Nmap 是网络发现与端口扫描工具,用于识别主机存活、开放端口和服务信息;Lynis 是 Linux/Unix 系统审计工具,检查本地配置合规性并提供加固建议。
什么是 Nmap 和 Lynis,它们在安全扫描中各起什么作用
Nmap 是一款开源的网络发现与 端口 扫描 工具 ,擅长识别主机存活、开放端口、运行服务及 操作系统 类型。它不直接检测漏洞,但为后续深度评估提供基础资产画像。
Lynis 是面向 Linux/Unix 系统的审计与加固工具,专注本地系统配置检查:包括权限设置、日志策略、密码策略、防火墙 状态、软件更新情况等,能输出风险等级(warning、suggestion、hardening)和修复建议。
两者互补:Nmap 看“对外暴露面”,Lynis 查“内部薄弱点”。一次完整安全扫描通常先用 Nmap 摸清目标范围和服务分布,再对关键主机运行 Lynis 做纵深检查。
快速上手:Nmap 基础扫描命令与解读
安装后可直接使用,无需复杂配置:
- nmap -sn 192.168.1.0/24 —— 快速发现局域网内活跃主机(ping 扫描)
- nmap -sV -p- 192.168.1.10 —— 全端口扫描并识别服务版本(-p- 表示 1 -65535 所有端口)
- nmap -sC -sV -oN scan.log 192.168.1.10 —— 执行默认脚本(-sC)、识别服务(-sV),结果保存到文件
注意:扫描前确保获得授权;避免在生产环境高频全端口扫描;-sS(半开扫描)需 root 权限,普通用户可用 -sT 替代。
用 Lynis 做 Linux 系统安全基线检查
下载安装简单:
执行后会逐项检查,例如:
- 是否启用 SSH 密钥登录(而非密码)
- /tmp 目录是否设置了 noexec,nosuid 挂载选项
- 是否有过期或空密码账户(/etc/shadow 中密码字段为! 或 *)
- 日志轮转是否启用、syslog/rsyslog 是否运行
关键输出在最后的“Suggestions”和“Hardening index”部分,重点关注标为 [warning] 的项,优先处理高危配置偏差。
扫描后该怎么做:从报告到防护落地
拿到 Nmap+Lynis 结果不是终点,而是加固起点:
- 根据 Nmap 结果关闭非必要端口,用 ufw 或 firewalld 限制访问源(如仅允许运维 IP 连 SSH)
- 按 Lynis 建议修改 /etc/ssh/sshd_config:禁用 Protocol 1、设置 MaxAuthTries 3、启用 LoginGraceTime 60
- 定期运行 sudo lynis audit system –quick 做轻量巡检,加入 cron 每周执行一次
- 将 Lynis 输出重定向至 JSON(–json-report)便于集成进 CI/CD 或安全运营平台
不复杂但容易忽略:扫描结果要有人跟进,否则只是生成一堆未读日志。
