# Hardening d'un système Linux (Debian) ## Introduction Le but de ce TP est de sécuriser un système Linux (ici Debian) en appliquant un certains nombre de recommendations issues de sources telles que les guides de l'ANSSI ou encore le guide de l'administrateur Debian. L'ANSSI propose un ensembles de règles à appliquer méthodologiquement. Ces règles et notes techniques sont dédiées pour des services précis (web, OpenSSH, cloisonnement système). Toutes ces mesures sont basées sur 4 principes fondateurs: - Minimisation: éviter la complexité inutile afin de - réduire la surface d'attaque; - mettre à jour et surveiler le système efficacement. - Moindre privilège: donner seulement les droits nécessaires à sa mission (un compte par service système ou utilisateur), permettant d'éviter des conséquences larges - Evite les escalades par "couches" de protection; - Attribution des droits à tenir à jour; - Tracer les accès et tentatives d'accès. - Défense en profondeur: - Authentification pour des actions privilégiées; - Journalisation centralisée (système et service); - Services cloisonnés/séparation des privilèges; - Mécanismes de prévention d'exploitation. - Veille et maintenance: - Journalisation avec archive externe; - Mises à jour régulières, systématiques/automatiques, réactives via sources dignes de confiance; - Outils de scan de malwares automatiques - Se tenir au courant et mettre au courant les utilisateurs ## Table des matières 1. [Durcissement d'un système GNU/Linux](./Reco-ANSSI_LINUX.md) 2. [Durcissement du service SSH](./Reco-ANSSI_SSH.md) 3. [Hardening - Lynis](#hardening---lynis) 1. [Packages utilitaires](#packages-utilitaires) 2. [Configuration de sécurité](#configuration-de-sécurité) # Hardening - Lynis Cette partie liste un ensemble d'actions permettant de faire monter le score Lynis, et donc la sécurité de notre système. ## Packages utilitaires Liste des utilitaires de sécurité recommandé par le scan Lynis. **apt-listbugs**: Outils permettant de lister tous les bugs d'un package avant son installation ou son upgrade. Les rapports de bugs sont issus du 'Debian Bug Tracking System'. ```sh sudo apt install apt-listbugs ``` **needrestart**: Outils permettant de lister les démons qui nécessitent un redémarrage après une mise à jour de bibliothèque. ```sh sudo apt install needrestart ``` **debsums**: Outils permettant de vérifier le MD5 des packages Debian installés. L'outils peut aussi générer des listes de checksums à partir d'archive deb de paquets Debian qui n'en incluent pas. ```sh sudo apt install debsums ``` **fail2ban**: `fail2ban` est une application permettant d'analyser les journaux de divers services en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des journaux. Lorsqu'une correspondance est trouvée, des actions sont exécutées. Ces actions peuvent prendre la forme d'un ajout de règle au pare-feu `iptables` ou `nftables`. ```sh sudo apt install fail2ban ``` **rkhunter**: `rkhunter` pour Rootkit Hunter est un programme qui essaye de détecter des rootkits, portes dérobées et exploits sur les systèmes Linux. Afin de les détecter, rkhunter compare les hash des fichiers importants avec ceux d'une base en ligne. Il emet aussi des alertes à l'utilisateur en cas de détection de permissions anormales. ```sh apt install rkhunter ``` **usbguard** `usbguard` est un package permettant de fournir une protection contre les intrusions d'appreils au travers des ports USB de la machine. Il permet de configurer des whitelists et des blocklists. ## Configuration de sécurité **file intergrity** `aide` et `aide-common` sont des packages permettant de vérifier l'intégrité d'un système Linux. Aide (Advanced Intrusion Detection Environment) permet de détecter des changements non-authorisés sur différents fichier de configuration. ```sh # Installation des packages $ apt install aide aide-common # Initialisation de AIDE - création de la base $ aideinit Running aide --init... Start timestamp: 2021-12-06 09:24:20 +0000 (AIDE 0.17.3) AIDE initialized database at /var/lib/aide/aide.db.new Number of entries: 50105 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db.new SHA256 : kJ+ImERTWuOSvh0X0RvgqtLTT1UcGpUc zMpCawMhWnU= SHA512 : uQDxRc4OpbMGL+HjHIf/hMlS5Kq62Pjc W025ElhfNGTbQYwrzFptZxvyb276ASDd A599T41EXzifO54DL2J+nA== RMD160 : QuGnN0K1d4tx4kiiPueyW/0l7HY= TIGER : aNamnCSura3NsfAJEXTpG5jLMKplYikm CRC32 : 77U+rQ== HAVAL : CKmAXSB+Ih3o06Ztbxk4cpPZGyIdPPDv TamZl/f4p1A= WHIRLPOOL : RtyaunqwPb8OozjyfBGCkmPFBzTk67GY pvvP/U7WcFpHchIdmNwl1dfFjvfCAdcu ZEkqOCcOVPLoZshVyu5GCg== GOST : YX7ixAZvZ/cm5dyR5wIYqxddNpz7wof5 FbcOnS/zjFA= End timestamp: 2021-12-06 09:25:40 +0000 (run time: 1m 20s) # Démarrer un test d'intégrité aide --check ``` **Activé la résolution DNS** https://gbe0.com/posts/linux/systemd-resolved-setup/ `systemd` peut fournir un service nommé `resolved` permettant de gérer les résolutions DNS. De plus, le service est capable de gérer: - DNS over TKL; - la validation DNSSEC; - la résolution DNS multicast - etc. Nous vérifions le status du service `systemd-resolved`: ```sh $ systemctl status systemd-resolved.service ● systemd-resolved.service - Network Name Resolution Loaded: loaded (/lib/systemd/system/systemd-resolved.service; disabled; vendor preset: enabled) Active: inactive (dead) ``` Nous remarquons que par défaut le service est inactif. Pour l'activer, nous effectuons les commandes suivantes: ```sh # Activation du service systemctl enable systemd-resolved.service # Démarrage du service systemctl start systemd-resolved.service # Création d'un lien symbolique ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf ``` Le fichier de configuration par défaut du service de résolution DNS est le fichier `/etc/systemd/resolved.conf`. Celui-ci ne doit pas directement être modifié, pour ce faire il est possible de créer un répertoire en mode "drop-in" afin de pouvoir inclure les configurations présentes dans ce dossier dans notre fichier de configuration. Nous créons donc le répertoire: `mkdir /etc/systemd/resolved.conf.d`. Puis, nous créons les fichiers `/etc/systemd/resolved.conf.d/dns.conf` et `/etc/systemd/resolved.conf.d/dnssec.conf` permettant de configurer respectivement la résolution DNS et la validation DNSSEC. Le contenu des deux fichiers est le suivant: ```sh $ cat /etc/systemd/resolved.conf.d/dns.conf [Resolve] ## Use the following list of DNS resolvers ## Google public resolvers #DNS=8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 ## Cloudflare public resolvers #DNS=1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 DNS=1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 $ cat /etc/systemd/resolved.conf.d/dnssec.conf [Resolve] ## Configure DNSSEC validation ## Always validate #DNSSEC=yes ## Only validate if DNS resolvers being used support it DNSSEC=allow-downgrade ## Disable DNSSEC validation #DNSSEC=no ``` Enfin, on redémarre le service afin de valider la configuration: `systemctl restart systemd-resolved.service`.