Lynis est l’outil d’audit de sécurité Linux de référence : 5 minutes pour scanner un VPS et obtenir un score + checklist d’améliorations.
Voir notre guide hardening.
Installation
apt install -y lynis
# Lancer audit complet
lynis audit system
# Output : Hardening index (0-100), warnings, suggestionsLecture du rapport
- Warnings : à corriger en priorité
- Suggestions : améliorations
- Hardening index : score global (viser 80+)
- Détails dans
/var/log/lynis-report.dat
Cron audit hebdomadaire
# /etc/cron.weekly/lynis-audit
#!/bin/bash
lynis audit system --quick --quiet --report-file /var/log/lynis-week.dat
# Email si score baisse
SCORE=$(grep "hardening_index" /var/log/lynis-week.dat | cut -d= -f2)
echo "Lynis score: $SCORE" | mail -s "Lynis weekly $(hostname)" admin@exemple.snPlugins Lynis Enterprise
Version Enterprise (payante) ajoute : compliance reports (PCI-DSS, HIPAA, ISO27001), tracking historique, dashboard. Pour la plupart des PME, version community suffit.
Améliorations courantes
- Activer kernel.dmesg_restrict
- Configurer audit framework
- Hardening MountOptions /tmp et /home
- Disable services inutiles (avahi, cups si serveur)
- Configurer logging persistent
- Vérifier file permissions
Pour aller plus loin
- Guide hardening
- Documentation : cisofy.com/lynis