Feora
Bon… Je confirme, Lynis est bien dans les dépôts officiel Fedora. Les résultats peuvent être des faux positifs, donc il faut voir si c’est valable ou pas simplement que cela sort de la configuration du test défini à l’instant T qui peut être obsolète ou différent. (Je l’ai déjà dit quelque part soit dit en passant…)
Si tu as testé la provenance de tes images iso et leurs intégrité (voir la doc du site) faut pas trop t’inquiéter.
Sinon ta regardé la partie “Suggestions” vers la fin du rapport “lynis” pour voir si tu peux résoudre les “problèmes” détecté, voir cherché sur le net pour savoir à quoi cela correspond?
Au passage tu as déjà pensé à rémunérer les personnes/entreprises qui font aussi des captures d’écran de cette partie et les mettent à disposition, car qui nous dit que cela provient bien de toi? https://www.qwant.com/?t=images&q=lynis
Voir adhéré à l’association borsalinux pour “soutenir financièrement l’association à promouvoir la distribution Fedora et les logiciels libres, sans pour autant vous impliquer.”?
Donc même résultat sur une installation de base sans avoir passé du temps à corrigé.
[+] Kernel Hardening
------------------------------------
- Comparing sysctl key pairs with scan profile
- dev.tty.ldisc_autoload (exp: 0) [ DIFFÉRENT ]
- fs.protected_fifos (exp: 2) [ DIFFÉRENT ]
- fs.protected_hardlinks (exp: 1) [ OK ]
- fs.protected_regular (exp: 2) [ DIFFÉRENT ]
- fs.protected_symlinks (exp: 1) [ OK ]
- fs.suid_dumpable (exp: 0) [ DIFFÉRENT ]
- kernel.core_uses_pid (exp: 1) [ OK ]
- kernel.ctrl-alt-del (exp: 0) [ OK ]
- kernel.dmesg_restrict (exp: 1) [ OK ]
- kernel.kptr_restrict (exp: 2) [ DIFFÉRENT ]
- kernel.modules_disabled (exp: 1) [ DIFFÉRENT ]
- kernel.perf_event_paranoid (exp: 2 3 4) [ OK ]
- kernel.randomize_va_space (exp: 2) [ OK ]
- kernel.sysrq (exp: 0) [ DIFFÉRENT ]
- kernel.unprivileged_bpf_disabled (exp: 1) [ DIFFÉRENT ]
- kernel.yama.ptrace_scope (exp: 1 2 3) [ DIFFÉRENT ]
- net.core.bpf_jit_harden (exp: 2) [ DIFFÉRENT ]
- net.ipv4.conf.all.accept_redirects (exp: 0) [ OK ]
- net.ipv4.conf.all.accept_source_route (exp: 0) [ OK ]
- net.ipv4.conf.all.bootp_relay (exp: 0) [ OK ]
- net.ipv4.conf.all.forwarding (exp: 0) [ DIFFÉRENT ]
- net.ipv4.conf.all.log_martians (exp: 1) [ DIFFÉRENT ]
- net.ipv4.conf.all.mc_forwarding (exp: 0) [ OK ]
- net.ipv4.conf.all.proxy_arp (exp: 0) [ OK ]
- net.ipv4.conf.all.rp_filter (exp: 1) [ DIFFÉRENT ]
- net.ipv4.conf.all.send_redirects (exp: 0) [ OK ]
- net.ipv4.conf.default.accept_redirects (exp: 0) [ OK ]
- net.ipv4.conf.default.accept_source_route (exp: 0) [ OK ]
- net.ipv4.conf.default.log_martians (exp: 1) [ DIFFÉRENT ]
- net.ipv4.icmp_echo_ignore_broadcasts (exp: 1) [ OK ]
- net.ipv4.icmp_ignore_bogus_error_responses (exp: 1) [ OK ]
- net.ipv4.tcp_syncookies (exp: 1) [ OK ]
- net.ipv4.tcp_timestamps (exp: 0 1) [ OK ]
- net.ipv6.conf.all.accept_redirects (exp: 0) [ OK ]
- net.ipv6.conf.all.accept_source_route (exp: 0) [ OK ]
- net.ipv6.conf.default.accept_redirects (exp: 0) [ OK ]
- net.ipv6.conf.default.accept_source_route (exp: 0) [ OK ]
Sur cette partie cela veut simplement dire que les réglages systèmes sont différents de ceux défini par les règles de lynis. Soit par optimisation, soit par parti prit, soit par besoin selon les besoins des applications ou du système.
[+] Démarrage et services
------------------------------------
- Service Manager [ systemd ]
- Checking UEFI boot [ ACTIVÉ ]
- Checking Secure Boot [ ACTIVÉ ]
- Checking presence GRUB2 [ TROUVÉ ]
- Checking for password protection [ OK ]
- Check running services (systemctl) [ FAIT ]
Result: found 56 running services
- Check enabled services at boot (systemctl) [ FAIT ]
Result: found 65 enabled services
- Check startup files (permissions) [ OK ]
- Running 'systemd-analyze security'
- ModemManager.service: [ MOYEN ]
- NetworkManager.service: [ EXPOSÉ ]
- abrt-journal-core.service: [ RISQUÉ ]
- abrt-oops.service: [ RISQUÉ ]
- abrt-xorg.service: [ RISQUÉ ]
- abrtd.service: [ MOYEN ]
- accounts-daemon.service: [ MOYEN ]
- alsa-state.service: [ RISQUÉ ]
- atd.service: [ RISQUÉ ]
- auditd.service: [ EXPOSÉ ]
- autofs.service: [ RISQUÉ ]
- avahi-daemon.service: [ RISQUÉ ]
- chronyd.service: [ PROTÉGÉ ]
- cockpit-wsinstance-http.service: [ RISQUÉ ]
- cockpit.service: [ MOYEN ]
- colord.service: [ PROTÉGÉ ]
- crond.service: [ RISQUÉ ]
- cups-browsed.service: [ RISQUÉ ]
- cups.service: [ RISQUÉ ]
- dbus-:1.3-org.corectrl.helper@0.service: [ RISQUÉ ]
- dbus-:1.3-org.freedesktop.problems@0.service: [ RISQUÉ ]
- dbus-broker.service: [ EXPOSÉ ]
- dm-event.service: [ RISQUÉ ]
- emergency.service: [ RISQUÉ ]
- fancontrol.service: [ RISQUÉ ]
- firewalld.service: [ MOYEN ]
- flatpak-system-helper.service: [ RISQUÉ ]
- geoclue.service: [ EXPOSÉ ]
- getty@tty1.service: [ RISQUÉ ]
- grub2-systemd-integration.service: [ RISQUÉ ]
- gssproxy.service: [ EXPOSÉ ]
- irqbalance.service: [ PROTÉGÉ ]
- iscsid.service: [ RISQUÉ ]
- iscsiuio.service: [ RISQUÉ ]
- libvirtd.service: [ RISQUÉ ]
- lvm2-lvmpolld.service: [ RISQUÉ ]
- mcelog.service: [ RISQUÉ ]
- mdmonitor.service: [ RISQUÉ ]
- multipathd.service: [ RISQUÉ ]
- nfs-idmapd.service: [ RISQUÉ ]
- nfs-mountd.service: [ RISQUÉ ]
- nfsdcld.service: [ RISQUÉ ]
- oddjobd.service: [ RISQUÉ ]
- osbuild-composer.service: [ RISQUÉ ]
- osbuild-worker@1.service: [ RISQUÉ ]
- packagekit.service: [ RISQUÉ ]
- pcscd.service: [ RISQUÉ ]
- plymouth-halt.service: [ RISQUÉ ]
- plymouth-kexec.service: [ RISQUÉ ]
- plymouth-poweroff.service: [ RISQUÉ ]
- plymouth-reboot.service: [ RISQUÉ ]
- plymouth-start.service: [ RISQUÉ ]
- pmcd.service: [ RISQUÉ ]
- pmie.service: [ RISQUÉ ]
- pmie_check.service: [ RISQUÉ ]
- pmie_daily.service: [ RISQUÉ ]
- pmie_farm.service: [ RISQUÉ ]
- pmie_farm_check.service: [ RISQUÉ ]
- pmlogger.service: [ RISQUÉ ]
- pmlogger_check.service: [ RISQUÉ ]
- pmlogger_daily.service: [ RISQUÉ ]
- pmlogger_farm.service: [ RISQUÉ ]
- pmlogger_farm_check.service: [ RISQUÉ ]
- podman.service: [ RISQUÉ ]
- polkit.service: [ PROTÉGÉ ]
- rc-local.service: [ RISQUÉ ]
- rescue.service: [ RISQUÉ ]
- rpc-gssd.service: [ RISQUÉ ]
- rpc-statd-notify.service: [ RISQUÉ ]
- rpc-statd.service: [ RISQUÉ ]
- rpcbind.service: [ MOYEN ]
- rsyslog.service: [ RISQUÉ ]
- rtkit-daemon.service: [ MOYEN ]
- sddm.service: [ RISQUÉ ]
- smartd.service: [ RISQUÉ ]
- sshd.service: [ RISQUÉ ]
- sssd-kcm.service: [ MOYEN ]
- sssd.service: [ MOYEN ]
- switcheroo-control.service: [ EXPOSÉ ]
- systemd-ask-password-console.service: [ RISQUÉ ]
- systemd-ask-password-plymouth.service: [ RISQUÉ ]
- systemd-ask-password-wall.service: [ RISQUÉ ]
- systemd-bsod.service: [ RISQUÉ ]
- systemd-hostnamed.service: [ PROTÉGÉ ]
- systemd-initctl.service: [ RISQUÉ ]
- systemd-journald.service: [ PROTÉGÉ ]
- systemd-logind.service: [ PROTÉGÉ ]
- systemd-machined.service: [ MOYEN ]
- systemd-oomd.service: [ PROTÉGÉ ]
- systemd-resolved.service: [ PROTÉGÉ ]
- systemd-rfkill.service: [ RISQUÉ ]
- systemd-timesyncd.service: [ PROTÉGÉ ]
- systemd-udevd.service: [ MOYEN ]
- systemd-userdbd.service: [ PROTÉGÉ ]
- tuned-ppd.service: [ RISQUÉ ]
- tuned.service: [ RISQUÉ ]
- udisks2.service: [ RISQUÉ ]
- upower.service: [ PROTÉGÉ ]
- uresourced.service: [ EXPOSÉ ]
- user@0.service: [ RISQUÉ ]
- user@1000.service: [ RISQUÉ ]
- vgauthd.service: [ RISQUÉ ]
- virtinterfaced.service: [ RISQUÉ ]
- virtlockd.service: [ RISQUÉ ]
- virtlogd.service: [ PROTÉGÉ ]
- virtlxcd.service: [ RISQUÉ ]
- virtnetworkd.service: [ RISQUÉ ]
- virtnodedevd.service: [ RISQUÉ ]
- virtnwfilterd.service: [ RISQUÉ ]
- virtproxyd.service: [ RISQUÉ ]
- virtqemud.service: [ RISQUÉ ]
- virtsecretd.service: [ RISQUÉ ]
- virtstoraged.service: [ RISQUÉ ]
- vmtoolsd.service: [ RISQUÉ ]
- wpa_supplicant.service: [ RISQUÉ ]
Sur cette dernière partie, beaucoup de règles de sécurités de systemd ne sont pas encore appliqué ou applicable. Surtout si en plus tu as juste fait une simple migration vers la version supérieur et que ton installation de base date un peu. Tu peux les modifier à la main, mais cela demande du temps et des connaissances. Au risque de casser ton système…