Comment auditer la sécurité de votre système Linux avec Lynis

Si vous effectuez un audit de sécurité sur votre ordinateur Linux avec Lynis, cela garantira que votre machine est aussi protégée que possible. La sécurité est essentielle pour les appareils connectés à Internet, alors voici comment vous assurer que les vôtres sont verrouillés en toute sécurité.

Quelle est la sécurité de votre ordinateur Linux?

Lynis effectue une suite de tests automatisés qui inspectent minutieusement de nombreux composants système et paramètres de votre système d’exploitation Linux. Il présente ses résultats dans un code couleur ASCII rapport sous forme de liste d’avertissements, de suggestions et d’actions notés à prendre.

La cybersécurité est un exercice d’équilibre. La paranoïa pure et simple n’est utile à personne, alors à quel point devriez-vous être préoccupé? Si vous visitez uniquement des sites Web réputés, n’ouvrez pas les pièces jointes ou ne suivez pas les liens dans les e-mails non sollicités et utilisez des mots de passe différents et robustes pour tous les systèmes auxquels vous vous connectez, quel danger subsiste? Surtout lorsque vous utilisez Linux?

Abordons-les à l’envers. Linux n’est pas à l’abri des logiciels malveillants. En fait, le tout premier ver informatique a été conçu pour cibler les ordinateurs Unix en 1988. Les rootkits ont été nommés d’après le superutilisateur Unix (root) et la collection de logiciels (kits) avec lesquels ils s’installent pour échapper à la détection. Cela donne au super-utilisateur l’accès à l’acteur de la menace (c’est-à-dire le méchant).

Pourquoi sont-ils nommés d’après root? Parce que le premier rootkit a été publié en 1990 et ciblé Microsystèmes Sun exécuter le SunOS Unix.

Ainsi, les logiciels malveillants ont commencé sous Unix. Il a sauté la clôture lorsque Windows a décollé et a monopolisé les projecteurs. Mais maintenant que Linux dirige le monde, il est de retour. Les systèmes d’exploitation de type Linux et Unix, comme macOS, attirent toute l’attention des acteurs de la menace.

Quel danger subsiste si vous êtes prudent, raisonnable et attentif lorsque vous utilisez votre ordinateur? La réponse est longue et détaillée. Pour le condenser un peu, les cyberattaques sont nombreuses et variées. Ils sont capables de faire des choses qui, il y a peu de temps, étaient considérées comme impossibles.

Rootkits, comme Ryuk, peut infecter les ordinateurs lorsqu’ils sont éteints en compromettant le wake-on-LAN fonctions de surveillance. Code de preuve de concept a également été développé. Une «attaque» réussie a été démontrée par des chercheurs de Université Ben-Gourion du Néguev qui permettrait aux acteurs de la menace d’exfiltrer les données d’un ordinateur à air.

Il est impossible de prédire de quoi les cybermenaces seront capables à l’avenir. Cependant, nous comprenons quels points des défenses d’un ordinateur sont vulnérables. Quelle que soit la nature des attaques présentes ou futures, il est logique de combler ces lacunes à l’avance.

Sur le nombre total de cyberattaques, seul un petit pourcentage vise consciemment des organisations ou des individus spécifiques. La plupart des menaces sont aveugles car les logiciels malveillants ne se soucient pas de qui vous êtes. L’analyse automatisée des ports et d’autres techniques recherchent simplement les systèmes vulnérables et les attaquent. Vous vous nommez comme victime en étant vulnérable.

Et c’est là qu’intervient Lynis.

Installer Lynis

Pour installer Lynis sur Ubuntu, exécutez la commande suivante:

sudo apt-get install lynis

sudo apt-get install lynis dans une fenêtre de terminal.

Sur Fedora, tapez:

sudo dnf install lynis

sudo dnf installe lynis dans une fenêtre de terminal.

Sur Manjaro, vous utilisez pacman:

sudo pacman -Sy lynis

sudo pacman -Sy lynis dans une fenêtre de terminal.

Effectuer un audit

Lynis est basé sur un terminal, il n’y a donc pas d’interface graphique. Pour démarrer un audit, ouvrez une fenêtre de terminal. Cliquez et faites-le glisser vers le bord de votre moniteur pour le faire monter à pleine hauteur ou l’étirer aussi haut que possible. Il y a beaucoup de sortie de Lynis, donc plus la fenêtre du terminal est grande, plus il sera facile de la consulter.

En relation :  Pourquoi vous devriez mettre à jour tous vos logiciels

C’est également plus pratique si vous ouvrez une fenêtre de terminal spécifiquement pour Lynis. Vous ferez beaucoup défiler vers le haut et vers le bas, donc ne pas avoir à gérer l’encombrement des commandes précédentes facilitera la navigation dans la sortie Lynis.

Pour démarrer l’audit, tapez cette commande simple et rafraîchissante:

sudo lynis audit system

sudo lynis audit system dans une fenêtre de terminal.

Les noms des catégories, les titres des tests et les résultats défileront dans la fenêtre du terminal à mesure que chaque catégorie de tests est terminée. Un audit ne prend au plus que quelques minutes. Une fois terminé, vous serez renvoyé à l’invite de commande. Pour examiner les résultats, faites simplement défiler la fenêtre du terminal.

La première section de l’audit détecte la version de Linux, la version du noyau et d’autres détails du système.

Section de détection du système d'un rapport d'audit Lynis dans une fenêtre de terminal.

Les zones à examiner sont surlignées en orange (suggestions) et en rouge (avertissements qui doivent être traités).

Voici un exemple d’avertissement. Lynis a analysé la postfix configuration du serveur de messagerie et signalé quelque chose à voir avec la bannière. Nous pouvons obtenir plus de détails sur ce qu’il a trouvé et pourquoi cela pourrait poser un problème plus tard.

La catégorie E-mail et messagerie génère un rapport d'audit Lynis dans une fenêtre de terminal.

Ci-dessous, Lynis nous avertit que le pare-feu n’est pas configuré sur la machine virtuelle Ubuntu que nous utilisons.

La catégorie Firewalls génère un rapport d'audit Lynis dans une fenêtre de terminal.

Faites défiler vos résultats pour voir ce que Lynis a signalé. Au bas du rapport d’audit, vous verrez un écran de résumé.

Écran de résumé du rapport d'audit Lynis dans une fenêtre de terminal.

«L’indice de durcissement» est votre score d’examen. Nous en avons 56 sur 100, ce qui n’est pas génial. Il y a eu 222 tests effectués et un plugin Lynis est activé. Si vous accédez au plugin Lynis Community Edition page de téléchargement et abonnez-vous à la newsletter, vous obtiendrez des liens vers plus de plugins.

Il existe de nombreux plugins, dont certains pour l’audit par rapport aux normes, tels que RGPD, ISO27001, et PCI-DSS.

Un V vert représente une coche. Vous pouvez également voir des points d’interrogation orange et des X rouges.

Nous avons des coches vertes car nous avons un pare-feu et un scanner de logiciels malveillants. À des fins de test, nous avons également installé rkhunter, un détecteur de rootkit, pour voir si Lynis le découvrirait. Comme vous pouvez le voir ci-dessus, il l’a fait; nous avons une coche verte à côté de “Malware Scanner”.

L’état de conformité est inconnu car l’audit n’a pas utilisé de plug-in de conformité. Les modules de sécurité et de vulnérabilité ont été utilisés dans ce test.

Deux fichiers sont générés: un journal et un fichier de données. Le fichier de données, situé dans «/var/log/lynis-report.dat», est celui qui nous intéresse. Il contiendra une copie des résultats (sans la couleur de surbrillance) que nous pouvons voir dans la fenêtre du terminal . Ceux-ci sont utiles pour voir comment votre indice de durcissement s’améliore avec le temps.

Si vous faites défiler vers l’arrière dans la fenêtre du terminal, vous verrez une liste de suggestions et une autre d’avertissements. Les avertissements sont les «gros billets», nous allons donc les examiner.

Une section d'avertissements dans un rapport d'audit Lynis dans une fenêtre de terminal.

Voici les cinq avertissements:

  • «La version de Lynis est très ancienne et devrait être mise à jour»: Il s’agit en fait de la dernière version de Lynis dans les référentiels Ubuntu. Bien qu’il n’ait que 4 mois, Lynis considère que c’est très ancien. Les versions des packages Manjaro et Fedora étaient plus récentes. Les mises à jour dans les gestionnaires de packages sont toujours susceptibles d’être légèrement en retard. Si vous voulez vraiment la dernière version, vous pouvez cloner le projet depuis GitHub et gardez-le synchronisé.
  • “Aucun mot de passe défini pour le mode unique”: Single est un mode de récupération et de maintenance dans lequel seul l’utilisateur root est opérationnel. Aucun mot de passe n’est défini pour ce mode par défaut.
  • “Impossible de trouver 2 serveurs de noms réactifs”: Lynis a tenté de communiquer avec deux serveurs DNS, mais sans succès. Ceci est un avertissement que si le serveur DNS actuel échoue, il n’y aura pas de basculement automatique vers un autre.
  • “Nous avons trouvé une divulgation d’informations dans la bannière SMTP”: La divulgation d’informations se produit lorsque des applications ou des équipements réseau donnent leur marque et leur numéro de modèle (ou d’autres informations) dans des réponses standard. Cela peut donner aux acteurs de la menace ou aux programmes malveillants automatisés un aperçu des types de vulnérabilité à rechercher. Une fois qu’ils ont identifié le logiciel ou l’appareil auquel ils se sont connectés, une simple recherche trouvera les vulnérabilités qu’ils peuvent essayer d’exploiter.
  • “Module (s) iptables chargé (s), mais aucune règle active”: Le pare-feu Linux est opérationnel, mais aucune règle n’est définie pour cela.
En relation :  Comment configurer votre Mac pour qu'il s'allume automatiquement chaque jour

Effacer les avertissements

Chaque avertissement comporte un lien vers une page Web qui décrit le problème et ce que vous pouvez faire pour y remédier. Placez simplement le pointeur de votre souris sur l’un des liens, puis appuyez sur Ctrl et cliquez dessus. Votre navigateur par défaut s’ouvrira sur la page Web pour ce message ou cet avertissement.

La page ci-dessous s’est ouverte pour nous lorsque nous avons cliqué sur Ctrl + clic sur le lien du quatrième avertissement que nous avons couvert dans la section précédente.

Une page Web d'avertissement d'audit Lynis.

Vous pouvez examiner chacun de ces éléments et décider des avertissements à traiter.

La page Web ci-dessus explique que l’extrait d’informations par défaut (la «bannière») envoyé à un système distant lorsqu’il se connecte au serveur de messagerie postfix configuré sur notre ordinateur Ubuntu est trop détaillé. Il n’y a aucun avantage à offrir trop d’informations – en fait, elles sont souvent utilisées contre vous.

La page Web nous indique également que la bannière réside dans «/etc/postfix/main.cf». Il nous conseille de le réduire pour afficher uniquement «$ myhostname ESMTP».

Nous tapons ce qui suit pour modifier le fichier comme le recommande Lynis:

sudo gedit /etc/postfix/main.cf

sudo gedit /etc/postfix/main.cf dans une fenêtre de terminal.

Nous localisons la ligne dans le fichier qui définit la bannière.

postfix fichier main.cf dans un éditeur gedit avec la ligne smtp_banner en surbrillance.

Nous le modifions pour afficher uniquement le texte recommandé par Lynis.

postfix fichier main.cf dans un éditeur gedit avec la ligne smtp_banner modifiée en surbrillance.

Nous enregistrons nos modifications et fermons gedit. Nous devons maintenant redémarrer le postfix serveur de messagerie pour que les modifications prennent effet:

sudo systemctl restart postfix

sudo lynis audit system dans une fenêtre de terminal.

Maintenant, exécutons à nouveau Lynis et voyons si nos modifications ont eu un effet.

sudo lynis audit system dans une fenêtre de terminal.

La section «Avertissements» n’en affiche plus que quatre. Celui qui fait référence postfix est parti.

section avertissements d'un rapport d'audit Lynis, dans une fenêtre de terminal.

Un en bas, et juste quatre autres avertissements et 50 suggestions à faire!

Jusqu’où devriez-vous aller?

Si vous n’avez jamais fait de renforcement du système sur votre ordinateur, vous aurez probablement à peu près le même nombre d’avertissements et de suggestions. Vous devez les examiner tous et, en vous guidant par les pages Web Lynis pour chacun, émettre un jugement sur l’opportunité d’y remédier.

La méthode des manuels, bien sûr, serait d’essayer de tous les effacer. Cela pourrait être plus facile à dire qu’à faire. De plus, certaines des suggestions peuvent être exagérées pour l’ordinateur domestique moyen.

Liste noire des pilotes du noyau USB pour désactiver l’accès USB lorsque vous ne l’utilisez pas? Pour un ordinateur critique qui fournit un service commercial sensible, cela peut être nécessaire. Mais pour un PC domestique Ubuntu? Probablement pas.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.