Home / Outils & Scripts / Comment effectuer un audit de sécurité sur un serveur Linux avec Lynis ?

Comment effectuer un audit de sécurité sur un serveur Linux avec Lynis ?

Le par CyberConseils
Lynis audit de sécurité informatique sur un serveur Linux, concept de cybersécurité et analyse de vulnérabilités.

Pourquoi auditer la sécurité de son serveur ?

Les attaques contre les serveurs Linux ne cessent d’augmenter, que ce soit pour de la malveillance, du chantage (ransomware) ou du piratage de ressources (crypto mining, spam…).
Un audit de sécurité régulier permet de détecter les faiblesses de configuration, les failles potentielles et de mettre en place des correctifs avant qu’il ne soit trop tard.

Lynis est l’un des outils open source les plus populaires pour effectuer ce type d’audit, aussi bien pour les freelances, hébergeurs que les équipes DevOps ou DSI.

Qu’est-ce que Lynis ?

Lynis est un scanner de sécurité dédié aux systèmes Unix/Linux, développé par l’équipe de CISOfy.
Il analyse en profondeur la configuration de votre machine : permissions, services actifs, modules du noyau, utilisateurs, vulnérabilités connues, et bien plus encore.
La version Lynis Enterprise ajoute une gestion centralisée, des tableaux de bord et des fonctionnalités de reporting avancé.

Comment installer Lynis sur un serveur Linux ?

1. Mettre à jour votre système

Avant toute installation, assurez-vous que votre système est à jour afin d’éviter les problèmes de dépendances.

Pour Debian/Ubuntu :

sudo apt update && sudo apt upgrade -y

Pour CentOS/RHEL :

sudo yum update -y

2. Installer Lynis

Méthode rapide (Debian/Ubuntu) :

sudo apt install lynis -y

Vérifiez ensuite la version installée :

lynis --version

3.Lancer un audit de sécurité avec Lynis

Un audit complet se lance en une seule commande :

sudo lynis audit system

Le résultat s’affiche directement dans le terminal et un rapport détaillé est enregistré dans /var/log/lynis.log.

Exemple de rapport Lynis : analyse des résultats

Après avoir lancé un audit avec Lynis, vous obtiendrez un rapport détaillé dans le terminal.
Voici un extrait typique pour vous donner une idée du format et du type de recommandations fournies :

-[ Lynis 3.1.1 Results ]-

Warnings (2):
----------------------------
! Reboot of system is most likely needed [KRNL-5830] 
  - Solution : reboot
    https://cisofy.com/lynis/controls/KRNL-5830/

! Found one or more vulnerable packages. [PKGS-7392] 
    https://cisofy.com/lynis/controls/PKGS-7392/

Suggestions (extraits) :
----------------------------
* This release is more than 4 months old. Check the website or GitHub to see if there is an update available. [LYNIS] 
    https://cisofy.com/lynis/controls/LYNIS/

* Install fail2ban to automatically ban hosts that commit multiple authentication errors. [DEB-0880] 
    https://cisofy.com/lynis/controls/DEB-0880/

* Set a password on GRUB boot loader to prevent altering boot configuration [BOOT-5122] 
    https://cisofy.com/lynis/controls/BOOT-5122/

* Consider hardening SSH configuration (ex : AllowTcpForwarding, MaxAuthTries, X11Forwarding…) [SSH-7408] 
    https://cisofy.com/lynis/controls/SSH-7408/

* Enable auditd to collect audit information [ACCT-9628] 
    https://cisofy.com/lynis/controls/ACCT-9628/

Comment interpréter le rapport Lynis ?

  • Warnings : points critiques à corriger rapidement (ex : reboot nécessaire, paquets vulnérables).
  • Suggestions : recommandations pour renforcer la sécurité (mise à jour de l’OS, durcissement de la configuration SSH, ajout d’outils, séparation de partitions…).

Chaque recommandation s’accompagne d’un lien vers la documentation officielle, facilitant la compréhension et la mise en œuvre des actions correctives.

Bon à savoir : Le rapport complet contient de nombreuses suggestions : ne cherchez pas à tout corriger d’un coup, mais priorisez les points critiques, puis améliorez progressivement la sécurité de votre serveur.

Comprendre les codes dans un rapport Lynis

Dans chaque alerte ou suggestion, Lynis affiche un code du type [KRNL-5830], [SSH-7408], etc.
Ces codes ont une signification précise :

  • Le préfixe (KRNL, SSH, PKGS, etc.) indique la catégorie ou le composant concerné :
    • KRNL = Kernel (noyau du système)
    • SSH = Secure Shell (accès à distance sécurisé)
    • PKGS = Packages (gestion de paquets/applications)
    • DEB = Debian (spécifique à Debian ou Ubuntu)
    • AUTH = Authentication (authentification)
    • FILE = File System (système de fichiers)
    • etc.
  • Le numéro est un identifiant unique pour la règle de contrôle (control ID) : il permet de retrouver la recommandation exacte sur le site Lynis (un lien direct est souvent fourni).

Exemple :

  • [KRNL-5830] → Problème lié au noyau du système (ex : redémarrage nécessaire après une mise à jour du kernel).
  • [SSH-7408] → Recommandations pour renforcer la configuration SSH.
  • [PKGS-7392] → Un ou plusieurs paquets vulnérables détectés sur le système.

Astuce : Vous pouvez cliquer ou copier le lien associé à chaque code pour obtenir la documentation officielle et des conseils de résolution !

4. Automatiser les audits réguliers

Pour assurer une surveillance continue, vous pouvez planifier des audits automatiques à l’aide de cron :

sudo crontab -e

Ajoutez par exemple la ligne suivante :

0 3 * * 1 /usr/local/bin/lynis audit system --cronjob --quiet

Cette commande lancera un audit chaque lundi à 3h du matin.

5. Aller plus loin avec Lynis Enterprise

Pour les environnements professionnels ou multi-serveurs, Lynis Enterprise propose :

  • Une gestion centralisée des rapports
  • Des tableaux de bord web
  • Une intégration avec les outils SIEM et de monitoring
  • Des recommandations personnalisées
  • Un support technique avancé

L’abonnement se souscrit directement sur cisofy.com/lynis/enterprise.
Après activation, il vous suffit d’ajouter vos clés de licence au répertoire Lynis, de configurer le serveur Enterprise, et d’automatiser l’envoi des rapports si besoin.

Les avantages de Lynis

  • Audit complet et rapide des configurations Linux, macOS, BSD, etc.
  • Conseils pratiques et recommandations correctives
  • Outil léger, simple à déployer et à automatiser
  • Version Enterprise adaptée aux exigences de conformité (ISO 27001, PCI-DSS…)

Conclusion

Lynis est un allié précieux pour tout administrateur ou responsable sécurité souhaitant surveiller et renforcer la sécurité de ses serveurs Linux.
Simple à installer, utilisable immédiatement, il vous aide à détecter rapidement les points d’amélioration avant qu’un attaquant ne puisse en profiter.

Prenez quelques minutes pour lancer un audit Lynis sur votre VPS : vous pourriez découvrir des axes d’amélioration insoupçonnés !