2022-02-21 12:07:32 +01:00
Lynis est un outil d'audit et de durcissement de sécurité.
2016-12-21 19:23:53 +01:00
2022-03-04 10:50:22 +01:00
Attention, certaines fonctionnalités n'existent que dans la version Entreprise payante (< https: / / cisofy . com / compare / lynis-and-lynis-enterprise / > ). Toutes les fonctionnalités décrites sur cette page sont disponibles dans la version libre.
2016-12-21 19:23:53 +01:00
2022-02-21 12:07:32 +01:00
Liens externes :
* Présentation : < https: // cisofy . com / lynis />
* GitHub : < https: // github . com / CISOfy / lynis >
* Documentation :
2022-02-28 09:08:20 +01:00
* < https: // cisofy . com / documentation / lynis />
* < https: // cisofy . com / documentation / lynis / configuration />
* Role Ansible : < https: // github . com / CISOfy / lynis-ansible >
2022-02-28 09:30:57 +01:00
* Développement de plugins : < https: // github . com / CISOfy / lynis-sdk >
2022-02-21 12:07:32 +01:00
# Installation
2016-12-21 19:23:53 +01:00
~~~
# apt install lynis
2022-03-04 09:52:36 +01:00
# cp /etc/lynis/default.prf /etc/lynis/custom.prf
# systemctl stop lynis.timer && systemctl disable lynis.timer
2022-02-21 12:07:32 +01:00
~~~
2022-03-04 09:52:36 +01:00
La configuration se trouve dans des profiles. On pourra la customiser via `/etc/lynis/custom.prf` .
2022-02-28 09:09:24 +01:00
2022-03-04 09:52:36 +01:00
> *Attention* : l'option `--profile` semble ne pas fonctionner, on est donc limités aux fichiers de configuration `default.prf` et `custom.prf`.
2022-02-21 12:07:32 +01:00
2022-03-04 09:52:36 +01:00
A partir de Debian 11, Lynis installe automatiquement un timer systemd, on préfère le désactiver pour le lancer à la main ou via cron.
2022-02-21 12:07:32 +01:00
2022-02-28 09:58:41 +01:00
# Utilisation
2022-02-21 12:07:32 +01:00
## Mode interactif
2016-12-21 19:23:53 +01:00
~~~
2022-03-04 09:52:36 +01:00
# lynis audit system --auditor $USER
2022-03-04 10:50:18 +01:00
# lynis audit system | aha > /var/www/lynis.html
2022-02-21 12:07:32 +01:00
~~~
2022-03-04 09:52:36 +01:00
Options possibles :
2022-03-04 10:50:22 +01:00
* `--quiet` et `--warnings-only` semblent produire la même sortie.
* `--warnings-only` : attention, tous les warnings ne semblent pas affichés.
2022-03-04 09:52:36 +01:00
On trouvera le log dans `/var/log/lynis.log` et le rapport d'audit dans `/var/log/lynis-report.dat` .
2022-02-28 09:30:57 +01:00
2022-03-04 09:52:36 +01:00
Attention, ces fichiers sont écrasés à chaque lancement.
2022-02-21 12:07:32 +01:00
2022-02-28 09:58:41 +01:00
## Mode Cron
2022-02-21 12:07:32 +01:00
On peut créer un répertoire `/var/log/lynis` et mettre en place un cron `/etc/cron.weekly/lynis` :
~~~
#!/bin/sh
set -u
MAILTO="admin@mydomain.com"
DATE=$(date +%Y%m%d-%H%M%S)
LOG_DIR="/var/log/lynis"
LOG="$LOG_DIR/lynis-${DATE}.log"
DATA="$LOG_DIR/report-data-${DATE}.dat"
lynis audit system --quiet --auditor "Cron" --cronjob --logfile $LOG --report-file $DATA --warnings-only
~~~
2022-02-21 12:07:57 +01:00
## Désactiver des tests
2016-12-21 19:23:53 +01:00
2022-02-21 12:07:32 +01:00
Dans `/etc/lynis/custom.prf` , on indiquera le nom des tests à désactiver (noms tels qu'indiqués dans le rapport d'audit) :
2016-12-21 19:23:53 +01:00
~~~
2022-02-21 12:07:32 +01:00
skip-test=$test1
skip-test=$test2
(...)
2016-12-21 19:23:53 +01:00
~~~
