Linux安全扫描项目教程_NmapLynis漏洞检测与防护实践

Nmap是网络发现与端口扫描工具，用于识别主机存活、开放端口和服务信息；Lynis是Linux/Unix系统审计工具，检查本地配置合规性并提供加固建议。

什么是Nmap和Lynis，它们在安全扫描中各起什么作用

Nmap 是一款开源的网络发现与端口扫描工具，擅长识别主机存活、开放端口、运行服务及操作系统类型。它不直接检测漏洞，但为后续深度评估提供基础资产画像。

Lynis 是面向Linux/Unix系统的审计与加固工具，专注本地系统配置检查：包括权限设置、日志策略、密码策略、防火墙状态、软件更新情况等，能输出风险等级（warning、suggestion、hardening）和修复建议。

两者互补：Nmap看“对外暴露面”，Lynis查“内部薄弱点”。一次完整安全扫描通常先用Nmap摸清目标范围和服务分布，再对关键主机运行Lynis做纵深检查。

快速上手：Nmap基础扫描命令与解读

安装后可直接使用，无需复杂配置：

• nmap -sn 192.168.1.0/24 —— 快速发现局域网内活跃主机（ping扫描）
• nmap -sV -p- 192.168.1.10 —— 全端口扫描并识别服务版本（-p- 表示1-65535所有端口）
• nmap -sC -sV -oN scan.log 192.168.1.10 —— 执行默认脚本（-sC）、识别服务（-sV），结果保存到文件

注意：扫描前确保获得授权；避免在生产环境高频全端口扫描；-sS（半开扫描）需root权限，普通用户可用-sT替代。

用Lynis做Linux系统安全基线检查

下载安装简单：

• git clone https://github.com/CISOfy/lynis && cd lynis
• sudo ./lynis audit system

执行后会逐项检查，例如：

• 是否启用SSH密钥登录（而非密码）
• /tmp目录是否设置了noexec,nosuid挂载选项
• 是否有过期或空密码账户（/etc/shadow中密码字段为!或*）
• 日志轮转是否启用、syslog/rsyslog是否运行

关键输出在最后的“Suggestions”和“Hardening index”部分，重点关注标为[warning]的项，优先处理高危配置偏差。

扫描后该怎么做：从报告到防护落地

拿到Nmap+Lynis结果不是终点，而是加固起点：

• 根据Nmap结果关闭非必要端口，用ufw或firewalld限制访问源（如仅允许运维IP连SSH）
• 按Lynis建议修改/etc/ssh/sshd_config：禁用Protocol 1、设置MaxAuthTries 3、启用LoginGraceTime 60
• 定期运行sudo lynis audit system --quick做轻量巡检，加入cron每周执行一次
• 将Lynis输出重定向至JSON（--json-report）便于集成进CI/CD或安全运营平台

不复杂但容易忽略：扫描结果要有人跟进，否则只是生成一堆未读日志。