Lynis是一个开源安全审计工具，广泛应用于各种类Unix操作系统，使用Lynis的系统管理员和安全专业人员，可以在几分钟内进行深入的系统安全扫描。

在本文中，我将解释如何在Centos7服务器上安装和使用Lynis。

前提条件

• 一个CentOS 7x64服务器实例，
• 一个sudo用户 ，

步骤1:更新系统

以sudo用户身份从SSH终端登录，然后按如下方式更新系统：

sudo yum install epel-release -y
sudo yum update -y
sudo shutdown -r now

系统重新启动后，以相同的sudo用户身份登录。

步骤2安装Lynis和Lynis插件community

2.1安装Lynis

在CentOS 7上，你可以使用之前安装的EPEL YUM repo轻松安装Lynis：

sudo yum install lynis -y

2.2安装Lynis插件（社区）

如果要增强Lynis的功能，可以安装Lynis插件（社区版)插件只能从订阅中获得：

1. 在官方Lynis插件下载页面上，单击Download按钮，
2. 在下一页上，输入电子邮件地址，然后单击Subscribe按钮，
3. 你将收到电子邮件，单击其中的链接以确认你的订阅，
4. 你将收到另一封电子邮件，其中包括Lynis插件的下载URL，比如，http://sable.madmimi.com/c/6938?id=44150.2674.1.a12c46882ca668ab69e63acbe670c747 ，

现在，下载并解压插件存档，如下所示：

cd
wget http://sable.madmimi.com/c/6938?id=44150.2674.1.a12c46882ca668ab69e63acbe670c747 -O lynis-community-plugins.tar.gz
sudo tar -zxvf lynis-community-plugins.tar.gz --strip-components=1 -C /usr/share/lynis/plugins

设置适当的权限：

sudo chown root:root /usr/share/lynis/plugins/plugin_*
sudo chmod 600 /usr/share/lynis/plugins/plugin_*

最后，检查Lynis配置文件，以确保启用了新添加的插件(在我们的例子中是pam和systemd )，

sudo grep plugin= /etc/lynis/default.prf

输出应包括plugin=pam和plugin-systemd ：

plugin=compliance
plugin=configuration
plugin=control-panels
plugin=crypto
plugin=dns
plugin=docker
plugin=file-integrity
plugin=file-systems
plugin=firewalls
plugin=forensics
plugin=intrusion-detection
plugin=intrusion-prevention
plugin=kernel
plugin=malware
plugin=memory
plugin=nginx
plugin=pam
plugin=processes
plugin=security-modules
plugin=software
plugin=system-integrity
plugin=systemd
plugin=users

步骤3使用Lynis

只需运行没有参数的Lynis，就会显示Lynis参数：

 
sudo lynis

 

如果要执行完全安全扫描，请使用以下命令：

sudo lynis audit system

所有扫描结果都将存储在Lynis日志文件/var/log/lynis.log中。

在完全安全扫描之后，你可以使用以下grep命令从Lynis日志文件中定位到Warning消息：

sudo grep Warning /var/log/lynis.log

同样，你可以使用另一个grep命令显示Suggestion消息：

sudo grep Suggestion /var/log/lynis.log

就这样，如果你想了解有关Lynis的更多详细信息，请访问Lynis官方网站Lynis官方网站 。