Lynis – Un soft sympa pour auditer son système ou son serveur GNU/Linux – Ubuntu / Debian

Plop les bovins,

Tout d’abord je tiens à m’excuser pour ne pas avoir fichu grand chose aujourd’hui, mais Ubuntu Gnome 13.04 étant officiellement dans la nature, je me devais de me refaire un petit labs tout frais tout neuf pour les six prochains mois! Séance réinstall obligatoire, suivie d’un Mc DO pour retaper la bête!

Ceci étant dit je reprends la plume et j’inaugure cette session toute neuve, pour vous parler d’un petit outil d’audit sympathique qui répond au doux nom de Lynis. Vous allez voir, c’est assez énorme.

Lynis est un petit soft qui s’utilise en ligne de commande, mais rassurez-vous, il ne nécessite pas de connaissances spécifiques pour être utilisé. Là où quelques connaissances ne vous seront pas inutiles en revanche, c’est dans l’analyse des résultats que va vous renvoyer la bête après l’audit de votre système.

Comme vous l’avez peut-être compris Lynis n’est pas à proprement parler un outil de pentest (ce à quoi l’on pourrait s’attendre quand on parle d’audit).

Il a pour but de vérifier via un scan, quasiment tous les paramètres de votre système avant de vous faire une synthèse complète et de vous afficher des suggestions qui vont vous permettre d’agir sur les points faibles de celui-ci.

Il va analyser tout un tas de paramètres concernant entre-autres :

• Les chargeurs et services de démarrage
• La configuration du noyau, les modules chargés, ceux en cours d’exécution
• La mémoire et les processus
• Les utilisateurs et les groupes
• Les points de montage et le système de fichiers racine
• Les services NFS et BIND
• Les mises à jour et les référentiels de vos logiciels
• Les règles Iptables et la configurations SELinux
• Les serveurs Web Apache et nginx
• La configurations SSH
• Le mot de passe root, MySQL et les services LDAP
• Les options PHP
• Les options crontab / cron et ATD
• Le démon NTP
• L’expiration du certificat SSL
• La présence de malwares
• Les répertoires personnels

Et il fait le kawa. Ah non, pas ça désolé (dans une prochaine maj peut-être).

Quoi qu’il en soit la liste des vérifications effectuées par Lynis est vraiment impressionnante.

Si ça vous branche, vous serez ravi d’apprendre que la bête est disponible par défaut dans les dépôts Debian et Ubuntu. Pour l’installer sur Ubuntu 13.04 par exemple, il suffit d’entrer simplement la commande suivante.

sudo apt-get install lynis

Une fois que la bête est présente sur votre machine, vous pouvez la lancer en entrant ceci dans votre terminal :

sudo lynis -c

ou

sudo lynis --check-all

Vous devriez ensuite arriver sur un fenêtre d’accueil qui ressemble à ça (cliquez pour agrandir) :

À ce stade vous n’avez déjà plus rien à faire d’autre que d’enchaîner les tests à l’aide de la touche « Enter ». Patientez à chaque fois le temps que ceux-ci puissent s’exécuter correctement, certains tests prendront plus de temps que d’autres.

Je vous ai fait une petite galerie qui va vous montrer en image les différents tests :

Une fois que l’audit est achevé vous pouvez au choix, consulter les suggestions depuis le terminal.

Ou consulter le fichier « Lynis.log », qui en toute logique devrait se trouver dans /var/log/.

À vous ensuite d’en tirer les bonnes conclusions et de changer ce qui ne vas pas sur votre système :)

NB : Vous pouvez lancer Lynis de manière à ce que ce dernier ne vous demande pas de confirmation entre chaque test, en utilisant la commande suivante :

sudo lynis -c -Q

J’ai vraiment trouvé ce petit soft pas mal du tout.

Bien entendu tout n’y est pas et il y aura certainement pas mal d’autres tests à faire pour un audit complet, mais Lynis constitue un bon point de départ.

Je ne l’ai pas signalé car ce sont des paquets non officiels, mais il existe des packages RPM pour pouvoir utiliser Lynis sous Fedora ou openSUSE.

Amusez-vous bien.

Moo!

source