Nmap是网络发现与端口扫描工具,用于识别主机存活、开放端口和服务信息;Lynis是Linux/Unix系统审计工具,检查本地配置合规性并提供加固建议。
什么是Nmap和Lynis,它们在安全扫描中各起什么作用
Nmap 是一款开源的网络发现与端口扫描工具,擅长识别主机存活、开放端口、运行服务及操作系统类型。它不直接检测漏洞,但为后续深度评估提供基础资产画像。
Lynis 是面向Linux/Unix系统的审计与加固工具,专注本地系统配置检查:包括权限设置、日志策略、密码策略、防火墙状态、软件更新情况等,能输出风险等级(warning、suggestion、hardening)和修复建议。
两者互补:Nmap看“对外暴露面”,Lynis查“内部薄弱点”。一次完整安全扫描通常先用Nmap摸清目标范围和服务分布,再对关键主机运行Lynis做纵深检查。
快速上手:Nmap基础扫描命令与解读
安装后可直接使用,无需复杂配置:
- nmap -sn 192.168.1.0/24 —— 快速发现局域网内活跃主机(ping扫描)
- nmap -sV -p- 192.168.1.10 —— 全端口扫描并识别服务版本(-p- 表示1-65535所有端口)
- nmap -sC -sV -oN scan.log 192.168.1.10 —— 执行默认脚本(-sC)、识别服务(-sV),结果保存到文件
注意:扫描前确保获得授权;避免在生产环境高频全端口扫描;-sS(半开扫描)需root权限,普通用户可用-sT替代。
用Lynis做Linux系统安全基线检查
下载安装简单:
执行后会逐项检查,例如:
- 是否启用SSH密钥登录(而非密码)
- /tmp目录是否设置了noexec,nosuid挂载选项
- 是否有过期或空密码账户(/etc/shadow中密码字段为!或*)
- 日志轮转是否启用、syslog/rsyslog是否运行
关键输出在最后的“Suggestions”和“Hardening index”部分,重点关注标为[warning]的项,优先处理高危配置偏差。
扫描后该怎么做:从报告到防护落地
拿到Nmap+Lynis结果不是终点,而是加固起点:
- 根据Nmap结果关闭非必要端口,用ufw或firewalld限制访问源(如仅允许运维IP连SSH)
- 按Lynis建议修改/etc/ssh/sshd_config:禁用Protocol 1、设置MaxAuthTries 3、启用LoginGraceTime 60
- 定期运行sudo lynis audit system --quick做轻量巡检,加入cron每周执行一次
- 将Lynis输出重定向至JSON(--json-report)便于集成进CI/CD或安全运营平台
不复杂但容易忽略:扫描结果要有人跟进,否则只是生成一堆未读日志。
