ANSSI-BP-028 : guide pratique de durcissement Linux

Mise à jour : 05/12/2025

À qui s’adresse ce guide

Ce guide est conçu pour toute personne souhaitant sécuriser un serveur Linux, quel que soit son niveau technique :

Débutants : vous découvrirez ce qu’est le durcissement et pourquoi c’est important
Administrateurs : vous trouverez des commandes concrètes à appliquer
RSSI et auditeurs : vous disposerez d’un cadre de conformité documenté

Qu’est-ce que le durcissement

Voir aussi : Introduction au durcissement des serveurs Linux

Le problème : Linux n’est pas sécurisé par défaut

Quand vous installez un serveur Linux (Debian, Ubuntu, RHEL…), le système est configuré pour fonctionner facilement, pas pour être sécurisé. Par défaut :

Des services inutiles sont activés
Des ports réseau sont ouverts
Les mots de passe peuvent être faibles
Les journaux de connexion sont basiques
N’importe quel utilisateur peut lire certaines informations sensibles

C’est comme emménager dans une maison avec les fenêtres ouvertes et les clés sous le paillasson.

La solution : le durcissement

Durcir un système, c’est le configurer pour :

Fermer ce qui n’est pas nécessaire (ports, services, comptes)
Restreindre les accès (permissions, droits)
Surveiller l’activité (journaux, alertes)
Protéger le démarrage et le noyau

Le guide ANSSI-BP-028

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’autorité française en cybersécurité. Elle publie des guides de bonnes pratiques dont le BP-028 : “Recommandations de configuration d’un système GNU/Linux”.

Ce guide est :

Gratuit et téléchargeable sur cyber.gouv.fr ↗
En français (une version anglaise existe)
Régulièrement mis à jour (version 2.0 depuis octobre 2022)
Reconnu par les professionnels de la sécurité

Les 4 niveaux de durcissement

Le guide ANSSI propose 4 niveaux progressifs. Vous n’êtes pas obligé de tout appliquer : choisissez le niveau adapté à votre situation.

Comprendre les niveaux

Niveau	Nom	Pour qui	Effort
M	Minimal	Tous les serveurs, même internes	Faible
I	Intermédiaire	Serveurs en production	Moyen
R	Renforcé	Serveurs exposés sur Internet	Important
E	Élevé	Infrastructures critiques, données sensibles	Expert

Quel niveau choisir

Appliquez ce niveau si :

C’est votre premier durcissement
Serveur de test ou développement
Serveur interne isolé

Temps estimé : 1-2 heures

Comment lire une recommandation ANSSI

Chaque recommandation du guide officiel suit le même format. Voici comment la décrypter :

Anatomie d’une recommandation

R8    M I R E    Mises à jour régulières

Il est recommandé d'avoir une procédure de mise à jour de sécurité
régulière et réactive.

Décomposons :

Élément	Signification
R8	Numéro de la recommandation (R1 à R80+)
M I R E	Niveaux concernés (ici : tous les niveaux)
Titre	”Mises à jour régulières”
Description	Le texte explicatif qui suit

Les lettres de niveau expliquées

R3    . . R E    Principe de moindre privilège

Ici, les points . signifient que la recommandation ne s’applique pas aux niveaux M et I. Elle ne concerne que les niveaux R (Renforcé) et E (Élevé).

Notation	Signification
`M I R E`	S’applique à tous les niveaux
`. I R E`	S’applique à partir du niveau Intermédiaire
`. . R E`	S’applique à partir du niveau Renforcé
`. . . E`	S’applique uniquement au niveau Élevé

Exemple pratique

Imaginons que vous souhaitez durcir un serveur web en production. Vous visez le niveau I (Intermédiaire).

Vous devez appliquer :

Toutes les recommandations marquées M (Minimal)
Toutes les recommandations marquées I (Intermédiaire)

Vous pouvez ignorer (pour l’instant) :

Les recommandations marquées uniquement R ou E

Les 3 principes fondamentaux

Avant de plonger dans les recommandations techniques, comprenez ces 3 principes qui guident tout le durcissement. Voir aussi : Principes de sécurité.

1. Minimisation

“N’installez que ce dont vous avez besoin”

Chaque programme installé est une porte d’entrée potentielle. Moins il y a de composants, moins il y a de risques. Consultez notre guide dédié : Minimisation de la surface d’attaque.

Exemples concrets :

Pas besoin d’interface graphique sur un serveur
Désinstallez les compilateurs si vous ne compilez pas
Supprimez les services comme Telnet, FTP si vous ne les utilisez pas

2. Moindre privilège

“Donnez le minimum de droits nécessaires”

Un utilisateur ou un programme ne doit avoir accès qu’à ce dont il a strictement besoin. Ce principe est détaillé dans notre guide Moindre privilège.

Exemples concrets :

L’application web n’a pas besoin d’être root
Le développeur n’a pas besoin d’accès sudo sur tous les serveurs
Le script de backup ne doit pas pouvoir modifier les fichiers système

3. Défense en profondeur

“Multipliez les barrières de sécurité”

Si une protection échoue, une autre doit prendre le relais.

Exemples concrets :

Pare-feu + configuration SSH restrictive + clés SSH
Mots de passe forts + limitation des tentatives + journalisation
Chiffrement réseau + chiffrement disque + permissions fichiers

Mettre en œuvre le durcissement

Étape 1 : auditer l’état actuel

Avant de modifier quoi que ce soit, mesurez l’état de sécurité actuel de votre système avec Lynis.

Installer Lynis (outil d’audit gratuit)

# Debian/Ubuntu
sudo apt update && sudo apt install lynis

# RHEL/CentOS/Rocky
sudo dnf install lynis

Lancer un audit complet
Terminal window
```
sudo lynis audit system
```
Noter votre score initial

À la fin de l’audit, Lynis affiche un score sur 100. Notez-le, c’est votre point de départ.
Consulter le rapport
Terminal window
```
cat /var/log/lynis-report.dat
```

Étape 2 : appliquer les recommandations niveau M

Commencez par les recommandations Minimal (obligatoires pour tous).

2.1 Mises à jour de sécurité (R8)

# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y

# RHEL/CentOS
sudo dnf update -y

Automatisez les mises à jour de sécurité :

# Debian/Ubuntu - activer les mises à jour automatiques
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

2.2 Protection mémoire ASLR (R46)

Vérifiez que l’ASLR est activé :

cat /proc/sys/kernel/randomize_va_space

Le résultat doit être 2. Si ce n’est pas le cas :

# Application immédiate
sudo sysctl -w kernel.randomize_va_space=2

# Persistance après redémarrage
echo "kernel.randomize_va_space = 2" | sudo tee -a /etc/sysctl.conf

2.3 Désactiver les core dumps (R48)

Les core dumps peuvent révéler des informations sensibles :

# Vérification
cat /proc/sys/fs/suid_dumpable

# Correction si nécessaire (doit être 0)
sudo sysctl -w fs.suid_dumpable=0
echo "fs.suid_dumpable = 0" | sudo tee -a /etc/sysctl.conf

2.4 Mot de passe root robuste (R18)

Changez le mot de passe root avec un mot de passe fort :

sudo passwd root

Critères d’un mot de passe robuste :

Minimum 15 caractères
Majuscules, minuscules, chiffres, caractères spéciaux
Unique (jamais utilisé ailleurs)
maximum de 4 caractères de la meme catégorie consécutifs

2.5 Dépôts officiels uniquement (R15)

Vérifiez que vous n’utilisez que des dépôts officiels :

# Debian/Ubuntu
cat /etc/apt/sources.list
ls /etc/apt/sources.list.d/

Supprimez tout dépôt tiers non indispensable.

2.6 Supprimer les services inutiles (R1, R35)

Listez les services actifs :

systemctl list-units --type=service --state=running

Désactivez ceux dont vous n’avez pas besoin :

# Exemple : désactiver le serveur Avahi (mDNS)
sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon

# Exemple : désactiver CUPS (impression) si pas nécessaire
sudo systemctl stop cups
sudo systemctl disable cups

Étape 3 : appliquer les recommandations niveau I

Une fois le niveau M appliqué, passez au niveau Intermédiaire.

3.1 Paramètres sysctl réseau (R22)

Créez un fichier de configuration sécurisée :

sudo tee /etc/sysctl.d/99-hardening.conf << 'EOF'
# Désactiver le routage IP
net.ipv4.ip_forward = 0

# Filtrage par chemin inverse (anti-spoofing)
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignorer les redirections ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Ne pas envoyer de redirections ICMP
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Refuser le source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Activer les SYN cookies (protection DDoS)
net.ipv4.tcp_syncookies = 1

# Journaliser les paquets suspects
net.ipv4.conf.all.log_martians = 1
EOF

Appliquez les changements :

sudo sysctl --system

3.2 Paramètres sysctl système (R23)

Ajoutez ces paramètres au fichier précédent :

sudo tee -a /etc/sysctl.d/99-hardening.conf << 'EOF'

# Masquer les adresses kernel
kernel.kptr_restrict = 2

# Restreindre l'accès à dmesg
kernel.dmesg_restrict = 1

# Protéger les liens symboliques
fs.protected_symlinks = 1
fs.protected_hardlinks = 1

# Désactiver les SysReq magiques
kernel.sysrq = 0
EOF

sudo sysctl --system

3.3 Désactiver IPv6 si non utilisé (R52)

Si vous n’utilisez pas IPv6 :

sudo tee -a /etc/sysctl.d/99-hardening.conf << 'EOF'

# Désactiver IPv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
EOF

sudo sysctl --system

3.4 Permissions des fichiers sensibles (R31)

# /etc/shadow ne doit être lisible que par root
sudo chmod 600 /etc/shadow
sudo chown root:root /etc/shadow

# Pareil pour les clés SSH
sudo chmod 600 /etc/ssh/sshd_config
sudo chmod 700 /etc/ssh

3.5 Configurer sudo correctement (R19, R41)

La configuration de sudo s’appuie sur PAM pour l’authentification. Éditez la configuration sudo :

sudo visudo

Bonnes pratiques :

Évitez NOPASSWD sauf nécessité absolue
Utilisez des groupes plutôt que des utilisateurs individuels
Limitez les commandes autorisées

Exemple de configuration restrictive :

# Groupe admin peut utiliser sudo avec mot de passe
%admin ALL=(ALL) ALL

# Logs détaillés
Defaults logfile=/var/log/sudo.log
Defaults log_input, log_output

# Installer et activer UFW
sudo apt install ufw

# Règle par défaut : bloquer tout
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Autoriser SSH (ajustez le port si nécessaire)
sudo ufw allow 22/tcp

# Activer le pare-feu
sudo ufw enable

# Vérifier le statut
sudo ufw status verbose

# Vérifier que firewalld est actif
sudo systemctl enable firewalld
sudo systemctl start firewalld

# Voir la zone par défaut
sudo firewall-cmd --get-default-zone

# Lister les services autorisés
sudo firewall-cmd --list-all

# Autoriser uniquement SSH
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

Étape 4 : vérifier le durcissement

Après avoir appliqué les recommandations, relancez un audit :

sudo lynis audit system

Comparez le nouveau score avec le score initial. Vous devriez constater une amélioration significative.

Tableau récapitulatif des recommandations

Ce tableau présente les principales recommandations avec leur niveau et la commande de vérification.

Niveau M (Minimal) - Obligatoire

Code	Recommandation	Vérification
R1	Services minimaux	`systemctl list-units --type=service`
R8	Mises à jour	`apt list --upgradable` ou `dnf check-update`
R15	Dépôts officiels	`cat /etc/apt/sources.list`
R18	Mot de passe root	Politique interne
R26	Comptes inutilisés	`cat /etc/passwd`
R30	Umask restrictif	`umask` (doit afficher 027 ou 077)
R35	Services réseau	`ss -tlnp`
R46	ASLR activé	`cat /proc/sys/kernel/randomize_va_space`
R48	Core dumps désactivés	`cat /proc/sys/fs/suid_dumpable`

Niveau I (Intermédiaire) - Recommandé en production

Code	Recommandation	Vérification
R2	Config minimale	Audit manuel des services
R9	Config BIOS/UEFI	Vérification physique
R10	Architecture 64 bits	`uname -m` (doit afficher x86_64)
R12	Partitionnement	`cat /etc/fstab`
R14	Paquets minimaux	`dpkg -l` ou `rpm -qa`
R19	Imputabilité (sudo)	`cat /etc/sudoers`
R21	Services exposés durcis (SSH)	Configuration par service
R22	sysctl réseau	`sysctl -a \| grep -E "rp_filter\|redirect"`
R23	sysctl système	`sysctl -a \| grep -E "kptr_restrict\|dmesg"`
R27	Expiration sessions	`cat /etc/profile` (TMOUT)
R28	Configuration PAM	`cat /etc/pam.d/common-*`
R31	Fichiers sensibles	`ls -la /etc/shadow /etc/passwd`
R32	setuid/setgid	`find / -perm /6000 -type f 2>/dev/null`
R34	Sticky bit	`find / -perm -1000 -type d 2>/dev/null`
R36	Configuration syslog	`cat /etc/rsyslog.conf`
R41	Configuration sudo	`sudo -l`
R44	Pare-feu entrant	`ufw status` ou `firewall-cmd --list-all`
R47	Masquage kernel	`cat /proc/sys/kernel/kptr_restrict`
R49	BPF restreint	`cat /proc/sys/kernel/unprivileged_bpf_disabled`
R50	ptrace restreint	`cat /proc/sys/kernel/yama/ptrace_scope`
R51	Liens protégés	`cat /proc/sys/fs/protected_*`
R52	IPv6 désactivé	`cat /proc/sys/net/ipv6/conf/all/disable_ipv6`

Niveau R (Renforcé) - Serveurs exposés

Code	Recommandation	Vérification
R3	Moindre privilège	Audit des droits
R6	Cloisonnement	Architecture système
R7	Journalisation externe	Config syslog
R13	/boot restreint	`ls -la /boot`
R16	Paquets durcis	Vérification source
R17	Mot de passe GRUB	Config GRUB
R20	Secrets à l’install	Procédure d’install
R24	Modules kernel	`cat /proc/sys/kernel/modules_disabled`
R25	Yama ptrace	`cat /proc/sys/kernel/yama/ptrace_scope`
R33	Fichiers orphelins	`find / -nouser -o -nogroup 2>/dev/null`
R37	Déport journaux	Config syslog distant
R38	auditd	`systemctl status auditd`
R39	AIDE/surveillance FS	`aide --check`
R40	chroot services	Configuration service
R45	Filtrage sortant	Règles pare-feu
R53	Options GRUB	`cat /etc/default/grub`

Niveau E (Élevé) - Environnements critiques

Code	Recommandation	Vérification
R4	MAC (SELinux/AppArmor)	`getenforce` ou `aa-status`
R11	IOMMU	`dmesg \| grep -i iommu`
R42	AppArmor	`aa-status`
R43	SELinux	`getenforce`
R54	Compilation kernel	Config noyau
R55	UEFI Secure Boot	`mokutil --sb-state`

Outils pour vous aider

Lynis : audit rapide

Lynis analyse votre système et liste les points à améliorer.

# Installation
sudo apt install lynis    # Debian/Ubuntu
sudo dnf install lynis    # RHEL/CentOS

# Audit complet
sudo lynis audit system

# Audit avec profil personnalisé
sudo lynis audit system --profile /etc/lynis/custom.prf

→ Guide complet Lynis

OpenSCAP : conformité ANSSI

OpenSCAP vérifie la conformité par rapport au profil ANSSI-BP-028.

# Installation
sudo apt install openscap-utils scap-security-guide

# Audit avec profil ANSSI
sudo oscap xccdf eval \
  --profile xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced \
  --results results.xml \
  --report rapport.html \
  /usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml

Le rapport HTML généré liste chaque contrôle avec son statut (PASS/FAIL).

→ Guide complet OpenSCAP

Ansible : automatisation

Pour appliquer le durcissement à grande échelle, utilisez Ansible :

- name: Durcissement niveau I
  hosts: all
  become: yes
  tasks:
    - name: Configurer sysctl
      sysctl:
        name: "{{ item.key }}"
        value: "{{ item.value }}"
        state: present
        reload: yes
      loop:
        - { key: 'kernel.randomize_va_space', value: '2' }
        - { key: 'kernel.kptr_restrict', value: '2' }
        - { key: 'fs.suid_dumpable', value: '0' }
        - { key: 'net.ipv4.conf.all.rp_filter', value: '1' }

Maintenir le durcissement

Le durcissement n’est pas une action ponctuelle. Pour rester sécurisé :

Audits réguliers

Planifiez un audit automatique chaque semaine :

# Ajouter au crontab
sudo crontab -e

# Audit Lynis hebdomadaire
@weekly /usr/sbin/lynis audit system --cronjob > /var/log/lynis-weekly.log

Surveillance des dérives

Comparez les scores au fil du temps :

Date	Score Lynis	Remarque
01/12/2025	82	Après durcissement initial
08/12/2025	82	Stable
15/12/2025	78	Baisse → investiguer

Mises à jour du guide

L’ANSSI met à jour son guide régulièrement. Consultez cyber.gouv.fr ↗ pour les nouvelles versions.

Conclusion

Le durcissement d’un système Linux n’est pas une option, c’est une nécessité. Avec le guide ANSSI-BP-028, vous disposez d’un référentiel clair, structuré et adapté au contexte français.

Ce qu’il faut retenir :

Commencez par le niveau M : c’est accessible à tous et apporte déjà une protection significative
Utilisez Lynis pour mesurer vos progrès et identifier les points à améliorer
Le durcissement est un processus continu : planifiez des audits réguliers
Automatisez avec Ansible pour garantir la cohérence sur l’ensemble de votre parc

Ne cherchez pas la perfection du premier coup. Chaque recommandation appliquée réduit votre surface d’attaque. Progressez à votre rythme, documentez vos choix, et n’hésitez pas à revenir sur ce guide au fil de votre montée en compétences.

Votre prochain pas : lancez un audit Lynis sur votre serveur et notez votre score. C’est le point de départ de votre parcours vers un système durci.

Pour aller plus loin

Lynis

Audit de sécurité automatisé, profils personnalisés, intégration CI/CD.

Lire le guide →

OpenSCAP

Conformité SCAP, profils ANSSI, rapports détaillés.

Lire le guide →

Durcissement SSH

Configuration sécurisée, algorithmes, clés, CVE récentes.

Lire le guide →

CIS Benchmarks

Référentiel complémentaire, niveaux Level 1/2, automatisation.

Lire le guide →

Contrôle d’accès avancé

SELinux : pour RHEL, CentOS, Fedora
AppArmor : pour Debian, Ubuntu
PAM : authentification et politiques

Ressources officielles

Guide ANSSI-BP-028 ↗ : document source complet (PDF)
Guides ANSSI ↗ : tous les guides de bonnes pratiques
Documentation Lynis ↗ : référence officielle
Site OpenSCAP ↗ : framework de conformité