threatmodel Linux FR - edamametechnologies/threatmodels GitHub Wiki

Linux Modèle de Menace (FR)

Contents

EDAMAME Helper inactif

Menace

Dimension : system services / Sévérité : 5

Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user helper_check

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user https://github.com/edamametechnologies/edamame_helper/releases/download

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande system apt remove edamame-helper

Pas d'antivirus activé

Menace

Dimension : applications / Sévérité : 4

Tags : ISO 27001/2,A.12.2.1-Malware Controls, SOC 2,CC6.8-Malware Protection

Vous n'avez pas d'antivirus activé (Sentinel One...). Nous vous recommandons d'en activer un.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin LANG=C sentinelctl version 2>/dev/null | grep -q 'Agent version' || pgrep -f FortiEDRAvScanner >/dev/null 2>&1 || echo epp_disabled

Remédiation

Retour en arrière

https://fr.wikipedia.org/wiki/Antivirus

Pas de gestionnaire de mots de passe installé

Menace

Dimension : credentials / Sévérité : 4

Vous n'avez pas de gestionnaire de mots de passe installé. Nous vous recommandons d'en installer un.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin (command -v pass || command -v keepassxc || command -v bw || command -v lpass || command -v gopass || command -v 1password) >/dev/null 2>&1 || echo "No password manager installed"

Remédiation

Retour en arrière

https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe

Cryptage du disque désactivé

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 2,Configure Disk Encryption, ISO 27001/2,A.8.3.1-Media Protection, SOC 2,CC6.7-Data Protection

Votre disque principal et votre swap ne sont pas cryptés. Activer le cryptage du disque aide à protéger vos données contre tout accès non autorisé.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin apt update -qq > /dev/null 2>&1 || true && apt install virt-what -y > /dev/null 2>&1 && [ -z "$(virt-what)" ] && { root_dev=$(findmnt -n -o SOURCE /); swap_dev=$(swapon --show=NAME --noheadings 2>/dev/null | head -n1); root_parent=$(lsblk -n -o NAME,TYPE,MOUNTPOINT -p | grep " $(readlink -f "$root_dev")$" | cut -d" " -f1); lsblk -n -o NAME,TYPE -p | grep -q "^$root_parent.*crypt$" || echo "root_encryption_disabled"; if [ -n "$swap_dev" ]; then swap_parent=$(lsblk -n -o NAME,TYPE,MOUNTPOINT -p | grep " $(readlink -f "$swap_dev")$" | cut -d" " -f1); lsblk -n -o NAME,TYPE -p | grep -q "^$swap_parent.*crypt$" || echo "swap_encryption_disabled"; fi; }

Remédiation

Retour en arrière

Adresse e-mail potentiellement compromise

Menace

Dimension : credentials / Sévérité : 1

Tags : Personal Posture

Vérifiez si votre adresse e-mail est peut-être apparue récemment dans une fuite de données.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user pwned -i 365

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande digitalidentity_manager

Retour en arrière

Environement réseau non vérifié ou non sécurisé

Menace

Dimension : network / Sévérité : 1

Tags : Personal Posture

Le réseau auquel vous êtes connecté n'est pas connu ou contient des appareils non sécurisés. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user lanscan

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande network_manager

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande network_manager

Permissions du fichier /etc/passwd

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Verify Password File Permissions

Le fichier /etc/passwd dans les systèmes Unix et Linux contient des informations sur les comptes utilisateurs. Les permissions recommandées pour ce fichier sont 644. Cela signifie que :

  • Le propriétaire (généralement root) a les permissions de lecture et d'écriture (6).
  • Le groupe et les autres utilisateurs ont les permissions de lecture seule (4). Cette configuration garantit que seul le superutilisateur peut modifier le fichier, préservant ainsi la sécurité du système. Pendant ce temps, les autres utilisateurs et processus peuvent toujours lire les informations dont ils ont besoin à partir du fichier. Cet équilibre entre fonctionnalité et sécurité est la raison pour laquelle les permissions 644 sont considérées comme une bonne pratique pour le fichier /etc/passwd.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user stat /etc/passwd | grep -q '(0644/-rw-r--r--)' || echo bad_permissions

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chmod 644 /etc/passwd

Retour en arrière

Permissions du fichier /etc/shadow

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Verify Shadow File Permissions

Le fichier /etc/shadow dans les systèmes Unix et Linux stocke les données de mot de passe cryptées pour chaque utilisateur et a des permissions plus strictes que /etc/passwd. Cela est dû au fait que /etc/shadow contient des données sensibles. Les permissions recommandées pour le fichier /etc/shadow sont 640 :

  • 6 (lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque les mots de passe sont changés.
  • 0 pour le groupe et les autres. Cela signifie qu'aucune permission n'est donnée au groupe ou aux autres, ce qui signifie qu'ils ne peuvent pas lire, écrire ou exécuter le fichier.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user stat /etc/shadow | grep -q '(0640/-rw-r-----)' || echo bad_permissions

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chmod 640 /etc/shadow

Retour en arrière

Permissions du fichier /etc/fstab

Menace

Dimension : system integrity / Sévérité : 5

Le fichier /etc/fstab dans les systèmes Unix et Linux fournit une table des systèmes de fichiers qui doivent être montés automatiquement au démarrage du système. Ce fichier contient des informations importantes telles que les systèmes de fichiers à monter, où les monter et quelles options utiliser. Compte tenu de son importance, les permissions recommandées pour le fichier /etc/fstab sont 644 :

  • 6 (lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système de modifier le fichier lorsque des systèmes de fichiers sont ajoutés ou supprimés.
  • 4 (lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre les systèmes de fichiers du système, mais les empêche d'apporter des modifications potentiellement nuisibles. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration du système de fichiers du système. En même temps, elle permet aux autres utilisateurs et processus de lire le fichier, fournissant l'accès nécessaire aux informations sur le système de fichiers.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user stat /etc/fstab | grep -q '(0644/-rw-r--r--)' || echo bad_permissions

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chmod 644 /etc/fstab

Retour en arrière

Permissions du fichier /etc/group

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Verify Group File Permissions

Le fichier /etc/group dans les systèmes Unix et Linux stocke les informations ou les données des groupes. Il contient une liste de tous les groupes sur le système, ainsi que les utilisateurs associés à chaque groupe. Compte tenu de son importance, les permissions recommandées pour le fichier /etc/group sont 644 :

  • 6 (lecture et écriture) pour le propriétaire, qui devrait être l'utilisateur root ou superutilisateur. Cela permet au système d'ajouter ou de supprimer des groupes ou de modifier l'appartenance à un groupe.
  • 4 (lecture seule) pour le groupe et les autres. Cela permet aux utilisateurs et aux processus de lire le fichier et de comprendre l'appartenance aux groupes du système, mais les empêche de faire des modifications non autorisées. Cette configuration garantit que seul l'utilisateur root peut modifier le fichier, protégeant ainsi la configuration des groupes du système. En même temps, elle permet aux autres utilisateurs et processus de lire le fichier, fournissant l'accès nécessaire aux informations sur les groupes.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user stat /etc/group | grep -q '(0644/-rw-r--r--)' || echo bad_permissions

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chmod 644 /etc/group

Retour en arrière

Appartenance au groupe de /etc/group

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Verify Group File Ownership

Le fichier /etc/group doit être possédé par le groupe root pour maintenir l'intégrité et la confidentialité des informations du groupe stockées à l'intérieur. Une appartenance au groupe incorrecte pourrait conduire à un accès ou une modification non autorisés de ce fichier sensible, compromettant la sécurité du système.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user ls -l /etc/group | grep -q 'root root' || echo bad_group

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chown root:root /etc/group

Retour en arrière

Appartenance au groupe de /etc/shadow

Menace

Dimension : system integrity / Sévérité : 5

Tags : CIS Benchmark Level 1,Verify Shadow File Group Ownership

Le fichier /etc/shadow doit être possédé par le groupe root ou un groupe spécifique de sécurité ou système. Ce fichier contient des informations sensibles sur l'utilisateur, telles que des mots de passe cryptés. Une appartenance au groupe incorrecte pourrait conduire à un accès non autorisé ou une manipulation potentielle de ce fichier critique, compromettant la sécurité du système et la confidentialité de l'utilisateur.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user ls -l /etc/shadow | grep -q 'root shadow' || echo bad_group

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin chown root:shadow /etc/shadow

Retour en arrière

Votre OS n'est pas à jour

Menace

Dimension : system integrity / Sévérité : 2

Tags : CIS Benchmark Level 1,Ensure package manager repositories are configured

Votre système d'exploitation n'est pas à jour, veuillez procéder à sa mise à niveau afin d'obtenir les derniers correctifs de sécurité.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin LANG=C apt update -qq > /dev/null 2>&1 || true && apt list --upgradeable 2>/dev/null | grep -q 'upgradable' && echo os_outdated

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin apt update -qq > /dev/null 2>&1 || true && apt upgrade -y

Retour en arrière

Pare-feu local désactivé

Menace

Dimension : network / Sévérité : 3

Tags : CIS Benchmark Level 1,Ensure UFW is installed

Votre pare-feu local est désactivé. C'est bien dans un environnement de confiance mais dangereux si vous vous connectez à des réseaux publics. Vous devriez l'activer par défaut.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin if command -v ufw >/dev/null 2>&1; then output=$(LANG=C ufw status 2>&1); ufw_exit_code=$?; if [ $ufw_exit_code -eq 0 ]; then echo "$output" | grep -qi 'Status: active' || echo firewall_disabled; fi; fi

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin apt update -qq > /dev/null 2>&1 || true && apt install ufw -y > /dev/null 2>&1 && ufw enable

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin ufw disable

Accès à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Ensure SSH Server is configured with appropriate ciphers

L'accès à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin LANG=C systemctl is-active ssh | grep -q 'inactive' || echo remote_login_enabled

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin systemctl stop ssh && systemctl disable ssh

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin systemctl enable ssh && systemctl start ssh

Bureau à distance activé

Menace

Dimension : system integrity / Sévérité : 4

Tags : CIS Benchmark Level 1,Ensure remote administration tools are not installed

La connexion au bureau à distance est activée. Ce n'est pas nécessaire sauf si vous êtes un professionnel de l'informatique. Ceci est inhabituel et dangereux pour la plupart des utilisateurs.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user LANG=C systemctl is-active xrdp 2>/dev/null | grep -q 'inactive' || echo rdp_enabled

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin systemctl stop xrdp && systemctl disable xrdp

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin apt update -qq > /dev/null 2>&1 || true && apt install xrdp -y > /dev/null 2>&1 && systemctl start xrdp && systemctl enable xrdp

Partage de fichiers activé

Menace

Dimension : system services / Sévérité : 4

Tags : CIS Benchmark Level 1,Ensure NFS and RPC are not enabled

Le partage de fichiers est activé. Bien que cela puisse être intentionnel, nous vous recommandons fortement de le désactiver. Ce n'est pas si facile à configurer et cela peut exposer vos données à des personnes indésirables.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user LANG=C systemctl is-active nfs-kernel-server 2>/dev/null | grep -q 'inactive' || echo nfs_enabled; LANG=C systemctl is-active smbd 2>/dev/null | grep -q 'inactive' || echo smb_enabled

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin systemctl stop smbd && systemctl disable smbd; systemctl stop nfs-kernel-server && systemctl disable nfs-kernel-server

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande admin apt update -qq > /dev/null 2>&1 || true && apt install samba -y > /dev/null 2>&1 && systemctl start smbd && systemctl enable smbd && apt install nfs-kernel-server -y > /dev/null 2>&1 && systemctl start nfs-kernel-server && systemctl enable nfs-kernel-server

Économiseur d'écran nécessite un mot de passe désactivé

Menace

Dimension : credentials / Sévérité : 3

Tags : CIS Benchmark Level 1,Lock inactive user accounts, ISO 27001/2,A.11.2.8-Unattended User Equipment, SOC 2,CC6.1-Logical Access

Lorsque l'économiseur d'écran est actif, nous recommandons qu'un mot de passe soit requis pour en sortir. Sinon, n'importe qui pourrait accéder à votre ordinateur pendant votre absence.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user LANG=C gsettings get org.gnome.desktop.screensaver lock-enabled | grep -q 'true' || echo screensaver_lock_disabled

Remédiation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user gsettings set org.gnome.desktop.screensaver lock-enabled true

Retour en arrière

Testé pour Action Elevation Script
Linux 3 Ligne de commande user gsettings set org.gnome.desktop.screensaver lock-enabled false

Secure Boot désactivé

Menace

Dimension : system services / Sévérité : 5

Tags : CIS Benchmark Level 2,Ensure Secure Boot is enabled

Le Secure Boot est une norme de sécurité développée pour garantir qu'un appareil démarre uniquement avec des logiciels de confiance par le fabricant d'équipements d'origine (OEM). Activer Secure Boot aide à protéger contre les attaques de démarrage.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user LANG=C mokutil --sb-state | grep -q 'SecureBoot enabled' || echo secure_boot_disabled

Remédiation

Retour en arrière

Politique de mot de passe faible

Menace

Dimension : credentials / Sévérité : 4

Tags : CIS Benchmark Level 1,Configure Password Policy Requirements

L'application d'une politique de mot de passe robuste est essentielle pour se protéger contre les accès non autorisés. Assurez-vous que le système dispose d'une politique de mot de passe solide.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user [ ! -f /etc/security/pwquality.conf ] && echo 'weak password_policy: pwquality is not in use' || ! grep -qvE '^\s*#|^\s*$' /etc/security/pwquality.conf && echo 'weak password policy: conf file uses defaults'

Remédiation

Retour en arrière

Règle métier non respectée

Menace

Dimension : applications / Sévérité : 1

Une ou plusieurs règles métier ne sont pas respectées. Veuillez vérifier la sortie de la commande pour plus de détails.

Implémentation

Testé pour Action Elevation Script
Linux 3 Ligne de commande user business_rules

Remédiation

Consultez la documentation des règles métier pour plus de détails.

Retour en arrière

Consultez la documentation des règles métier pour plus de détails.