Scribd Logo
Importer

Bienvenue sur Scribd !

  • Auditez+la+sécurité+d'un+système+d'exploitation Résumé Recommandations

    Transféré par

    SouMez
    43 vues6 pages

    Titre original

    Auditez+la+sécurité+d’un+système+d’exploitation_résumé_recommandations

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    43 vues6 pages

    Auditez+la+sécurité+d'un+système+d'exploitation Résumé Recommandations

    Transféré par

    SouMez

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    Cours : Auditez la sécurité d’un

    système d’exploitation

    Résumé des recommandations

    PARTIE 2 : PROCESSUS DE DÉMARRAGE 

    N° Recommandation Type Principe

    BOO.1 Passer les droits sur l'arborescence ​/etc/grub.d​ à CRITICAL Moindre


    700 privilège

    BOO.2 Créer un utilisateur et son ​mot de passe chiffré CRITICAL Minimisation


    dans le fichier ​01_users​ afin de protéger l'accès au
    shell​ de Grub par une authentification

    BOO.3 Passer l'option ​iommu=force​ au noyau lors du WARNING Minimisation


    démarrage de Linux

    BOO.4 Bloquer le chargement de modules supplémentaires WARNING Minimisation


    via la sysctl ​kernel.modules_disabled=1

    BOO.5 Vider le contenu du fichier ​/etc/securetty​ afin de CRITICAL Défense en


    bloquer toute connexion avec l'utilisateur root profondeur
    depuis une console virtuelle
    BOO.6 Augmenter l'intervalle minimal de temps entre WARNING Défense en
    chaque tentative de connexion sur le module profondeur
    pam_faildelay.so​ du fichier
    /etc/pam.d/system-auth​ à 5 ou 10 secondes
    afin de ralentir les attaques par dictionnaire

    BOO.7 Désactiver la combinaison ​Ctrl+Alt+Supp​ sur le CRITICAL Défense en


    serveur pour prévenir tout redémarrage depuis un profondeur
    accès physique à la machine

    BOO.8 Désactiver les ​Magic System Request Keys WARNING Défense en


    profondeur

    BOO.9 Supprimer les ​services inutiles​ démarrés CRITICAL Minimisation


    automatiquement avec le serveur en passant par la
    cible par défaut

    BOO.10 Supprimer les​ services inutiles​ démarrés WARNING Minimisation


    automatiquement avec le serveur en passant par
    les​ dépendances ​de la cible par défaut

    PARTIE 3 : SYSTÈME 

    N° Recommandation Type Principe

    SYS.1 Vérifier que le CPU dispose bien des flags ​PAE et NX CRITICAL Défense en
    profondeur

    SYS.2 Vérifier la présence d'un ​minimum de mémoire WARNING Défense en


    SWAP​ sur le système profondeur
    SYS.3 Vérifier le ​chiffrement des partitions​ sensibles du CRITICAL Défense en
    système profondeur

    SYS.4 Vérifier que le ​partitionnement​ isole et protège les CRITICAL Défense en


    composants du système profondeur

    SYS.5 Vérifier les options des ​points de montage​ des CRITICAL Moindre
    systèmes de fichiers privilège

    SYS.6 Vérifier la ​protection de la partition /boot CRITICAL Moindre


    privilège

    SYS.7 Vérifier que les ​mots de passe​ du module PAM sont CRITICAL Défense en
    en mode shadow profondeur

    SYS.8 Vérifier la robustesse des mots de passe avec le WARNING Défense en


    module ​pam_pwquality profondeur

    SYS.9 Vérifier que les comptes utilisateurs qui peuvent se CRITICAL Défense en
    connecter ont pour obligation de ​changer leur mot profondeur
    de passe régulièrement

    SYS.10 Vérifier les valeurs par défaut des attributs des mots WARNING Défense en
    de passe pour chaque compte utilisateur dans profondeur
    /etc/login.defs

    SYS.11 Examiner la liste des fichiers avec les droits spéciaux CRITICAL Moindre
    setuid​,​ setgid ​et​ sticky bit privilège

    SYS.12 Vérifier la présence d'un ​groupe d'utilisateurs CRITICAL Moindre


    identifié comme ​administrateur​ de la machine et privilège
    disposant des droits de changement de privilèges par
    l'intermédiaire d'un processus type sudo
    SYS.13 Vérifier que la commande ​sudo​ peut être exécutée CRITICAL Moindre
    uniquement par le groupe administrateur (+ root) privilège

    SYS.14 Vérifier que le fichier de configuration ​/etc/sudoers CRITICAL Moindre


    contient la déclaration des commandes nécessaires au privilège
    maintien du système pour les utilisateurs du groupe
    administrateur

    SYS.15 Vérifier que les ​packages​ installés sur le système CRITICAL Défense en
    sont ​signés et sûrs profondeur

    SYS.16 Vérifier que le ​plugin​ gérant les mises à jour de CRITICAL Défense en
    sécurité​ des packages de la distribution est bien profondeur
    installé

    SYS.17 Vérifier la planification régulière d'une tâche CRITICAL Défense en


    automatique pour ​mettre à jour les packages profondeur
    corrigés pour raisons de sécurité

    PARTIE 4 : SERVICES 

    N° Recommandation Type Principe

    SER.1 Vérifier le ​durcissement de la configuration​ des CRITICAL Défense en


    services lancés profondeur

    SER.2 Vérifier les ​comptes système​ associés aux services CRITICAL Moindre
    privilège

    SER.3 Vérifier les​ droits du système de fichiers​ associé aux CRITICAL Moindre
    comptes système exécutant des services privilège
    SER.4 Vérifier qu'il est possible de ​virtualiser l'architecture WARNING Défense en
    applicative du serveur profondeur

    SER.5 Vérifier que le ​chrootage​ est utilisé sur les services CRITICAL Défense en
    lancés dans la mesure du possible profondeur

    SER.6 Vérifier la présence des principaux ​fichiers de trace CRITICAL Moindre


    du système et leur droit d'accès privilège

    SER.7 Vérifier le ​cloisonnement du service Syslog CRITICAL Défense en


    profondeur

    SER.8 Vérifier le processus de ​supervision des fichiers de WARNING Défense en


    trace profondeur

    PARTIE 5 : RÉSEAU 

    N° Recommandation Type Principe

    NET.1 Examiner la liste des ​sockets​ et ports​ ouverts sur CRITICAL Minimisation
    le réseau

    NET.2 Vérifier que les services qui ouvrent des ​ports CRITICAL Minimisation
    inutiles​ sont désactivés

    NET.3 Vérifier que les services qui ouvrant des ​ports​ sur CRITICAL Défense en
    une interface ​externe​ sont pertinents profondeur

    NET.4 Vérifier que les ​ports par défaut​ des services ont WARNING Défense en en
    été changés dans la mesure du possible profondeur

    NET.5 Vérifier que les ​TCP Wrappers​ sont configurés pour CRITICAL Défense en
    les services réseau compatibles profondeur
    NET.6 Vérifier qu'il est possible de rendre les services WARNING Défense en
    réseau ​compatibles​ avec les ​TCP Wrappers profondeur

    NET.7 Vérifier qu'il est possible d'accéder au ​firewall WARNING Minimisation


    Netfilter​ par le noyau sans la contrainte module

    NET.8 Vérifier que les ​règles Netfilter​ sont bien CRITICAL Défense en
    positionnées profondeur

    NET.9 Vérifier que les ​règles Netfilter par défaut​ sont CRITICAL Défense en
    définies dans le fichier de configuration profondeur

    NET.10 Vérifier le positionnement des sysctl réseau CRITICAL Défense en


    communes du noyau dans le fichier profondeur
    /etc/sysctl.conf

    NET.11 Vérifier la ​version du protocole SSH​ supporté par CRITICAL Défense en


    le service exploité sur le serveur profondeur

    NET.12 Examiner la directive ​PermitRootLogin​ du service CRITICAL Moindre


    SSH privilège

    NET.13 Vérifier le ​port d'écoute du service SSH CRITICAL Défense en


    profondeur

    NET.14 Vérifier le ​durcissement avancé​ du service SSH WARNING Défense en


    profondeur

    Vous aimerez peut-être aussi