介绍的第四个警告的链接时，下面的页面为我们打开。

您可以查看每个警告并决定要处理哪些警告。

上面的网页解释说，当连接到我们的Ubuntu计算机上配置的postfix邮件服务器时，发送到远程系统的默认信息片段（“横幅”）太冗长了。提供太多的信息并没有什么好处，事实上，这些信息经常被用来对付你。

网页还告诉我们横幅位于“/etc/postfix”中/主要.cf”它建议我们应该将其修剪回只显示“$myhostname ESMTP”

我们按Lynis的建议键入以下内容来编辑文件：

我们在文件中找到定义横幅的行。

我们将其编辑为仅显示推荐的文本。

我们保存更改并关闭gedit。我们现在需要重新启动postfix邮件服务器，以使更改生效：

现在，让我们再次运行Lynis，看看我们的更改是否有效果。

“警告”部分现在只显示四个。后缀的那个不见了。

一次失败，还有四次警告和50条建议！

你应该走多远？

如果你从来没有在你的电脑上做过任何系统强化，你可能会有大致相同数量的警告和建议。你应该回顾所有这些，并在Lynis网站的指导下，做出判断，决定是否解决这个问题。

当然，教科书上的方法是试图将它们全部清除。不过，这可能说起来容易做起来难。另外，有些建议对普通家庭电脑来说可能是过分的。

黑名单的USB内核驱动程序禁用USB访问时，你不使用它？对于提供敏感业务服务的任务关键型计算机，这可能是必要的。但是对于Ubuntu家用电脑呢？可能不会。