0

Lynis – Hardening de votre OS Linux

Lorsque l’on souhaite renforcer la sécurité d’un OS Linux il y a beaucoup à faire. De l’accès SSH aux mises à jour du kernel on se trouve vite perdu tant la tâche est lourde. Afin de pouvoir s’organiser il existe un outil qui réalise un check-up du système et donne quelques postes pour commencer à durcir votre système.

Lynis est un logiciel libre d’audit de sécurité extensible pour les ordinateurs ou machines virtuelles utilisant les systèmes d’exploitation tels que AIX, FreeBSD, HP-UX, Linux, macOS, NetBSD, OpenBSD, Solaris et autres dérivés d’Unix ou de type POSIX. Il assiste les administrateurs systèmes et les professionnels de la sécurité dans la tâche d’examen rapide (scan) d’un système et de ses défenses de sécurité, ceci dans un but de durcissement (en anglais system hardening).

https://fr.wikipedia.org/wiki/Lynis

1 – Installer Lynis

apt install lynis

2 – Lancer un scan

lynis -c

Le scan se lance et vas passer le système au crible.

Ici j’utilise Lynis sur mon PC de bureau (Elementary OS).

Voici les vérifications dans les grandes lignes :

  • Vérification du sytème (version, vérification des binaires de base, chiffrement, Kernel)
  • Vérification de l’authentification (SSH, PAM)
  • Boot and services : vérification de grub et des services en exécution et au démarrage
  • Vérification de la mémoire et des processus
  • Vérification des utilisateurs et des groupes
  • Vérification des services réseaux (firewall, ports …)
  • et bien plus

A la fin du scan Lynis proposes quelques pistes d’améliorations. En voici quelques exemples :

- Install fail2ban to automatically ban hosts that commit multiple authentication errors. [DEB-0880]https://cisofy.com/controls/DEB-0880/- Set a password on GRUB bootloader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]- Configure password aging limits to enforce password changing on a regular base [AUTH-9286]https://cisofy.com/controls/AUTH-9286/ - Check your resolv.conf file and fill in a backup nameserver if possible [NETW-2705]https://cisofy.com/controls/NETW-2705/

Chaque proposition est accompagné d’un lien pour obtenir plus de détails.

Dans le cadre d’un serveur web, ftp, ssh je recommande de commencer par les stratégies suivantes :

  • Authentification SSH par clé
  • Installation de fail2ban
  • Renforcer la politique de mot de passe
  • Renforcer la sécurité de SSH
  • Installer iptables et ne laisser que les ports nécessaires
  • Supprimer les services non nécessaires
  • Notification par mail des connexion du compte root
  • Changer les ports par défaut des services (pour éviter le scan des bots)
  • Désactiver IPv6
  • Désactiver les différentes « banner »

Quelques ressources :

https://www.cyberciti.biz/tips/linux-security.html

 

 

admin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *