Geeek - Le blog Geek & High-tech

Vous vous demandez quel est le niveau de sécurité de votre serveur Linux ?

Lynis est un script shell permettant d'auditer votre environnement Linux de fond en comble, de vous donner un indice de sécurisation de votre environnement et des recommandations pour améliorer la sécurité de votre environnement.

Les objectifs de Lynis sont simples :

  • Réaliser des tests automatiques de sécurité.
  • Tester la compliance à des normes de sécurité (ISO27001, PCI-DSS, HIPAA).
  • Détecter des vulnérabilités.

Lynis peut aussi vous assister dans la vérification de votre configuration de Hardening, tester une escalade de privilèges, vérifier le bon patching de votre serveur, détecter une intrusion ...

Lynis est Opensource et disponible sur GitHub, vous le trouverez aussi sous forme de packages Linux dans le repository de Cisofy, la société qui édite ce logiciel.

Sur Ubuntu, voici les commandes pour ajouter le repository à votre gestionnaire de package et pour installer Lynis :

$ wget -O - https://packages.cisofy.com/keys/cisofy-software-public.key | sudo apt-key add -
$ sudo apt-get install lynis -y

Une fois installé, vous pourrez lancer une analyse de votre propre machine en tapant la commande suivante :

$ sudo lynis audit system

Ma version actuelle de Lynis réalise 208 tests et produit en synthèse une note "Hardening index" indiquant le niveau de sécurité de l'environnement :

lynis-audit

Dans mon cas, la note donnée est de 56/100, elle correspond au niveau de sécurité de WSL2 / Kali Linux.

Vous avez aussi la possibilité d'exécuter un audit sur une machine distante en tapant la commande suivante et en suivant chacune des étapes indiquées par Lynis :

$ sudo lynis audit system remote <mon serveur>

Bref, Lynis est un outil très intéressant pour progresser sur le hardening d'environnements Linux. Il vous donnera des suggestions et une liste de points de remédiation à prendre en compte pour protéger votre système contre des attaques.

Pour aller plus loin dans l'analyse de sécurité, vous pouvez jeter un oeil sur Nessus, Portsentry ou bien Fail2ban


Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site