Add Lynis/v2/README.md
This commit is contained in:
parent
3297230424
commit
7a78cef59f
1 changed files with 39 additions and 0 deletions
39
Lynis/v2/README.md
Normal file
39
Lynis/v2/README.md
Normal file
|
|
@ -0,0 +1,39 @@
|
|||
# Démo Lynis — remédiation des WARNINGS critiques
|
||||
|
||||
Correspondance entre chaque écart introduit par `degrade-security-critical.sh`,
|
||||
le **warning** Lynis attendu, et la correction.
|
||||
|
||||
| # | Écart introduit | Warning Lynis | Correction |
|
||||
|---|---|---|---|
|
||||
| 1 | Fichier `/run/reboot-required` présent | `KRNL-5830` — *reboot needed* | Redémarrer la VM (`reboot`) après les mises à jour |
|
||||
| 2 | Compte `backdoor0` avec UID 0 | `AUTH-9216` — *multiple users with UID 0* | `userdel backdoor0` ; un seul compte (root) doit avoir l'UID 0 |
|
||||
| 3 | Compte `demoempty` sans mot de passe | `AUTH-9216 / AUTH-9204` — *account without password* | Définir un mot de passe (`passwd demoempty`), verrouiller (`passwd -l`) ou supprimer le compte |
|
||||
| 4 | `/etc/shadow` lisible par tous | permissions critiques | `chmod 640 /etc/shadow` (propriétaire `root:shadow`) |
|
||||
| 5 | `systemd-timesyncd` désactivé | `TIME-3104` — *no NTP daemon/client* | `systemctl enable --now systemd-timesyncd` (ou installer `chrony`) |
|
||||
| 6 | `rsyslog` désactivé | `LOGG-2130` — *no syslog daemon* | `systemctl enable --now rsyslog` |
|
||||
| 7 | (option) `resolv.conf` injoignable | `NETW-2705` — *nameservers not responsive* | Remettre des résolveurs valides dans `/etc/resolv.conf` |
|
||||
|
||||
## Pourquoi ces points sont des « warnings » et pas des « suggestions »
|
||||
|
||||
Lynis réserve les **warnings** aux états qui représentent un problème concret et
|
||||
immédiat (accès root multiple, compte sans authentification, secrets exposés,
|
||||
système qui ne se synchronise plus dans le temps, absence de journalisation,
|
||||
redémarrage en attente après mise à jour de noyau). Les **suggestions**, elles,
|
||||
sont des recommandations d'amélioration sur une configuration par ailleurs
|
||||
fonctionnelle (durcissement SSH, sysctl, umask, bannières…).
|
||||
|
||||
Bon réflexe pour la démo : montrer le `Hardening index` et le nombre de
|
||||
`Warnings` / `Suggestions` avant puis après, et ouvrir le rapport détaillé :
|
||||
|
||||
```
|
||||
sudo lynis audit system
|
||||
sudo less /var/log/lynis.log
|
||||
grep -i 'warning' /var/log/lynis-report.dat
|
||||
```
|
||||
|
||||
## Tout remettre en l'état
|
||||
|
||||
```
|
||||
sudo /root/lynis-demo-backups/<date>/restore.sh
|
||||
sudo reboot # conseillé (efface notamment KRNL-5830)
|
||||
```
|
||||
Loading…
Add table
Add a link
Reference in a new issue