Exploration du rapport d’audit de Lynis

Lynis est un outil d’audit de sécurité gratuit et open-source, publié sous forme de projet sous licence GPL et disponible pour les systèmes d’exploitation Linux et Unix comme MacOS, FreeBSD, NetBSD, OpenBSD, etc.

Qu’est-ce que nous allons explorer ici ?

Dans ce tutoriel, nous allons essayer d’explorer le rapport d’audit de Lynis et apprendre à appliquer certaines des réformes qu’il suggère. Commençons maintenant avec ce guide.

Comprendre les rapports d’audit Lynis

L’analyse post-Lynis nous a laissé un énorme résumé des tests effectués. Pour profiter de ces résultats, il est essentiel de les comprendre et d’appliquer des mesures supplémentaires spécifiques. Nous allons d’abord faire un bref résumé de quelques sections de l’audit, puis passer aux sections de suggestions. De cette façon, nous aurons une idée de la signification de chaque test spécifique et de la manière d’appliquer les suggestions.

1. Initialisation du programme

Initialisation du programme
Dans la phase d’initialisation, Lynis effectue les opérations de vérification de base comme la détection du type de système d’exploitation, la version du noyau, l’architecture du processeur, la version de Lynis installée, le nom de l’auditeur, la vérification de la disponibilité de la mise à jour de Lynis, etc. Globalement, cette phase ne fournit que des informations statiques sur le système et le programme.

2. Plugins

Plugins Lynis
Lynis fournit des plugins pour améliorer encore le processus d’audit. Par exemple, le plugin Firewall fournit des services spécifiques aux pare-feu. Ces plugins comprennent un ou plusieurs tests, dont certains sont payants et disponibles uniquement avec l’édition entreprise de Lynis.

3. Tests Debian

Tests Debian
Comme mentionné sur le test, cela vérifie les utilitaires système nécessaires aux tests Debian. Par exemple, l’analyse ci-dessus signale que ‘libpam-tmpdir’ n’est pas installé. Lorsque nous installons ce paquet, le message correspondant passe de ‘Non installé’ à ‘Installé et activé’ comme indiqué ci-dessous :

Installation de l'outil libpam-tmpdir

4. Démarrage et services

Section Boot et services
Cette section fournit des informations sur le type de gestionnaire de services (systemd dans ce cas), le service en cours d’exécution et activé au démarrage, etc. Plus important encore, elle étiquette les services en fonction de leur niveau de sécurité : Non sécurisé, Exposé, Protégé, Moyen.

5. Noyau

Vérifications spécifiques au noyau

Ici, Lynis effectue une vérification de divers paramètres spécifiques au noyau comme le niveau d’exécution, la version et le type du noyau, etc.

6. Mémoire et processus

Mémoire et processus

Dans cette section, Lynis vérifie l’état des processus, c’est-à-dire s’ils sont morts ou en état d’attente.

De la même manière, Lynis vérifie diverses sections du système comme les services, les logiciels, les réseaux, les bases de données, etc. Décrire chaque étape serait une tâche très longue. Globalement, il génère des suggestions et des avertissements pour chaque section qu’il audite. La correction de ces avertissements et l’application des suggestions ultérieures nous aident à renforcer davantage nos systèmes. Nous allons maintenant nous concentrer sur la mise en place de quelques suggestions.

Corriger les problèmes…

Comme mentionné dans la section précédente, Lynis remplit le terminal avec les résultats de l’analyse, il génère également un fichier journal(lynis.log) et un fichier rapport(lynis-report.dat). Tu auras probablement remarqué que chaque avertissement et suggestion est suivi d’une courte description et d’un lien vers la section ‘Contrôles’ du site Web de CISOfy. Par exemple, regarde l’image ci-dessous :

Section avertissements et suggestions
Elle montre qu’il y a environ 46 suggestions et 1 avertissement au total. Elle montre également la première suggestion qui consiste à installer le paquet apt-listchanges et, en dessous, un lien vers la section « Contrôles » du site Web CISOfy. Essayons d’appliquer certaines de ces suggestions :

1. Installe le paquet apt-listchanges

Ce paquet compare la version d’un paquet installé avec la nouvelle version disponible. Pour installer ce paquet, utilise :

$ sudo apt apt-listchanges

2. Scanner de logiciels malveillants

Suggestion pour l'installation d'un scanner de logiciels malveillants

Lynis signale qu’aucun scanner de logiciels malveillants n’est installé sur notre système. Il donne également des exemples d’outils tels que rkhunter, chkrootkit et OSSEC. Installons rkhunter sur notre Kali Linux :

$ sudo apt install rkhunter

3. Installer le module de sécurité PAM

Suggestion pour l'installation du module de sécurité PAM
Cette découverte suggère d’installer un module PAM pour permettre de vérifier la force du mot de passe. Pour les systèmes basés sur debian, le paquet ‘libpam-cracklib’ est utilisé à cet effet. Installe cet outil avec :

$ sudo apt install libpam-cracklib

Installons tous les paquets ci-dessus et réexécutons l’audit Lynis pour voir s’il y a une réduction du nombre de suggestions :

Installer libpam-cracklib
Une fois que ces paquets sont installés, exécute à nouveau l’audit :

$ sudo ./lynis audit system 

nombre réduit de suggestions
Cette fois, nous pouvons voir que le nombre de suggestions a été réduit à 44. L’indice de durcissement est également passé de 62 à 65. Note que lorsque nous installons de nouveaux plugins (Lynis Enterprise edition) ou que nous résolvons un problème en installant de nouveaux paquets, le temps d’audit peut augmenter, c’est ce qui s’est passé dans ce cas. Plus tu résoudras les problèmes et appliquera les suggestions, plus ton audit sera étendu et plus ton système sera durci.

Remarque : Pendant l’exploration d’une suggestion ou d’un avertissement, tu peux utiliser la commande ‘show details’ pour voir la description complète à l’aide de ‘test-id’. Par exemple, pour explorer ‘KRNL-5830’, utilise la commande :

sudo lynis show details KRNL-5830

Tu peux aussi utiliser le lien sous chaque test-id pour voir leur description sur les sites Web de CISOfy.

Conclusion

On peut avoir peur après avoir vu de nombreuses suggestions dans le résultat de l’audit pour la première fois. Cependant, il n’y a pas lieu de s’inquiéter. Prends-le comme un aperçu pour cartographier la sécurité de ton système. Certaines des suggestions consistent simplement à installer un paquet, à exécuter une simple commande, tandis que d’autres peuvent te demander de modifier plusieurs fichiers de configuration. Identifie simplement les problèmes et corrige toute vulnérabilité que tu découvres.

Vous aimerez aussi...