From ee1b055a05b18833cd7ac21b60a73c937fae037c Mon Sep 17 00:00:00 2001
From: whirigoyen <whirigoyen+gitit@evolix.fr>
Date: Mon, 21 Feb 2022 12:07:32 +0100
Subject: [PATCH] Kernel Lynis - ajout des infos de base

---
 HowtoLynis.md | 64 ++++++++++++++++++++++++++++++++++++++++++++++-----
 1 file changed, 58 insertions(+), 6 deletions(-)

diff --git a/HowtoLynis.md b/HowtoLynis.md
index f36dc88c..6cb3d1bf 100644
--- a/HowtoLynis.md
+++ b/HowtoLynis.md
@@ -1,17 +1,69 @@
-# Howto Lynis
+Lynis est un outil d'audit et de durcissement de sécurité.
 
-<https://cisofy.com/lynis/>
+Attention, certaines fonctionnalités n'existent que dans la version Entreprise payante (<https://cisofy.com/compare/lynis-and-lynis-enterprise/>). Toutes les fonctionnalités décrite sur cette page sont disponibles dans la version libre.
 
-## Installation
+Liens externes :
+
+* Présentation : <https://cisofy.com/lynis/>
+* GitHub : <https://github.com/CISOfy/lynis>
+* Documentation :
+  * <https://cisofy.com/documentation/lynis/>
+  * <https://cisofy.com/documentation/lynis/configuration/>
+* Role Ansible : https://github.com/CISOfy/lynis-ansible
+* Développement de pugins : https://github.com/CISOfy/lynis-sdk
+
+
+# Installation
 
 ~~~
 # apt install lynis
+# cp /etc/lynis/{default.prf,custom.prf}
 ~~~
 
-## Utilisation
+La configuration se trouve dans des profiles. On pourra la customiser dans `/etc/lynis/custom.prf`. Attention, l'option `--profile` semble ne pas fonctionner.
+
+
+# Utilisation
+
+Lynis se lance en mode interactif ou comme job cron.
+
+Nous nous intéressons ici à comment obtenir des alertes hebdomadaires.
+
+
+## Mode interactif
 
 ~~~
-# lynis -Q
+lynis audit system --auditor $USER --quiet --warnings-only
+~~~
+
+On trouvera le log dans `/etc/log/lynix.log` et le rapport d'audit dans `/etc/log/lynis-report.dat`. Attention, ils sont écrasés à chaque lancement.
+
+
+## Cron
+
+On peut créer un répertoire `/var/log/lynis` et mettre en place un cron `/etc/cron.weekly/lynis` :
+
+~~~
+#!/bin/sh
+
+set -u
+MAILTO="admin@mydomain.com"
+DATE=$(date +%Y%m%d-%H%M%S)
+LOG_DIR="/var/log/lynis"
+LOG="$LOG_DIR/lynis-${DATE}.log"
+DATA="$LOG_DIR/report-data-${DATE}.dat"
+
+lynis audit system --quiet --auditor "Cron" --cronjob --logfile $LOG --report-file $DATA --warnings-only
+~~~
+
+
+## Désactiver des tests
+
+Dans `/etc/lynis/custom.prf`, on indiquera le nom des tests à désactiver (noms tels qu'indiqués dans le rapport d'audit) :
+
+~~~
+skip-test=$test1
+skip-test=$test2
+(...)
 ~~~
 
-Le rapport d'audit est disponible dans `/var/log/lynis-report.dat`
\ No newline at end of file