Notre méthodologie d'audit Unix/Linux
Les audits de sécurité des systèmes UNIX et Linux sont divisés en deux approches distinctes, chacune ayant un objectif précis :
- La recherche d’élévation de privilèges vise à se mettre dans la peau d’un attaquant ayant déjà compromis une partie du système et cherchant désormais à obtenir un contrôle total. La surface initiale est limitée et l’attaquant ciblera les vecteurs de compromission les plus profitables.
- L’audit de configuration vise à analyser le système dans son intégralité. Le but est de cibler les défauts de configuration et de fournir des recommandations concrètes pour renforcer la sécurité du système. L’audit réalisé est conforme aux standards délivrés par le Center for Internet Security.
Les audits que nous proposons peuvent être effectués sur un grand nombre de systèmes, parmi les plus courants : RedHat, CentOS, Debian, AIX, Solaris, HP-UX.
Élévation de privilèges
- Recherche d’exploit système
- Type de distribution
- Version et architecture du noyau
- Environnements utilisateurs
- Exploitation de l'utilitaire « sudo »
- Fichiers sensibles (historiques, clés privées)
- Variables d'environnement et alias
- Compromission des tâches planifiées
- Permissions des fichiers de tâche planifiée
- Analyse des scripts et binaires appelés
- Analyse du système de fichiers
- Fichiers « SUID » et « SGID »
- Fichiers et dossiers accessibles en écriture et lecture pour tous
- Scripts et configuration sensibles
- Compromission des applications et des services
- Processus en cours d'exécution
- Services en écoute
- Configuration et permissions des services
- Version des paquets installés
- Propagation dans le réseau
- Découverte de l'architecture réseau
- Rejeu d'identifiants (mots de passe, clés privées)
- Transfert de port et exfiltration de données
Audit de configuration
- Utilisateurs et permissions
- Permissions sur les fichiers de compte
- Cassage des mots de passe
- Fichiers sans propriétaires, ni groupes
- Comptes sans mot de passe
- Authentification et autorisation
- Politique de mots de passe
- Robustesse des algorithmes de hash
- Configuration SSH
- Activation et configuration des Crons
- Configuration du système de fichiers
- Sécurisation du partitionnement
- Intégrité du système de fichiers
- Sécurisation des processus et du « Secure Boot »
- Contrôle d'accès obligatoire
- Configuration des services
- Limitation des services locaux
- Relève des services dangereux
- Configuration réseau
- Règles de pare-feu
- Paramètres réseaux IPv4
- Paramètres réseaux IPv6
- Système de journalisation
- Activation des outils de journalisation
- Politique des données journalisées
- Exports des fichiers de journalisation