Comment auditer la sécurité de votre système Linux avec Lynis

Publié: 2022-01-29
Une invite de terminal sur un système Linux.
Fatmawati Achmad Zaenuri/Shutterstock

Si vous effectuez un audit de sécurité sur votre ordinateur Linux avec Lynis, cela garantira que votre machine est aussi protégée que possible. La sécurité est primordiale pour les appareils connectés à Internet, alors voici comment vous assurer que les vôtres sont verrouillés en toute sécurité.

Quel est le degré de sécurité de votre ordinateur Linux ?

Lynis effectue une suite de tests automatisés qui inspectent minutieusement de nombreux composants système et paramètres de votre système d'exploitation Linux. Il présente ses résultats dans un rapport ASCII codé par couleur sous la forme d'une liste d'avertissements, de suggestions et d'actions gradués à entreprendre.

La cybersécurité est un exercice d'équilibre. La paranoïa pure et simple n'est utile à personne, alors à quel point devriez-vous vous inquiéter ? Si vous ne visitez que des sites Web réputés, n'ouvrez pas les pièces jointes ou ne suivez pas les liens dans les e-mails non sollicités et utilisez des mots de passe différents et robustes pour tous les systèmes auxquels vous vous connectez, quel danger subsiste-t-il ? Surtout quand vous utilisez Linux ?

Abordons ceux à l'envers. Linux n'est pas à l'abri des logiciels malveillants. En fait, le tout premier ver informatique a été conçu pour cibler les ordinateurs Unix en 1988. Les rootkits ont été nommés d'après le superutilisateur Unix (root) et l'ensemble de logiciels (kits) avec lesquels ils s'installent pour échapper à la détection. Cela permet au superutilisateur d'accéder à l'auteur de la menace (c'est-à-dire au méchant).

Pourquoi sont-ils nommés d'après la racine ? Parce que le premier rootkit a été publié en 1990 et ciblait Sun Microsystems exécutant SunOS Unix.

Publicité

Ainsi, les logiciels malveillants ont fait leurs débuts sur Unix. Il a sauté la clôture lorsque Windows a décollé et accaparé les projecteurs. Mais maintenant que Linux dirige le monde, il est de retour. Les systèmes d'exploitation de type Linux et Unix, comme macOS, attirent toute l'attention des pirates.

Quel danger subsiste si vous êtes prudent, sensé et attentif lorsque vous utilisez votre ordinateur ? La réponse est longue et détaillée. Pour résumer un peu, les cyberattaques sont nombreuses et variées. Ils sont capables de faire des choses qui, il y a encore peu de temps, étaient considérées comme impossibles.

Les rootkits, comme Ryuk, peuvent infecter les ordinateurs lorsqu'ils sont éteints en compromettant les fonctions de surveillance du réveil sur LAN. Un code de preuve de concept a également été développé. Une "attaque" réussie a été démontrée par des chercheurs de l'Université Ben Gourion du Néguev qui permettrait aux acteurs de la menace d'exfiltrer les données d'un ordinateur isolé.

Il est impossible de prédire de quoi les cybermenaces seront capables à l'avenir. Cependant, nous comprenons quels points des défenses d'un ordinateur sont vulnérables. Quelle que soit la nature des attaques présentes ou futures, il est logique de combler ces lacunes à l'avance.

Sur le nombre total de cyberattaques, seul un petit pourcentage cible consciemment des organisations ou des individus spécifiques. La plupart des menaces sont aveugles car les logiciels malveillants ne se soucient pas de qui vous êtes. L'analyse automatisée des ports et d'autres techniques recherchent simplement les systèmes vulnérables et les attaquent. Vous vous désignez comme victime en étant vulnérable.

Et c'est là que Lynis entre en jeu.

Installation de Lynis

Pour installer Lynis sur Ubuntu, exécutez la commande suivante :

 sudo apt-get install lynis 

Sur Fedora, tapez :

 sudo dnf installer lynis 

Sur Manjaro, vous utilisez pacman :

 sudo pacman-Sy lynis 

Réalisation d'un audit

Lynis est basé sur un terminal, il n'y a donc pas d'interface graphique. Pour démarrer un audit, ouvrez une fenêtre de terminal. Cliquez et faites-le glisser vers le bord de votre moniteur pour le faire s'aligner sur toute sa hauteur ou l'étirer aussi haut que possible. Il y a beaucoup de sortie de Lynis, donc plus la fenêtre du terminal est grande, plus il sera facile de la réviser.

Publicité

Il est également plus pratique d'ouvrir une fenêtre de terminal spécifiquement pour Lynis. Vous allez beaucoup défiler de haut en bas, donc ne pas avoir à gérer l'encombrement des commandes précédentes facilitera la navigation dans la sortie Lynis.

Pour démarrer l'audit, saisissez cette commande simple et rafraîchissante :

 système d'audit sudo lynis 

Les noms des catégories, les titres des tests et les résultats défilent dans la fenêtre du terminal au fur et à mesure que chaque catégorie de tests est terminée. Un audit ne prend que quelques minutes au maximum. Une fois terminé, vous serez renvoyé à l'invite de commande. Pour examiner les résultats, faites simplement défiler la fenêtre du terminal.

La première section de l'audit détecte la version de Linux, la version du noyau et d'autres détails du système.

Les domaines qui doivent être examinés sont surlignés en orange (suggestions) et en rouge (avertissements qui doivent être traités).

Vous trouverez ci-dessous un exemple d'avertissement. Lynis a analysé la configuration du serveur de messagerie postfix et a signalé quelque chose à voir avec la bannière. Nous pouvons obtenir plus de détails sur ce qu'il a trouvé et pourquoi cela pourrait être un problème plus tard.

Ci-dessous, Lynis nous avertit que le pare-feu n'est pas configuré sur la machine virtuelle Ubuntu que nous utilisons.

Publicité

Faites défiler vos résultats pour voir ce que Lynis a signalé. Au bas du rapport d'audit, vous verrez un écran récapitulatif.

"L'indice de durcissement" est votre score d'examen. Nous avons obtenu 56 sur 100, ce qui n'est pas génial. 222 tests ont été effectués et un plugin Lynis est activé. Si vous accédez à la page de téléchargement du plug-in Lynis Community Edition et que vous vous abonnez à la newsletter, vous obtiendrez des liens vers d'autres plug-ins.

Il existe de nombreux plugins, dont certains pour l'audit par rapport aux normes, telles que GDPR, ISO27001 et PCI-DSS.

Un V vert représente une coche. Vous pouvez également voir des points d'interrogation orange et des X rouges.

Nous avons des coches vertes car nous avons un pare-feu et un scanner de logiciels malveillants. À des fins de test, nous avons également installé rkhunter, un détecteur de rootkit, pour voir si Lynis le découvrirait. Comme vous pouvez le voir ci-dessus, c'est le cas ; nous avons une coche verte à côté de "Malware Scanner".

L'état de conformité est inconnu, car l'audit n'a pas utilisé de plug-in de conformité. Les modules de sécurité et de vulnérabilité ont été utilisés dans ce test.

Publicité

Deux fichiers sont générés : un journal et un fichier de données. Le fichier de données, situé dans "/var/log/lynis-report.dat", est celui qui nous intéresse. Il contiendra une copie des résultats (sans la surbrillance de couleur) que nous pouvons voir dans la fenêtre du terminal . Ceux-ci sont utiles pour voir comment votre indice de durcissement s'améliore avec le temps.

Si vous faites défiler vers l'arrière dans la fenêtre du terminal, vous verrez une liste de suggestions et une autre d'avertissements. Les avertissements sont les éléments "gros billets", nous allons donc les examiner.

Voici les cinq avertissements :

  • « La version de Lynis est très ancienne et doit être mise à jour » : il s'agit en fait de la dernière version de Lynis dans les dépôts Ubuntu. Bien qu'elle n'ait que 4 mois, Lynis la considère comme très ancienne. Les versions des packages Manjaro et Fedora étaient plus récentes. Les mises à jour dans les gestionnaires de packages sont toujours susceptibles d'être légèrement en retard. Si vous voulez vraiment la dernière version, vous pouvez cloner le projet depuis GitHub et le garder synchronisé.
  • "Aucun mot de passe défini pour le mode unique" : unique est un mode de récupération et de maintenance dans lequel seul l'utilisateur root est opérationnel. Aucun mot de passe n'est défini pour ce mode par défaut.
  • "Impossible de trouver 2 serveurs de noms réactifs" : Lynis a tenté de communiquer avec deux serveurs DNS, mais sans succès. Il s'agit d'un avertissement indiquant que si le serveur DNS actuel échoue, il n'y aura pas de basculement automatique vers un autre.
  • « Trouvé une divulgation d'informations dans la bannière SMTP » : la divulgation d'informations se produit lorsque des applications ou des équipements réseau donnent leurs numéros de marque et de modèle (ou d'autres informations) dans des réponses standard. Cela peut donner aux acteurs de la menace ou aux logiciels malveillants automatisés un aperçu des types de vulnérabilité à rechercher. Une fois qu'ils ont identifié le logiciel ou l'appareil auquel ils se sont connectés, une simple recherche trouvera les vulnérabilités qu'ils peuvent essayer d'exploiter.
  • "Module(s) iptables chargé(s), mais aucune règle active" : le pare-feu Linux est opérationnel, mais aucune règle n'est définie pour lui.

Suppression des avertissements

Chaque avertissement comporte un lien vers une page Web qui décrit le problème et ce que vous pouvez faire pour y remédier. Passez simplement le pointeur de votre souris sur l'un des liens, puis appuyez sur Ctrl et cliquez dessus. Votre navigateur par défaut s'ouvrira sur la page Web de ce message ou de cet avertissement.

La page ci-dessous s'est ouverte pour nous lorsque nous avons Ctrl + cliqué sur le lien du quatrième avertissement que nous avons couvert dans la section précédente.

Une page Web d'avertissement d'audit Lynis.

Vous pouvez examiner chacun d'entre eux et décider des avertissements à traiter.

La page Web ci-dessus explique que l'extrait d'information par défaut (la "bannière") envoyé à un système distant lorsqu'il se connecte au serveur de messagerie postfix configuré sur notre ordinateur Ubuntu est trop verbeux. Il n'y a aucun avantage à fournir trop d'informations - en fait, cela est souvent utilisé contre vous.

Publicité

La page Web nous indique également que la bannière réside dans "/etc/postfix/main.cf". Il nous conseille de le réduire pour n'afficher que "$ myhostname ESMTP".

Nous tapons ce qui suit pour modifier le fichier comme Lynis le recommande :

 sudo gedit /etc/postfix/main.cf 

Nous localisons la ligne dans le fichier qui définit la bannière.

Nous le modifions pour afficher uniquement le texte recommandé par Lynis.

Nous enregistrons nos modifications et gedit . Nous devons maintenant redémarrer le serveur de messagerie postfix pour que les modifications prennent effet :

 sudo systemctl redémarrage postfix 

Maintenant, exécutons Lynis une fois de plus et voyons si nos modifications ont eu un effet.

Publicité

La section "Avertissements" n'en affiche plus que quatre. Celui faisant référence à postfix a disparu.

Un down, et seulement quatre avertissements de plus et 50 suggestions à faire !

Jusqu'où devriez-vous aller ?

Si vous n'avez jamais renforcé le système sur votre ordinateur, vous aurez probablement à peu près le même nombre d'avertissements et de suggestions. Vous devriez tous les examiner et, guidé par les pages Web de Lynis pour chacun, prendre une décision quant à l'opportunité d'y répondre.

La méthode classique, bien sûr, serait d'essayer de tous les effacer. Cela pourrait être plus facile à dire qu'à faire, cependant. De plus, certaines des suggestions pourraient être exagérées pour l'ordinateur domestique moyen.

Mettre sur liste noire les pilotes du noyau USB pour désactiver l'accès USB lorsque vous ne l'utilisez pas ? Pour un ordinateur critique qui fournit un service métier sensible, cela peut être nécessaire. Mais pour un PC domestique Ubuntu ? Probablement pas.