Mesurer
Lancer Lynis et arch-audit pour obtenir score, warnings, suggestions et CVEs visibles.
Audit de sécurité système avec Lynis et arch-audit: score, warnings, suggestions, exceptions justifiées, priorisation et limites sur Arch Linux.
Lancer Lynis et arch-audit pour obtenir score, warnings, suggestions et CVEs visibles.
Lire chaque finding dans le contexte Arch desktop, pas comme une vérité serveur générique.
Corriger les points qui réduisent réellement la surface d'attaque avant les suggestions cosmétiques.
Conserver les exceptions justifiées pour que l'audit reste reproductible et défendable.
Un score d'audit seul ne suffit pas. Il faut comprendre les recommandations, trier les faux positifs, prioriser les actions et documenter les exceptions acceptées.
Le score sert de tendance, pas d'objectif absolu.
Indice hardening 70/100
Tests effectués 250+
Contexte desktop durci
interprétation:
90-100 cible serveur de production
75-89 très bon
60-74 bon desktop sécurisé
45-59 posture de base
0-44 posture faible
Les warnings courants sont traités par diagnostic, pas par automatisme.
KRNL-5830 reboot may be required
PKGS-7322 vulnerable packages found
KRNL-6000 sysctl differs from Lynis profile
chemin de décision:
vérifier l'état courant
vérifier le contexte Arch
comparer avec le hardening local
corriger, différer ou documenter l'exception
Certaines suggestions serveur sont volontairement non retenues pour un poste desktop/dev.
suggestion décision
séparer /home ou /var exception: compromis desktop
bannière légale exception: poste personnel
expiration mot de passe exception: contexte d'usage
restreindre les compilateurs exception: workflow de développement
hardening PHP non applicable si PHP absent
Les commandes ci-dessous sont volontairement anonymisées: chemins, noms de machines, interfaces, dépôts, périphériques et actions destructrices sont remplacés par des placeholders.
lynis show version
lynis audit system --quick --no-colors
rg 'hardening_index|tests_performed' <lynis-report>
arch-audit
la version de Lynis est documentée
l'audit se termine sans être traité comme une vérité automatique
la tendance de hardening est interprétée pour un contexte desktop
les CVE Arch sont revues séparément
les warnings sont classés avant action
rg 'warning|suggestion' <lynis-log>
lynis show settings
sysctl -a | rg 'kernel\.|net\.|fs\.'
<decision-log-update>
le warning de reboot noyau est vérifié contre l'état réel
les différences sysctl peuvent être volontaires
des partitions séparées peuvent être acceptées comme exception desktop
la bannière légale peut être non applicable
chaque exception possède une justification
nft list ruleset | rg 'policy'
aa-status | head -n 10
find <audited-scope> <group-or-world-writable-query> -printf '<mode> <owner>:<group> <path>\n'
<secops-status-script>
le firewall est présent et deny-by-default
AppArmor est actif
les constats de permissions sont vérifiés manuellement
SecOps et FIM complètent Lynis
l'amélioration du score reste secondaire à la réduction du risque
cat <lynis-log>
cat <lynis-report>
rg 'hardening_index' <lynis-report>
rg 'warning|suggestion' <lynis-log>
compare <old-lynis-report> <new-lynis-report>
la tendance du score est comparée dans le temps
les nouveaux warnings sont revus
les warnings résolus sont tracés
les rapports HTML ou exportés restent privés sauf assainissement
l'automatisation mensuelle reste optionnelle et dépend du contexte
Un hardening index autour de 70/100 est traité comme bon niveau desktop, pas comme plafond définitif.
Reboot requis, CVEs Arch et différences sysctl sont analysés avant action.
Partitionnement séparé, bannière légale, password aging, restriction compilateurs et PHP hardening peuvent être non retenus selon contexte.
LUKS, blacklist protocoles, auditd, FIM et process accounting sont classés par priorité et impact.
arch-audit confirme les advisories visibles sur Arch rolling; une synchronisation pacman peut déjà être à jour sans faire disparaître PKGS-7322.
Relancer Lynis, comparer uname -r au noyau installé et vérifier si KRNL-5830 persiste; dans ce cas, documenter l'avertissement plutôt que prétendre à une remédiation.
KRNL-6000 peut rester comme exception documentée si un sysctl différent sert la virtualisation ou la cohérence du poste.
Supplément de documentation privée anonymisé
Guide public pour auditer la posture de sécurité d'un poste Arch Linux avec Lynis, compléter avec arch-audit, puis interpréter les résultats sans chercher à optimiser aveuglément le score.
Lynis est un outil d'audit open-source pour Unix/Linux. Il évalue la posture globale via des tests système, un hardening index et des suggestions de durcissement.
| Outil | Type | Usage |
|---|---|---|
| Lynis | Audit système | Posture globale |
| arch-audit | CVE scanner | Vulnérabilités Arch Linux |
| auditd | Monitoring kernel | Événements système |
| pacman/FIM | File integrity | Modifications fichiers |
pacman -S lynis
lynis show version
pacman -S arch-audit
lynis audit system
lynis audit system --quick
lynis audit system --quick --no-colors
cat <LYNIS_LOG>
cat <LYNIS_REPORT>
Les warnings sont normaux, même sur un système sécurisé. L'important est de comprendre leur contexte.
| Score | Niveau | Lecture |
|---|---|---|
| 90-100 | Excellent | Serveur production très durci. |
| 75-89 | Très bien | Système sécurisé. |
| 60-74 | Bien | Desktop sécurisé. |
| 45-59 | Moyen | Protections de base. |
| 0-44 | Faible | Nombreuses faiblesses. |
Hardening index : 70 / 100
Tests performed : 250+
Un score autour de 70 est une bonne posture pour un desktop durci. Les recommandations restantes sont souvent orientées serveur.
| Code | Sens | Traitement |
|---|---|---|
| KRNL-5830 | Reboot probablement requis. | Comparer noyau courant et noyau installé. |
| PKGS-7322 | Paquets vulnérables détectés. | Contrôler avec arch-audit et contexte Arch. |
| KRNL-6000 | Différences sysctl. | Vérifier si les écarts sont volontaires. |
uname -r
arch-audit
arch-audit -u
lynis show settings
sysctl -a | rg 'kernel\.|net\.|fs\.'
| Suggestion | Justification publique |
|---|---|
| Partitionnement séparé | Complexité inutile pour ce desktop personnel. |
| Bannière légale | Hors contexte personnel. |
| Expiration mots de passe | Rotation non nécessaire dans ce contexte. |
| Restriction compilateurs | Incompatible avec usage développement. |
| PHP hardening | Non applicable si PHP absent. |
Les commandes réelles de chiffrement, formatage ou repartitionnement ne sont pas publiées comme recette exécutable. Elles restent dans les runbooks privés.
cat <LYNIS_LOG>
cat <LYNIS_REPORT>
rg 'warning' <LYNIS_LOG>
rg 'suggestion' <LYNIS_LOG>
rg 'hardening_index' <LYNIS_REPORT>
rg 'Result: NOT FOUND|WARNING' <LYNIS_LOG>
Les rapports HTML ou exports complets restent privés sauf version expurgée.
Un audit mensuel peut être utile, mais il doit produire une tendance et non déclencher des corrections automatiques.
<LYNIS_MONTHLY_AUDIT_SCRIPT>
<LYNIS_REPORT_DIR>/lynis-<DATE>.log
compare <OLD_REPORT> <NEW_REPORT>
lynis audit system
lynis audit system --quick
lynis audit system --quiet
lynis show tests
cat <LYNIS_LOG>
rg 'hardening_index' <LYNIS_REPORT>
rg 'warning|suggestion' <LYNIS_LOG>
arch-audit
arch-audit -u
arch-audit -f json