如果您使用Lynis在Linux計算機上執行安全審計，它將確保您的計算機受到儘可能多的保護。安全是網際網路連線裝置的一切，所以這裡有如何確保您的安全鎖定。

你的linux電腦有多安全？

Lynis執行一套自動化測試，徹底檢查Linux作業系統的許多系統元件和設定。它以顏色編碼的ASCII報告的形式，列出了分級警告、建議和應採取的措施。

網路安全是一種平衡行為。完全的妄想症對任何人都沒用，那麼你該多擔心呢？如果你只訪問信譽良好的網站，不開啟附件或跟蹤未經請求的電子郵件中的連結，並且對你登入的所有系統使用不同的、可靠的密碼，還有什麼危險？尤其是在使用Linux時？

我們倒過來談談。Linux不能免疫惡意軟體。事實上，第一個計算機蠕蟲病毒是1988年針對Unix計算機設計的。rootkit是以Unix超級使用者（root）和軟體集合（kit）命名的，它們用這些軟體來安裝自己以逃避檢測。這使超級使用者能夠訪問威脅參與者（即壞人）。

為什麼它們以根命名？因為第一個rootkit是在1990年釋出的，目標是執行SunOS Unix的Sun微系統。

所以，惡意軟體從Unix開始。當窗戶開啟時，它跳過了柵欄，佔據了聚光燈。但是現在Linux已經在世界上運行了，它又回來了。Linux和類似Unix的作業系統，比如macOS，正得到威脅參與者的充分關注。

當你使用電腦時，如果你小心、理智、小心，還有什麼危險？答案冗長而詳細。簡單地說，網路攻擊是多種多樣的。他們有能力做一些在不久前被認為是不可能的事情。

rootkit，比如Ryuk，可以透過破壞wake-on-LAN監控功能，在計算機關閉時感染計算機。還開發了概念驗證程式碼。內蓋夫的本古裡安大學的研究人員證明了一種成功的“攻擊”，它可以讓威脅者從一臺有氣隙的計算機中過濾資料。

我們不可能預測未來會有什麼樣的網路威脅。但是，我們知道計算機防禦系統中的哪些點是易受攻擊的。無論當前或未來攻擊的性質如何，只有提前填補這些漏洞才有意義。

在網路攻擊總數中，只有一小部分是有意識地針對特定組織或個人的。大多數威脅都是不加區分的，因為惡意軟體不關心你是誰。自動埠掃描和其他技術只是尋找易受攻擊的系統並對其進行攻擊。你把自己列為受害者是因為你很脆弱。

這就是Lynis進來的原因。

安裝lynis

要在Ubuntu上安裝Lynis，請執行以下命令：

在軟呢帽上，鍵入：

在曼加羅，你使用吃豆人：

進行審計

Lynis是基於終端的，所以沒有GUI。要啟動稽核，請開啟終端視窗。單擊並將其拖動到顯示器的邊緣，使其捕捉到最大高度或儘可能地拉伸。Lynis有很多輸出，所以終端視窗越高，審查就越容易。

如果你專門為Lynis開啟一個終端視窗，也會更方便。您將經常上下滾動，因此不必處理以前命令的混亂將使導航Lynis輸出變得更容易。

要啟動稽核，請鍵入以下命令：

類別名稱、測試標題和結果將在每個類別的測試完成後在終端視窗中滾動。審計最多隻需要幾分鐘。完成後，您將返回到命令提示符。要檢視結果，只需滾動終端視窗。

審計的第一部分檢測Linux版本、核心版本和其他系統細節。

需要檢視的區域以琥珀色（建議）和紅色（應處理的警告）突出顯示。

下面是一個警告示例。Lynis分析了postfix郵件伺服器的配置，並標記了與橫幅有關的內容。我們可以更詳細地瞭解它究竟發現了什麼，以及為什麼以後可能會出現問題。

下面，Lynis警告我們，我們使用的Ubuntu虛擬機器上沒有配置防火牆。

滾動檢視結果以檢視標記了什麼。在審計報告的底部，您將看到一個摘要螢幕。

“硬化指數”是你的考試成績。我們100分中有56分，這不太好。執行了222個測試，啟用了一個Lynis外掛。如果你去Lynis社群版外掛下載頁面並訂閱時事通訊，你會得到更多外掛的連結。

有許多外掛，包括一些用於根據標準進行審計的外掛，如GDPR、ISO27001和PCI-DSS。

綠色V表示複選標記。你可能還會看到琥珀色的問號和紅色的X。

我們有綠色的複選標記，因為我們有防火牆和惡意軟體掃描器。出於測試目的，我們還安裝了rootkit探測器rkhunter，以檢視Lynis是否會發現它。正如你在上面看到的，它做到了；我們在“惡意軟體掃描器”旁邊有一個綠色的複選標記

法規遵從性狀態未知，因為稽核未使用法規遵從性外掛。測試中使用了安全模組和漏洞模組。

生成兩個檔案：日誌檔案和資料檔案。位於“/var/log/lynis”的資料檔案-報表.dat，“是我們感興趣的。它將包含一個結果的副本（沒有突出顯示顏色），我們可以在終端視窗中看到。這些都是有用的，看看你的硬化指數如何改善隨著時間的推移。

如果在終端視窗中向後滾動，您將看到一個建議列表和另一個警告列表。警告是“大票”專案，所以我們來看看。

以下是五個警告：

• “Lynis的版本非常舊，應該更新”：這實際上是Ubuntu儲存庫中Lynis的最新版本。雖然它只有4個月的歷史，但Lynis認為它非常古老，Manjaro和Fedora軟體包中的版本比較新。包管理器中的更新總是可能稍微落後。如果您真的想要最新版本，可以從GitHub克隆專案並保持同步。
• “沒有為單一模式設定密碼”：單一是一種恢復和維護模式，其中只有根使用者可操作。預設情況下，沒有為此模式設定密碼。
• “找不到2個響應名稱伺服器”：Lynis嘗試與兩個DNS伺服器通訊，但未成功。這是一個警告，如果當前DNS伺服器出現故障，將不會自動回滾到另一個伺服器。
• “在SMTP橫幅中發現一些資訊洩露”：當應用程式或網路裝置在標準回覆中洩露其品牌和型號（或其他資訊）時，就會發生資訊洩露。這可以讓威脅參與者或自動惡意軟體深入瞭解要檢查的漏洞型別。一旦他們確定了他們所連線的軟體或裝置，一個簡單的查詢就會發現他們可以嘗試利用的漏洞。
• “iptables模組已載入，但沒有啟用的規則”：Linux防火牆已啟動並執行，但沒有為其設定規則。

清除警告

每個警告都有一個指向網頁的連結，該網頁描述了問題以及您可以採取的補救措施。只需將滑鼠指標懸停在其中一個連結上，然後按Ctrl鍵並單擊它。預設瀏覽器將在網頁上開啟該訊息或警告。

當我們按住Ctrl鍵並單擊上一節中介紹的第四個警告的連結時，下面的頁面為我們開啟。

您可以檢視每個警告並決定要處理哪些警告。

上面的網頁解釋說，當連線到我們的Ubuntu計算機上配置的postfix郵件伺服器時，傳送到遠端系統的預設資訊片段（“橫幅”）太冗長了。提供太多的資訊並沒有什麼好處，事實上，這些資訊經常被用來對付你。

網頁還告訴我們橫幅位於“/etc/postfix”中/主要.cf”它建議我們應該將其修剪回只顯示“$myhostname ESMTP”

我們按Lynis的建議鍵入以下內容來編輯檔案：

我們在檔案中找到定義橫幅的行。

我們將其編輯為僅顯示推薦的文字。

我們儲存更改並關閉gedit。我們現在需要重新啟動postfix郵件伺服器，以使更改生效：

現在，讓我們再次執行Lynis，看看我們的更改是否有效果。

“警告”部分現在只顯示四個。字尾的那個不見了。

一次失敗，還有四次警告和50條建議！

你應該走多遠？

如果你從來沒有在你的電腦上做過任何系統強化，你可能會有大致相同數量的警告和建議。你應該回顧所有這些，並在Lynis網站的指導下，做出判斷，決定是否解決這個問題。

當然，教科書上的方法是試圖將它們全部清除。不過，這可能說起來容易做起來難。另外，有些建議對普通家庭電腦來說可能是過分的。

黑名單的USB核心驅動程式禁用USB訪問時，你不使用它？對於提供敏感業務服務的任務關鍵型計算機，這可能是必要的。但是對於Ubuntu家用電腦呢？可能不會。