筆者不愛每種事情都自幹自動化, 如果網路上有現成的自動化工具, 那就直接使用囉. 或者是引用其相關的報告再做額外的加工處理 就又變成一個新的工具

開放原始碼安全性檢測工具:

• Linux: lynis
  Lynis 是一個適用於 UNIX/Linux 系統的開放原始碼安全性檢測工具，它可以掃描系統上的基本資訊、安全性相關問題、軟體列表、設定檔錯誤、沒設定密碼的使用者帳號、錯誤的檔案權限、防火牆設定等等。

引用自lynis介紹

Lynis 提供的主要功能如下：

• 法規遵循測試
• 稽核自動化
• 漏洞檢測
• 滲透測試
• 提供改善建議

企業版支援進階管理能力 (需付費)

支援的作業系統如下:

• AIX
• CentOS
• Debian
• FreeBSD
• macOS
• Red Hat (RHEL)
• Ubuntu
• Solaris

官網中有說明可以支援幾種法規稽核的自動化檢測

• GDPR
• ISO27001
• ISO27002
• PCI DSS

好處: 可以降低人工稽查的難度及加速稽核的速度
缺點: 目前不支援 Windows

1. 安裝lynis

懶人版

apt install -y lynis

聰明人作法

git clone https://github.com/CISOfy/lynis

2. 執行

• 使用apt install

lynis audit system

• 使用git clone 後的執行方式

cd lynis
chmod a+x lynis
./lynis audit system

3. 查看安全稽核分數的結果
   
4. 檢查報告會被存放在/var/log
   
5. 快速查看報告中的警告及建議訊息

cat /var/log/lynis.log |grep -e 'Warning' -e 'Suggestion'

PS: 前者是需要注意的資訊/ 後者是建議的資訊

6. 查看特定項目

lynis show details [item name]

遠端機器安全性自動檢查

lynis audit system remote IP

• 遠端主機需要啟用SSH port
• 遠端檢查的原理就是把程式透過SSH協定傳送到對方主機去執行自動檢查

使用Linux 指令去做篩選這行為真的很傷眼睛, 事實上也可以使用不同的文字編輯器裏頭的keyword高亮度顯示的filter來把想看的東西過濾出來 或者使用 報表匯出工具 自動整理並匯出也是一個不錯的選擇

結論:
筆者的同事一直詢問是否有Winodws + Linux 安全性自動檢查工具可以使用. 其實筆者也不知道有沒有? 但 ... 真的想要就自己做一套整合性測試工具出來玩也是不錯的點子

參考資料:

• Lynis報告轉換工具
• Lynis - Github