Guides de durcissement et de sécurisation des OS GNU/Linux

I. Présentation

Dans cet article, je vous propose plusieurs guides de durcissement pour les systèmes d'exploitations GNU/Linux que j'utilise au quotidien. Ce type de guides, notamment lorsque l'on prend en compte les différents blogposts sur internet, sont très nombreux, parfois contradictoires et il est facile de s'y perdre. Je vais ici me contenter de vous conseiller les plus complets et les plus pertinents.

II. Le guide "Recommandations de configuration d'un système GNU/Linux" de l'ANSSI

Ce guide, qui a l'avantage d'être en français est paru le 27 juillet 2012 en version 1.1 et a reçu une mise à jour le 22/02/2019.

Vous le trouverez sur la page suivante : Recommandations de sécurité relatives à un système GNU/Linux

Ce fameux ANSSI-BP-028 (c'est son code de référence) est plutôt complet et comporte plusieurs niveaux de sécurité (minimal, intermédiaire, renforcé et élevé). Dans un premier temps, il est important de vous concentrer sur le niveau "minimal" qui doit être appliqué dans tous les contextes, quelque soit la sensibilité de votre architecture. En fonction de ce que vous souhaitez protéger (des données personnelles, bancaires, médicales), il sera souvent opportun d'envisager l'application des mesures des niveaux supérieurs.

Il s'agit d'une très bonne base sur laquelle travailler et elle vous assurera d'être conforme à la plupart des audits de sécurité internes et externes que vous ferez, l'ANSSI est en France la référence à suivre dans ce domaine. En suivant ce guide, vous tomberez sur des blocs de recommandation numérotées de 1 à 69. Il s'agit des points techniques de sécurité à appliquer, ceux-ci sont parfois accompagné de lignes de commande vous permettant de vérifier ou de corriger ce point technique, mais cela reste assez rare dans ce guide.

Outre la sécurité des systèmes d'exploitation GNU/Linux, l'ANSSI propose un nombre intéressants de guide de durcissement qui sont de très bonnes sources de travail. On citera notamment le guide d’hygiène informatique, les recommandations de sécurité relatives à TLS ou encore le guide d'administration sécurisée. Vous trouverez l'ensemble de ces guides sur cette page : Guides de bonnes pratiques de l'ANSSI

III. Les guides Debian et Centos du CIS

Le CIS (Center for Internet Security) est très productif en ce qui concerne les guides de bonnes pratiques. Pour y accéder, il faut s'inscrire (gratuitement) sur leur plateforme, on obtient alors l'accès à un grande nombre de guides publiés, en cours de relecture ou de rédaction sur des sujets classiques (OS Linux, Windows, etc.) mais aussi sur des technos qui sont plus rares en ce qui concerne les guides bonnes pratiques de sécurité telles que Oracle, postgreSQL, kubernetes, etc.

Les guides concernant les dernières distributions (Debian, Centos, Red Hat) sont également pertinents et un peu plus complets que les guides de l'ANSSI. Certains des points de sécurité qu'ils contiennent sont à mon sens un peu trop poussés. Je vous conseille donc de ne pas forcément tout appliqué mais de parcourir ces guides avec curiosité. Ils ont également l'avantage de contenir les lignes de commande et éléments de configuration permettant de contrôler un point technique mais aussi de le corriger, ce qui est toujours bienvenue.

Pour vous inscrire gratuitement et accéder à l'ensemble des guides : https://workbench.cisecurity.org/

Ces guides du CIS ont l'avantage de contenir une section "Applicable Profiles" qui indique si la cible des durcissements sont des stations de travail, des serveurs, ou les deux. L'interface CIS est également très pratique et agréable pour parcourir les guides, qui sont également téléchargeables au format PDF. Ils ont l'avantage d'être souvent mis a jour et de disposer d'un canal d'échange et de discussion en cas de besoin (si l'on repère une typo où que l'on a une question technique).

Globalement parlant, le site du CIS est, une fois que l'on dispose d'un compte, très utiles pour les besoins en sécurité d'un SI. Ne soyez pas étonné, la création d'un compte demande une validation manuelle (il me semble) et peux donc prendre quelques heures le temps que cette validation arrive.

IV. Le Red Hat Enterprise Linux - Security Guide

Il s'agit là aussi d'un très bonne ressource accessible gratuitement. Je l'utilise cependant moins souvent car elle est plus difficile à parcourir qu'un guide en français ou qu'un guide dans l'interface web du CIS. Ce guide est assez verbeux, c'est à dire que les impacts en termes de sécurité sont plutôt détaillé et cela permet de comprendre ce que l'on fait et surtout pourquoi. Certains points techniques et de configuration sont abordés dans ce guide et sont absents des propositions précédentes, c'est pourquoi il est toujours intéressant de garder celui-ci en tête.

Il dispose également de mises à jour régulières (parution en 2017, dernière mise à jour le 2019-06-25).

Red hat propose également un grande nombre de guides de configuration et de durcissement sur ses propres produits sur le lien suivant : https://access.redhat.com/documentation/en-us/

D'une manière générale dans le monde professionnel, je vous conseille de toujours vous reposer sur des guides officiels qui ont le mérite d'être rédigés par groupe de plusieurs personnes et d'être régulièrement mis à jour. Ceux-ci peuvent paraître assez indigeste à première vue car ils sont très complets, mais si l'on s'intéresse de façon unitaire à chaque partie, la lecture et l'appréhension du guide se fait naturellement.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Co-fondateur d'IT-Connect.fr. Auditeur en sécurité des systèmes d'information chez Amossys

    mickael has 502 posts and counting.See all posts by mickael

    Une pensée sur “Guides de durcissement et de sécurisation des OS GNU/Linux

    • Je m’étonne de ne pas voir mentionné OpenSCAP.
      OpenScap fourni toute une serie d’outils qui permettent de vérifier et de mettre en conformiter son système ou tout une infrastrucute par rapport à des standards/profiles de sécurité gouvernementaux/militaires/Institutionels.

      https://www.open-scap.org/

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.