Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ROYAUME DU MAROC ADMINISTRATION DE LA DÉFENSE NATIONALE DIRECTION GÉNÉRALE DE L

ROYAUME DU MAROC ADMINISTRATION DE LA DÉFENSE NATIONALE DIRECTION GÉNÉRALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION GUIDE TECHNIQUE RELATIF À LA SÉCURITÉ DU SERVEUR LINUX Guide Technique relatif à la sécurité du serveur linux INFORMATIONS AVERTISSEMENT Destiné à vous assister dans l’adoption d’une démarche cohérente et ho- mogène pour la mise en conformité de la sécurité de vos systèmes d’in- formation avec les règles de sécurité édictées par la Directive Nationale de la Sécurité des Systèmes d’information (DNSSI), ce guide élaboré par la DGSSI traite la démarche de sécurisation des systèmes GNU/Linux. Il est destiné à évoluer avec les usages, mais aussi avec vos contribu- tions et retours d’expérience. Les recommandations citées dans ce guide sont livrées en l’état et adaptées aux menaces au jour de leur publica- tion. Au regard de la diversité des systèmes d’information, la DGSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par la DGSSI doit être soumise, au préalable, à la validation du Responsable de la Sécurité des Systèmes d’Information (RSSI) et de l’administrateur du système concerné. PERSONNES AYANT CONTRIBUÉ À LA RÉDACTION DE CE DOCUMENT : Rédigé par Version Date DGSSI 1.0 12/12/2014 ÉVOLUTION DU DOCUMENT : Version Date Nature des modiﬁcations 1.0 12/12/2014 Version initiale PUBLIC CONCERNÉ PAR CE DOCUMENT : Secrétariat Général /Direction Générale Direction SI RSSI X Maîtrise d’ouvrage Administrateur systèmes et réseaux X Service des Ressources Humaines Service des Moyens Généraux Utilisateur POUR TOUTE REMARQUE : Contact Email DGSSI contact@dgssi.gov.ma DGSSI 1 Table des matières INTRODUCTION 3 1 LES RISQUES 4 2 SÉCURITÉ RELATIVE À UN SYSTÈME GNU/LINUX 5 2.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2 Elimination des services inutiles . . . . . . . . . . . . . . . . . . . . . 7 2.3 Patch et mise à niveau du système . . . . . . . . . . . . . . . . . . . 8 2.4 Conﬁguration des paramètres réseaux . . . . . . . . . . . . . . . . . 8 3 SÉCURITÉ LOCALE DU SYSTÈME 12 3.1 Gestion des comptes et des utilisateurs . . . . . . . . . . . . . . . . 12 3.2 Sécurité des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . 13 4 GESTION DES ACCÈS 16 4.1 Accès physique au système . . . . . . . . . . . . . . . . . . . . . . . 16 4.2 Droits d’accès aux ﬁchiers . . . . . . . . . . . . . . . . . . . . . . . . 18 4.3 Accès à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 4.4 Mise en place d’un système de ﬁltrage : Iptables . . . . . . . . . . . 21 4.5 Contrôle des services réseaux : TCPwrapper . . . . . . . . . . . . . . 22 5 SAUVEGARDE ET RESTAURATION 24 6 CHIFFREMENT 26 7 SUPERVISION ET AUDIT 27 7.1 Journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 7.2 Vériﬁcation de l’intégrité du système . . . . . . . . . . . . . . . . . . 28 7.3 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 RÉFÉRENCES 30 2 Guide Technique relatif à la sécurité du serveur linux Introduction Le présent document spéciﬁe les techniques de durcissement d’un serveur li- nux basé sur l’état de l’art. Il déﬁnit les bonnes pratiques que l’administrateur système doit implémenter pour renforcer la sécurité matérielle et logicielle du serveur. Les aspects traités dans ce guide sont communs à tous les systèmes GNU/LI- NUX indépendamment de la distribution utilisée (Debian, RedHat, etc.) et de la fonction remplie (Messagerie, Web, DNS, etc.). Les recommandations présentées dans ce document ne sauraient donc aucu- nement avoir un caractère exhaustif. Il s’agit simplement d’énoncer les princi- paux axes de durcissement à explorer aﬁn de protéger un serveur linux contre les activités malveillantes. Ce guide est structuré de la manière suivante : Section 1 : « les risques » , traite d’une manière générale les risques relatifs à la sécurité des serveurs Linux. Section 2 : « Sécurité relative à un système GNU/Linux» , contient les techniques de base permettant de sécuriser un serveur linux dès l’installation du sys- tème à savoir :le partitionnement du disque, la réduction de la surface d’at- taque par l’application du principe de minimisation, ainsi que l’application des mises à jour et des correctifs. Section 3 : « Sécurité locale du système » , déﬁnit l’ensemble des bonnes pratiques que l’administrateur doit implémenter aﬁn de garantir une bonne gestion des comptes, des utilisateurs et des mots de passe. Section 4 : « Gestion des accès » , examine la manière de sécuriser les accès aux ressources du serveur Linux à savoir : les accès physique au système via sa console, les permissions sur les ﬁchiers et les accès distants au serveur. Aussi elle traite la manière de sécuriser des connexions et d’implémenter le ﬁltrage pour éviter les intrusions réseaux. Section 5 : « Sauvegarde et restauration » examine les bonnes pratiques à prendre en compte pour une bonne politique de sauvegarde des données. Section 6 : « Chiffrement » , présente l’importance du chiffrement des données et des communications aﬁn de sécuriser l’information. Section 7 : « Supervision et audit » , examine l’importance de la supervision ré- gulière des journaux, la vériﬁcation de l’intégrité des données, et l’évalua- tion de la sécurité par des audits. DGSSI 3 Guide Technique relatif à la sécurité du serveur linux 1 Les Risques Dans la majorité des cas, les serveurs disposent d’une grande partie de don- nées sensibles et vitales des organismes. Une fois compromises, ces informations deviennent exposées au vol et à la manipulation par des personnes malveillantes. En effet, les attaques auxquelles ces serveurs peuvent faire face sont diverses à savoir : déni de service, altération ou perte de données, contamination par des virus, interception des communications, etc. Parmi les menaces qui peuvent nuire à la sécurité des serveurs informatiques on peut citer : * Les menaces physiques potentielles liées à la sécurité physique du serveur. Il s’agit des événements imprévisibles comme les pannes, les accidents ou encore les atteintes intentionnelles sur les matériels. Par exemple : – Dégâts des eaux (inondation, humidité) ; – Feu (Accidentel ou criminel) ; – Electricité (surtension, baisse de tension, coupure du courant) ; – Température ambiante (dysfonctionnement de la climatisation) ; – Intrusions physiques (circulation de personnes non autorisées dans les lo- caux, vol) ; – Etc. * Les menaces liées à la sécurité des systèmes d’exploitation générées par l’ex- ploitation possible des vulnérabilités et failles éventuellement présentes sur le système, notamment : – Services inutilisés et ports ouverts ; – Services sans correctifs ; – Mauvaise gestion des privilèges et des accès aux ressources du système ; – Mauvaise gestion des mots de passe ; – Applications vulnérables ; – Etc. Ainsi, il est primordial de mettre en place les contrôles nécessaires (physiques, administratifs et techniques) permettant de se prémunir contre les risques et de garantir la conﬁdentialité, l’intégrité et la disponibilité de l’information. DGSSI 4 Guide Technique relatif à la sécurité du serveur linux 2 Sécurité relative à un système GNU/Linux 2.1 Installation Le durcissement d’un serveur Linux commence dès la phase de l’installation du système. Généralement, Il faut éviter de procéder à une installation par défaut. Il faut tout d’abord décider quelle en sera l’utilisation (serveur Web, DNS, mes- sagerie, etc.) avant de déterminer des règles à mettre en place pour le sécuriser. Ci-après les principaux aspects à prendre en considération lors de l’installation du système linux. Partitionnement du disque : Le partitionnement est une étape clef de l’ins- tallation de GNU/Linux et de la prise en compte des supports de stockage de données. Il est important de bien choisir le partitionnement à adopter en vue d’obtenir un niveau de sécurité plus élevé. La méthode de partitionnement varie en fonction de l’utilisation du serveur. uploads/s1/ guide-linux-v14-12-2015.pdf