Si la sécurité de votre système Linux vous préoccupe, il est judicieux de réaliser un audit. Un excellent moyen d’y parvenir est d’utiliser un outil qui évalue la sécurité et propose des recommandations concrètes. Lynis est un tel outil. Il analyse votre système Linux, identifie les vulnérabilités et fournit une liste de problèmes potentiels avec des suggestions de corrections. Son principal avantage réside dans sa simplicité d’utilisation, le rendant accessible à tous.
Installation sur Ubuntu/Debian
Lynis bénéficie d’un excellent support pour Debian et Ubuntu grâce à son propre dépôt de logiciels. L’activation de ce dépôt diffère légèrement des autres sources, car il s’agit d’un dépôt traditionnel. Il n’y a pas de PPA. Cette approche assure un fonctionnement optimal de Lynis sur les deux distributions.
Pour commencer l’installation, ouvrez un terminal et téléchargez la clé GPG appropriée:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
Une fois la clé importée, ajoutez la nouvelle source de logiciels Lynis à votre système:
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Le dépôt de logiciels Lynis nécessite un package spécifique pour permettre à Ubuntu (ou Debian) de communiquer avec les sources HTTPS. Installez ce paquet:
sudo apt install apt-transport-https
ou
sudo apt-get install apt-transport-https
Maintenant que `apt-transport-https` est installé, vous pouvez mettre à jour les sources de logiciels en toute sécurité. Exécutez la mise à jour dans le terminal:
sudo apt update
ou
sudo apt-get update
Enfin, installez Lynis:
sudo apt install lynis
ou
sudo apt-get install lynis
Installation sur Arch Linux
Comme la plupart des outils, Lynis est disponible sur AUR pour Arch Linux. Pour l’installer, ouvrez un terminal et installez Git et les paquets `base-devel`. Clonez ensuite le dépôt et créez un nouveau paquet Arch.
Note: L’installation de logiciels directement depuis AUR peut parfois entraîner des problèmes de dépendances. Vous devrez peut-être installer ces paquets manuellement si cela se produit lors de l’installation de Lynis. Les dépendances sont listées en bas de cette page.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Installation sur Fedora
Lynis est également supporté sur Fedora, mais nécessite l’ajout d’un dépôt tiers. Activez-le en utilisant les commandes `touch` et `echo` dans le terminal:
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Ensuite, mettez à jour les paquets suivants sur votre système:
sudo dnf update ca-certificates curl nss openssl -y
Enfin, installez Lynis avec la commande `dnf install`:
sudo dnf install lynis -y
Installation sur OpenSUSE
Un dépôt de logiciels pour Lynis est disponible pour toutes les versions d’OpenSUSE. Activez-le avec les commandes suivantes dans le terminal:
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Après avoir ajouté le dépôt, mettez à jour le système:
sudo zypper refresh
Terminez l’installation en utilisant Zypper pour installer Lynis:
sudo zypper install lynis
Installation générique sur Linux
Pour les distributions Linux qui ne sont pas directement supportées par le développeur, Lynis propose une archive Tarball générique. Cette archive ne nécessite aucune compilation. Il suffit de télécharger et d’exécuter le programme.
Pour installer Lynis via l’archive, utilisez `wget` pour télécharger le paquet et extrayez-le:
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Exécutez Lynis avec la commande:
./lynis
Utilisation de Lynis
Lynis est un outil simple avec de nombreuses options. Pour un utilisateur lambda, les options de base suffiront. L’opération la plus élémentaire (mais la plus complète) est un audit complet du système. Pour l’exécuter, ouvrez un terminal et saisissez la commande suivante:
lynis audit system
Cette commande analysera de nombreux aspects du système, mais pour obtenir une analyse plus approfondie, il est recommandé de l’exécuter avec les privilèges `sudo`:
sudo lynis audit system --pentest
Si vous souhaitez sauvegarder les résultats, redirigez-les vers un fichier texte:
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Analyse des fichiers Docker
Docker est de plus en plus utilisé sur Linux. Avec toutes les images Docker pré-construites, des failles de sécurité sont inévitables. Heureusement, Lynis permet d’analyser les fichiers Docker. Pour réaliser ce test, utilisez:
lynis audit dockerfile /home/username/path/to/dockerfile
Analyse rapide
Si vous êtes pressé, Lynis propose un mode d’analyse « rapide » qui teste les zones essentielles du système pour obtenir des résultats rapidement.
Pour effectuer un audit rapide du système, utilisez la commande:
lynis audit system -Q