除lynis外，还有哪些轻量级的本地漏洞扫描工具？

# 除 Lynis 外，10 款**轻量、无依赖、本地运行**Linux 漏洞/安全扫描工具 全部适合服务器、低配置机器、零基础使用，占用极低、无需部署复杂环境。 ## 一、系统漏洞+配置审计类（替代Lynis） ### 1. **chkrootkit** 作用：**检测rootkit、木马、后门**，服务器查杀必备，超轻量 ```bash # 安装 # CentOS yum install -y chkrootkit # Ubuntu/Debian apt install -y chkrootkit # 扫描 chkrootkit ``` ### 2. **rkhunter** 作用：高级后门、rootkit、恶意文件、系统文件篡改检测，比chkrootkit更全面 ```bash # 安装 apt install rkhunter -y yum install rkhunter -y # 更新特征库 + 扫描 rkhunter --update rkhunter --check ``` --- ## 二、系统补丁+CVE 漏洞扫描（查系统软件漏洞） ### 3. **oscap / openscap** 轻量官方安全审计工具，检测系统**CVE漏洞、配置基线、合规检查** ```bash # CentOS yum install -y openscap-scanner # Ubuntu apt install -y openscap-utils ``` 适合：检查系统组件、内核、软件包已知漏洞。 ### 4. **unattended-upgrades + 系统自带安全源** 无额外工具，**系统原生** - 直接列出所有安全补丁、高危漏洞包 ```bash # Debian/Ubuntu apt list --upgradable | grep security # CentOS yum updateinfo list security all ``` --- ## 三、端口/弱口令/服务漏洞 轻量扫描 ### 5. **netstat / ss + 手动风险排查（零安装）** 纯系统自带，无任何工具，排查异常端口、可疑外联 ```bash ss -tulnp netstat -antp ``` 用来发现：多余开放端口、可疑恶意进程、违规服务。 ### 6. **nmap（轻量版）** 本地快速扫描本机服务版本、弱版本漏洞 ```bash nmap -sV 127.0.0.1 ``` 快速检测：老旧 SSH、Apache、Nginx、Redis 高危版本。 --- ## 四、配置安全基线/弱密码检测 ### 7. **passwdqc / pam_cracklib** 弱密码检测、账号安全审计 检测：空密码、弱口令、重复账号、废弃账号。 ### 8. **linux-check-security（极简脚本）** 开源一键轻量脚本，整合： 账号审计、SSH配置、端口、权限、定时任务后门排查 纯 shell 脚本，直接运行，不安装软件。 --- ## 五、容器/云服务器专用轻量扫描 ### 9. **trivy（超轻量神器）** 适合：Linux 主机 + Docker 容器 + 系统软件漏洞 **体积极小、速度极快、CVE库实时更新** ```bash # 一键安装 curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh # 扫描整个系统漏洞 trivy fs / ``` ✅ 强烈推荐，日常替代 lynis 首选。 ### 10. **grype** 轻量漏洞扫描，专门扫描系统包、应用程序CVE，资源占用极低。 --- # 精选推荐组合（生产/自用最佳搭配） 1. **日常快速审计**：`lynis + trivy` 2. **查杀后门/木马**：`chkrootkit + rkhunter` 3. **查系统CVE补丁**：`oscap + 系统自带安全更新` 4. **端口服务风险**：`nmap + ss` --- # 总结区别 - Lynis：**全面配置审计**（权限、服务、防火墙、账号） - trivy：**CVE漏洞扫描最强**（软件、内核、容器） - rkhunter/chkrootkit：**查杀后门、Rootkit** - oscap：**企业合规、基线检查** - nmap/ss：**端口与服务风险排查** 需要我给你一份：**「轻量四件套一键安装+批量扫描命令合集」**，复制直接全套扫描吗？