Linux安全扫描需结合Nmap(网络层探测)与Lynis(本地配置审计),扫描后须验证、修复、复测,并建立基线机制实现持续防护。
Linux系统安全扫描不是“扫完就完”,关键在于理解扫描结果、定位真实风险并采取对应防护措施。Nmap和Lynis是两类互补工具:Nmap侧重网络层探测(开放端口、服务版本、主机发现),Lynis聚焦系统本地配置审计(权限、日志、更新、密码策略等)。二者结合,才能覆盖“对外暴露面”和“内部薄弱点”。
用Nmap识别暴露面:从发现到服务指纹
Nmap不是暴力扫描器,而是结构化探测工具。初学者应避免全端口扫描(-p-)或默认脚本乱打,先明确目标范围与目的。
-
基础发现:用
nmap -sn 192.168.1.0/24快速列出活跃主机,不发任何端口探测包,适合内网初筛。 -
常用端口+服务识别:执行
nmap -sV -T4 192.168.1.10,-sV启用版本检测,-T4平衡速度与隐蔽性;重点看输出中“open”状态的服务名与版本号(如ssh/openssh 8.2p1),这是漏洞利用的直接线索。 -
规避简单IDS检测:加
-f(分片)、--data-length 16(填充随机数据)可降低被规则匹配概率,但不保证绕过高级WAF或HIDS。
用Lynis做深度合规检查:不只是报错,要懂含义
Lynis不是漏洞扫描器,而是安全审计框架。它不主动利用漏洞,而是比对系统配置与安全最佳实践(如CIS、DISA STIG),输出建议项(warnings)、需关注项(suggestions)和加固项(hardening tips)。
-
最小化运行:下载官方源码后执行
sudo ./lynis audit system即可启动;无需安装,不写入系统文件,适合生产环境临时审计。 -
重点关注高风险项:扫描结束后查看“Warnings”和“Suggestions”部分。例如:
[WARN] SSH root login allowed意味着SSH允许root直接登录,应禁用;[SUGG] Password field in /etc/shadow is empty for user 'test'说明存在无密码账户,必须删除或设密。 -
别忽略“Hardening”建议:如
Enable kernel module loading restrictions(限制内核模块加载)或Configure logrotate for /var/log/audit/(配置审计日志轮转),这些是纵深防御的关键细节。
扫描后必须做的三件事:验证、修复、复测
扫描只是起点。未验证的告警可能是误报,未修复的漏洞等于没发现,不复测则无法确认加固是否生效。
-
人工验证关键项:Nmap报
http/apache 2.2.15,查CVE数据库确认是否存在已知RCE;Lynis报World-writable file found: /tmp/test.sh,手动ls -l /tmp/test.sh确认权限并判断是否为业务必需。 - 按优先级修复:优先处理“远程可利用+高危”(如SSH弱密钥、Web服务未授权访问)、“本地提权隐患”(如SUID程序异常、cron任务权限宽松)。
- 闭环验证:修复后重新运行对应检查——Nmap确认端口关闭或服务升级;Lynis再次运行,确认原警告消失且无新增高风险项。
日常防护建议:让扫描真正有用
安全不是一次性的动作。把扫描融入运维节奏,才能持续收敛风险。
- 建立基线扫描机制:每周用Lynis对所有服务器跑一次,保存报告并对比历史差异;每月用Nmap对DMZ区主机做一次服务端口快照。
-
禁止明文凭证与默认配置:Lynis常报
Default credentials used,根源在部署时未改默认密码(如MySQL root空口令、Tomcat manager页面默认账号),应在初始化阶段强制修改。 -
日志与告警联动:将Lynis的WARNING级别输出接入ELK或Prometheus Alertmanager,当出现
Unattended upgrades disabled或Auditd not running时自动通知负责人。
