Mon compte | Contactez-nous | 01 76 23 10 11 |
EN EN
Retourner sur le site

Audit sécurité avec Lynis

Auditer la sécurité de votre VPS HolyCloud avec Lynis : durcissement, conformité et recommandations actionnables.

~10 min de lecture Intermédiaire #lynis #securite #audit #durcissement

Audit sécurité avec Lynis

Lynis analyse un système Linux et produit un rapport de durcissement (hardening), utile sur tout VPS Linux HolyCloud avant mise en production ou après incident. Il ne remplace pas un pentest, mais donne une checklist priorisée.

Prérequis

  • VPS HolyCloud Ubuntu/Debian, accès root ou sudo
  • Snapshot HolyCloud recommandé avant modifications massives suggérées par le rapport
  • 5 à 15 minutes d'exécution selon la taille du système

Étape 1 : installation

Via dépôt ou paquet :

sudo apt update
sudo apt install -y lynis
lynis show version

Installation script upstream (version récente) :

cd /tmp
curl -sL https://downloads.cisofy.com/lynis/lynis-3.0.9.tar.gz -o lynis.tar.gz
tar xzf lynis.tar.gz
cd lynis
sudo ./lynis audit system

Étape 2 : audit complet

sudo lynis audit system

Options utiles :

sudo lynis audit system --quick
sudo lynis audit system --profile /etc/lynis/default.prf

Le rapport s'affiche en fin d'exécution avec un hardening index (score) et des suggestions [ ].

Étape 3 : lire le rapport

Rapport détaillé :

sudo grep -E 'suggestion|warning' /var/log/lynis-report.dat | tail -30
less /var/log/lynis.log

Résumé des tests :

sudo lynis show details
sudo lynis report

Fichiers importants :

| Fichier | Contenu |

|---------|---------|

| /var/log/lynis.log | Journal d'exécution |

| /var/log/lynis-report.dat | Résultats structurés |

Étape 4 : actions courantes après Lynis (VPS HolyCloud)

SSH

Lynis recommande souvent :

sudo sed -i 's/^#*PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo sed -i 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl reload sshd

Gardez une session SSH ouverte et testez une nouvelle connexion avant de fermer l'ancienne.

Mises à jour

sudo apt update && sudo apt upgrade -y
sudo apt install -y unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

Pare-feu

sudo ufw default deny incoming
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Fail2ban

sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban

Permissions

sudo chmod 600 /etc/ssh/sshd_config
sudo find /home -maxdepth 2 -name '.ssh' -type d -exec chmod 700 {} \;
sudo find /home -path '*/.ssh/authorized_keys' -exec chmod 600 {} \;

Étape 5 : audit planifié

Cron hebdomadaire avec rapport par e-mail (si mail configuré) :

echo '0 4 * * 0 root /usr/sbin/lynis audit system --cronjob > /var/log/lynis-weekly.log 2>&1' | sudo tee /etc/cron.d/lynis-audit

Comparez le score dans le temps :

sudo grep hardening_index /var/log/lynis.log

Étape 6 : interprétation sur VPS mutualisé

Certaines recommandations Lynis ciblent des serveurs physiques (GRUB, secteurs réservés) — ignorez ou adaptez sur un VPS HolyCloud. Priorisez : SSH, mises à jour, pare-feu, comptes, services inutiles.

Liste des services à désactiver si non utilisés :

sudo systemctl list-unit-files --state=enabled | grep -E 'bluetooth|cups'
sudo systemctl disable --now cups 2>/dev/null || true

Vérification

sudo lynis audit system --quick
sudo lynis show details SSH-7408

Besoin d'aide HolyCloud

  • Score faible malgré durcissement : relancez après corrections ; certains points nécessitent reboot
  • Verrouillage SSH : utilisez la console VNC/KVM HolyCloud si disponible dans l'espace client
  • Support HolyCloud : extrait lynis.log (sans données sensibles), version OS, services exposés (ports 80/443/22)