Un serveur non audité est un serveur à risque. Même avec les meilleures intentions, les configurations dérivent, les mises à jour s'accumulent et les failles s'installent tranquillement. Auditer un serveur Linux relève de l'obligation, pour toute infrastructure d'infogérance qui se respecte.
Voici une méthodologie d'audit complet, avec les outils qui font la différence en 2026.
Plan de l'article
- Méthodologie d'audit (5 phases)
- Lynis : audit complet en une commande
- OpenSCAP et CIS Benchmarks
- auditd : monitoring des syscalls
- AIDE : intégrité des fichiers
- Automatiser les audits (cron + CI/CD)
- Perspectives complémentaires
- Sources et conclusion
Méthodologie d'audit en 5 phases
Un audit de sécurité Linux suit un cycle structuré :
- Inventaire, mappage des systèmes, versions kernel, services actifs
- Scan automatisé, Lynis, OpenSCAP pour détection rapide
- Analyse manuelle, vérification des résultats, faux positifs
- Remédiation, durcissement selon les recommandations
- Suivi continu, auditd, alerting, audits périodiques
Cette approche évite les mauvaises surprises et tient un durcissement homogène d'un serveur à l'autre.
Lynis : audit complet en une commande
Lynis (par CISOfy) reste l'outil de référence pour les audits Linux. Il examine la configuration système, les permissions, les services, les mises à jour manquantes et calcule un score de durcissement (0-100).
Installation
# Debian/Ubuntu
apt-get install lynis
# RHEL/CentOS
yum install lynis
# Ou depuis la source
wget https://github.com/CISOfy/lynis/releases/download/3.2.0/lynis-3.2.0.tar.gz
tar xzf lynis-3.2.0.tar.gz && cd lynis && ./lynis audit system
Lancer l'audit
# Audit complet
sudo lynis audit system
# Avec sortie détaillée
sudo lynis audit system -v
# Exporter le rapport
sudo lynis audit system --logfile=/var/log/lynis-audit.log
Lecture des résultats
Lynis génère trois catégories :
- Suggestions, améliorations recommandées (faible priorité)
- Warnings, problèmes identifiés (priorité moyenne)
- Recommendations, actions critiques (haute priorité)
Le Hardening Index final (ex: 68/100) indique le niveau de durcissement. Un score > 80 reste acceptable pour une infrastructure production.
OpenSCAP et CIS Benchmarks
OpenSCAP implémente le standard SCAP (Security Content Automation Protocol) du NIST. Les CIS Benchmarks donnent des profils de configuration pour 50+ plateformes, gratuitement en PDF.
Installation et scan
# Debian/Ubuntu
apt-get install libopenscap8 ssg-debian ssg-common
# Vérifier les profils disponibles
oscap info /usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
# Lancer un scan CIS
oscap xccdf eval \
--profile cis_level1_server \
/usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
Remédiation automatique
# Générer un script de correction
oscap xccdf remediate \
--profile cis_level1_server \
/usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml \
> fix-cis.sh
# Appliquer les corrections
sudo bash fix-cis.sh
Cette approche cale vos audits sur des normes reconnues (NIST, CIS), exigées pour la conformité.
auditd : monitoring des syscalls et fichiers
auditd (Linux Audit Framework) surveille les appels système et les accès aux fichiers en temps réel. Critique pour détecter les compromissions.
Configuration de base
# Installer auditd
apt-get install auditd
# Ajouter une règle de monitoring sur un répertoire critique
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
# Monitorer les connexions SSH
sudo auditctl -a always,exit -F arch=b64 -F exe=/usr/sbin/sshd -k ssh_activity
# Afficher les règles actives
sudo auditctl -l
Analyser les logs
# Rapport par type d'événement
aureport
# Rechercher les modifications de fichiers
ausearch -k passwd_changes
# Suivre une activité utilisateur spécifique
ausearch -m SYSCALL -ui username
auditd est indispensable pour l'infogérance, c'est la trace que vous montrez à un client lors d'un incident.
AIDE : intégrité des fichiers
AIDE (Advanced Intrusion Detection Environment) détecte les modifications non autorisées en comparant les hashes de fichiers.
Initialisation
apt-get install aide aide-common
# Créer la base de données initiale (prend 5-10 min)
sudo aideinit
# Générer un rapport
sudo aide --check > /tmp/aide-check.log
Vérification quotidienne
# Créer un script cron
sudo crontab -e
# Ajouter:
# 02 04 * * * /usr/sbin/aide --check | mail -s "AIDE Report" admin@example.com
Si un fichier système change sans raison, AIDE le signale immédiatement.
Automatiser les audits (cron + CI/CD)
Un audit manuel une fois par an ne suffit pas. Automatisez :
#!/bin/bash
# /usr/local/bin/audit-daily.sh
DATE=$(date +%Y%m%d)
LOG_DIR="/var/log/security-audits"
mkdir -p $LOG_DIR
# Lynis
lynis audit system --quiet --logfile=$LOG_DIR/lynis-$DATE.log
# AIDE
aide --check > $LOG_DIR/aide-$DATE.log 2>&1
# Envoyer alertes si anomalies
grep -q "warning" $LOG_DIR/lynis-$DATE.log && \
mail -s "Audit Alert: $DATE" admin@example.com < $LOG_DIR/lynis-$DATE.log
Cron (quotidien) :
0 2 * * * /usr/local/bin/audit-daily.sh
Pour les déploiements cloud, intégrez dans votre pipeline CI/CD :
# .gitlab-ci.yml / GitHub Actions
audit:
script:
- lynis audit system --quiet --logfile=/tmp/lynis.log
- grep -q "warning" /tmp/lynis.log && exit 1 || exit 0
Perspectives complémentaires
Pour approfondir votre stratégie de sécurité :
- CIS Benchmark Audit, guide d'application des profils CIS par distribution
- SELinux en 2026, confinement obligatoire pour les serveurs d'infogérance modernes
- CrowdSec & ModSecurity, détection d'intrusions communautaire et WAF actif
Sources
- Lynis, CISOfy
- OpenSCAP, NIST
- CIS Benchmarks
- Linux Audit Framework, auditd
- AIDE, Advanced Intrusion Detection Environment
Conclusion
L'audit de sécurité Linux n'est pas un luxe, c'est une exigence structurelle d'infogérance responsable. Lynis donne un score en quelques minutes, OpenSCAP cale la config sur des normes reconnues, auditd conserve les traces, AIDE signale toute dérive d'un fichier système.
Couplez ces outils à une automatisation régulière : la sécurité passe d'une tâche ponctuelle à un processus continu et reproductible. Vos serveurs (et vos clients) vous remercieront.
