Contexte
Dans la continuité du durcissement système réalisé aux Chantiers de l'Atlantique (Stage 2A), les serveurs Linux devaient atteindre un haut niveau de résilience contre les attaques locales et réseau.
Objectif
Appliquer un durcissement en profondeur (Défense en profondeur) sur les systèmes Linux (Debian/Ubuntu), limiter la surface d'attaque et sécuriser drastiquement l'administration à distance.
Ce que j'ai fait
J'ai implémenté le chiffrement intégral avec LUKS et sécurisé le chargeur d'amorçage GRUB. Au niveau du noyau, j'ai configuré les paramètres `sysctl` pour bloquer le routage source, empêcher le spoofing IP et limiter les attaques de déni de service. J'ai configuré le pare-feu UFW, durci la configuration SSH (clés obligatoires, désactivation de root, modification de port) et mis en place AppArmor et Firejail pour le confinement applicatif. De plus, j'ai créé un dépôt APT local pour des déploiements hors ligne sécurisés.
Difficultés rencontrées
Le durcissement du noyau via `sysctl` peut parfois entraver le fonctionnement normal de certains services réseau ou de conteneurisation. Il a fallu tester chaque paramètre itérativement. La création du miroir APT a nécessité de gérer l'arborescence complexe des dépendances de paquets.
Résultat
Des serveurs Linux conformes aux bonnes pratiques de l'ANSSI, avec une réduction significative des risques liés aux rebonds (mouvements latéraux) et une administration sécurisée.