Lynis est un outil d\u2019audit de s\u00e9curit\u00e9 pour syst\u00e8mes Linux.
Il permet d\u2019identifier les faiblesses de configuration et de proposer des actions correctives.<\/p>\n\n\n\n
L\u2019objectif pour un \u00e9tudiant en BTS CIEL ou SIO est de :<\/p>\n\n\n\n
ATTENTION : ce document est fait dans un but p\u00e9dagogoique, tout durcissmeent d’une machine en production doit \u00eatre r\u00e9alis\u00e9 par un professionel.<\/p>\n\n\n\n
Les \u00e9l\u00e9ments pr\u00e9sents dans cette fiches sont insufisants pour prot\u00e9ger la machine. <\/p>\n\n\n\n
<\/p>\n\n\n\n
# INSTALLATION
apt update && apt install lynis -y
# AUDIT COMPLET
lynis audit system
# MODES UTILES
lynis audit system --quick
lynis audit system --quiet
lynis audit system --tests-from-group authentication,networking
# RAPPORT
cat \/var\/log\/lynis-report.dat
cat \/var\/log\/lynis.log
# SCORE
grep hardening_index \/var\/log\/lynis-report.dat<\/code><\/pre>\n\n\n\n
\n\n\n\nExplication du fonctionnement<\/h2>\n\n\n\n
Lynis r\u00e9alise une s\u00e9rie de tests sur le syst\u00e8me :<\/p>\n\n\n\n
\n- analyse des services actifs<\/li>\n\n\n\n
- v\u00e9rification des configurations r\u00e9seau<\/li>\n\n\n\n
- contr\u00f4le de la s\u00e9curit\u00e9 SSH<\/li>\n\n\n\n
- v\u00e9rification des permissions<\/li>\n\n\n\n
- analyse des journaux<\/li>\n<\/ul>\n\n\n\n
Le r\u00e9sultat se compose de :<\/p>\n\n\n\n
\n- warnings : probl\u00e8mes importants \u00e0 corriger<\/li>\n\n\n\n
- suggestions : am\u00e9liorations possibles<\/li>\n<\/ul>\n\n\n\n
Le score final (hardening index) permet d\u2019\u00e9valuer le niveau global de s\u00e9curit\u00e9.<\/p>\n\n\n\n
\n\n\n\nObjectif <\/h2>\n\n\n\n
Un syst\u00e8me correctement configur\u00e9 doit atteindre :<\/p>\n\n\n\n
\n- minimum : 70<\/li>\n\n\n\n
- bon niveau : 80<\/li>\n\n\n\n
- niveau avanc\u00e9 : 90<\/li>\n<\/ul>\n\n\n\n
\n\n\n\nDurcissement du syst\u00e8me<\/h2>\n\n\n\n1. Mise \u00e0 jour automatique<\/h3>\n\n\n\napt install unattended-upgrades -y
dpkg-reconfigure unattended-upgrades<\/code><\/pre>\n\n\n\nExplication :
Permet d\u2019installer automatiquement les mises \u00e0 jour de s\u00e9curit\u00e9.
C\u2019est essentiel car la majorit\u00e9 des attaques exploitent des failles connues d\u00e9j\u00e0 corrig\u00e9es.<\/p>\n\n\n\n
\n\n\n\n2. S\u00e9curisation SSH<\/h3>\n\n\n\nnano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\nPort 2222
PermitRootLogin no
PasswordAuthentication no
AllowUsers adminsys
MaxAuthTries 3
LoginGraceTime 30
ClientAliveInterval 300
ClientAliveCountMax 2<\/code><\/pre>\n\n\n\nExplication :<\/p>\n\n\n\n
\n- changement de port r\u00e9duit les scans automatis\u00e9s<\/li>\n\n\n\n
- interdiction du compte root limite les attaques<\/li>\n\n\n\n
- d\u00e9sactivation des mots de passe impose l\u2019usage de cl\u00e9s SSH<\/li>\n\n\n\n
- limitation des tentatives r\u00e9duit le brute force<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n3. Protection avec fail2ban<\/h3>\n\n\n\napt install fail2ban -y
cp \/etc\/fail2ban\/jail.conf \/etc\/fail2ban\/jail.local
nano \/etc\/fail2ban\/jail.local<\/code><\/pre>\n\n\n\n[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 5
ignoreip = 127.0.0.1\/8 192.168.1.0\/24
[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 2h<\/code><\/pre>\n\n\n\nExplication :
Fail2ban surveille les logs et bloque automatiquement les adresses IP qui \u00e9chouent plusieurs fois \u00e0 se connecter.
Sans configuration, il est inutile. Il doit \u00eatre adapt\u00e9 au service prot\u00e9g\u00e9.<\/p>\n\n\n\n
\n\n\n\n4. Mise en place d\u2019un pare-feu<\/h3>\n\n\n\nufw enable
ufw default deny incoming
ufw allow 2222\/tcp<\/code><\/pre>\n\n\n\nExplication :
Le pare-feu bloque tout par d\u00e9faut et n\u2019autorise que les services n\u00e9cessaires.
Cela r\u00e9duit fortement la surface d\u2019attaque.<\/p>\n\n\n\n
\n\n\n\n5. V\u00e9rification des ports ouverts<\/h3>\n\n\n\nss -tuln<\/code><\/pre>\n\n\n\nExplication :
Permet d\u2019identifier les services expos\u00e9s.
Tout port inutile doit \u00eatre ferm\u00e9.<\/p>\n\n\n\n
\n\n\n\n6. D\u00e9sactivation des services inutiles<\/h3>\n\n\n\nsystemctl list-units --type=service
systemctl disable nom_service<\/code><\/pre>\n\n\n\nExplication :
Chaque service actif repr\u00e9sente un risque potentiel.
Il faut limiter au strict n\u00e9cessaire.<\/p>\n\n\n\n
\n\n\n\n7. Gestion des logs<\/h3>\n\n\n\njournalctl -xe
tail -f \/var\/log\/auth.log<\/code><\/pre>\n\n\n\nExplication :
Les logs permettent de d\u00e9tecter :<\/p>\n\n\n\n
\n- tentatives d\u2019intrusion<\/li>\n\n\n\n
- erreurs syst\u00e8me<\/li>\n\n\n\n
- anomalies<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n8. Rotation des logs<\/h3>\n\n\n\napt install logrotate -y
nano \/etc\/logrotate.conf<\/code><\/pre>\n\n\n\nExplication :
\u00c9vite la saturation du disque et garantit la conservation des journaux importants.<\/p>\n\n\n\n
\n\n\n\n9. S\u00e9curisation des comptes<\/h3>\n\n\n\ncat \/etc\/passwd<\/code><\/pre>\n\n\n\nExplication :
Il faut :<\/p>\n\n\n\n
\n- supprimer les comptes inutiles<\/li>\n\n\n\n
- limiter les privil\u00e8ges<\/li>\n\n\n\n
- contr\u00f4ler les acc\u00e8s<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n10. Permissions des fichiers sensibles<\/h3>\n\n\n\nchmod 700 ~\/.ssh
chmod 600 ~\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nExplication :
Emp\u00eache l\u2019acc\u00e8s non autoris\u00e9 aux cl\u00e9s SSH et aux fichiers critiques.<\/p>\n\n\n\n
\n\n\n\n11. S\u00e9curit\u00e9 kernel<\/h3>\n\n\n\nnano \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\nnet.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.tcp_syncookies=1<\/code><\/pre>\n\n\n\nExplication :
Renforce la protection contre :<\/p>\n\n\n\n
\n- spoofing IP<\/li>\n\n\n\n
- attaques r\u00e9seau<\/li>\n\n\n\n
- flood SYN<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n12. V\u00e9rification des fichiers SUID<\/h3>\n\n\n\nfind \/ -perm -4000 2>\/dev\/null<\/code><\/pre>\n\n\n\nExplication :
Les fichiers SUID peuvent \u00eatre utilis\u00e9s pour escalader les privil\u00e8ges.
Ils doivent \u00eatre contr\u00f4l\u00e9s r\u00e9guli\u00e8rement.<\/p>\n\n\n\n
\n\n\n\n13. V\u00e9rification des droits sudo<\/h3>\n\n\n\ncat \/etc\/sudoers<\/code><\/pre>\n\n\n\nExplication :
Permet de contr\u00f4ler qui peut ex\u00e9cuter des commandes en tant qu\u2019administrateur.<\/p>\n\n\n\n
\n\n\n\nM\u00e9thode de travail<\/h2>\n\n\n\n\n- lancer un audit Lynis<\/li>\n\n\n\n
- analyser les warnings<\/li>\n\n\n\n
- corriger les points critiques<\/li>\n\n\n\n
- relancer l\u2019audit<\/li>\n\n\n\n
- v\u00e9rifier l\u2019am\u00e9lioration du score<\/li>\n<\/ol>\n\n\n\n
\n\n\n\nConclusion<\/h2>\n\n\n\n
Lynis est un outil d\u2019audit, pas une solution de s\u00e9curit\u00e9 en lui-m\u00eame.
La s\u00e9curit\u00e9 repose sur :<\/p>\n\n\n\n
\n- la mise \u00e0 jour du syst\u00e8me<\/li>\n\n\n\n
- la configuration des services<\/li>\n\n\n\n
- la r\u00e9duction de la surface d\u2019attaque<\/li>\n\n\n\n
- la surveillance des logs<\/li>\n<\/ul>\n\n\n\n
Un syst\u00e8me correctement durci est :<\/p>\n\n\n\n
\n- maintenu \u00e0 jour<\/li>\n\n\n\n
- filtr\u00e9<\/li>\n\n\n\n
- contr\u00f4l\u00e9<\/li>\n\n\n\n
- surveill\u00e9<\/li>\n<\/ul>\n\n\n\n