Linux系统需用第三方工具做安全扫描;lynis适合轻量本地审计,openvas须用Docker部署,nmap与nessus无法自动串联,扫描有效性取决于凭证、设置及feed更新。
Linux 系统本身不自带漏洞扫描能力,必须依赖第三方工具;直接运行 apt install openvas 或 yum install nessus 会失败或安装过时版本——正确路径是用官方源或容器化方式部署现代扫描器。
如何用 lynis 做轻量级本地安全审计
lynis 是最易上手的开源审计工具,不依赖网络服务,适合日常巡检。它不扫描远程漏洞,但能发现配置弱点、权限异常、未更新包等高危线索。
- Debian/Ubuntu:先加官方源
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F,再echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list,最后sudo apt update && sudo apt install lynis - RHEL/CentOS 8+:启用 EPEL 后用
sudo dnf install epel-release && sudo dnf install lynis;CentOS 7 需手动下载 RPM:wget https://downloads.cisofy.com/lynis/lynis-3.1.2-1.noarch.rpm && sudo rpm -Uvh lynis-*.rpm - 运行后关键看
[+] Security audit results下的Warnings和Suggestions,例如提示SSH server using weak cipher就要检查/etc/ssh/sshd_config中的Ciphers行
为什么 openvas(Greenbone)不能直接 apt install 安装
Debian/Ubuntu 官方仓库中的 openvas 包已废弃多年,实际是旧版 GVM 6 的残骸,无法连接现代 feed,启动即报错 gsad: failed to connect to manager。必须用 Greenbone 官方 Docker 镜像或从源码编译。
- 推荐方案:用
docker run -d -p 443:443 -p 9392:9392 -v gvm-data:/data --name gvm greenbone/community-edition启动容器,首次初始化需约 30 分钟同步 NVT 和 SCAP 数据 - 访问
https://localhost时浏览器可能报证书错误,这是自签名证书导致,可忽略并继续;默认账号密码为admin/admin,首次登录后强制修改 - 扫描任务中禁用
Scan only alive hosts选项,否则可能漏掉响应慢但真实存活的服务(如内网数据库)
nmap + nessus 联合使用的实际限制
nmap 只做端口和服务识别,nessus 才执行漏洞检测。两者不能自动串联,所谓“集成”只是人工导出 nmap -sV --script vuln 结果再导入 Nessus,且 --script vuln 实际调用的是 NSE 脚本库,覆盖范围远小于 Nessus 插件。
-
nmap -sS -p- --min-rate 5000 192.168.1.0/24可快速发现存活主机和开放端口,但若目标禁 ping 或过滤 SYN,-sn会误判离线 - Nessus 免费版(Home Feed)不支持 credentialed scan(带凭证的深度扫描),意味着无法检测 Linux 内核 CVE-2021-4034 这类需本地提权验证的漏洞
- 扫描前务必确认目标授权——未经许可对非自有系统运行
nmap -sV或 Nessus 可能触发 IDS 告警甚至法律风险
真正影响结果的不是工具选型,而是扫描上下文:是否启用凭证、是否允许 DoS 类检测、NVT feed 是否在 48 小时内更新。这些细节比“用哪个工具”更决定一次扫描是否有效。
