Lynis: Unterschied zwischen den Versionen
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Lynis ist ein Sicherheitsüberprüfungswerkzeug für Linux | Lynis ist ein Sicherheitsüberprüfungswerkzeug für | ||
* Linux | |||
* macOS | |||
* UNIX-basieren-Systeme | |||
Das Tool prüft das System und die Softwarekonfiguration, um zu sehen, ob es Raum für die Verbesserung der Sicherheitsabwehr gibt | |||
* Alle Details werden in einer Protokolldatei gespeichert | * Alle Details werden in einer Protokolldatei gespeichert | ||
* Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert | * Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert | ||
* Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen | * Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen | ||
* Lynis kann interaktiv oder als Cronjob ausgeführt werden | * Lynis kann interaktiv oder als Cronjob ausgeführt werden | ||
* Root-Rechte (z. B. sudo) sind nicht erforderlich | * Root-Rechte (z. B. sudo) sind nicht erforderlich | ||
** liefern aber mehr Details während der Prüfung | |||
; Mehrere Einzeltests je Session | |||
* das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert | * das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert | ||
* Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort, | |||
; Zu prüfende Systembereiche | |||
* Bootloader-Dateien | * Bootloader-Dateien | ||
* Konfigurationsdateien | * Konfigurationsdateien | ||
Zeile 26: | Zeile 31: | ||
* Plugins können eine andere Lizenz haben | * Plugins können eine andere Lizenz haben | ||
== Aufruf == | == Anwendung == | ||
=== Aufruf === | |||
'''# lynis [scan mode] [other options]''' | '''# lynis [scan mode] [other options]''' | ||
=== Optionen | === System untersuchen === | ||
# '''lynis audit system''' | |||
=== Kommandos === | |||
{| class="wikitable options" | |||
|- | |||
| audit <Typ> || Prüfung des ausgewählten Typs durchführen | |||
|- | |||
| upload-only || Berichtsdatendatei hochladen | |||
|} | |||
Siehe Abschnitt [[#Hilfsprogramme|Hilfsprogramme]] für weitere Befehle | |||
=== Überprüfungsarten === | |||
; System prüfen | |||
Führt eine Systemprüfung durch, die am häufigsten vorkommende Prüfung | |||
# '''audit system remote <host>''' | |||
Bietet Befehle zur Durchführung einer Fernprüfung | |||
* Weitere Scan-Modi finden Sie in den Hilfsprogrammen | |||
=== Hilfsprogramme === | |||
Lynis nutzt Hilfsprogramme für bestimmte Aufgaben | |||
* Auf diese Weise wird der Rahmen von Lynis genutzt, während gleichzeitig der größte Teil der Funktionalität in einer separaten Datei gespeichert wird | |||
* Dies beschleunigt die Ausführung und hält den Code sauber | |||
{| class="wikitable options" | |||
! Hilfsprogramm !! Beschreibung | |||
|- | |||
| audit || Führen Sie audit auf dem System oder auf anderen Zielen aus | |||
|- | |||
| configure <Parameter> || Einstellungen in der Konfigurationsdatei ändern oder hinzufügen | |||
|- | |||
| generate <Parameter> || Spezifische Details wie Host-IDs generieren | |||
|- | |||
| show <Parameter> || Informationen anzeigen, z. B. Konfiguration und Pfade | |||
|- | |||
| update <Parameter> || Aktivitäten zur Aktualisierung durchführen | |||
|} | |||
; Verwendung von Hilfsprogrammen | |||
''lynis'' gefolgt von dem Namen des Hilfsprogramms | |||
lynis | |||
== Optionen == | |||
Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können | Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können | ||
* Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet | * Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet | ||
Zeile 117: | Zeile 167: | ||
| 78 || Lynis hat 1 oder mehr Warnungen oder Konfigurationsfehler gefunden (mit error-on-warnings=yes) | | 78 || Lynis hat 1 oder mehr Warnungen oder Konfigurationsfehler gefunden (mit error-on-warnings=yes) | ||
|} | |} | ||
== Konfiguration == | == Konfiguration == | ||
=== Dateien === | === Dateien === | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === |
Aktuelle Version vom 19. Dezember 2024, 18:51 Uhr
lynis - System- und Sicherheitsüberwachungsprogramm
Beschreibung
Lynis ist ein Sicherheitsüberprüfungswerkzeug für
- Linux
- macOS
- UNIX-basieren-Systeme
Das Tool prüft das System und die Softwarekonfiguration, um zu sehen, ob es Raum für die Verbesserung der Sicherheitsabwehr gibt
- Alle Details werden in einer Protokolldatei gespeichert
- Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert
- Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen
- Lynis kann interaktiv oder als Cronjob ausgeführt werden
- Root-Rechte (z. B. sudo) sind nicht erforderlich
- liefern aber mehr Details während der Prüfung
- Mehrere Einzeltests je Session
- das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert
- Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort,
- Zu prüfende Systembereiche
- Bootloader-Dateien
- Konfigurationsdateien
- Software-Pakete
- Verzeichnisse und Dateien für die Protokollierung und Überwachung
- Lizenz
Lynis ist unter der GPLv3 lizenziert
- Das Tool wurde von Michael Boelen im Jahr 2007 entwickelt
- Seit 2013 wird die Entwicklung von CISOfy unter der Leitung von Michael Boelen übernommen
- Plugins können eine andere Lizenz haben
Anwendung
Aufruf
# lynis [scan mode] [other options]
System untersuchen
# lynis audit system
Kommandos
audit <Typ> | Prüfung des ausgewählten Typs durchführen |
upload-only | Berichtsdatendatei hochladen |
Siehe Abschnitt Hilfsprogramme für weitere Befehle
Überprüfungsarten
- System prüfen
Führt eine Systemprüfung durch, die am häufigsten vorkommende Prüfung
# audit system remote <host>
Bietet Befehle zur Durchführung einer Fernprüfung
- Weitere Scan-Modi finden Sie in den Hilfsprogrammen
Hilfsprogramme
Lynis nutzt Hilfsprogramme für bestimmte Aufgaben
- Auf diese Weise wird der Rahmen von Lynis genutzt, während gleichzeitig der größte Teil der Funktionalität in einer separaten Datei gespeichert wird
- Dies beschleunigt die Ausführung und hält den Code sauber
Hilfsprogramm | Beschreibung |
---|---|
audit | Führen Sie audit auf dem System oder auf anderen Zielen aus |
configure <Parameter> | Einstellungen in der Konfigurationsdatei ändern oder hinzufügen |
generate <Parameter> | Spezifische Details wie Host-IDs generieren |
show <Parameter> | Informationen anzeigen, z. B. Konfiguration und Pfade |
update <Parameter> | Aktivitäten zur Aktualisierung durchführen |
- Verwendung von Hilfsprogrammen
lynis gefolgt von dem Namen des Hilfsprogramms
lynis
Optionen
Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können
- Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet
Option | Beschreibung |
---|---|
--auditor <Name> | Definieren Sie den Namen des Prüfers/Pentesters
|
--cronjob | Führt eine automatische Prüfung mit sicheren Cron-Optionen durch (keine Farben, keine Fragen, keine Pausen) |
--debug | Anzeige von Debug-Informationen auf dem Bildschirm zur Fehlersuche |
--developer | Zeigt detaillierte Informationen an, die für Entwickler bei der Erstellung von Tests nützlich sind |
--forensics | Führt die Prüfung auf einem laufenden oder gemounteten System durch (siehe --rootdir) |
--help | Zeigt die verfügbaren Befehle und die am häufigsten verwendeten Optionen an |
--logfile </path/to/logfile> | Legt den Ort und den Namen der Protokolldatei fest, anstelle der Standarddatei /var/log/lynis.log |
--man | Zeigt die Manpage an
|
--no-colors | Deaktiviert farbige Ausgaben |
--no-log | Leitet alle Logging-Informationen nach /dev/null um und verhindert, dass sensible Informationen auf die Festplatte geschrieben werden |
--no-plugins | Keines der aktivierten Plugins ausführen |
---pentest | Führt einen unprivilegierten Scan aus, der normalerweise für Penetrationstests verwendet wird
|
--plugin-dir </path/to/plugins> | Definiert den Ort, an dem Plugins gefunden werden können |
--profile <Datei> | Geben Sie ein alternatives Profil für die Durchführung des Scans an |
--quick (-Q) | Führt einen schnellen Scan durch (Standard: wartet nicht auf Benutzereingaben) |
--quiet (-q) | Führt einen leisen Scan durch und zeigt nichts auf dem Bildschirm an
|
--Berichtsdatei <Datei> | Geben Sie einen alternativen Namen für die Berichtsdatei an |
--Umgekehrte Farben | Optimiert die Bildschirmausgabe für helle Hintergründe |
--tests TEST-IDs | Führt nur den/die spezifischen Test(s) aus
|
--tests-aus-Kategorie <Kategorie> | Es werden nur Tests ausgeführt, die zu der definierten Kategorie gehören
|
--tests-aus-der-gruppe <Gruppe> | Ähnlich wie --tests-from-category
|
--use-cwd | Ausführung aus dem aktuellen Arbeitsverzeichnis |
---upload | Daten auf den Lynis Enterprise-Server hochladen (Profiloption: upload=yes) |
--verbose | Zeigt mehr Details auf dem Bildschirm an, z. B. Komponenten, die nicht gefunden werden konnten
|
--wait | Wartet auf den Benutzer, um fortzufahren
|
--warnings-only | Ruhig ausführen, aber keine Warnungen anzeigen |
Rückgabewert
Wert | Beschreibung |
---|---|
0 | Programm wurde normal beendet |
1 | Fataler Fehler |
64 | Ein unbekannter Parameter wird verwendet oder ist unvollständig |
65 | Falsche Daten wurden gefunden |
66 | Datei oder Verzeichnis kann nicht geöffnet werden |
78 | Lynis hat 1 oder mehr Warnungen oder Konfigurationsfehler gefunden (mit error-on-warnings=yes) |
Konfiguration
Dateien
Anhang
Siehe auch
Dokumentation
Man-Page
- lynis
Links
Projekt
Weblinks