众所周知，缺少免费的自动评估工具。从历史上看，我们有Bastille，它相当不可怕，它自 2008 年以来也没有更新，并且不支持 RedHat 的任何 EL 版本。目前我们确实有Tiger，它需要相当多的配置才能正常使用。它也很少更新，当前版本是从 2010 年开始的，但它确实提供了一些基线有用性。

无论如何，为了审计一个系统，你必须首先知道你要审计的是什么。因此，选择一个适合您的环境（技术和业务流程）的标准并开始使用它。根据您选择的标准，可能会有可用的评估工具。例如，如果您是 CIS 成员，那么您可以使用CIS-CAT工具根据其标准审核系统。如果您是 Nessus Pro Feed 客户，那么您可以使用他们的审核系统根据包括 CIS 和 DISA STIGS 在内的许多标准来测试系统。

配置审计不一定容易，并且可能需要一些资本支出，但如果您要声称使用标准，这是一个必要的步骤。

如果您无法或不愿意为自动化工具花钱，那么下一个最佳步骤是执行手动评估。我不推荐如果，但如果你这样做，我会从以下步骤开始：

1. 选择一个标准。
2. 彻底阅读标准并将其与您的环境和业务需求进行比较。
3. 丢弃不必要或不值得实施的更改（无论出于何种原因）。
4. 将其余项目转换为清单。
5. 为每个清单项目确定测试方法以确定特定项目是否已完成。
6. 将您的系统与清单进行比较，并确保所有问题都已解决。

您还可以使用Lynis等外部工具

它提供免费分析，并告诉您可以提高强化安全级别的要点。

使用这些工具，我对 RHEL7.3 OpenBSD FreeBSD ArchLinux 和 Debian 进行了真正的改进