Recommandations de l’ANSSI pour la sécurité des systèmes GNU/Linux

L’Agence nationale de la sécurité des systèmes d’information publie fréquemment des guides de bonnes pratiques sur un ensemble varié de technologies. Ce sont les distributions GNU/Linux qui ont fait l’objet du dernier guide de l’ANSSI. L’occasion dans cet article de vous les présenter brièvement.


On trouvera dans ces recommandations de sécurité relatives à un système GNU/Linux, deux guides :

  • Recommandations de configuration d’un système GNU/Linux
  • Recommandations de sécurité relatives à un système GNU/Linux

Il est vrai que dans le monde professionnel, et surtout pour les environnements serveurs, GNU/Linux est très utilisé. Il est donc logique que l’ANSSI publie un guide de bonnes pratiques en ce sens. On retrouve les bases du système Linux dans nombre de distributions, allant d’Apple à Android, et en passant par toute sorte de distribution réseaux et systèmes d’exploitation dérivés.

ANSSICes guides ont donc pour but d’exposer un ensemble de techniques de durcissement (hardening), qui est une pratique répandue lorsque l’on s’occupe de la sécurité d’un système d’information

Voir mon article : Qu’est ce que l’hardening ?

Parmi les grands axes abordés dans ces guides :

  • Réduire la surface d’attaque ;
  • Appliquer un principe de défense en profondeur ;
  • Mettre en place des mesures de cloisonnement applicatif ;
  • Rédiger et appliquer les procédures d’administration sécurisées ;
  • Définir et mettre en place une politique de journalisation d’événements cohérente.

Également, on retrouve un système de classification en 4 niveaux :

  • Minimal ;
  • Intermédiaire ;
  • Renforcé ;
  • Élevé.

Pour mon retour après lecture, et pour vous donner un avant goût du contenu de ces guides, voici les points intéressants :

Pour le guide “Recommandations de configuration d’un système LINUX” :

C’est le plus complet des deux guides, il comporte notamment un système de priorisation des recommandations (de Minimal à Élevé). Les recommandations de niveau Élevé passent généralement par l’utilisation de systèmes complexes de durcissement tels que RBAC SELinux ou AppArmor. Les niveaux Intermédiaire et Renforcé passent par des configurations du pare-feu netfilter (via iptables ou nftables), de la gestion via chroot/sudo, des droits setuid et de la gestion de services plus globaux comme cron, rsyslog ou auditd par exemple.

Voici un aperçu de cette classification :

anssi-recomendations-linux-01
On peut donc trouver, pour chaque point, un paragraphe le détaillant au niveau technique. Ce guide est à destination des Administrateurs et des RSSI. Parmi les axes principaux :

  • Réduction de la surface d’attaque ;
  • Process de mise à jour et de suivi des systèmes ;
  • Surveillance des systèmes.

Ces trois points forment le principe de minimisation, à appliquer aux services et systèmes du SI.

Seuls les composants strictement nécessaires au service rendu par le système doivent être installés.

Est également détaillé le principe de défense en profondeur, visant à retarder et complexifier la tâche de l’attaquant dans ses opérations. Une partie entière est dédiée à la configuration matérielle avant même l’installation du système.

Différents points sont ensuite abordés : l’installation du système, les techniques de partitionnement, et les mesures à mettre en place dès la phase d’installation. Ensuite vient la configuration et les services système, la présentation de solutions de cloisonnement de contrôle d’accès, qui entrent en compte afin de renforcer les contrôles déjà en place dans les systèmes Linux, on passe alors par des processus de contrôle qui n’utilisent pas le même modèle DAC (Discretionary Access Control) de Linux, mais plutôt des modèles MAC (Mandatory Access Control), voire RBAC (Role Based Access Control)

Pour le guide “Recommandations de sécurité relatives à un système LINUX” :

Le document ne se présente pas comme exhaustif car les contextes d’utilisation des systèmes GNU/Linux sont très variés. Il présente cependant les axes à explorer pour un durcissement en profondeur de ces systèmes.

Le principe de base repris est bien entendu la réduction de la surface d’attaque.

Voir mon article : Qu’est ce que la surface d’attaque ?

On retrouve donc les principaux axes de la réduction de la surface d’attaque :

  • Au niveau utilisateur (userland)
  • Au niveau du noyau

Et notamment une phrase intéressante, qui est le fondement même de la réduction de la surface d’attaque :

Tout ce qui est inutile aux utilisateurs légitimes ne servira qu’à l’attaquant.

Cette réduction de la surface d’attaque doit être renforcée avec une défense en profondeur des éléments et points d’entrée restants. C’est alors le principe de cloisonnement et les bonnes pratiques d’administration qui doivent être appliqués.

Je vous conseille vivement d’y jeter un oeil, que Linux soit peu ou largement utilisé dans votre système d’information. Il est toujours bon de connaitre les bonnes pratiques de base pour la sécurisation des systèmes utilisés. De plus, les guides de l’ANSSI sont très bien détaillés et présentent une démarche cohérente et réalisable de durcissement des systèmes.

Pour les curieux et les intéressés, voici les liens :

N’hésitez pas à donner votre avis dans les commentaires, appliquez-vous les bonnes pratiques de l’ANSSI ? Que pensez-vous des guides proposés par l’ANSSI ?

Vous aimerez aussi...

6 réponses

  1. Blabla dit :

    Bonjour,
    Le premier lien n’est plus bon. Voici le bon actualisé :
    http://www.ssi.gouv.fr/uploads/2015/10/NP_Linux_Configuration.pdf

  2. lumiru dit :

    Le premier lien est mort

  3. siger dit :

    Pour info Apple est basé sur bsd et non sur Linux. Il est donc faux d’inclure Apple dans les distributions basées sur Linux

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *