Ce livre sur la sécurité d'un système Debian GNU/Linux s'adresse principalement aux administrateurs d'infrastructures, mais aussi à toute personne en charge de serveurs critiques nécessitant de la haute disponibilité. Un minimum de connaissances du système d'exploitation GNU/Linux et de la virtualisation est nécessaire afin de tirer le meilleur profit de la lecture de ce livre.

L'auteur donne au lecteur les connaissances nécessaires pour appréhender la sécurisation du système et la sûreté de fonctionnement des serveurs pour les rendre moins permissifs aux maliciels et aux attaques de tout genre.

Ainsi, vous découvrirez la démarche à adopter pour mettre en œuvre un mode sécurisé sur les différentes strates du système : démarrage, noyau, fonctionnalités de base (gestion des quotas, paramétrage des droits utilisateurs ou des répertoires) ainsi que les flux réseau.

Vous étudierez également la protection contre les virus, le spam ainsi que les outils de mise à jour du système d'exploitation (signatures GPG, Puppet…).

À l'issue de cette lecture vous serez en mesure d'accroître considérablement la sécurité de votre système Debian/GNU Linux.


Les chapitres du livre :
Avant-propos – Introduction – Outils noyau et initialisation – Outils de base – Outils Serveur – Outils réseau – Outils antivirus – Outils de mise à jour – Conclusion – Glossaire

Téléchargements

• Des fichiers complémentaires (8,98 Ko)

Avant-propos

1. Objectifs
2. Public visé
3. Prérequis et connaissances nécessaires
4. Structure de l'ouvrage
5. Normes et règles de nommage

Introduction

1. Pourquoi Debian ?
   1. 1. Sécurité du système d’information
   2. 2. Sécurité de l’information
   3. 3. Où trouver la distribution Debian ?
   4. 4. Quelles « saveurs » dedistribution Debian ?
   5. 5. Exemple d’installation : iolive
2. Généralités sur la sécurité
   1. 1. Sécurité et sûreté defonctionnement
   2. 2. Supervision et surveillance
   3. 3. Traçabilité
   4. 4. Considération du coût et du risque
3. Quels sont les éléments à sécuriser sur GNU/Linux
   1. 1. Le BIOS
      1. a. Démarrage
      2. b. Paramétrage
      3. c. Cas des machines virtuelles
      4. d. Utilisation d’UEFI
   2. 2. Le bootloader
   3. 3. Le noyau linux
   4. 4. Les modules
   5. 5. L’image au démarrage :initrd
   6. 6. Les pseudo-systèmes de fichiers
      1. a. /proc
      2. b. /sys
   7. 7. La mémoire
4. Suppression des anciens noyaux
   1. 1. Phase d’initialisation init
   2. 2. Scripts d’initialisation avec en-têtesLSB
   3. 3. Parallélisation avec systemd
5. La sécurité fondamentale
   1. 1. Sécurisation des comptes utilisateurs
   2. 2. Empêcher les comptes inutiles
   3. 3. Mettre en œuvre une gestion de mot de passe
   4. 4. Fermer les services inutiles
   5. 5. Effectuer les mises à jour

Outils noyau et initialisation

1. Protection dès la phase de démarrage
   1. 1. Sécurisation du BIOS
   2. 2. Présentation de GRUB
   3. 3. Sécurisation de GRUB
   4. 4. Utilisation de GRUB
   5. 5. Boot on SAN
2. Protection du noyau
   1. 1. Le noyau linux
   2. 2. Architecture d’un noyau
   3. 3. Les anneaux de protection
      1. a. Architecture 32 bits sans virtualisation
      2. b. Architecture 32 bits virtualisée
      3. c. Architecture 64 bits sans virtualisation
      4. d. Architecture 64 bits virtualisée
   4. 4. Protections naturelles du noyau
3. Installation de partition chiffrée
   1. 1. Utilisation de LUKS
   2. 2. Utilisation d’EncFS
4. Gestionnaire de volumes logiques
   1. 1. Description du LVM
      1. a. Création de volumes physiques
      2. b. Création de groupes de volumes
      3. c. Création de volumes logiques
   2. 2. Partition LVM chiffrée
   3. 3. Utilisation des snapshots sur LVM
   4. 4. Sauvegardes LVM
   5. 5. Le gestionnaire LVM au niveau du SAN
   6. 6. Vérification des volumes logiques
   7. 7. Sécurisation des attributs
5. Commandes de base
   1. 1. De quoi s’agit-il ?
   2. 2. Utilisation des séquences alternatives
   3. 3. Mise en place de conteneurs
   4. 4. Application de docker : conteneur web
   5. 5. Sécurisation des conteneurs
6. Industrialisation des installations
   1. 1. Installation de VirtualBox Guest additions
   2. 2. Installation de VMTools
   3. 3. Fonctions de clonage

Outils de base

1. Protection des connexions frauduleuses
   1. 1. Utilisation de fail2ban
   2. 2. Configuration de fail2ban
   3. 3. Interface cliente de fail2ban
   4. 4. Interface web de fail2ban
2. Protection contre les rootkits
   1. 1. Définition d’un rootkit
   2. 2. Utilisation de samhain
   3. 3. Utilisation de rkhunter
   4. 4. Vérification d’intégrité
3. Protection des fichiers critiques
   1. 1. Comment évaluer la criticité??
   2. 2. L’utilitaire AIDE
   3. 3. Les règles concernant AIDE
   4. 4. L’outil tripwire, alternative à aide
4. Protection des ports de service
   1. 1. Qu’est-ce qu’un port de service??
   2. 2. Installation de portsentry
   3. 3. Activation de portsentry
5. Protection des accès
   1. 1. Comment définir un accès??
   2. 2. Délégation d’accès
   3. 3. Délais de grâce du mot de passe
   4. 4. Gestionnaire de fenêtres
6. Protection des journaux
   1. 1. Paramétrage des logs courants
   2. 2. Surveillance des logs avec logwatch
   3. 3. Vérification des traces avec logcheck
   4. 4. Vérification des traces du noyau
   5. 5. Centralisation des traces avec loganalyzer
   6. 6. Nouvelle gestion des services et de la journalisation

Outils Serveur

1. Protection des limites
   1. 1. Compteurs de ressources
   2. 2. Quantifier les ressources
   3. 3. Gestion de quotas
   4. 4. Confinement et chroot
   5. 5. Gestion des attributs
2. Protection du paramétrage
   1. 1. Protection contre le spoofing IP
   2. 2. Sécurisation du trafic réseau
   3. 3. Utilisation avancée de sysctl
   4. 4. Paramétrage divers de sécurisation
   5. 5. Protection et surveillance de répertoirescritiques
3. Contrôle d’accès
   1. 1. Les droits standards
   2. 2. Les droits étendus
   3. 3. Sauvegarde des droits étendus
   4. 4. Protection des processus
4. Protection des sessions
   1. 1. Authentification standard
   2. 2. Authentification par modules PAM
   3. 3. Utilisation des modules PAM
5. Sécurisation des services
   1. 1. Différents modèles de sécurité
   2. 2. Sécurité des services
   3. 3. Utilisation de SElinux
   4. 4. Les cgroups
   5. 5. Utilisation de AppArmor
6. Sécurité des Serveurs d’impression
   1. 1. Généralités
   2. 2. Installation
   3. 3. Utilisation
   4. 4. Sécurisation du service

Outils réseau

1. Protection des flux réseau
   1. 1. Présentation du réseau
   2. 2. Filtrage des paquets
   3. 3. Utilisation de netfilter
   4. 4. Sauvegarde et restauration des règles
   5. 5. Réseau et connexions sans fil
      1. a. Utilisation du Wi-Fi
      2. b. Utilisation du Bluetooth
2. Sécurisation d’accès aux services
   1. 1. Gestion des zones
   2. 2. Gestion des sources
   3. 3. Gestion des services
   4. 4. Gestion des règles
3. Système de proxy mandataire
   1. 1. Présentation
   2. 2. Mise en œuvre de squid
   3. 3. Le proxy HAProxy
   4. 4. Le proxy SOCKS
4. Protection du réseau
   1. 1. Introduction
   2. 2. Installation de Free RADIUS
   3. 3. Configuration de Free RADIUS
   4. 4. Cas d’utilisation de Free RADIUS
5. Réseau privé virtuel
   1. 1. Installation et configuration
   2. 2. Infrastructures à clés publiques
   3. 3. Installer un conteneur OpenVPN

Outils antivirus

1. Système antiviral de base
   1. 1. Cibles à protéger
   2. 2. Installation de ClamAV
   3. 3. Utilisation de Linux Malware Detect
   4. 4. Protection des stations Linux
   5. 5. Alternative pour la protection des stations
2. Système antiviral forensic
   1. 1. Installation de clamtk
   2. 2. Utilisation de ClamAV avancée
   3. 3. Installation de clamassassin
   4. 4. Installation de clamSMTP
3. Protection complète des répertoires $HOME
   1. 1. Le contexte
   2. 2. La mise en œuvre
4. Protection contre les spams
   1. 1. Présentation
   2. 2. Installation de l’outil
   3. 3. Configuration du service de messagerie
   4. 4. Gestion des règles d’apprentissage
   5. 5. Sauvegarde/restauration de la base SpamAssassin
5. Protection contre les tempêtes ARP
   1. 1. Présentation des risques
   2. 2. Installation de l’outil de détection
   3. 3. Utilisation de l’outil de détection

Outils de mise à jour

1. Mise en place d’un repository
   1. 1. Gestionnaire de paquets
   2. 2. Utilisation avancée d’aptitude
   3. 3. Gestion de la cohérence
   4. 4. Mise à jour de sécurité
   5. 5. Création de dépôts
2. Gestion des signatures GPG
   1. 1. Le projet GnuPG
   2. 2. Champ d’application et signature de clésGnuPG
   3. 3. Vérification d’authenticité despaquets
   4. 4. Authenticité des dépôts
3. Déclaration et remontée de bugs
   1. 1. Cas d’un nouveau bug
   2. 2. Modification de rapport
   3. 3. Suivi de version
   4. 4. Intégrité et reporting
   5. 5. Dépannage
4. Automatisation pilotée par Puppet
   1. 1. Définitions et architecture
   2. 2. Installation de Puppet
      1. a. Installation du service principal (puppetmaster)
      2. b. Installation du serveur PuppetDB
      3. c. Installation du serveur Web Frontend
   3. 3. Configuration de Puppet
   4. 4. Mise en œuvre d’une classe Puppet
5. Gestion de version
   1. 1. Présentation de git
   2. 2. Installation de git
   3. 3. Configuration de git
   4. 4. Application et utilisation de git
6. Systèmes de distributions
   1. 1. Fonctionnement de xCAT2
   2. 2. Installation de xCAT2
   3. 3. Configuration xCAT2
   4. 4. Alternative de distribution FAI

Conclusion

1. Niveaux évolutifs
2. Bilan des opérations
3. Pour conclure

Annexe

1. Glossaire