|
|
| Zeile 66: |
Zeile 66: |
|
| |
|
| Um ein Hilfsprogramm zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus | | Um ein Hilfsprogramm zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus |
|
| |
| == Aufruf ==
| |
| '''# lynis [scan mode] [other options]'''
| |
|
| |
| === Optionen ===
| |
| Mehrere Parameter sind erlaubt, wobei einige Parameter nur zusammen mit anderen verwendet werden können
| |
| * Wenn Lynis ohne Parameter läuft, wird die Hilfe angezeigt und das Programm wird beendet
| |
|
| |
| {| class="wikitable sortable options"
| |
| |-
| |
| ! Option !! Beschreibung
| |
| |-
| |
| | --auditor <Name> || Definieren Sie den Namen des Prüfers/Pentesters
| |
| * Wenn ein vollständiger Name verwendet wird, fügen Sie doppelte Anführungszeichen hinzu, z. B. "Ihr Name"
| |
| |-
| |
| | --cronjob || Führt eine automatische Prüfung mit sicheren Cron-Optionen durch (keine Farben, keine Fragen, keine Pausen)
| |
| |-
| |
| | --debug || Anzeige von Debug-Informationen auf dem Bildschirm zur Fehlersuche
| |
| |-
| |
| | --developer || Zeigt detaillierte Informationen an, die für Entwickler bei der Erstellung von Tests nützlich sind
| |
| |-
| |
| | --forensics || Führt die Prüfung auf einem laufenden oder gemounteten System durch (siehe --rootdir)
| |
| |-
| |
| | --help ||Zeigt die verfügbaren Befehle und die am häufigsten verwendeten Optionen an
| |
| |-
| |
| | --logfile </path/to/logfile> || Legt den Ort und den Namen der Protokolldatei fest, anstelle der Standarddatei /var/log/lynis.log
| |
| |-
| |
| | --man || Zeigt die Manpage an
| |
| * Nützlich für Systeme, auf denen die Man-Page nicht installiert ist
| |
| |-
| |
| | --no-colors || Deaktiviert farbige Ausgaben
| |
| |-
| |
| | --no-log || Leitet alle Logging-Informationen nach /dev/null um und verhindert, dass sensible Informationen auf die Festplatte geschrieben werden
| |
| |-
| |
| | --no-plugins || Keines der aktivierten Plugins ausführen
| |
| |-
| |
| | ---pentest || Führt einen unprivilegierten Scan aus, der normalerweise für Penetrationstests verwendet wird
| |
| * Einige der Tests werden übersprungen, wenn sie Root-Rechte erfordern
| |
| |-
| |
| | --plugin-dir </path/to/plugins> || Definiert den Ort, an dem Plugins gefunden werden können
| |
| |-
| |
| | --profile <Datei> || Geben Sie ein alternatives Profil für die Durchführung des Scans an
| |
| |-
| |
| | --quick (-Q) || Führt einen schnellen Scan durch (Standard: wartet nicht auf Benutzereingaben)
| |
| |-
| |
| | --quiet (-q) || Führt einen leisen Scan durch und zeigt nichts auf dem Bildschirm an
| |
| * Aktiviert auch den Schnellmodus
| |
| |-
| |
| | --Berichtsdatei <Datei> || Geben Sie einen alternativen Namen für die Berichtsdatei an
| |
| |-
| |
| | --Umgekehrte Farben || Optimiert die Bildschirmausgabe für helle Hintergründe
| |
| |-
| |
| | --tests TEST-IDs || Führt nur den/die spezifischen Test(s) aus
| |
| * Wenn Sie mehrere Tests verwenden, fügen Sie Anführungszeichen um die Zeile hinzu
| |
| |-
| |
| | --tests-aus-Kategorie <Kategorie> || Es werden nur Tests ausgeführt, die zu der definierten Kategorie gehören
| |
| * Verwenden Sie den Befehl 'show categories', um alle gültigen Kategorien zu ermitteln
| |
| |-
| |
| | --tests-aus-der-gruppe <Gruppe> || Ähnlich wie --tests-from-category
| |
| * Führt nur Tests aus einer bestimmten Gruppe durch
| |
| * Verwenden Sie 'show groups', um gültige Optionen zu ermitteln
| |
| |-
| |
| | --use-cwd || Ausführung aus dem aktuellen Arbeitsverzeichnis
| |
| |-
| |
| | ---upload || Daten auf den Lynis Enterprise-Server hochladen (Profiloption: upload=yes)
| |
| |-
| |
| | --verbose || Zeigt mehr Details auf dem Bildschirm an, z. B. Komponenten, die nicht gefunden werden konnten
| |
| * Diese Details sind standardmäßig ausgeblendet
| |
| |-
| |
| | --wait || Wartet auf den Benutzer, um fortzufahren
| |
| * Dies fügt eine Pause nach jedem Abschnitt ein (im Gegensatz zu --quick)
| |
| |-
| |
| | --warnings-only || Ruhig ausführen, aber keine Warnungen anzeigen
| |
| |}
| |
|
| |
| === Parameter ===
| |
| === Umgebung ===
| |
| === Rückgabewert ===
| |
| {| class="wikitable col1right options"
| |
| |-
| |
| ! Wert !! Beschreibung
| |
| |-
| |
| | 0 || Programm wurde normal beendet
| |
| |-
| |
| | 1 || Fataler Fehler
| |
| |-
| |
| | 64 || Ein unbekannter Parameter wird verwendet oder ist unvollständig
| |
| |-
| |
| | 65 || Falsche Daten wurden gefunden
| |
| |-
| |
| | 66 || Datei oder Verzeichnis kann nicht geöffnet werden
| |
| |-
| |
| | 78 || Lynis hat 1 oder mehr Warnungen oder Konfigurationsfehler gefunden (mit error-on-warnings=yes)
| |
| |}
| |
|
| |
|
| == Konfiguration == | | == Konfiguration == |
lynis - System- und Sicherheitsüberwachungsprogramm
Beschreibung
Lynis ist ein Sicherheitsüberprüfungswerkzeug für Linux, macOS und andere Systeme, die auf UNIX basieren
- Das Tool prüft das System und die Softwarekonfiguration, um zu sehen, ob es Raum für die Verbesserung der Sicherheitsabwehr gibt
- Alle Details werden in einer Protokolldatei gespeichert
- Die Ergebnisse und andere ermittelte Daten werden in einer Berichtsdatei gespeichert
- Damit lassen sich Unterschiede zwischen verschiedenen Audits vergleichen
- Lynis kann interaktiv oder als Cronjob ausgeführt werden
- Root-Rechte (z. B. sudo) sind nicht erforderlich, liefern aber mehr Details während der Prüfung
- pro Session werden mehrere Einzeltests durchführt
- das ausgewählte Programm oder das System auf Sicherheitslücken checkt und Vorschläge zur Schließung dieser Lücken in einem Testbericht liefert
- Konfigurationsdateien, Firewall-Regeln, abgelaufene SSL-Zertifikate, Benutzeraccounts ohne Passwort,
Die folgenden Systembereiche können überprüft werden
- Bootloader-Dateien
- Konfigurationsdateien
- Software-Pakete
- Verzeichnisse und Dateien für die Protokollierung und Überwachung
- Lizenz
Lynis ist unter der GPLv3 lizenziert
- Das Tool wurde von Michael Boelen im Jahr 2007 entwickelt
- Seit 2013 wird die Entwicklung von CISOfy unter der Leitung von Michael Boelen übernommen
- Plugins können eine andere Lizenz haben
Anwendung
System untersuchen
# lynis audit system
Kommandos
| audit <Typ> |
Prüfung des ausgewählten Typs durchführen
|
| upload-only |
Berichtsdatendatei hochladen
|
Siehe Abschnitt Hilfsprogramme für weitere Befehle
Überprüfungsarten
- System prüfen
Führt eine Systemprüfung durch, die am häufigsten vorkommende Prüfung
# audit system remote <host>
Bietet Befehle zur Durchführung einer Fernprüfung
- Weitere Scan-Modi finden Sie in den Hilfsprogrammen
Hilfsprogramme
Lynis hat spezielle Hilfsprogramme, um bestimmte Aufgaben zu erledigen
- Auf diese Weise wird der Rahmen von Lynis genutzt, während gleichzeitig der größte Teil der Funktionalität in einer separaten Datei gespeichert wird
- Dies beschleunigt die Ausführung und hält den Code sauber
| audit |
Führen Sie audit auf dem System oder auf anderen Zielen aus
|
| Konfigurieren <Parameter> |
Einstellungen in der Konfigurationsdatei ändern oder hinzufügen
|
| generieren <Parameter> |
Spezifische Details wie Host-IDs generieren
|
| anzeigen <Parameter> |
Informationen anzeigen, z. B. Konfiguration und Pfade
|
| aktualisieren <Parameter> |
Aktivitäten zur Aktualisierung durchführen
|
Um ein Hilfsprogramm zu verwenden, führen Sie 'lynis' gefolgt von dem Namen des Hilfsmittels aus
Konfiguration
Dateien
Anhang
Siehe auch
Dokumentation
- https://cisofy.com/support/
Man-Page
- lynis
Links
Projekt
Weblinks