threatmodel Linux FR - edamametechnologies/threatmodels GitHub Wiki
Linux Modèle de Menace (FR)
Contents
- EDAMAME Helper inactif
- Pas d'antivirus activé
- Pas de gestionnaire de mots de passe installé
- Cryptage du disque désactivé
- Adresse e-mail potentiellement compromise
- Environement réseau non vérifié ou non sécurisé
- Services non vérifiés ou non sécurisés exposés sur le réseau local
- Trafic sortant non vérifié ou non sécurisé
- Permissions du fichier /etc/passwd
- Permissions du fichier /etc/shadow
- Permissions du fichier /etc/fstab
- Permissions du fichier /etc/group
- Appartenance au groupe de /etc/group
- Appartenance au groupe de /etc/shadow
- Votre OS n'est pas à jour
- Pare-feu local désactivé
- Accès à distance activé
- Bureau à distance activé
- Partage de fichiers activé
- Économiseur d'écran nécessite un mot de passe désactivé
- Secure Boot désactivé
- Politique de mot de passe faible
- Règle métier non respectée
EDAMAME Helper inactif
Menace
Dimension : system services / Sévérité : 5
Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
helper_check
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
https://github.com/edamametechnologies/edamame_helper/releases/download
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | system |
Script
printf '%s
' '# Metric: edamame helper disabled' '' 'if command -v apk >/dev/null 2>&1; then' ' apk del edamame_helper' 'else' 'apt remove edamame_helper' 'fi' | /bin/sh
Pas d'antivirus activé
Menace
Dimension : applications / Sévérité : 4
Tags : ISO 27001/2,A.12.2.1-Malware Controls, SOC 2,CC6.8-Malware Protection
Vous n'avez pas d'antivirus activé (Sentinel One...). Nous vous recommandons d'en activer un.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'service_active() {' ' # systemd, sysvinit, openrc' ' if command -v systemctl >/dev/null 2>&1; then' ' systemctl is-active --quiet "$1"' ' elif command -v service >/dev/null 2>&1; then' ' service "$1" status >/dev/null 2>&1' ' elif command -v rc-service >/dev/null 2>&1; then' ' rc-service "$1" status >/dev/null 2>&1' ' else' ' return 1' ' fi' '}' '' 'has_sentinelone() {' ' # SentinelOne (Linux)' ' if [ -x /opt/sentinelone/bin/sentinelctl ]; then' ' /opt/sentinelone/bin/sentinelctl version 2>/dev/null | grep -q . && return 0' ' fi' ' command -v sentinelctl >/dev/null 2>&1 && sentinelctl version 2>/dev/null | grep -q . && return 0' ' return 1' '}' '' 'has_crowdstrike() {' ' # CrowdStrike Falcon on Linux' ' service_active "falcon-sensor" && return 0' ' if [ -x /opt/CrowdStrike/falconctl ]; then' ' /opt/CrowdStrike/falconctl -g --version 2>/dev/null | grep -q . && return 0' ' fi' ' return 1' '}' '' 'has_ms_defender() {' ' # Microsoft Defender for Endpoint (Linux)' ' command -v mdatp >/dev/null 2>&1 || return 1' ' mdatp health --field real_time_protection_enabled 2>/dev/null | grep -qi "true" && return 0' ' mdatp --version >/dev/null 2>&1 && return 0' ' return 1' '}' '' 'has_carbon_black() {' ' # VMware Carbon Black Cloud sensor' ' if [ -x /opt/carbonblack/psc/bin/repcli ]; then' ' /opt/carbonblack/psc/bin/repcli status >/dev/null 2>&1 && return 0' ' fi' ' [ -d /opt/carbonblack/psc/bin ] && return 0' ' return 1' '}' '' 'has_cortex_xdr() {' ' # Palo Alto Networks Cortex XDR / Traps' ' if [ -x /opt/traps/bin/cytool ]; then' ' /opt/traps/bin/cytool runtime query >/dev/null 2>&1 && return 0' ' fi' ' [ -d /opt/traps/bin ] && return 0' ' return 1' '}' '' 'has_cisco_secure_endpoint() {' ' # Cisco Secure Endpoint (AMP) CLI' ' if [ -x /opt/cisco/amp/bin/ampcli ]; then' ' /opt/cisco/amp/bin/ampcli status >/dev/null 2>&1 && return 0' ' fi' ' if [ -x /opt/cisco/amp/ampcli ]; then' ' /opt/cisco/amp/ampcli status >/dev/null 2>&1 && return 0' ' fi' ' [ -d /opt/cisco/amp ] && return 0' ' return 1' '}' '' 'has_sophos() {' ' # Sophos Protection for Linux (SPL)' ' service_active "sophos-spl.service" && return 0' ' [ -d /opt/sophos-spl ] && return 0' ' return 1' '}' '' 'has_cylance() {' ' # CylancePROTECT' ' service_active "cylancesvc" && return 0' ' return 1' '}' '' 'has_eset() {' ' # ESET Endpoint for Linux' ' pgrep -x esets_daemon >/dev/null 2>&1 && return 0' ' service_active "esets" && return 0' ' return 1' '}' '' 'has_clamav() {' ' # ClamAV daemon (service name varies by distro)' ' service_active "clamav-daemon" && return 0' ' service_active "clamd" && return 0' ' service_active "clamd@scan" && return 0' ' pgrep -x clamd >/dev/null 2>&1 && return 0' ' return 1' '}' '' 'if ! (' ' has_sentinelone ||' ' has_crowdstrike ||' ' has_ms_defender ||' ' has_carbon_black ||' ' has_cortex_xdr ||' ' has_cisco_secure_endpoint ||' ' has_sophos ||' ' has_cylance ||' ' has_eset ||' ' has_clamav' '); then' ' echo "epp_disabled"' 'fi' | /bin/sh
Remédiation
Retour en arrière
https://fr.wikipedia.org/wiki/Antivirus
Pas de gestionnaire de mots de passe installé
Menace
Dimension : credentials / Sévérité : 4
Vous n'avez pas de gestionnaire de mots de passe installé. Nous vous recommandons d'en installer un.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'ensure_home() {' ' if [ -n "${HOME:-}" ] && [ -d "${HOME}" ]; then' ' return' ' fi' '' ' local user' ' user="$(id -un)"' '' ' if command -v getent >/dev/null 2>&1; then' ' HOME="$(getent passwd "${user}" | cut -d: -f6)"' ' if [ -n "${HOME}" ] && [ -d "${HOME}" ]; then' ' return' ' fi' ' fi' '' ' HOME="$(eval echo "~${user}")"' ' if [ -n "${HOME}" ] && [ -d "${HOME}" ]; then' ' return' ' fi' '' ' HOME="/root"' '}' '' 'ensure_home' '' 'found_pm=0' '' '# --- Native CLIs ---' 'pm_bins="1password op keepassxc keepassxc-cli bitwarden bw enpass pass gopass lpass proton-pass protonpass keeper"' '' 'for bin in $pm_bins; do' ' if command -v "$bin" >/dev/null 2>&1; then' ' found_pm=1' ' break' ' fi' 'done' '' 'if [ "$found_pm" -eq 1 ]; then' ' exit 0' 'fi' '' '# --- Chrome Extensions ---' 'ext_ids="aeblfdkhhhdcdjpifhhbdiojplfjncoa nngceckbapebfimnlniiiahkandclblb hdokiejnpimakedhajhdlcegeplioahd fdjamakpfbbddfjaooikfcpapjohcfmg bfogiafebfohielmmehodmfbbebbbpei oboonakemofpalcgghocfoadofidjkkk kmcfomidfpdkfieipokbalgegidffkal"' '' 'chromium_bases="$HOME/.config/google-chrome $HOME/.config/chromium $HOME/.config/microsoft-edge $HOME/.config/BraveSoftware/Brave-Browser $HOME/.config/vivaldi $HOME/.var/app/com.google.Chrome/config/google-chrome $HOME/.var/app/org.chromium.Chromium/config/chromium $HOME/.var/app/com.microsoft.Edge/config/microsoft-edge $HOME/.var/app/com.brave.Browser/config/BraveSoftware/Brave-Browser $HOME/.var/app/com.vivaldi.Vivaldi/config/vivaldi"' '' 'for base in $chromium_bases; do' ' if [ -d "$base" ]; then' ' # Iterate over profiles (subdirectories)' ' for profile in "$base"/*; do' ' if [ -d "$profile" ] && [ -d "$profile/Extensions" ]; then' ' for id in $ext_ids; do' ' if [ -d "$profile/Extensions/$id" ]; then' ' found_pm=1' ' exit 0' ' fi' ' done' ' fi' ' done' ' fi' ' done' '' '# --- Firefox ---' ' ff_root="$HOME/.mozilla/firefox"' 'if [ -d "$ff_root" ]; then' ' # Search for extensions.json containing known names' ' if find "$ff_root" -type f -name '"'"'extensions.json'"'"' -exec grep -Eiq '"'"'"name".*"(1Password|Bitwarden|LastPass|Dashlane|Keeper|KeePassXC|Enpass)"'"'"' {} +; then' ' found_pm=1' ' exit 0' ' fi' 'fi' '' 'if [ "$found_pm" -eq 0 ]; then' ' echo "No password manager installed"' 'fi' | /bin/sh
Remédiation
Retour en arrière
https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe
Cryptage du disque désactivé
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 2,Configure Disk Encryption, ISO 27001/2,A.8.3.1-Media Protection, SOC 2,CC6.7-Data Protection
Votre disque principal et votre swap ne sont pas cryptés. Activer le cryptage du disque aide à protéger vos données contre tout accès non autorisé.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' '# Detect virtualization' 'is_virtual=""' '' 'if command -v apk >/dev/null 2>&1; then' ' # Alpine: virt-what works on aarch64' ' apk add virt-what util-linux >/dev/null 2>&1' ' [ -n "$(virt-what 2>/dev/null)" ] && is_virtual="yes"' 'elif [ "$(uname -m)" = "aarch64" ]; then' ' # Debian/Ubuntu aarch64: virt-what not available, use fast file-based detection' ' # Check /sys/hypervisor (Xen)' ' if [ -d /sys/hypervisor ]; then' ' is_virtual="yes"' ' # Check DMI vendor info' ' elif grep -qiE "qemu|kvm|vmware|virtualbox|xen|microsoft|amazon" /sys/class/dmi/id/sys_vendor 2>/dev/null; then' ' is_virtual="yes"' ' # Check DMI product name' ' elif grep -qiE "virtual|vm|kvm|qemu" /sys/class/dmi/id/product_name 2>/dev/null; then' ' is_virtual="yes"' ' # Check device tree (ARM VMs)' ' elif grep -qiE "qemu|kvm|xen" /sys/firmware/devicetree/base/compatible 2>/dev/null; then' ' is_virtual="yes"' ' # Last resort: systemd-detect-virt with timeout' ' elif command -v systemd-detect-virt >/dev/null 2>&1; then' ' virt_type=$(timeout 5 systemd-detect-virt 2>/dev/null)' ' [ "$virt_type" != "none" ] && [ -n "$virt_type" ] && is_virtual="yes"' ' fi' 'else' ' # Debian/Ubuntu x86_64: virt-what available' ' apt install virt-what -y > /dev/null 2>&1' ' [ -n "$(virt-what 2>/dev/null)" ] && is_virtual="yes"' 'fi' '' 'if [ -z "$is_virtual" ]; then' ' root_dev=$(findmnt -n -o SOURCE /)' ' swap_dev=$(swapon --show=NAME --noheadings 2>/dev/null | head -n1)' ' root_parent=$(lsblk -n -o NAME,TYPE,MOUNTPOINT -p | grep " $(readlink -f "$root_dev")$" | awk '"'"'{print $1}'"'"')' ' lsblk -n -o NAME,TYPE -p | grep -q "^$root_parent.*crypt$" || echo "root_encryption_disabled"' ' if [ -n "$swap_dev" ]; then' ' swap_parent=$(lsblk -n -o NAME,TYPE,MOUNTPOINT -p | grep " $(readlink -f "$swap_dev")$" | awk '"'"'{print $1}'"'"')' ' lsblk -n -o NAME,TYPE -p | grep -q "^$swap_parent.*crypt$" || echo "swap_encryption_disabled"' ' fi' 'fi' | /bin/sh
Remédiation
Retour en arrière
Adresse e-mail potentiellement compromise
Menace
Dimension : credentials / Sévérité : 1
Tags : Personal Posture
Vérifiez si votre adresse e-mail est peut-être apparue récemment dans une fuite de données.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
pwned -i 365
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
digitalidentity_manager
Retour en arrière
Environement réseau non vérifié ou non sécurisé
Menace
Dimension : network / Sévérité : 1
Tags : Personal Posture
Le réseau auquel vous êtes connecté n'est pas connu ou contient des appareils non sécurisés. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
lanscan
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
network_manager
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
network_manager
Services non vérifiés ou non sécurisés exposés sur le réseau local
Menace
Dimension : network / Sévérité : 1
Tags : Personal Posture
Votre appareil expose des services sur le réseau local qui peuvent être non sécurisés ou non vérifiés. Allez dans l'onglet réseau, sélectionnez votre propre appareil et examinez les ports ouverts et les vulnérabilités associées.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
lanscan_host
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
network_manager
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
network_manager
Trafic sortant non vérifié ou non sécurisé
Menace
Dimension : network / Sévérité : 1
Tags : Personal Posture
Le trafic réseau sortant n'est pas vérifié ou contient du trafic anormal.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
egresscan
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
session_manager
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande |
Script
session_manager
Permissions du fichier /etc/passwd
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Verify Password File Permissions
Le fichier /etc/passwd dans les systèmes Unix et Linux contient des informations sur les comptes utilisateurs. Les permissions recommandées pour ce fichier sont 644. Cela signifie que :
- Le propriétaire (généralement
root) a les permissions de lecture et d'écriture (6). - Le groupe et les autres utilisateurs ont les permissions de lecture seule (4).
Cette configuration garantit que seul le superutilisateur peut modifier le fichier, préservant ainsi la sécurité du système. Pendant ce temps, les autres utilisateurs et processus peuvent toujours lire les informations dont ils ont besoin à partir du fichier. Cet équilibre entre fonctionnalité et sécurité est la raison pour laquelle les permissions
644sont considérées comme une bonne pratique pour le fichier/etc/passwd.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' '# Use stat -c %a for portable permission check' 'perms=$(stat -c %a /etc/passwd 2>/dev/null)' 'if [ "$perms" != "644" ]; then' 'echo bad_permissions' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chmod 644 /etc/passwd' | /bin/sh
Retour en arrière
Permissions du fichier /etc/shadow
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Verify Shadow File Permissions
Le fichier /etc/shadow dans les systèmes Unix et Linux stocke les données de mot de passe cryptées pour chaque utilisateur et a des permissions plus strictes que /etc/passwd. Cela est dû au fait que /etc/shadow contient des données sensibles.
Les permissions recommandées pour le fichier /etc/shadow sont 640 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque les mots de passe sont changés.0pour le groupe et les autres. Cela signifie qu'aucune permission n'est donnée au groupe ou aux autres, ce qui signifie qu'ils ne peuvent pas lire, écrire ou exécuter le fichier.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' '# Use stat -c %a for portable permission check' 'perms=$(stat -c %a /etc/shadow 2>/dev/null)' 'if [ "$perms" != "640" ]; then' 'echo bad_permissions' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chmod 640 /etc/shadow' | /bin/sh
Retour en arrière
Permissions du fichier /etc/fstab
Menace
Dimension : system integrity / Sévérité : 5
Le fichier /etc/fstab dans les systèmes Unix et Linux fournit une table des systèmes de fichiers qui doivent être montés automatiquement au démarrage du système. Ce fichier contient des informations importantes telles que les systèmes de fichiers à monter, où les monter et quelles options utiliser.
Compte tenu de son importance, les permissions recommandées pour le fichier /etc/fstab sont 644 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque des systèmes de fichiers sont ajoutés ou supprimés.4(lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre les systèmes de fichiers du système, mais les empêche d'apporter des modifications potentiellement nuisibles. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration du système de fichiers.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' '# Use stat -c %a for portable permission check (works on GNU and Busybox)' 'perms=$(stat -c %a /etc/fstab 2>/dev/null)' 'if [ "$perms" != "644" ]; then' 'echo bad_permissions' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chmod 644 /etc/fstab' | /bin/sh
Retour en arrière
Permissions du fichier /etc/group
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Verify Group File Permissions
Le fichier /etc/group dans les systèmes Unix et Linux stocke les informations ou les données des groupes. Il contient une liste de tous les groupes sur le système, ainsi que les utilisateurs associés à chaque groupe.
Compte tenu de son importance, les permissions recommandées pour le fichier /etc/group sont 644 :
6(lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système d'ajouter ou de supprimer des groupes ou de modifier l'appartenance à un groupe.4(lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre l'appartenance aux groupes du système, mais les empêche de faire des modifications non autorisées. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration des groupes du système. En même temps, elle permet aux autres utilisateurs et processus de lire le fichier, fournissant l'accès nécessaire aux informations sur les groupes.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'perms=$(stat -c %a /etc/group 2>/dev/null)' 'if [ "$perms" != "644" ]; then' 'echo bad_permissions' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chmod 644 /etc/group' | /bin/sh
Retour en arrière
Appartenance au groupe de /etc/group
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Verify Group File Ownership
Le fichier /etc/group doit être possédé par le groupe root pour maintenir l'intégrité et la confidentialité des informations du groupe stockées à l'intérieur. Une appartenance au groupe incorrecte pourrait conduire à un accès ou une modification non autorisés de ce fichier sensible, compromettant la sécurité du système.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' '# Use stat -c for portable owner/group check' 'ownership=$(stat -c "%U %G" /etc/group 2>/dev/null)' 'if [ "$ownership" != "root root" ]; then' 'echo bad_group' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chown root:root /etc/group' | /bin/sh
Retour en arrière
Appartenance au groupe de /etc/shadow
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Verify Shadow File Group Ownership
Le fichier /etc/shadow doit être possédé par le groupe root ou un groupe spécifique de sécurité ou système. Ce fichier contient des informations sensibles sur l'utilisateur, telles que des mots de passe cryptés. Une appartenance au groupe incorrecte pourrait conduire à un accès non autorisé ou une manipulation potentielle de ce fichier critique, compromettant la sécurité du système et la confidentialité de l'utilisateur.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' '# Use stat -c for portable owner/group check' 'ownership=$(stat -c "%U %G" /etc/shadow 2>/dev/null)' 'if [ "$ownership" != "root shadow" ]; then' 'echo bad_group' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'chown root:shadow /etc/shadow' | /bin/sh
Retour en arrière
Votre OS n'est pas à jour
Menace
Dimension : system integrity / Sévérité : 2
Tags : CIS Benchmark Level 1,Ensure package manager repositories are configured
Votre système d'exploitation n'est pas à jour, veuillez procéder à sa mise à niveau afin d'obtenir les derniers correctifs de sécurité.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' apk update >/dev/null 2>&1' ' # apk list -u lists upgradeable packages. If output is not empty, updates are available.' ' if [ -n "$(apk list -u 2>/dev/null)" ]; then' 'echo os_outdated' ' fi' 'else' ' LANG=C apt list --upgradeable 2>/dev/null | grep -q '"'"'upgradable'"'"' && echo os_outdated' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' apk update >/dev/null 2>&1' ' apk upgrade >/dev/null 2>&1' 'else' ' apt update -qq > /dev/null 2>&1' ' apt upgrade -y > /dev/null 2>&1' 'fi' | /bin/sh
Retour en arrière
Pare-feu local désactivé
Menace
Dimension : network / Sévérité : 3
Tags : CIS Benchmark Level 1,Ensure UFW is installed
Votre pare-feu local est désactivé. C'est bien dans un environnement de confiance mais dangereux si vous vous connectez à des réseaux publics. Vous devriez l'activer par défaut.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v ufw >/dev/null 2>&1; then' ' LANG=C ufw status | grep -qi '"'"'Status: active'"'"' || echo firewall_disabled' 'else' ' # If ufw is missing, report as disabled (remediation will attempt to install)' 'echo firewall_disabled' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' apk add ufw >/dev/null 2>&1' ' ufw enable' 'else' ' apt install ufw -y > /dev/null 2>&1' ' ufw enable' 'fi' | /bin/sh
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
ufw disable
Accès à distance activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure SSH Server is configured with appropriate ciphers
L'accès à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' # Check both ssh and sshd service names' ' if LANG=C systemctl is-active ssh 2>/dev/null | grep -q '"'"'active'"'"'; then' ' echo remote_login_enabled' ' elif LANG=C systemctl is-active sshd 2>/dev/null | grep -q '"'"'active'"'"'; then' ' echo remote_login_enabled' ' fi' 'elif command -v rc-service >/dev/null 2>&1; then' ' # Alpine typically uses sshd' ' if rc-service sshd status >/dev/null 2>&1; then' ' echo remote_login_enabled' ' elif rc-service ssh status >/dev/null 2>&1; then' 'echo remote_login_enabled' ' fi' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' systemctl stop ssh 2>/dev/null' ' systemctl disable ssh 2>/dev/null' ' systemctl stop sshd 2>/dev/null' ' systemctl disable sshd 2>/dev/null' 'elif command -v rc-service >/dev/null 2>&1; then' ' rc-service sshd stop 2>/dev/null' ' rc-update del sshd default 2>/dev/null' ' rc-service ssh stop 2>/dev/null' ' rc-update del ssh default 2>/dev/null' 'fi' | /bin/sh
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' # ssh usually installed, but ensure service enabled' ' rc-update add sshd default 2>/dev/null' ' rc-service sshd start 2>/dev/null' 'else' ' systemctl enable ssh 2>/dev/null' ' systemctl start ssh 2>/dev/null' ' systemctl enable sshd 2>/dev/null' ' systemctl start sshd 2>/dev/null' 'fi' | /bin/sh
Bureau à distance activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure remote administration tools are not installed
La connexion au bureau à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' LANG=C systemctl is-active xrdp 2>/dev/null | grep -q '"'"'inactive'"'"' || echo rdp_enabled' 'elif command -v rc-service >/dev/null 2>&1; then' ' rc-service xrdp status >/dev/null 2>&1 && echo rdp_enabled' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' systemctl stop xrdp 2>/dev/null' ' systemctl disable xrdp 2>/dev/null' 'elif command -v rc-service >/dev/null 2>&1; then' ' rc-service xrdp stop 2>/dev/null' ' rc-update del xrdp default 2>/dev/null' 'fi' | /bin/sh
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' apk update >/dev/null 2>&1' ' apk add xrdp >/dev/null 2>&1' ' rc-service xrdp start 2>/dev/null' ' rc-update add xrdp default 2>/dev/null' 'else' ' apt install xrdp -y > /dev/null 2>&1' ' systemctl start xrdp' 'systemctl enable xrdp' 'fi' | /bin/sh
Partage de fichiers activé
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure NFS and RPC are not enabled
Le partage de fichiers est activé. Bien que cela puisse être intentionnel, nous vous recommandons fortement de le désactiver. Ce n'est pas si facile à configurer et cela peut exposer vos données à des personnes indésirables.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' LANG=C systemctl is-active nfs-kernel-server 2>/dev/null | grep -q '"'"'inactive'"'"' || echo nfs_enabled' ' LANG=C systemctl is-active smbd 2>/dev/null | grep -q '"'"'inactive'"'"' || echo smb_enabled' 'elif command -v rc-service >/dev/null 2>&1; then' ' rc-service nfs status >/dev/null 2>&1 && echo nfs_enabled' ' rc-service samba status >/dev/null 2>&1 && echo smb_enabled' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v systemctl >/dev/null 2>&1; then' ' systemctl stop smbd && systemctl disable smbd' ' systemctl stop nfs-kernel-server && systemctl disable nfs-kernel-server' 'elif command -v rc-service >/dev/null 2>&1; then' ' rc-service samba stop 2>/dev/null' ' rc-update del samba default 2>/dev/null' ' rc-service nfs stop 2>/dev/null' ' rc-update del nfs default 2>/dev/null' 'fi' | /bin/sh
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | admin |
Script
printf '%s
' 'if command -v apk >/dev/null 2>&1; then' ' apk update >/dev/null 2>&1' ' apk add samba nfs-utils >/dev/null 2>&1' ' if command -v rc-service >/dev/null 2>&1; then' ' rc-service samba start' ' rc-update add samba default' ' rc-service nfs start' ' rc-update add nfs default' ' fi' 'else' ' apt install samba -y > /dev/null 2>&1' ' systemctl start smbd' ' systemctl enable smbd' ' apt install nfs-kernel-server -y > /dev/null 2>&1' ' systemctl start nfs-kernel-server' 'systemctl enable nfs-kernel-server' 'fi' | /bin/sh
Économiseur d'écran nécessite un mot de passe désactivé
Menace
Dimension : credentials / Sévérité : 3
Tags : CIS Benchmark Level 1,Lock inactive user accounts, ISO 27001/2,A.11.2.8-Unattended User Equipment, SOC 2,CC6.1-Logical Access
Lorsque l'économiseur d'écran est actif, nous recommandons qu'un mot de passe soit requis pour en sortir. Sinon, n'importe qui pourrait accéder à votre ordinateur pendant votre absence.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'if command -v gsettings >/dev/null 2>&1; then' ' LANG=C gsettings get org.gnome.desktop.screensaver lock-enabled | grep -q '"'"'true'"'"' || echo screensaver_lock_disabled' 'else' ' # If gsettings is missing, we can'"'"'t verify, but existing logic implies disabled if check fails' 'echo screensaver_lock_disabled' 'fi' | /bin/sh
Remédiation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'gsettings set org.gnome.desktop.screensaver lock-enabled true' | /bin/sh
Retour en arrière
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'gsettings set org.gnome.desktop.screensaver lock-enabled false' | /bin/sh
Secure Boot désactivé
Menace
Dimension : system services / Sévérité : 5
Tags : CIS Benchmark Level 2,Ensure Secure Boot is enabled
Le Secure Boot est une norme de sécurité développée pour garantir qu'un appareil démarre uniquement avec des logiciels de confiance par le fabricant d'équipements d'origine (OEM). Activer Secure Boot aide à protéger contre les attaques de démarrage.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'if command -v mokutil >/dev/null 2>&1; then' ' LANG=C mokutil --sb-state | grep -q '"'"'SecureBoot enabled'"'"' || echo secure_boot_disabled' 'else' ' # If mokutil is missing, we can'"'"'t verify, but assuming disabled if we can'"'"'t check might be safe or noisy.' ' # For now, only report if we can check and it says disabled.' ' # Or echo "unknown" ?' ' # Existing script echoed "secure_boot_disabled" if mokutil failed or grep failed.' ' # I'"'"'ll stick to that behavior but clean up the garbage line.' ' LANG=C mokutil --sb-state 2>/dev/null | grep -q '"'"'SecureBoot enabled'"'"' || echo secure_boot_disabled' 'fi' | /bin/sh
Remédiation
Retour en arrière
Politique de mot de passe faible
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1,Configure Password Policy Requirements
L'application d'une politique de mot de passe robuste est essentielle pour se protéger contre les accès non autorisés. Assurez-vous que le système dispose d'une politique de mot de passe solide.
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
printf '%s
' 'if [ ! -f /etc/security/pwquality.conf ]; then' ' echo '"'"'weak password_policy: pwquality is not in use'"'"'' 'elif ! grep -qvE '"'"'^\s*#|^\s*$'"'"' /etc/security/pwquality.conf; then' 'echo '"'"'weak password policy: conf file uses defaults'"'"'' 'fi' | /bin/sh
Remédiation
Retour en arrière
Règle métier non respectée
Menace
Dimension : applications / Sévérité : 1
Une ou plusieurs règles métier ne sont pas respectées. Veuillez consulter la sortie de la commande pour plus de détails. Pour activer les règles métier, définissez la variable d'environnement EDAMAME_BUSINESS_RULES_CMD. Voir : https://github.com/edamametechnologies/edamame_posture_cli?tab=readme-ov-file#business-rules
Implémentation
| Testé pour | Action | Elevation |
|---|---|---|
| Linux 3 | Ligne de commande | user |
Script
business_rules
Remédiation
Consultez la documentation des règles métier pour plus de détails.
Retour en arrière
Consultez la documentation des règles métier pour plus de détails.