审计工具lynis介绍

1.介绍

       lynis 是一款开源的unix-based平台的审计工具。可以帮助审计员扫描unix系统以及可用的软件。程序主要探测，系统上安装的程序包，配置上的错误，以及安全问题和系统信息。

官方地址http://www.rootkit.nl/projects/lynis.html

程序完全用shell 脚本编写，下载之后就可直接运行，需要root权限，并读写目录/var/log/ and /tmp。 执行./lynis –c 可开始扫描任务。程序会运行多个子脚本来进行不同类型的审计检测，最后把结果输出到report文件中。

2.使用说明

       通过 –profile 可以指定扫描使用的配置，默认使用的是程序目录下的default.prf文件，用户可以复制此文件后自己编辑自己的任务配置文件。

       其中可以配置任务相关的参数例如：ssl证书的搜寻目录       ssl:certificates:/etc/ssl /var/www: 。 略过某个检查项，

config:test_skip_always:AAAA-1234 BBBB-5678 CCCC-9012: 。

       lynis通过循环运行include目录下的各个脚本来执行不同类型的扫描任务，把初步结果输出到屏幕上，每运行一个脚本都需要人工干预是否继续。

       程序会把每一项的检查结果实时输出到屏幕，给出ok或warning的提示。更加详细的信息可以参照日志文件。

3.代码学习

1.主函数初始化工作

主程序运行后，会初始化一些 常用的变量

然后 会判断扫描脚本目录include和用户自定义插件目录plugin是否存在.

调用include下的consts，和functions脚本进行常用变量的设置和函数声明。

调用trap 命令 拦截INT信号，maid函数做程序结束的清除工作。

使用umask 保证生成的文件的权限的安全。

. ${INCLUDEDIR}/parameters

调用include 下面的parameters脚本进行命令行参数的读取。

shift命令： 移动参数位置，丢弃第一个参数。

同时还用到了：

case $变量 in

比配字符）

语句;

;;

*）

;;

调用function脚本里的checkupdate函数进行版本检测

使用了dig命令查询dns服务，将最新的版本号放在dns服务的描述里面。

调用 id –u 保证程序以userid为0的超级用户权限运行。

在/var/run 目录下面创建pid文件， 并且之前判断文件是否存在保证程序实例的唯一。

2.检测系统的功能脚本

1. 系统类型检测

调用uname 获取系统类型名。如果是linux 则调用uname –r 获取内核版本。如果是ubuntu 使用命令

grep "^DISTRIB_ID=" /etc/lsb-release | cut -d '=' –f2 获取系统名字。 f2 代表=分割后的第二个参数。

2.检测系统的二进制可执行文件

在/bin /sbin /usr/bin 等路劲下查找常见的程序。

确定常见程序是否存在和其安装的目录

3.最后循环执行include目录下的以test开头的检测脚本

为了去除if语句 分支过多带来的代码杂乱，在每个程序逻辑前调用Register 函数检查随后的程序逻辑是否需要执行。

例如程序逻辑的检查编号是否在屏蔽列表中，系统类型是否满足，等。

脚本tests_accounting 检测不同系统下auditd审计工具的开启状态。

脚本tests_authentication 检测用户信息和认证。检测超级用户的个数，调用chkgrp进行检查

   从passwd中检索出系统的所有用户和用户id ： awk -F: '($3 > 500) && ($3 != 65534) || ($3 == 0) { print $1","$3 }' /etc/passwd

   从/etc/group中检测是否存在重复的用户组 cat /etc/group | grep -v '^#' | grep -v '^$' | awk -F: '{ print $3 }' | sort | uniq –d     

   调用pwck检测密码文件的数据完整性： /usr/sbin/pwck -q –r

脚本tests_banner 检测含有系统banner的文件是否存在，如/etc/issue 中保存了系统的版本信息。

脚本tests_boot_services 检测系统启动时运行的脚本，首先是grub boot loader文件/boot/grub/grub.conf 和grub.cfg, ubuntu 的话可以检测 /etc/rc2.d文件，检测文件/etc/init.d，/etc/rc /etc/rc.local /etc/rc.d/rc.sysinit

脚本tests_crypto 检测过期的ssl证书

脚本tests_database : 首先检测是否有mysql进程存在，检测mysql 数据库是否设置密码${MYSQLCLIENTBINARY} -u root --password= --silent --batch --execute="" 

脚本test_file_integrity 检测是否安装文件完整性检测工具，例如tripwire

脚本tests_file_permission 检测root/.ssh 文件的权限设置

脚本tests_filesystem ：检测/tmp 目录和/home 目录是否挂载在一个挂载点， 检测文件系统类型(ext2,3,4),