Si votre sécurité Linux fait défaut, une bonne idée est d’auditer votre système. Un excellent moyen de lancer un audit est d’utiliser un programme qui teste la sécurité et propose des solutions concrètes. L’un de ces outils d’audit est Lynis. C’est un outil qui permet de vérifier la sécurité d’un PC Linux. Il scanne n’importe quel PC Linux, teste sa sécurité et imprime une liste de problèmes et de correctifs possibles. La meilleure partie de cet outil est qu’il est très simple à utiliser et que tout le monde peut l’utiliser.
Table des matières
Ubuntu / Debian
Lynis a un excellent support pour Debian et Ubuntu via son propre référentiel de logiciels. L’activation de ce référentiel de logiciels est un peu différente des autres sources de logiciels, car il s’agit d’un référentiel de logiciels traditionnel. Il n’y a pas de PPA ou quoi que ce soit. C’est pour que Lynis fonctionne à la fois sur Debian et Ubuntu sans problème.
Pour démarrer l’installation, lancez une fenêtre de terminal et téléchargez la clé GPG correcte.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F
La clé fonctionnant, ajoutez la nouvelle source logicielle Lynis au système.
sudo -s echo '#Lynis repo ' >> /etc/apt/sources.list echo 'deb https://packages.cisofy.com/community/lynis/deb/ stable main' >> /etc/apt/sources.list
Le dépôt de logiciels Lynis a besoin d’un package spécial. Ce paquet permettra à Ubuntu (ou Debian) d’interagir avec les sources logicielles HTTPS.
sudo apt install apt-transport-https
ou
sudo apt-get install apt-transport-https
Avec le package Apt-transport-https fonctionnant sur votre système, vous pouvez actualiser les sources logicielles en toute sécurité. Exécutez la mise à jour dans le terminal.
sudo apt update
ou
sudo apt-get update
Enfin, installez Lynis.
sudo apt install lynis
ou
sudo apt-get install lynis
Arch Linux
Comme la plupart des programmes, Arch dispose de l’outil de sécurité Lynis dans l’AUR. Pour l’installer, lancez un terminal et installez Git et les packages Base-devel. Ensuite, tirez le code vers le bas et générez un nouveau package Arch.
Remarque: veuillez comprendre que l’installation de logiciels directement à partir de Arch AUR, plutôt que des sources logicielles officielles, signifie que parfois les dépendances ne s’installent pas. Vous devrez peut-être installer ces packages manuellement si cela se produit pendant le processus d’installation de Lynis. Les dépendances se trouvent au bas de cette page ici.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/lynis-git.git cd lynis-git makepkg -si
Feutre
Lynis prend en charge Fedora, bien qu’il nécessite une source logicielle tierce pour l’installer. Activez la source logicielle en lançant un terminal et en utilisant les commandes tactile et écho.
sudo -s touch /etc/yum.repos.d/cisofy-lynis.repo
echo '[lynis]' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'name=CISOfy Software - Lynis package' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'baseurl=https://packages.cisofy.com/community/lynis/rpm/' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'enabled=1' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key' >> /etc/yum.repos.d/cisofy-lynis.repo echo 'gpgcheck=1' >> /etc/yum.repos.d/cisofy-lynis.repo
Ensuite, mettez à jour les packages suivants sur votre système:
sudo dnf update ca-certificates curl nss openssl -y
Enfin, installez Lynis avec dnf install.
sudo dnf install lynis -y
OpenSUSE
L’outil Lynis dispose d’un référentiel de logiciels disponible pour toutes les versions d’OpenSUSE. Activez-le avec les commandes suivantes dans une fenêtre de terminal.
sudo rpm --import https://packages.cisofy.com/keys/cisofy-software-rpms-public.key sudo zypper addrepo --gpgcheck --name "CISOfy Lynis repository" --priority 1 --refresh --type rpm-md https://packages.cisofy.com/community/lynis/rpm/ lynis
Avec le repo sur Suse, il est temps d’actualiser le système.
sudo zypper refresh
Terminez le processus d’installation en utilisant Zypper pour installer Lynis.
sudo zypper install lynis
Linux générique
L’outil d’audit Lynis dispose d’un Tarball générique pour ceux des distributions Linux qui ne bénéficient pas du support direct du développeur. Heureusement, cette archive Tar téléchargeable ne nécessite aucune compilation d’aucune sorte. Au lieu de cela, les utilisateurs le téléchargent et exécutent le programme tel quel.
Pour installer Lynis via une archive Tar téléchargeable, utilisez l’outil wget et téléchargez le package, puis extrayez-le.
wget https://downloads.cisofy.com/lynis/lynis-2.6.8.tar.gz tar -zxvf lynis-2.6.8.tar.gz cd lynis
Exécutez l’outil Lynis avec:
./lynis
Utilisation de Lynis
Lynis est un outil simple avec de nombreuses options. Pour l’utilisateur moyen, les options de base feront l’affaire. L’opération la plus élémentaire (mais la plus complète) que le programme puisse faire est de faire un audit complet du système. Pour exécuter l’audit, ouvrez un terminal et entrez la commande suivante.
lynis audit system
L’exécution de la commande ci-dessus sans aucun privilège Sudoer analysera de nombreux aspects du système. Cependant, il n’obtiendra pas tout. L’exécution d’une analyse complète nécessite sudo.
sudo lynis audit system --pentest
Besoin de sauvegarder les résultats pour plus tard? Dirigez-les vers un fichier texte.
sudo lynis audit system >> /home/username/Documents/lynis-results.txt
Analyser le fichier Docker
Docker est de plus en plus populaire sur les systèmes Linux. Avec toutes les images Docker prédéfinies, des failles de sécurité sont inévitables. Heureusement, Lynis permet aux utilisateurs d’analyser les fichiers Docker et de les tester pour les problèmes. Pour exécuter un test, essayez la commande suivante.
lynis audit dockerfile /home/username/path/to/dockerfile
Scan rapide
Lynis peut effectuer de nombreux types d’analyses. Une analyse qui peut être utile si vous êtes pressé est le mode d’analyse «rapide». Ce mode teste les zones de base du système, pour des résultats rapides.
Exécutez un audit système rapide avec:
lynis audit system -Q