Commentaires sur guide ANSSI GNU/Linux

cpotter

Suite à la mise en avant du guide "Recommandations de configuration d’un
système GNU/Linux" par le Général Boget (en charge de la division Cyber de la Gendarmerie), nous en avons profité pour faire quelques commentaires additionnels.

Ce guide de l'ANSSI est effectivement un bon document et un des rares au niveau européen (d'ailleurs un référentiel commun européen pour les activités sensibles serait un plus).

De nombreuses règles peuvent être vérifiées (ou implémentées avec Ansible) avec l'incontournable OpenSCAP qui possède les profils ANSSI BP28 pour les distributions Redhat like (dont AlmaLinux que nous allons utiliser en remplacement de CentOS pour la nouvelle architecture de GoFAST DigitalWorkplace-GED) et Debian (serveur). Pour Ubuntu, utiliser "CIS L1 Workstation" car nous n'avons pas trouvé de profil ANSSI

Ce guide peut être utilisé conjointement avec des référentiels comme STIG (U.S. DoD - Department of Defense), et "CIS Level 1" pour 'durcir' encore un peu plus l'ensemble

Malgré la qualité du guide, nous avons néanmoins noté quelques manques importants :

• il s'agit d'un profil "serveur" (sans environnement graphique). pour un poste de travail, certaines règles supplémentaires doivent être appliquées (durée des sessions inactives, ...)
• nous avions été surpris par le manque de précisions pour la partie pare-feu type firewalld (ou iptables), même si un guide assez ancien existe séparément mais il n'y a pas de renvoi vers celui-ci
• rien sur la partie chiffrement au repos type LUKS (at rest) qui n'est pas abordé
• rien sur la partie antivirus (ClamAV, ...)
• la restriction des ports USB à éclaircir

En espérant que ces aspects soient abordés dans une future version du Guide.