Durcir les configurations Linux

La sécurité des systèmes d’information est devenue un enjeu majeur pour les entreprises. Les serveurs Linux alimentent les infrastructures cloud, les serveurs web et les applications métier. Leur popularité en fait une cible privilégiée des attaquants. C’est là qu’intervient le durcissement : un processus méthodique pour réduire la surface d’attaque de vos systèmes.

À qui s’adresse ce guide

Ce guide d’introduction au durcissement est conçu pour :

• Débutants : comprendre les concepts fondamentaux de la sécurité système
• Administrateurs : découvrir les outils et référentiels disponibles
• Équipes DevOps : intégrer le durcissement dans les pipelines CI/CD

Point de départ

Ce guide est une introduction. Pour une mise en œuvre concrète, consultez mes guides spécialisés comme ANSSI-BP-028 ou CIS Benchmarks.

Qu’est-ce que le durcissement

Le durcissement (ou hardening en anglais) désigne le processus d’amélioration de la sécurité d’un système en réduisant sa surface d’attaque. Cette pratique implique des modifications et configurations visant à renforcer les défenses contre les cyberattaques.

En termes simples : durcir un serveur Linux, c’est comme renforcer les murs et verrouiller les portes d’une forteresse numérique.

Un serveur Linux n’est pas sécurisé par défaut

Quand vous installez un système Linux, il est configuré pour fonctionner facilement, pas pour être sécurisé. Par défaut :

• Des services inutiles sont activés et écoutent sur le réseau
• Les mots de passe peuvent être faibles ou inexistants
• Les permissions sont souvent trop permissives
• La journalisation est minimale
• Les protections noyau ne sont pas toutes activées

Ce que le durcissement apporte

Un système durci offre :

• Moins de portes d’entrée : services et ports réduits au strict nécessaire
• Accès contrôlés : permissions et droits limités selon le besoin
• Surveillance active : journalisation et alertes configurées
• Protection renforcée : noyau et démarrage sécurisés

Pourquoi durcir vos serveurs

Menaces courantes ciblant Linux

Les serveurs Linux sont exposés à de nombreuses menaces :

• Attaques par force brute : tentatives de connexion SSH massives
• Exploits de vulnérabilités : failles dans les services exposés
• Élévation de privilèges : exploitation de mauvaises configurations
• Malwares et rootkits : logiciels malveillants ciblant les serveurs
• Mouvements latéraux : propagation après compromission initiale

Conséquences d’un manque de sécurité

Un serveur non durci peut entraîner :

• Pertes financières : interruption de service, rançongiciels
• Fuite de données : compromission d’informations sensibles
• Atteinte à la réputation : perte de confiance des clients
• Non-conformité : sanctions réglementaires (RGPD, PCI-DSS, HDS)

Les 3 principes fondamentaux

Tout durcissement repose sur trois principes essentiels. Consultez mes guides dédiés pour approfondir chaque concept.

Minimisation

“N’installez que ce dont vous avez besoin”

Chaque composant installé est une porte d’entrée potentielle. Réduisez la surface d’attaque en éliminant tout ce qui n’est pas strictement nécessaire.

→ Guide : Minimisation de la surface d’attaque

Moindre privilège

“Donnez le minimum de droits nécessaires”

Un utilisateur ou un programme ne doit accéder qu’à ce dont il a strictement besoin pour fonctionner.

→ Guide : Principe du moindre privilège

Défense en profondeur

“Multipliez les barrières de sécurité”

Si une protection échoue, une autre doit prendre le relais. Combinez plusieurs couches de sécurité complémentaires.

→ Guide : Principes de sécurité

Les étapes clés du durcissement

1. Mises à jour et correctifs

   Maintenez le système et les applications à jour pour corriger les failles de sécurité connues. Automatisez les mises à jour de sécurité.

2. Minimisation des services

   Désactivez et désinstallez les services non nécessaires. Chaque service actif augmente la surface d’attaque.

3. Gestion des utilisateurs et permissions

   Appliquez le principe du moindre privilège. Désactivez les comptes inutilisés et contrôlez strictement les accès sudo.

4. Configuration réseau et pare-feu

   Bloquez le trafic non essentiel. Segmentez le réseau pour isoler les systèmes critiques.

5. Authentification renforcée

   Privilégiez les clés SSH aux mots de passe. Implémentez l’authentification multi-facteurs quand possible.

6. Chiffrement des données

   Chiffrez les données en transit (TLS) et au repos (LUKS). Protégez les secrets et les clés.

7. Audits et surveillance

   Configurez la journalisation centralisée. Effectuez des audits réguliers avec des outils spécialisés.

Les référentiels de durcissement

Plusieurs organismes publient des guides de bonnes pratiques reconnus. Voici les principaux référentiels utilisés en France et à l’international.

ANSSI-BP-028 (France)

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie le guide BP-028 : “Recommandations de configuration d’un système GNU/Linux”.

Points forts :

• Guide en français, adapté au contexte réglementaire français
• 4 niveaux progressifs (Minimal, Intermédiaire, Renforcé, Élevé)
• Gratuit et régulièrement mis à jour

→ Guide complet ANSSI-BP-028

CIS Benchmarks (International)

Le Center for Internet Security (CIS) publie des benchmarks détaillés pour de nombreux systèmes et applications.

Points forts :

• Référentiel reconnu internationalement
• 2 niveaux (Level 1 et Level 2)
• Couvre Linux, Windows, conteneurs, cloud

→ Guide CIS Benchmarks

Comparaison des référentiels

Aspect	ANSSI-BP-028	CIS Benchmarks
Langue	Français	Anglais
Niveaux	4 (M, I, R, E)	2 (Level 1, 2)
Contexte	Administration française	International
Coût	Gratuit	Gratuit (PDF)
Profils SCAP	Oui	Oui

Outils d’audit et de conformité

Une fois les référentiels compris, utilisez des outils pour auditer et automatiser le durcissement.

Lynis

Audit de sécurité rapide, recommandations personnalisées, score de durcissement. Idéal pour débuter.

Lire le guide →

OpenSCAP

Conformité SCAP automatisée, profils ANSSI et CIS, rapports détaillés pour les audits officiels.

Lire le guide →

Lynis : audit rapide

Lynis analyse votre système et fournit des recommandations concrètes avec un score de durcissement sur 100.

# Installation
sudo apt install lynis    # Debian/Ubuntu
sudo dnf install lynis    # RHEL/CentOS

# Audit complet
sudo lynis audit system

OpenSCAP : conformité réglementaire

OpenSCAP vérifie la conformité par rapport aux profils ANSSI-BP-028 ou CIS et génère des rapports exploitables.

# Installation
sudo apt install openscap-utils scap-security-guide

# Audit avec profil ANSSI
sudo oscap xccdf eval \
  --profile xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced \
  --report rapport.html \
  /usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml

Configuration des services critiques

Le durcissement passe aussi par la sécurisation des services exposés.

SSH

Configuration sécurisée, algorithmes modernes, protection contre les attaques.

Durcir SSH →

PAM

Authentification centralisée, politiques de mots de passe, contrôle d’accès.

Configurer PAM →

Contrôle d’accès obligatoire (MAC)

Pour aller plus loin, activez un système de contrôle d’accès obligatoire qui confine les applications même en cas de compromission.

SELinux

Contrôle d’accès avancé pour RHEL, CentOS, Fedora. Politiques strictes, confinement des processus.

Maîtriser SELinux →

AppArmor

Alternative plus simple pour Debian, Ubuntu. Profils par application, configuration intuitive.

Configurer AppArmor →

SELinux vs AppArmor

Aspect	SELinux	AppArmor
Distribution	RHEL, CentOS, Fedora	Debian, Ubuntu
Complexité	Avancée	Simple
Approche	Étiquettes système	Profils par chemin
Granularité	Très fine	Fine

Automatisation du durcissement

Pour les environnements à grande échelle, automatisez le durcissement avec des outils d’Infrastructure as Code.

Avec Ansible

Utilisez des rôles Ansible dédiés au durcissement :

# Exemple de playbook de durcissement
- name: Durcissement serveur
  hosts: all
  become: yes
  roles:
    - devsec.hardening.os_hardening
    - devsec.hardening.ssh_hardening

→ Écrire des rôles Ansible de durcissement

Avec Packer

Construisez des images de VM déjà durcies :

→ Construire des images avec Packer

Avec Rudder

Gérez la conformité à grande échelle :

→ Rudder pour le durcissement

Par où commencer

Si vous découvrez le durcissement, voici un parcours recommandé :

1. Lisez le guide ANSSI-BP-028

   Comprenez les recommandations et les niveaux de durcissement.

   → Guide ANSSI-BP-028

2. Lancez un audit Lynis

   Mesurez l’état actuel de vos serveurs et identifiez les priorités.

   → Guide Lynis

3. Appliquez le niveau Minimal

   Commencez par les recommandations de base, accessibles à tous.

4. Durcissez SSH

   Sécurisez le service le plus exposé de vos serveurs.

   → Durcir SSH

5. Planifiez des audits réguliers

   Le durcissement est un processus continu, pas une action ponctuelle.

Conclusion

Le durcissement des serveurs Linux est une étape indispensable pour protéger vos données et infrastructures. Grâce aux référentiels ANSSI et CIS, vous disposez de guides éprouvés. Avec Lynis et OpenSCAP, vous pouvez mesurer et automatiser vos progrès.

L’essentiel à retenir :

• Commencez par le niveau Minimal de l’ANSSI ou Level 1 du CIS
• Utilisez Lynis pour des audits rapides et pédagogiques
• Automatisez avec Ansible pour la cohérence à grande échelle
• Planifiez des audits réguliers pour maintenir le niveau de sécurité

Le durcissement n’est pas un objectif final, c’est un processus d’amélioration continue. Chaque recommandation appliquée réduit votre exposition aux risques.