Hardening OS

Chaque OS est livré avec une configuration par défaut, assez ouverte et très permissive. Cependant, il est préfèrable d'adapter l'OS à son environnement.

Pour adapter, nous allons évoquer le sujet du durcissement (hardening). Plusieurs méthodes existent, nous allons suivre les recommandations du CIS.

Le CIS ?

Le Centre Internet Security (CIS) est une organisation à but non lucratif qui se concentre sur l'amélioration de la cybersécurité des systèmes informatiques publics et privés. Voici les aspects clés de leur mission et de leurs activités :

• Développement de Standards de Sécurité : CIS développe et maintient des ensembles de normes de sécurité, comme les CIS Controls et les CIS Benchmarks. Ces outils aident les organisations à renforcer leur posture de sécurité en fournissant des directives détaillées et des bonnes pratiques pour sécuriser leurs systèmes informatiques.
• Partenariats et Collaboration : CIS collabore avec divers acteurs, notamment des gouvernements, des entreprises privées et d'autres organisations de sécurité, pour promouvoir la sécurité informatique à l'échelle mondiale.
• Outils et Services : L'organisation propose une gamme d'outils et de services pour aider les entreprises à évaluer et à améliorer leur sécurité informatique. Cela inclut des outils d'évaluation de la conformité, des services de conseil en sécurité et d'autres ressources techniques.
• Centre de Partage d'Informations sur la Sécurité (ISAC) : Le Multi-State Information Sharing and Analysis Center (MS-ISAC) est une composante clé du CIS. Il fournit un forum pour le partage d'informations sur les cybermenaces et les meilleures pratiques entre les gouvernements des États et locaux aux États-Unis.
• Éducation et Sensibilisation : CIS s'engage également dans des activités éducatives et de sensibilisation pour informer le public et les professionnels de la sécurité sur les enjeux actuels en matière de cybersécurit

Hardening

Le CIS fournit des benchmarks pour de nombreux systèmes, par exemple pour Ubuntu 22.04 LTS.

Il est important de passer en revue l'ensemble des recommandations et de les adapter à l'environnement.

Appliquer les recommandations

La meilleure méthode pour appliquer ces règles est d'utiliser un playbook ansible.

• Soit vous avez appliquez les règles sur un template OS.
• Soit vous les appliquez à chaque déploiement d'une nouvelle VM.

Quelques exemples de playbooks :

• ansible-lockdown/UBUNTU22-CIS
• MVladislav/ansible-cis-ubuntu-2204

Aller plus loin...

• Pour s'assurer qu'aucune modification n'a été réalisée suite à l'application des règles, Wazuh permet de faire ces vérifications,
• Guide officiel d'Ubuntu sur la sécurité.