Auditez+la+sécurité+d'un+système+d'exploitation Résumé Recommandations

Transféré par

SouMez
15 vues6 pages

Titre original

Auditez+la+sécurité+d’un+système+d’exploitation_résumé_recommandations

Copyright

© © All Rights Reserved

Formats disponibles

PDF, TXT ou lisez en ligne sur Scribd

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
15 vues6 pages

Auditez+la+sécurité+d'un+système+d'exploitation Résumé Recommandations

Titre original :

Auditez+la+sécurité+d’un+système+d’exploitation_résumé_recommandations

Transféré par

SouMez

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
sur 6

Cours : Auditez la sécurité d’un

système d’exploitation

Résumé des recommandations

PARTIE 2 : PROCESSUS DE DÉMARRAGE 

N° Recommandation Type Principe

BOO.1 Passer les droits sur l'arborescence ​/etc/grub.d​ à CRITICAL Moindre


700 privilège

BOO.2 Créer un utilisateur et son ​mot de passe chiffré CRITICAL Minimisation


dans le fichier ​01_users​ afin de protéger l'accès au
shell​ de Grub par une authentification

BOO.3 Passer l'option ​iommu=force​ au noyau lors du WARNING Minimisation


démarrage de Linux

BOO.4 Bloquer le chargement de modules supplémentaires WARNING Minimisation


via la sysctl ​kernel.modules_disabled=1

BOO.5 Vider le contenu du fichier ​/etc/securetty​ afin de CRITICAL Défense en


bloquer toute connexion avec l'utilisateur root profondeur
depuis une console virtuelle
BOO.6 Augmenter l'intervalle minimal de temps entre WARNING Défense en
chaque tentative de connexion sur le module profondeur
pam_faildelay.so​ du fichier
/etc/pam.d/system-auth​ à 5 ou 10 secondes
afin de ralentir les attaques par dictionnaire

BOO.7 Désactiver la combinaison ​Ctrl+Alt+Supp​ sur le CRITICAL Défense en


serveur pour prévenir tout redémarrage depuis un profondeur
accès physique à la machine

BOO.8 Désactiver les ​Magic System Request Keys WARNING Défense en


profondeur

BOO.9 Supprimer les ​services inutiles​ démarrés CRITICAL Minimisation


automatiquement avec le serveur en passant par la
cible par défaut

BOO.10 Supprimer les​ services inutiles​ démarrés WARNING Minimisation


automatiquement avec le serveur en passant par
les​ dépendances ​de la cible par défaut

PARTIE 3 : SYSTÈME 

N° Recommandation Type Principe

SYS.1 Vérifier que le CPU dispose bien des flags ​PAE et NX CRITICAL Défense en
profondeur

SYS.2 Vérifier la présence d'un ​minimum de mémoire WARNING Défense en


SWAP​ sur le système profondeur
SYS.3 Vérifier le ​chiffrement des partitions​ sensibles du CRITICAL Défense en
système profondeur

SYS.4 Vérifier que le ​partitionnement​ isole et protège les CRITICAL Défense en


composants du système profondeur

SYS.5 Vérifier les options des ​points de montage​ des CRITICAL Moindre
systèmes de fichiers privilège

SYS.6 Vérifier la ​protection de la partition /boot CRITICAL Moindre


privilège

SYS.7 Vérifier que les ​mots de passe​ du module PAM sont CRITICAL Défense en
en mode shadow profondeur

SYS.8 Vérifier la robustesse des mots de passe avec le WARNING Défense en


module ​pam_pwquality profondeur

SYS.9 Vérifier que les comptes utilisateurs qui peuvent se CRITICAL Défense en
connecter ont pour obligation de ​changer leur mot profondeur
de passe régulièrement

SYS.10 Vérifier les valeurs par défaut des attributs des mots WARNING Défense en
de passe pour chaque compte utilisateur dans profondeur
/etc/login.defs

SYS.11 Examiner la liste des fichiers avec les droits spéciaux CRITICAL Moindre
setuid​,​ setgid ​et​ sticky bit privilège

SYS.12 Vérifier la présence d'un ​groupe d'utilisateurs CRITICAL Moindre


identifié comme ​administrateur​ de la machine et privilège
disposant des droits de changement de privilèges par
l'intermédiaire d'un processus type sudo
SYS.13 Vérifier que la commande ​sudo​ peut être exécutée CRITICAL Moindre
uniquement par le groupe administrateur (+ root) privilège

SYS.14 Vérifier que le fichier de configuration ​/etc/sudoers CRITICAL Moindre


contient la déclaration des commandes nécessaires au privilège
maintien du système pour les utilisateurs du groupe
administrateur

SYS.15 Vérifier que les ​packages​ installés sur le système CRITICAL Défense en
sont ​signés et sûrs profondeur

SYS.16 Vérifier que le ​plugin​ gérant les mises à jour de CRITICAL Défense en
sécurité​ des packages de la distribution est bien profondeur
installé

SYS.17 Vérifier la planification régulière d'une tâche CRITICAL Défense en


automatique pour ​mettre à jour les packages profondeur
corrigés pour raisons de sécurité

PARTIE 4 : SERVICES 

N° Recommandation Type Principe

SER.1 Vérifier le ​durcissement de la configuration​ des CRITICAL Défense en


services lancés profondeur

SER.2 Vérifier les ​comptes système​ associés aux services CRITICAL Moindre
privilège

SER.3 Vérifier les​ droits du système de fichiers​ associé aux CRITICAL Moindre
comptes système exécutant des services privilège
SER.4 Vérifier qu'il est possible de ​virtualiser l'architecture WARNING Défense en
applicative du serveur profondeur

SER.5 Vérifier que le ​chrootage​ est utilisé sur les services CRITICAL Défense en
lancés dans la mesure du possible profondeur

SER.6 Vérifier la présence des principaux ​fichiers de trace CRITICAL Moindre


du système et leur droit d'accès privilège

SER.7 Vérifier le ​cloisonnement du service Syslog CRITICAL Défense en


profondeur

SER.8 Vérifier le processus de ​supervision des fichiers de WARNING Défense en


trace profondeur

PARTIE 5 : RÉSEAU 

N° Recommandation Type Principe

NET.1 Examiner la liste des ​sockets​ et ports​ ouverts sur CRITICAL Minimisation
le réseau

NET.2 Vérifier que les services qui ouvrent des ​ports CRITICAL Minimisation
inutiles​ sont désactivés

NET.3 Vérifier que les services qui ouvrant des ​ports​ sur CRITICAL Défense en
une interface ​externe​ sont pertinents profondeur

NET.4 Vérifier que les ​ports par défaut​ des services ont WARNING Défense en en
été changés dans la mesure du possible profondeur

NET.5 Vérifier que les ​TCP Wrappers​ sont configurés pour CRITICAL Défense en
les services réseau compatibles profondeur
NET.6 Vérifier qu'il est possible de rendre les services WARNING Défense en
réseau ​compatibles​ avec les ​TCP Wrappers profondeur

NET.7 Vérifier qu'il est possible d'accéder au ​firewall WARNING Minimisation


Netfilter​ par le noyau sans la contrainte module

NET.8 Vérifier que les ​règles Netfilter​ sont bien CRITICAL Défense en
positionnées profondeur

NET.9 Vérifier que les ​règles Netfilter par défaut​ sont CRITICAL Défense en
définies dans le fichier de configuration profondeur

NET.10 Vérifier le positionnement des sysctl réseau CRITICAL Défense en


communes du noyau dans le fichier profondeur
/etc/sysctl.conf

NET.11 Vérifier la ​version du protocole SSH​ supporté par CRITICAL Défense en


le service exploité sur le serveur profondeur

NET.12 Examiner la directive ​PermitRootLogin​ du service CRITICAL Moindre


SSH privilège

NET.13 Vérifier le ​port d'écoute du service SSH CRITICAL Défense en


profondeur

NET.14 Vérifier le ​durcissement avancé​ du service SSH WARNING Défense en


profondeur

Centres d'intérêt liés

Vous aimerez peut-être aussi