Lynis: Unterschied zwischen den Versionen
K Textersetzung - „== Syntax ==“ durch „== Aufruf ==“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''lynis''' - System- und Sicherheitsüberwachungsprogramm | '''lynis''' - System- und Sicherheitsüberwachungsprogramm | ||
== Beschreibung == | == Beschreibung == | ||
Lynis ist ein Sicherheitsüberprüfungswerkzeug für Linux, macOS und andere Systeme, die auf UNIX basieren | Lynis ist ein Sicherheitsüberprüfungswerkzeug für Linux, macOS und andere Systeme, die auf UNIX basieren | ||
* Das Tool prüft das System und die Softwarekonfiguration, um zu sehen, ob es Raum für die Verbesserung der Sicherheitsabwehr gibt | |||
* Alle Details werden in einer Protokolldatei gespeichert | |||
* Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert | |||
* Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen | |||
* Lynis kann interaktiv oder als Cronjob ausgeführt werden | |||
* Root-Rechte (z. B. sudo) sind nicht erforderlich, liefern aber mehr Details während der Prüfung | |||
* pro Session werden mehrere Einzeltests durchführt | * pro Session werden mehrere Einzeltests durchführt | ||
* das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert | * das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert | ||
** Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort, | ** Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort, | ||
Die folgenden Systembereiche können überprüft werden | Die folgenden Systembereiche können überprüft werden | ||
* Bootloader-Dateien | * Bootloader-Dateien | ||
* Konfigurationsdateien | * Konfigurationsdateien | ||
| Zeile 16: | Zeile 21: | ||
; LIZENZIERUNG | ; LIZENZIERUNG | ||
Lynis ist unter der GPLv3 lizenziert | Lynis ist unter der GPLv3 lizenziert | ||
* Das Tool wurde von Michael Boelen im Jahr 2007 entwickelt | |||
* Seit 2013 wird die Entwicklung von CISOfy unter der Leitung von Michael Boelen übernommen | |||
* Plugins können eine andere Lizenz haben | |||
== Installation == | == Installation == | ||
* Lynis ist direkt aus Linux Repositories installierbar oder über .tar-Paket und mitgeliefertem Shell-Skript | * Lynis ist direkt aus Linux Repositories installierbar oder über .tar-Paket und mitgeliefertem Shell-Skript | ||
** [https://packages.cisofy.com/community/ Installationsanleitung für unterschiedliche Linux-Distributionen] | ** [https://packages.cisofy.com/community/ Installationsanleitung für unterschiedliche Linux-Distributionen] | ||
| Zeile 26: | Zeile 34: | ||
=== Optionen === | === Optionen === | ||
Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können | Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können | ||
* Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet | |||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
| Zeile 32: | Zeile 41: | ||
! Option !! Beschreibung | ! Option !! Beschreibung | ||
|- | |- | ||
| --auditor <Name> || Definieren Sie den Namen des Prüfers/Pentesters | | --auditor <Name> || Definieren Sie den Namen des Prüfers/Pentesters | ||
* Wenn ein vollständiger Name verwendet wird, fügen Sie doppelte Anführungszeichen hinzu, z. B. "Ihr Name" | |||
|- | |- | ||
| --cronjob || Führt eine automatische Prüfung mit sicheren Cron-Optionen durch (keine Farben, keine Fragen, keine Pausen) | | --cronjob || Führt eine automatische Prüfung mit sicheren Cron-Optionen durch (keine Farben, keine Fragen, keine Pausen) | ||
|- | |- | ||
| --debug || Anzeige von Debug-Informationen auf dem Bildschirm zur Fehlersuche | | --debug || Anzeige von Debug-Informationen auf dem Bildschirm zur Fehlersuche | ||
|- | |- | ||
| --developer || Zeigt detaillierte Informationen an, die für Entwickler bei der Erstellung von Tests nützlich sind | | --developer || Zeigt detaillierte Informationen an, die für Entwickler bei der Erstellung von Tests nützlich sind | ||
|- | |- | ||
| --forensics || Führt die Prüfung auf einem laufenden oder gemounteten System durch (siehe --rootdir) | | --forensics || Führt die Prüfung auf einem laufenden oder gemounteten System durch (siehe --rootdir) | ||
|- | |- | ||
| --help ||Zeigt die verfügbaren Befehle und die am häufigsten verwendeten Optionen an | | --help ||Zeigt die verfügbaren Befehle und die am häufigsten verwendeten Optionen an | ||
|- | |- | ||
| --logfile </path/to/logfile> || Legt den Ort und den Namen der Protokolldatei fest, anstelle der Standarddatei /var/log/lynis.log | | --logfile </path/to/logfile> || Legt den Ort und den Namen der Protokolldatei fest, anstelle der Standarddatei /var/log/lynis.log | ||
|- | |- | ||
| --man || Zeigt die Manpage an | | --man || Zeigt die Manpage an | ||
* Nützlich für Systeme, auf denen die Man-Page nicht installiert ist | |||
|- | |- | ||
| --no-colors || Deaktiviert farbige Ausgaben | | --no-colors || Deaktiviert farbige Ausgaben | ||
|- | |- | ||
| --no-log || Leitet alle Logging-Informationen nach /dev/null um und verhindert, dass sensible Informationen auf die Festplatte geschrieben werden | | --no-log || Leitet alle Logging-Informationen nach /dev/null um und verhindert, dass sensible Informationen auf die Festplatte geschrieben werden | ||
|- | |- | ||
| --no-plugins || Keines der aktivierten Plugins ausführen | | --no-plugins || Keines der aktivierten Plugins ausführen | ||
|- | |- | ||
| ---pentest || Führt einen unprivilegierten Scan aus, der normalerweise für Penetrationstests verwendet wird | | ---pentest || Führt einen unprivilegierten Scan aus, der normalerweise für Penetrationstests verwendet wird | ||
* Einige der Tests werden übersprungen, wenn sie Root-Rechte erfordern | |||
|- | |- | ||
| --plugin-dir </path/to/plugins> || Definiert den Ort, an dem Plugins gefunden werden können | | --plugin-dir </path/to/plugins> || Definiert den Ort, an dem Plugins gefunden werden können | ||
|- | |- | ||
| --profile <Datei> || Geben Sie ein alternatives Profil für die Durchführung des Scans an | | --profile <Datei> || Geben Sie ein alternatives Profil für die Durchführung des Scans an | ||
|- | |- | ||
| --quick (-Q) || Führt einen schnellen Scan durch (Standard: wartet nicht auf Benutzereingaben) | | --quick (-Q) || Führt einen schnellen Scan durch (Standard: wartet nicht auf Benutzereingaben) | ||
|- | |- | ||
| --quiet (-q) || Führt einen leisen Scan durch und zeigt nichts auf dem Bildschirm an | | --quiet (-q) || Führt einen leisen Scan durch und zeigt nichts auf dem Bildschirm an | ||
* Aktiviert auch den Schnellmodus | |||
|- | |- | ||
| --Berichtsdatei <Datei> || Geben Sie einen alternativen Namen für die Berichtsdatei an | | --Berichtsdatei <Datei> || Geben Sie einen alternativen Namen für die Berichtsdatei an | ||
|- | |- | ||
| --Umgekehrte Farben || Optimiert die Bildschirmausgabe für helle Hintergründe | | --Umgekehrte Farben || Optimiert die Bildschirmausgabe für helle Hintergründe | ||
|- | |- | ||
| --tests TEST-IDs || Führt nur den/die spezifischen Test(s) aus | | --tests TEST-IDs || Führt nur den/die spezifischen Test(s) aus | ||
* Wenn Sie mehrere Tests verwenden, fügen Sie Anführungszeichen um die Zeile hinzu | |||
|- | |- | ||
| --tests-aus-Kategorie <Kategorie> || Es werden nur Tests ausgeführt, die zu der definierten Kategorie gehören | | --tests-aus-Kategorie <Kategorie> || Es werden nur Tests ausgeführt, die zu der definierten Kategorie gehören | ||
* Verwenden Sie den Befehl 'show categories', um alle gültigen Kategorien zu ermitteln | |||
|- | |- | ||
| --tests-aus-der-gruppe <Gruppe> || Ähnlich wie --tests-from-category | | --tests-aus-der-gruppe <Gruppe> || Ähnlich wie --tests-from-category | ||
* Führt nur Tests aus einer bestimmten Gruppe durch | |||
* Verwenden Sie 'show groups', um gültige Optionen zu ermitteln | |||
|- | |- | ||
| --use-cwd || Ausführung aus dem aktuellen Arbeitsverzeichnis | | --use-cwd || Ausführung aus dem aktuellen Arbeitsverzeichnis | ||
|- | |- | ||
| ---upload || Daten auf den Lynis Enterprise-Server hochladen (Profiloption: upload=yes) | | ---upload || Daten auf den Lynis Enterprise-Server hochladen (Profiloption: upload=yes) | ||
|- | |- | ||
| --verbose || Zeigt mehr Details auf dem Bildschirm an, z. B. Komponenten, die nicht gefunden werden konnten | | --verbose || Zeigt mehr Details auf dem Bildschirm an, z. B. Komponenten, die nicht gefunden werden konnten | ||
* Diese Details sind standardmäßig ausgeblendet | |||
|- | |- | ||
| --wait || Wartet auf den Benutzer, um fortzufahren | | --wait || Wartet auf den Benutzer, um fortzufahren | ||
* Dies fügt eine Pause nach jedem Abschnitt ein (im Gegensatz zu --quick) | |||
|- | |- | ||
| --warnings-only || Ruhig ausführen, aber keine Warnungen anzeigen | | --warnings-only || Ruhig ausführen, aber keine Warnungen anzeigen | ||
|} | |} | ||
| Zeile 92: | Zeile 111: | ||
! Option !! Beschreibung | ! Option !! Beschreibung | ||
|- | |- | ||
| | | 0 || Programm wurde normal beendet | ||
|- | |- | ||
| | | 1 || Fataler Fehler | ||
|- | |- | ||
| 64 || Ein unbekannter Parameter wird verwendet oder ist unvollständig | | 64 || Ein unbekannter Parameter wird verwendet oder ist unvollständig | ||
| Zeile 115: | Zeile 134: | ||
nur hochladen | nur hochladen | ||
Laden Sie die verfügbare Berichtsdatendatei hoch | Laden Sie die verfügbare Berichtsdatendatei hoch | ||
Siehe Abschnitt HELPERS für weitere Befehle | Siehe Abschnitt HELPERS für weitere Befehle | ||
=== Überprüfungsarten === | === Überprüfungsarten === | ||
| Zeile 128: | Zeile 147: | ||
=== Hilfsmittel === | === Hilfsmittel === | ||
Lynis hat spezielle Hilfsprogramme, um bestimmte Aufgaben zu erledigen | Lynis hat spezielle Hilfsprogramme, um bestimmte Aufgaben zu erledigen | ||
* Auf diese Weise wird der Rahmen von Lynis genutzt, während gleichzeitig der größte Teil der Funktionalität in einer separaten Datei gespeichert wird | |||
* Dies beschleunigt die Ausführung und hält den Code sauber | |||
audit Führen Sie audit auf dem System oder auf anderen Zielen aus | audit Führen Sie audit auf dem System oder auf anderen Zielen aus | ||
| Zeile 144: | Zeile 165: | ||
Aktivitäten zur Aktualisierung durchführen | Aktivitäten zur Aktualisierung durchführen | ||
Um ein Hilfsmittel zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus | Um ein Hilfsmittel zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus | ||
== Konfiguration == | == Konfiguration == | ||
| Zeile 162: | Zeile 183: | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
<noinclude> | <noinclude> | ||
{{DISPLAYTITLE:lynis}} | |||
[[Kategorie:Linux/Befehl]] | [[Kategorie:Linux/Befehl]] | ||
Version vom 18. Dezember 2024, 12:28 Uhr
lynis - System- und Sicherheitsüberwachungsprogramm
Beschreibung
Lynis ist ein Sicherheitsüberprüfungswerkzeug für Linux, macOS und andere Systeme, die auf UNIX basieren
- Das Tool prüft das System und die Softwarekonfiguration, um zu sehen, ob es Raum für die Verbesserung der Sicherheitsabwehr gibt
- Alle Details werden in einer Protokolldatei gespeichert
- Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert
- Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen
- Lynis kann interaktiv oder als Cronjob ausgeführt werden
- Root-Rechte (z. B. sudo) sind nicht erforderlich, liefern aber mehr Details während der Prüfung
- pro Session werden mehrere Einzeltests durchführt
- das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert
- Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort,
Die folgenden Systembereiche können überprüft werden
- Bootloader-Dateien
- Konfigurationsdateien
- Software-Pakete
- Verzeichnisse und Dateien für die Protokollierung und Überwachung
- LIZENZIERUNG
Lynis ist unter der GPLv3 lizenziert
- Das Tool wurde von Michael Boelen im Jahr 2007 entwickelt
- Seit 2013 wird die Entwicklung von CISOfy unter der Leitung von Michael Boelen übernommen
- Plugins können eine andere Lizenz haben
Installation
- Lynis ist direkt aus Linux Repositories installierbar oder über .tar-Paket und mitgeliefertem Shell-Skript
Aufruf
# lynis [scan mode] [other options]
Optionen
Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können
- Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet
| Option | Beschreibung |
|---|---|
| --auditor <Name> | Definieren Sie den Namen des Prüfers/Pentesters
|
| --cronjob | Führt eine automatische Prüfung mit sicheren Cron-Optionen durch (keine Farben, keine Fragen, keine Pausen) |
| --debug | Anzeige von Debug-Informationen auf dem Bildschirm zur Fehlersuche |
| --developer | Zeigt detaillierte Informationen an, die für Entwickler bei der Erstellung von Tests nützlich sind |
| --forensics | Führt die Prüfung auf einem laufenden oder gemounteten System durch (siehe --rootdir) |
| --help | Zeigt die verfügbaren Befehle und die am häufigsten verwendeten Optionen an |
| --logfile </path/to/logfile> | Legt den Ort und den Namen der Protokolldatei fest, anstelle der Standarddatei /var/log/lynis.log |
| --man | Zeigt die Manpage an
|
| --no-colors | Deaktiviert farbige Ausgaben |
| --no-log | Leitet alle Logging-Informationen nach /dev/null um und verhindert, dass sensible Informationen auf die Festplatte geschrieben werden |
| --no-plugins | Keines der aktivierten Plugins ausführen |
| ---pentest | Führt einen unprivilegierten Scan aus, der normalerweise für Penetrationstests verwendet wird
|
| --plugin-dir </path/to/plugins> | Definiert den Ort, an dem Plugins gefunden werden können |
| --profile <Datei> | Geben Sie ein alternatives Profil für die Durchführung des Scans an |
| --quick (-Q) | Führt einen schnellen Scan durch (Standard: wartet nicht auf Benutzereingaben) |
| --quiet (-q) | Führt einen leisen Scan durch und zeigt nichts auf dem Bildschirm an
|
| --Berichtsdatei <Datei> | Geben Sie einen alternativen Namen für die Berichtsdatei an |
| --Umgekehrte Farben | Optimiert die Bildschirmausgabe für helle Hintergründe |
| --tests TEST-IDs | Führt nur den/die spezifischen Test(s) aus
|
| --tests-aus-Kategorie <Kategorie> | Es werden nur Tests ausgeführt, die zu der definierten Kategorie gehören
|
| --tests-aus-der-gruppe <Gruppe> | Ähnlich wie --tests-from-category
|
| --use-cwd | Ausführung aus dem aktuellen Arbeitsverzeichnis |
| ---upload | Daten auf den Lynis Enterprise-Server hochladen (Profiloption: upload=yes) |
| --verbose | Zeigt mehr Details auf dem Bildschirm an, z. B. Komponenten, die nicht gefunden werden konnten
|
| --wait | Wartet auf den Benutzer, um fortzufahren
|
| --warnings-only | Ruhig ausführen, aber keine Warnungen anzeigen |
Parameter
Umgebung
Rückgabewert
| Option | Beschreibung |
|---|---|
| 0 | Programm wurde normal beendet |
| 1 | Fataler Fehler |
| 64 | Ein unbekannter Parameter wird verwendet oder ist unvollständig |
| 65 | Falsche Daten wurden gefunden |
| 66 | Datei oder Verzeichnis kann nicht geöffnet werden |
| 78 | Lynis hat 1 oder mehr Warnungen oder Konfigurationsfehler gefunden (mit error-on-warnings=yes) |
Anwendung
System untersuchen
# lynis audit system
Kommandos
audit <Typ>
Führt eine Prüfung des ausgewählten Typs durch
nur hochladen
Laden Sie die verfügbare Berichtsdatendatei hoch
Siehe Abschnitt HELPERS für weitere Befehle
Überprüfungsarten
- System prüfen
Führt eine Systemprüfung durch, die am häufigsten vorkommende Prüfung
# audit system remote <host>
Bietet Befehle zur Durchführung einer Fernprüfung
- Weitere Scan-Modi finden Sie in den Hilfsprogrammen
Hilfsmittel
Lynis hat spezielle Hilfsprogramme, um bestimmte Aufgaben zu erledigen
- Auf diese Weise wird der Rahmen von Lynis genutzt, während gleichzeitig der größte Teil der Funktionalität in einer separaten Datei gespeichert wird
- Dies beschleunigt die Ausführung und hält den Code sauber
audit Führen Sie audit auf dem System oder auf anderen Zielen aus
Konfigurieren <Parameter> Einstellungen in der Konfigurationsdatei ändern oder hinzufügen
generieren <Parameter> Spezifische Details wie Host-IDs generieren
anzeigen <Parameter> Informationen anzeigen, z. B. Konfiguration und Pfade
aktualisieren <Parameter> Aktivitäten zur Aktualisierung durchführen
Um ein Hilfsmittel zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus
Konfiguration
Dateien
Anhang
Siehe auch
Dokumentation
Man-Page
- lynis
Links
Projekt
Weblinks