Sécurisation système GNU/Linux

Votre système d'information pour et par l'humain

Objectifs Pédagogiques

Cette formation est un tour d’horizon des techniques de sécurisation d’un système GNU/Linux.

Le but recherché est de pouvoir évaluer, déployer et garantie un niveau de sécurité maitrisé au niveau système comme au niveau réseau sur les systèmes GNU/Linux.

Prérequis

  • Connaissances en administration des systèmes GNU/Linux
  • Connaissances en administration des réseaux

Public attendu

  • Architectes réseau & sécurité
  • Administrateurs systèmes et réseaux

Contenu de la formation

Introduction

  • Pourquoi et comment sécuriser un système ?
  • Peut-on trop sécuriser un système ?
  • Définir une stratégie d’authentification sécurisée
  • Robustesse d’un mot de passe
  • Les différents algorithmes cryptographiques

La sécurité et l’Open Source

  • La technique d’approche d’un attaquant : connaître les vulnérabilités, savoir attaquer
  • Exemple d’une vulnérabilité (Dépassement de tampon)
  • Exemple d’une solution à cette vulnérabilité

L’installation trop complète : Debian GNU/Linux

  • Debian, RedHat et les autres distributions
  • Installations aux besoins particuliers
  • Éviter le piège de l’installation facile
  • Allégement du noyau (pilotes de périphérique inuiles)

Travaux pratiques : Creation d’un preseed Debian

La sécurité locale du système

  • Exemples de malveillance et d’inadvertance
  • Faible permissivité par défaut. Vérification des droits des fichiers, scripts et commandes efficaces pour diagnostiquer
  • FS en lecture seule : les attributs des fichiers, disponibilité et intérêt & Vérification d’intégrité du système (AIDE)
  • Intégrité et conservation des logs
  • Signature de paquets
  • Paramétrage de PAM dans les différents contextes
  • Confinement de l’exécution des processus & Terminologie DAC, MAC, RBAC, contexte, modèle, …
  • Cloisonnement par conteneur
  • Chiffrement des disques

Travaux pratiques

  • Travail sur les utilisateurs, groupes, droits et processus
  • Authentification
  • Travail sur les logs
  • Mise en place d’un LSM de type MAC

La sécurité au niveau réseau

  • Mettre en place des filtres d’accès aux services/Firewall applicatif
  • Configurer un firewall de manière sécurisée
  • Mise en place d’un firewall NetFilter sous Linux
  • Philosophie et syntaxe de iptables / nftables
  • Réaliser un audit de service actif : ssh

Travaux pratiques :

  • Configuration d’un firewall
  • Auditer les services fonctionnels

Les utilitaires d’audit de sécurité

  • Les différents types de produits
  • Les systèmes de détection d’intrusion HIDS et NIDS
  • Tester la vulnérabilité avec Nessus & Openscap

Travaux pratiques :

  • Mise en œuvre des outils d’audit de sécurité