Lynis est un outil d'audit et de durcissement de sécurité.

Attention, certaines fonctionnalités n'existent que dans la version Entreprise payante (<https://cisofy.com/compare/lynis-and-lynis-enterprise/>). Toutes les fonctionnalités décrite sur cette page sont disponibles dans la version libre.

Liens externes :

* Présentation : <https://cisofy.com/lynis/>
* GitHub : <https://github.com/CISOfy/lynis>
* Documentation :
  * <https://cisofy.com/documentation/lynis/>
  * <https://cisofy.com/documentation/lynis/configuration/>
* Role Ansible : https://github.com/CISOfy/lynis-ansible
* Développement de pugins : https://github.com/CISOfy/lynis-sdk


# Installation

~~~
# apt install lynis
# cp /etc/lynis/{default.prf,custom.prf}
~~~

La configuration se trouve dans des profiles. On pourra la customiser dans `/etc/lynis/custom.prf`. Attention, l'option `--profile` semble ne pas fonctionner.


# Utilisation

Lynis se lance en mode interactif ou comme job cron.

Nous nous intéressons ici à comment obtenir des alertes hebdomadaires.


## Mode interactif

~~~
lynis audit system --auditor $USER --quiet --warnings-only
~~~

On trouvera le log dans `/etc/log/lynix.log` et le rapport d'audit dans `/etc/log/lynis-report.dat`. Attention, ils sont écrasés à chaque lancement.


## Cron

On peut créer un répertoire `/var/log/lynis` et mettre en place un cron `/etc/cron.weekly/lynis` :

~~~
#!/bin/sh

set -u
MAILTO="admin@mydomain.com"
DATE=$(date +%Y%m%d-%H%M%S)
LOG_DIR="/var/log/lynis"
LOG="$LOG_DIR/lynis-${DATE}.log"
DATA="$LOG_DIR/report-data-${DATE}.dat"

lynis audit system --quiet --auditor "Cron" --cronjob --logfile $LOG --report-file $DATA --warnings-only
~~~


## Désactiver des tests

Dans `/etc/lynis/custom.prf`, on indiquera le nom des tests à désactiver (noms tels qu'indiqués dans le rapport d'audit) :

~~~
skip-test=$test1
skip-test=$test2
(...)
~~~