threatmodel Linux FR - edamametechnologies/threatmodels GitHub Wiki
Linux Modèle de Menace (FR)
Contents
- EDAMAME Helper inactif
- Pas d'antivirus activé
- Adresse e-mail potentiellement compromise
- Environement réseau non vérifié
- Permissions du fichier /etc/passwd
- Permissions du fichier /etc/shadow
- Permissions du fichier /etc/fstab
- Permissions du fichier /etc/group
- Appartenance au groupe de /etc/group
- Appartenance au groupe de /etc/shadow
- Cron n'est pas restreint à l'utilisateur root
- Système non à jour
- Uncomplicated firewall (ufw) non installé
EDAMAME Helper inactif
Menace
Dimension : system services / Sévérité : 5
Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | user | helper_check |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | user | https://github.com/edamametechnologies/edamame_helper/releases/download |
Retour en arrière
Pas d'antivirus activé
Menace
Dimension : applications / Sévérité : 4
Tags : ISO 27001/2,Malware Protection, PCI-DSS,Requirement-5, SOC 2,CC-Malware Protection
Vous n'avez pas d'antivirus activé (Sentinel One...). Nous vous recommandons d'en activer un.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | admin | sentinelctl version 2>/dev/null | grep -q "Agent version" || echo noepp |
Remédiation
https://doc.ubuntu-fr.org/antivirus
Retour en arrière
https://doc.ubuntu-fr.org/antivirus
Adresse e-mail potentiellement compromise
Menace
Dimension : credentials / Sévérité : 1
Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture
Votre adresse e-mail est peut-être apparue récemment dans une fuite de données. Renseignez votre email dans le tab Identité, examinez les fuites éventuelles et suivez les instructions.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | user | pwned -i 365 |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | digitalidentity_manager |
Retour en arrière
Environement réseau non vérifié
Menace
Dimension : network / Sévérité : 1
Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture
Le réseau auquel vous êtes connecté n'est pas connu. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | user | lanscan |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | network_manager |
Retour en arrière
https://fr.wikipedia.org/wiki/Balayage_de_ports
Permissions du fichier /etc/passwd
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,File Permissions, ISO 27001/2,Communications Security, PCI-DSS,Requirement-1, SOC 2,CC-System Operations
Le fichier /etc/passwd dans les systèmes Unix et Linux contient des informations sur les comptes utilisateurs. Les permissions recommandées pour ce fichier sont 644. Cela signifie que :
- Le propriétaire (généralement
root) a les permissions de lecture et d'écriture (6). - Le groupe et les autres utilisateurs ont les permissions de lecture seule (4).
Cette configuration garantit que seul le superutilisateur peut modifier le fichier, préservant ainsi la sécurité du système. Pendant ce temps, les autres utilisateurs et processus peuvent toujours lire les informations dont ils ont besoin à partir du fichier. Cet équilibre entre fonctionnalité et sécurité est la raison pour laquelle les permissions
644sont considérées comme une bonne pratique pour le fichier/etc/passwd.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | stat /etc/passwd | grep '(0644/-rw-r--r--)' | grep -v grep > /dev/null || echo bad_permissions |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chmod 664 /etc/passwd |
Retour en arrière
Permissions du fichier /etc/shadow
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,File Permissions, ISO 27001/2,Access Control, PCI-DSS,Requirement-7, SOC 2,CC-System Operations
Le fichier /etc/shadow dans les systèmes Unix et Linux stocke les données de mot de passe cryptées pour chaque utilisateur et a des permissions plus strictes que /etc/passwd. Cela est dû au fait que /etc/shadow contient des données sensibles.
Les permissions recommandées pour le fichier /etc/shadow sont 600 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque les mots de passe sont changés.0pour le groupe et les autres. Cela signifie qu'aucune permission n'est donnée au groupe ou aux autres, ce qui signifie qu'ils ne peuvent pas lire, écrire ou exécuter le fichier.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | stat /etc/shadow | grep '(0600/-rw-------)' | grep -v grep > /dev/null || echo bad_permissions |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chmod 600 /etc/shadow |
Retour en arrière
Permissions du fichier /etc/fstab
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Filesystem Configuration, ISO 27001/2,System Acquisition, Development and Maintenance, PCI-DSS,Requirement-2, SOC 2,CC-Configuration Management
Le fichier /etc/fstab dans les systèmes Unix et Linux fournit une table des systèmes de fichiers qui doivent être montés automatiquement au démarrage du système. Ce fichier contient des informations importantes telles que les systèmes de fichiers à monter, où les monter et quelles options utiliser.
Compte tenu de son importance, les permissions recommandées pour le fichier /etc/fstab sont 644 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque des systèmes de fichiers sont ajoutés ou supprimés.4(lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre les systèmes de fichiers du système, mais les empêche d'apporter des modifications potentiellement nuisibles. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration du système de fichiers du système. En même temps, elle permet aux autres utilisateurs et processus de lire le fichier, fournissant l'accès nécessaire aux informations sur le système de fichiers.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | stat /etc/fstab | grep '(0644/-rw-r--r--)' | grep -v grep > /dev/null || echo bad_permissions |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chmod 644 /etc/fstab |
Retour en arrière
Permissions du fichier /etc/group
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,User and Group Settings, ISO 27001/2,Access Control, PCI-DSS,Requirement-7, SOC 2,CC-Access Control
Le fichier /etc/group dans les systèmes Unix et Linux stocke les informations ou les données des groupes. Il contient une liste de tous les groupes sur le système, ainsi que les utilisateurs associés à chaque groupe.
Compte tenu de son importance, les permissions recommandées pour le fichier /etc/group sont 644 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système d'ajouter ou de supprimer des groupes ou de modifier l'appartenance à un groupe.4(lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre l'appartenance aux groupes du système, mais les empêche de faire des modifications non autorisées. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration des groupes du système. En même temps, elle permet aux autres utilisateurs et processus de lire le fichier, fournissant l'accès nécessaire aux informations sur les groupes.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | stat /etc/group | grep '(0644/-rw-r--r--)' | grep -v grep > /dev/null || echo bad_permissions |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chmod 644 /etc/group |
Retour en arrière
Appartenance au groupe de /etc/group
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,File Ownership and Permissions, ISO 27001/2,Information Security Policies, PCI-DSS,Requirement-2, SOC 2,CC-System Operations
Le fichier /etc/group doit être possédé par le groupe root pour maintenir l'intégrité et la confidentialité des informations du groupe stockées à l'intérieur. Une appartenance au groupe incorrecte pourrait conduire à un accès ou une modification non autorisés de ce fichier sensible, compromettant la sécurité du système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | ls -l /etc/group | grep 'root root' | grep -v grep > /dev/null || echo bad_group |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chown root /etc/group |
Retour en arrière
Appartenance au groupe de /etc/shadow
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,File Ownership and Permissions, ISO 27001/2,Access Control, PCI-DSS,Requirement-7, SOC 2,CC-System Operations
Le fichier /etc/shadow doit être possédé par le groupe root ou un groupe spécifique de sécurité ou système. Ce fichier contient des informations sensibles sur l'utilisateur, telles que des mots de passe cryptés. Une appartenance au groupe incorrecte pourrait conduire à un accès non autorisé ou une manipulation potentielle de ce fichier critique, compromettant la sécurité du système et la confidentialité de l'utilisateur.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | ls -l /etc/shadow | grep 'root root' | grep -v grep > /dev/null || echo bad_group |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | chown root /etc/shadow |
Retour en arrière
Cron n'est pas restreint à l'utilisateur root
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Job Scheduling, ISO 27001/2,Operations Security, PCI-DSS,Requirement-6, SOC 2,CC-System Operations
Cron est un planificateur de tâches basé sur le temps dans les systèmes d'exploitation de type Unix. Les utilisateurs peuvent programmer des tâches (commandes ou scripts) pour qu'elles s'exécutent périodiquement à des heures, des dates ou des intervalles fixes. C'est un outil puissant, mais qui peut également poser des risques de sécurité s'il n'est pas géré correctement. Restreindre les tâches cron à l'utilisateur root est généralement considéré comme une bonne pratique.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | admin | cd /etc ; [ -f cron.deny ] && echo bad_config ; grep -v root cron.allow |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | cd /etc ; [ -f cron.deny ] && mv cron.deny cron.deny.edamame_save ; [ -f cron.allow ] && mv cron.allow cron.allow.edamame_save ; echo root > cron.allow ; chown root cron.allow ; chmod 400 cron.allow |
Retour en arrière
Système non à jour
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,System Patching, ISO 27001/2,Information Systems Maintenance, PCI-DSS,Requirement-6, SOC 2,CC-System Operations
Garder un système Linux (ou tout autre système d'exploitation) à jour est crucial pour plusieurs raisons, en particulier en ce qui concerne la sécurité : les développeurs trouvent et corrigent régulièrement des vulnérabilités de sécurité dans les logiciels. Ces correctifs, appelés patches, sont distribués via des mises à jour. En mettant régulièrement à jour votre système, vous assurez l'application rapide de ces patches, réduisant ainsi les chances d'une attaque réussie.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | checkupdates; [ $? -eq 0 ] && echo updates_required |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | pacman -Syu --noconfirm |
Retour en arrière
Uncomplicated firewall (ufw) non installé
Menace
Dimension : network / Sévérité : 3
Tags : CIS Benchmark Level 1,Firewall Configuration, ISO 27001/2,Network Security, PCI-DSS,Requirement-1, SOC 2,CC-Network Security
Un pare-feu est un élément crucial de tout cadre de sécurité réseau. Les pare-feu contrôlent le trafic réseau entrant et sortant en fonction de règles de sécurité prédéterminées. Ils établissent une barrière entre les réseaux internes de confiance et les réseaux externes non fiables. Il peut également bloquer l'accès non autorisé vers ou depuis des réseaux privés, empêchant les intrus d'accéder à des informations sensibles. Uncomplicated firewall fournit une interface en ligne de commande et vise à être simple d'utilisation.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | pacman -Qi ufw > /dev/null || echo not_found |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | system | pacman -S ufw; ufw enable; ufw default deny; ufw allow from 192.168.0.0/24; ufw allow Deluge; ufw limit ssh |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Linux 6 | Ligne de commande | pacman -R ufw |