From 7a78cef59fe93be0b83d0ca0ced9cc4e6724c255 Mon Sep 17 00:00:00 2001 From: Willy Date: Tue, 9 Jun 2026 21:19:09 +0200 Subject: [PATCH] Add Lynis/v2/README.md --- Lynis/v2/README.md | 39 +++++++++++++++++++++++++++++++++++++++ 1 file changed, 39 insertions(+) create mode 100644 Lynis/v2/README.md diff --git a/Lynis/v2/README.md b/Lynis/v2/README.md new file mode 100644 index 0000000..b4bbc92 --- /dev/null +++ b/Lynis/v2/README.md @@ -0,0 +1,39 @@ +# Démo Lynis — remédiation des WARNINGS critiques + +Correspondance entre chaque écart introduit par `degrade-security-critical.sh`, +le **warning** Lynis attendu, et la correction. + +| # | Écart introduit | Warning Lynis | Correction | +|---|---|---|---| +| 1 | Fichier `/run/reboot-required` présent | `KRNL-5830` — *reboot needed* | Redémarrer la VM (`reboot`) après les mises à jour | +| 2 | Compte `backdoor0` avec UID 0 | `AUTH-9216` — *multiple users with UID 0* | `userdel backdoor0` ; un seul compte (root) doit avoir l'UID 0 | +| 3 | Compte `demoempty` sans mot de passe | `AUTH-9216 / AUTH-9204` — *account without password* | Définir un mot de passe (`passwd demoempty`), verrouiller (`passwd -l`) ou supprimer le compte | +| 4 | `/etc/shadow` lisible par tous | permissions critiques | `chmod 640 /etc/shadow` (propriétaire `root:shadow`) | +| 5 | `systemd-timesyncd` désactivé | `TIME-3104` — *no NTP daemon/client* | `systemctl enable --now systemd-timesyncd` (ou installer `chrony`) | +| 6 | `rsyslog` désactivé | `LOGG-2130` — *no syslog daemon* | `systemctl enable --now rsyslog` | +| 7 | (option) `resolv.conf` injoignable | `NETW-2705` — *nameservers not responsive* | Remettre des résolveurs valides dans `/etc/resolv.conf` | + +## Pourquoi ces points sont des « warnings » et pas des « suggestions » + +Lynis réserve les **warnings** aux états qui représentent un problème concret et +immédiat (accès root multiple, compte sans authentification, secrets exposés, +système qui ne se synchronise plus dans le temps, absence de journalisation, +redémarrage en attente après mise à jour de noyau). Les **suggestions**, elles, +sont des recommandations d'amélioration sur une configuration par ailleurs +fonctionnelle (durcissement SSH, sysctl, umask, bannières…). + +Bon réflexe pour la démo : montrer le `Hardening index` et le nombre de +`Warnings` / `Suggestions` avant puis après, et ouvrir le rapport détaillé : + +``` +sudo lynis audit system +sudo less /var/log/lynis.log +grep -i 'warning' /var/log/lynis-report.dat +``` + +## Tout remettre en l'état + +``` +sudo /root/lynis-demo-backups//restore.sh +sudo reboot # conseillé (efface notamment KRNL-5830) +``` \ No newline at end of file