# Démo Lynis — remédiation des WARNINGS critiques

Correspondance entre chaque écart introduit par `degrade-security-critical.sh`,
le **warning** Lynis attendu, et la correction.

| # | Écart introduit | Warning Lynis | Correction |
|---|---|---|---|
| 1 | Fichier `/run/reboot-required` présent | `KRNL-5830` — *reboot needed* | Redémarrer la VM (`reboot`) après les mises à jour |
| 2 | Compte `backdoor0` avec UID 0 | `AUTH-9216` — *multiple users with UID 0* | `userdel backdoor0` ; un seul compte (root) doit avoir l'UID 0 |
| 3 | Compte `demoempty` sans mot de passe | `AUTH-9216 / AUTH-9204` — *account without password* | Définir un mot de passe (`passwd demoempty`), verrouiller (`passwd -l`) ou supprimer le compte |
| 4 | `/etc/shadow` lisible par tous | permissions critiques | `chmod 640 /etc/shadow` (propriétaire `root:shadow`) |
| 5 | `systemd-timesyncd` désactivé | `TIME-3104` — *no NTP daemon/client* | `systemctl enable --now systemd-timesyncd` (ou installer `chrony`) |
| 6 | `rsyslog` désactivé | `LOGG-2130` — *no syslog daemon* | `systemctl enable --now rsyslog` |
| 7 | (option) `resolv.conf` injoignable | `NETW-2705` — *nameservers not responsive* | Remettre des résolveurs valides dans `/etc/resolv.conf` |

## Pourquoi ces points sont des « warnings » et pas des « suggestions »

Lynis réserve les **warnings** aux états qui représentent un problème concret et
immédiat (accès root multiple, compte sans authentification, secrets exposés,
système qui ne se synchronise plus dans le temps, absence de journalisation,
redémarrage en attente après mise à jour de noyau). Les **suggestions**, elles,
sont des recommandations d'amélioration sur une configuration par ailleurs
fonctionnelle (durcissement SSH, sysctl, umask, bannières…).

Bon réflexe pour la démo : montrer le `Hardening index` et le nombre de
`Warnings` / `Suggestions` avant puis après, et ouvrir le rapport détaillé :

```
sudo lynis audit system
sudo less /var/log/lynis.log
grep -i 'warning' /var/log/lynis-report.dat
```

## Tout remettre en l'état

```
sudo /root/lynis-demo-backups/<date>/restore.sh
sudo reboot   # conseillé (efface notamment KRNL-5830)
```