Lynis项目在Ubuntu 24.04上的软件包漏洞检测异常分析

问题背景

近期在Ubuntu 24.04 LTS系统上使用Lynis安全审计工具时，发现了一个有趣的异常现象。即使在执行完系统更新后，Lynis仍然报告存在"一个或多个需要关注的软件包"的警告。这个问题在Ubuntu 20.04和22.04上并未出现，似乎是24.04特有的情况。

问题现象

当用户在全新安装的Ubuntu 24.04系统上执行以下操作后：

1. 运行apt update和apt dist-upgrade -y确保系统完全更新
2. 执行lynis audit system --quick进行安全审计

Lynis会输出PKGS-7392警告，提示发现了需要关注的软件包。查看详细日志可以发现，Lynis实际上是通过调用/usr/lib/update-notifier/apt-check工具来检查更新的。

根本原因分析

经过深入调查，发现问题源于Ubuntu 24.04中apt-check工具的行为变化。该工具现在会在特定情况下输出额外的提示信息：

1. 当/var/lib/ubuntu-advantage/apt-esm/etc/apt/apt.conf.d/目录不存在时
2. 当/var/lib/ubuntu-advantage/apt-esm/etc/apt/preferences.d/目录不存在时

这些提示信息会被输出到标准错误(stderr)，而Lynis原本的解析逻辑没有充分考虑这种情况。具体表现为：

• apt-check原始输出包含提示信息和实际的更新数据(如"0;0")
• Lynis的解析逻辑未能正确过滤掉这些提示信息
• 导致即使没有实际的更新(数字0)，也会误判为存在问题

解决方案

Lynis开发团队已经针对此问题提交了修复补丁。主要改进包括：

1. 修改了apt-check输出的解析逻辑
2. 增加了对提示信息的过滤处理
3. 确保只提取实际的更新数据部分

用户可以通过以下方式验证修复效果：

1. 确认apt-check的原始输出：

   /usr/lib/update-notifier/apt-check 2>&1 | awk -F\; '{ print $2 }'
   

2. 手动创建缺失的目录(临时解决方案)：

   sudo mkdir -p /var/lib/ubuntu-advantage/apt-esm/etc/apt/{apt.conf.d,preferences.d}
   

3. 使用最新版的Lynis进行验证

技术启示

这个案例给我们几个重要的技术启示：

1. 工具依赖的风险：安全工具依赖系统其他组件时，需要考虑到这些组件可能的行为变化
2. 错误处理的完备性：在解析外部命令输出时，必须充分考虑各种可能的输出情况
3. 版本兼容性测试：新操作系统版本可能会引入不兼容的变化，需要及时测试和适配

总结

Ubuntu 24.04中apt-check工具输出格式的变化导致了Lynis的误报问题。通过分析问题根源并改进输出解析逻辑，Lynis团队已经解决了这一兼容性问题。这提醒我们在使用安全审计工具时，要注意工具与系统组件之间的交互关系，并及时更新工具版本以获得最佳兼容性。