# Mesures mise en place - GUIDE ANSSI Lien vers le guide : [Recommandations de securite relatives un systeme GNU Linux](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-un-systeme-gnulinux) ## [Recommandation de niveau minimal](https://hackmd.io/N4hbD2FqQE28tsh0pWg1xA) - [x] Désactiver les comptes utilisateur inutilisés - [x] Utiliser des mots de passe robustes - [x] Éviter les fichiers ou répertoires sans utilisateur ou sans groupe connu - [x] Activer le sticky bit sur les répertoires inscriptibles - [x] Éviter l’usage d’exécutables avec les droits spéciaux setuid et setgid - [x] N’installer que les paquets strictement nécessaires - [x] Utiliser des dépôts de paquets de confiance - [x] Effectuer des mises à jour régulières - [x] Désactiver les services non nécessaires - [x] Protéger les mots de passe stockés - [x] Réduire la surface d’attaque des services réseau (En cours) ## Recommandation de niveau intermédiaire - [x] Configurer le BIOS/UEFI - [x] Activer le démarrage sécurisé UEFI - [x] Configurer un mot de passe pour le chargeur de démarrage - [x] Paramétrer les options de configuration de la mémoire - [x] Paramétrer les options de configuration du noyau - [x] Activer et configurer le LSM Yama - [x] Paramétrer les options de configuration du réseau IPv4 - [x] Désactiver le plan IPv6 - [x] Paramétrer les options de configuration des systèmes de fichiers - [x] Partitionnement type - [x] Éxpirer les sessions utilisateur locales - [x] Assurer l’imputabilité des actions d’administration - [x] Désactiver les comptes de service - [x] Utiliser des comptes de service uniques et exclusifs - [x] Modifier les directives de configuration sudo - [x] Utiliser des utilisateurs cibles non-privilégiés pour les commandes sudo - [x] Bannir les négations dans les spécifications sudo 43 - [x] Préciser les arguments dans les spécifications sudo 43 - [x] Éditer les fichiers de manière sécurisée avec sudo - [x] Restreindre les droits d’accès aux fichiers et aux répertoires sensibles - [x] Restreindre les accès aux sockets et aux pipes nommées - [x] Séparer les répertoires temporaires des utilisateurs - [x] Désactiver les fonctionnalités des services non essentielles - [x] Configurer les privilèges des services - [x] Cloisonner les services - [x] Sécuriser les authentifications distante par PAM - [x] Sécuriser les accès aux bases utilisateur distantes - [x] Séparer les comptes système et d’administrateur de l’annuaire - [x] Durcir et surveiller les services exposés ## Recommandation de niveau renforcé - [x] Choisir et configurer son matériel - [x] Activer l’IOMMU - [x] Désactiver le chargement des modules noyau - [x] Restreindre les accès au dossier /boot - [x] Modifier la valeur par défaut de UMASK 39 - [x] Utiliser des fonctionnalités de contrôle d’accès obligatoire MAC - [x] Créer un groupe dédié à l’usage de sudo - [x] Limiter l’utilisation de commandes nécessitant la directive EXEC - [x] Activer les profils de sécurité AppArmor - [x] Changer les secrets et droits d’accès dès l’installation - [x] Éviter l’usage d’exécutables avec les droits spéciaux setuid root et setgid root - [x] Utiliser des dépôts de paquets durcis - [x] Mettre en place un système de journalisation - [x] Mettre en place des journaux d’activité de service dédiés 65 - [x] Journaliser l’activité système avec auditd - [ ] Durcir le service de messagerie locale - [ ] Configurer un alias de messagerie des comptes de service - [ ] Cloisonner les services réseau ## Recommandation de niveau élevé - [ ] Remplacer les clés préchargées - [ ] Protéger les paramètres de ligne de commande du noyau et l’initramfs - [ ] Paramétrer les options de compilation pour la gestion de la mémoire - [ ] Paramétrer les options de compilation pour les structures de données - [ ] Paramétrer les options de compilation pour l’allocateur mémoire - [ ] Paramétrer les options de compilation pour la gestion des modules noyau - [ ] Paramétrer les options de compilation pour les évènements anormaux - [ ] Paramétrer les options de compilation pour les primitives de sécurité du noyau - [ ] Paramétrer les options de compilation pour les plugins du compilateur - [ ] Paramétrer les options de compilation pour la pile réseau - [ ] Paramétrer les options de compilation pour divers comportements du noyau - [ ] Paramétrer les options de compilation spécifiques aux architectures 32 bits - [ ] Paramétrer les options de compilation spécifiques aux architectures x86_64 bits - [ ] Paramétrer les options de compilation spécifiques aux architectures ARM - [ ] Paramétrer les options de compilation spécifiques aux architectures ARM 64 - [ ] Activer SELinux avec la politique targeted 47 - [ ] Confiner les utilisateurs interactifs non privilégiés 48 - [ ] Paramétrer les variables SELinux 48 - [ ] Désinstaller les outils de débogage de politique SELinux - [ ] Durcir les composants de cloisonnement - [ ] Sceller et vérifier l’intégrité des fichiers - [ ] Protéger la base de données des scellés