如何通过Lynis在Linux系统中全面评估内核层面的安全加固措施效果?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1155个文字,预计阅读时间需要5分钟。
Lynis对内核的检测不是默认开启的,使用--check-all将跳过大量sysctl和内核模块的检查。真正完成内核审查的是audit system命令——它会主动读取/proc/sys、/boot/config-$(uname -r)、/proc/config.gz,并调用lsmod和grep来检查CPU的安全特性(如nx、pae等)。如果仅执行lynis --check-all,fs.suid_dumpable和kernel.kptr_restrict这类关键项基本不会被评估。
实操建议:
- 始终使用
sudo lynis audit system,普通用户权限下无法读取/proc/sys和内核配置文件,会导致大量内核项标为[skipped] - 避免加
-Q(quiet 模式),它会隐藏“未检测到 kernel config file”这类关键提示,掩盖内核配置缺失问题 - 扫描前确认
/proc/config.gz存在(常见于 CentOS/RHEL),或/boot/config-$(uname -r)可读;否则 Lynis 将无法判断内核是否编译了CONFIG_SECURITY_YAMA等加固选项
看懂内核相关 warning 和 suggestion 的真实含义
Lynis 报告里带 kernel. 或 fs. 前缀的条目(如 kernel.yama.ptrace_scope)不是“建议”,而是明确的合规判定:值不匹配即算风险。
本文共计1155个文字,预计阅读时间需要5分钟。
Lynis对内核的检测不是默认开启的,使用--check-all将跳过大量sysctl和内核模块的检查。真正完成内核审查的是audit system命令——它会主动读取/proc/sys、/boot/config-$(uname -r)、/proc/config.gz,并调用lsmod和grep来检查CPU的安全特性(如nx、pae等)。如果仅执行lynis --check-all,fs.suid_dumpable和kernel.kptr_restrict这类关键项基本不会被评估。
实操建议:
- 始终使用
sudo lynis audit system,普通用户权限下无法读取/proc/sys和内核配置文件,会导致大量内核项标为[skipped] - 避免加
-Q(quiet 模式),它会隐藏“未检测到 kernel config file”这类关键提示,掩盖内核配置缺失问题 - 扫描前确认
/proc/config.gz存在(常见于 CentOS/RHEL),或/boot/config-$(uname -r)可读;否则 Lynis 将无法判断内核是否编译了CONFIG_SECURITY_YAMA等加固选项
看懂内核相关 warning 和 suggestion 的真实含义
Lynis 报告里带 kernel. 或 fs. 前缀的条目(如 kernel.yama.ptrace_scope)不是“建议”,而是明确的合规判定:值不匹配即算风险。