Linux - Renforcement

Les distributions Linux suivantes peuvent être durcies lors de l'approvisionnement :

• Debian à partir des versions 11, 12 et 13

• Ubuntu à partir des versions 22.04 et 24.04

• Oracle Linux à partir de la version 9

• Red Hat Enterprise Linux 9

Les recommandations des documents CIS Benchmark ont été suivies afin de renforcer et sécuriser nos systèmes d'exploitation Linux.

Systèmes de fichiers

• Certains systèmes de fichiers vulnérables sont désactivés dans le noyau

• Points de montage séparés pour les systèmes de fichiers très actifs : /var/log, /var/log/audit, /var/tmp

• Protection de /var/log, /tmp et /var/tmp

• Désactivation des supports de stockage amovibles

Schéma de partitionnement par défaut

Lors de l'approvisionnement, les instances sont déployées avec un schéma de partitionnement LVM standardisé. Les volumes logiques suivants sont créés par défaut :

Espace total alloué : ~28 Go

Note : Le schéma de partitionnement par défaut peut varier selon le type de système d'exploitation (RHEL, Debian, Ubuntu) et la version. Les tailles indiquées ci-dessus sont données à titre indicatif.

Comportement de l'allocation de stockage

Lors de l'approvisionnement d'une instance via ITcare, vous pouvez choisir :

• La taille du disque système

• Des volumes de stockage supplémentaires si nécessaire

La création de l'instance déploie celle-ci avec le schéma de partitionnement par défaut décrit ci-dessus, mais n'étend pas automatiquement les volumes logiques pour utiliser tout l'espace disque disponible. L'espace restant demeure disponible dans le groupe de volumes LVM afin que vous puissiez l'allouer selon vos besoins spécifiques.

Exemple 1 : Disque système unique (60 Go)

Exemple 2 : Disque système (70 Go) + Volume supplémentaire (80 Go)

Extension du stockage après l'approvisionnement

Une fois votre instance approvisionnée, vous pouvez allouer l'espace disponible selon vos besoins :

• Étendre les volumes logiques existants pour augmenter l'espace de certains points de montage (ex : /var/log, /opt, /home)

• Créer de nouveaux volumes logiques pour les données applicatives ou les bases de données

• Formater et monter les volumes supplémentaires pour des besoins de stockage dédiés

Cette approche offre la flexibilité nécessaire pour adapter la configuration du stockage à vos besoins applicatifs et de données spécifiques.

Démarrage sécurisé

• Le mot de passe root est requis pour démarrer en mode de secours

Utilisation de sudo

• Traçabilité de chaque utilisation de la commande sudo

Durcissement des processus

• Plusieurs paramètres sont activés dans le noyau pour protéger les processus en cours d'exécution

Réseau

• Les services réseau inutiles ou vulnérables sont désactivés (appliqué par le gestionnaire de configuration)

• Le service de synchronisation horaire est configuré et actif

• IPv6 est désactivé

• Plusieurs paramètres du noyau sont configurés pour protéger le réseau

• Désactivation des protocoles réseau peu courants

Spécificité RHEL 9 — Pare-feu (firewalld)

Sur les instances Red Hat Enterprise Linux 9, le service firewalld est actif et démarré par défaut dès le provisionnement.

La zone par défaut appliquée est public, qui suit une politique deny-by-default sur le trafic entrant : tout flux entrant est bloqué sauf ce qui est explicitement autorisé. Par défaut, seuls les services suivants sont autorisés en entrée :

Note : Le trafic sortant est autorisé par défaut. Si votre application nécessite l'ouverture de ports supplémentaires, vous devrez ajouter des règles firewalld explicites via firewall-cmd ou via votre outil de gestion de configuration (ex : Puppet).

Journalisation

• Centralisation des journaux système

• Tous les événements sont journalisés

Accès et authentification

• Le service cron est actif et configuré

• Les répertoires cron sont protégés

• SSH est actif et configuré

• Protocoles et paramètres SSH sécurisés appliqués

• Déconnexion automatique des sessions inactives

• Règles de mots de passe robustes appliquées

• Fichiers d'authentification sensibles protégés