Willy/TMP-Hosting
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Add Lynis/v2/README.md

Browse source
This commit is contained in:
Willy 2026-06-09 21:19:09 +02:00
parent 3297230424
commit 7a78cef59f
1 changed files with 39 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

39
Lynis/v2/README.md Normal file
View file

@ -0,0 +1,39 @@
# Démo Lynis — remédiation des WARNINGS critiques
Correspondance entre chaque écart introduit par `degrade-security-critical.sh`,
le **warning** Lynis attendu, et la correction.
| # | Écart introduit | Warning Lynis | Correction |
|---|---|---|---|
| 1 | Fichier `/run/reboot-required` présent | `KRNL-5830`*reboot needed* | Redémarrer la VM (`reboot`) après les mises à jour |
| 2 | Compte `backdoor0` avec UID 0 | `AUTH-9216`*multiple users with UID 0* | `userdel backdoor0` ; un seul compte (root) doit avoir l'UID 0 |
| 3 | Compte `demoempty` sans mot de passe | `AUTH-9216 / AUTH-9204`*account without password* | Définir un mot de passe (`passwd demoempty`), verrouiller (`passwd -l`) ou supprimer le compte |
| 4 | `/etc/shadow` lisible par tous | permissions critiques | `chmod 640 /etc/shadow` (propriétaire `root:shadow`) |
| 5 | `systemd-timesyncd` désactivé | `TIME-3104`*no NTP daemon/client* | `systemctl enable --now systemd-timesyncd` (ou installer `chrony`) |
| 6 | `rsyslog` désactivé | `LOGG-2130`*no syslog daemon* | `systemctl enable --now rsyslog` |
| 7 | (option) `resolv.conf` injoignable | `NETW-2705`*nameservers not responsive* | Remettre des résolveurs valides dans `/etc/resolv.conf` |
## Pourquoi ces points sont des « warnings » et pas des « suggestions »
Lynis réserve les **warnings** aux états qui représentent un problème concret et
immédiat (accès root multiple, compte sans authentification, secrets exposés,
système qui ne se synchronise plus dans le temps, absence de journalisation,
redémarrage en attente après mise à jour de noyau). Les **suggestions**, elles,
sont des recommandations d'amélioration sur une configuration par ailleurs
fonctionnelle (durcissement SSH, sysctl, umask, bannières…).
Bon réflexe pour la démo : montrer le `Hardening index` et le nombre de
`Warnings` / `Suggestions` avant puis après, et ouvrir le rapport détaillé :
```
sudo lynis audit system
sudo less /var/log/lynis.log
grep -i 'warning' /var/log/lynis-report.dat
```
## Tout remettre en l'état
```
sudo /root/lynis-demo-backups/<date>/restore.sh
sudo reboot # conseillé (efface notamment KRNL-5830)
```