TMP-Hosting/Lynis/v2

Démo Lynis — remédiation des WARNINGS critiques

Correspondance entre chaque écart introduit par degrade-security-critical.sh, le warning Lynis attendu, et la correction.

#	Écart introduit	Warning Lynis	Correction
1	Fichier /run/reboot-required présent	KRNL-5830 — reboot needed	Redémarrer la VM (reboot) après les mises à jour
2	Compte backdoor0 avec UID 0	AUTH-9216 — multiple users with UID 0	userdel backdoor0 ; un seul compte (root) doit avoir l'UID 0
3	Compte demoempty sans mot de passe	AUTH-9216 / AUTH-9204 — account without password	Définir un mot de passe (passwd demoempty), verrouiller (passwd -l) ou supprimer le compte
4	/etc/shadow lisible par tous	permissions critiques	chmod 640 /etc/shadow (propriétaire root:shadow)
5	systemd-timesyncd désactivé	TIME-3104 — no NTP daemon/client	systemctl enable --now systemd-timesyncd (ou installer chrony)
6	rsyslog désactivé	LOGG-2130 — no syslog daemon	systemctl enable --now rsyslog
7	(option) resolv.conf injoignable	NETW-2705 — nameservers not responsive	Remettre des résolveurs valides dans /etc/resolv.conf

Pourquoi ces points sont des « warnings » et pas des « suggestions »

Lynis réserve les warnings aux états qui représentent un problème concret et immédiat (accès root multiple, compte sans authentification, secrets exposés, système qui ne se synchronise plus dans le temps, absence de journalisation, redémarrage en attente après mise à jour de noyau). Les suggestions, elles, sont des recommandations d'amélioration sur une configuration par ailleurs fonctionnelle (durcissement SSH, sysctl, umask, bannières…).

Bon réflexe pour la démo : montrer le Hardening index et le nombre de Warnings / Suggestions avant puis après, et ouvrir le rapport détaillé :

sudo lynis audit system
sudo less /var/log/lynis.log
grep -i 'warning' /var/log/lynis-report.dat

Tout remettre en l'état

sudo /root/lynis-demo-backups/<date>/restore.sh
sudo reboot   # conseillé (efface notamment KRNL-5830)