Introduction
Lynis est un utilitaire Open Source sous licence GPLv3 permettant d’analyser la configuration d’un serveur ainsi que les services qu’il héberge en effectuant un grand nombre de tests. A l’issue de l’analyse, un rapport est généré et permet aux administrateurs système de consulter les éventuelles failles de sécurité à résoudre pour garantir la sécurité du serveur.
Cet utilitaire est compatible avec la majeure partie des systèmes de type Unix, y compris avec Apple macOS. Dans le cas présent, un serveur de type GNU/Linux Debian Jessie sera utilisé pour la démonstration.
Objectifs du projet
Comme Lynis est flexible, il est utilisé à plusieurs fins différentes. Les cas d'utilisation typiques de Lynis sont les suivants :
- Audit de sécurité
- Tests de conformité (par exemple PCI, HIPAA, SOx)
- Test de pénétration
- Détection des vulnérabilités
- Durcissement du système
Systèmes d'exploitation supportés
Lynis fonctionne sur presque tous les systèmes et versions basés sur UNIX, y compris :
- AIX
- FreeBSD
- HP-UX
- Linux
- macOS
- NetBSD
- NixOS
- OpenBSD
- Solaris
- et autres
Il fonctionne même sur des systèmes comme le Raspberry Pi, les dispositifs IoT et les dispositifs de stockage QNAP.
Installation
Sous CentOS/ RedHat
Installer les packages suivants
# yum update ca-certificates curl nss openssl
Déclaration du repository
# nano /etc/yum.repos.d/cisofy-lynis.repo ... [lynis] name=CISOfy Software - Lynis package baseurl=https://packages.cisofy.com/community/lynis/rpm/ enabled=1 gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key gpgcheck=1 priority=2
Installation Lynis
# yum update # yum install lynis
# lynis show version
Sous Debian
Installer apt-transport-https
# apt install apt-transport-https
Importer la key et Ajouter le miroir
# wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add - # echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
Installation Lynis
# apt update # apt install lynis
# lynis show version
Lynis Commands
L'outil Lynis nécessite un minimum de paramètres pour fonctionner. Si vous l'utilisez pour la première fois, il suffit d'exécuter lynis et de voir ce qu'il fournit en sortie.
$ lynis audit system --quick --auditor "The Auditor"
Dans cet exemple, nous disons à Lynis d'auditer le système cible. En utilisant l'option --quick, nous lui disons de ne pas attendre. Nous avons utilisé l'option --auditor et l'avons défini comme “The Auditor” (argument).
Audit
La commande d'audit indique à Lynis de réaliser un audit.
Les objectifs sont les suivants :
- system - audit du système hôte
- dockerfile - audit d'un dockerfile
Voir
La commande show informe Lynis de partager des informations, comme l'aide ou la valeur de quelque chose.
Exemples :
- help - afficher l'aide et les conseils
- profils - montrer les profils d'audit découverts
- settings - afficher les paramètres actifs
- version - montrer la version Lynis
Parameters
Dans le tableau ci-dessous, les paramètres les plus couramment utilisés sont énumérés.
| Parameter | Abbreviated | Description |
|---|---|---|
| –auditor “Name” | Assign an auditor name to the audit (report) | |
| –checkall | -c | Start the check |
| –check-update | Check if Lynis is up-to-date | |
| –cronjob | Run Lynis as cronjob (includes -c -Q) | |
| –help | -h | Shows valid parameters |
| –manpage | View man page | |
| –nocolors | Do not use any colors | |
| –pentest | Perform a penetration test scan (non-privileged) | |
| –quick | -Q | Don't wait for user input, except on errors |
| –quiet | Only show warnings (includes –quick, but doesn't wait) | |
| –reverse-colors | Use a different color scheme for light backgrounds | |
| –version | -V | Check program version (and quit) |