Forum Linux.général Respect d'une PSSI

Posté par  . Licence CC By‑SA.
Étiquettes :
3
9
jan.
2023

Bonjour à tous,

Je dois faire un inventaire sur des serveurs CentOS (4/5/6/7) afin de respecter la PSSI de l'entreprise.
Je dois relever les composants techniques installés ainsi que leurs versions, je me posais la question "Jusqu'ou il est intéressant de relever les différents packages ?

Je m'exprime : Est-il intéressant de relever les packages systèmes préalablement installé ainsi que les packages qui y ont était rajoutés ou de ne juste relever que les packages qui ont était rajouter au système CentOS.

Le but étant d'avoir un visu sur les composants techniques qui sont installés sur chacun de nos serveurs et d'en assuré leurs sécurité.

Quelqu'un pourrais m'aider s'il vous plait ?

Merci d'avance..

  • # GLPI

    Posté par  . Évalué à 7.

    Hello,
    à mon avis il faut s'appuyer sur une solution industrielle libre et au top pour collecter tout ça : GLPI + FusionInventory !

    eric.linuxfr@sud-ouest.org

  • # Préaudit

    Posté par  . Évalué à 6.

    Je conseille lynis, c'est un outil assez bien fichu qui te donnera une visu à un instant T de l'état de tes machines. Ca remplace pas un suivi au quotidien, mais ça peut être une bonne base de départ

    https://cisofy.com/lynis/

  • # Les CentOS 4, 5 et 6 sont déjà à risque

    Posté par  . Évalué à 9.

    En détail: les version 4, 5 et 6 ne sont plus maintenues depuis quelques années et peuvent à tout moment faire l'objet d'un piratage "en règle", peu importe les sécurités que vous auriez mis en amont.

    Je vous suggère les plans d'action suivants:

    • Mesures immédiates
      • Faire les sauvegardes des données critiques (y compris les fichiers de configuration) des serveurs concernés
      • Mettre en place des procédure de sauvegarde régulière des serveurs
      • Mettre en place une supervision renforcée sur les serveurs concernés afin de détecter un comportement anormal assez tôt
      • Préparer les procédures nécessaires de restauration du SI et de gestion de crise en cas de piratage de vos installations
    • Mesures à moyen terme
      • Isoler autant que possible les serveurs avec OS non-maintenus avec des solutions de virtualisation
      • Identifier les composants qui peuvent être "migrés" sur la version 7 de CentOS encore maintenue pour diminuer les risques cyber
      • Mettre en place une politique de maintenance tenant compte de l'obsolescence des composants logiciels pour éviter d'être surpris par le retrait de support des éditeurs

    Pour le reste, vous pouvez vous appuyer sur les recommandations de l'ANSSI, dont ce guide pour votre inventaire, et les suggestions plus haut sur les solutions d'audit pour faire un diagnostic et suivi de l'ensemble de votre parc informatique.

    • [^] # Re: Les CentOS 4, 5 et 6 sont déjà à risque

      Posté par  . Évalué à 10.

      J'ai oublié une chose importante: prévenez par écrit votre chef et votre DSI/RSSI que vous avez identifié les OS non-maintenus au sein de votre parc informatique et qu'il faut réaliser au plus vite les mesures nécessaires pour diminuer les risques. Vous n'aurez ainsi rien à vous reprocher si vous avez les preuves d'avoir signalé les risques cyber à votre hiérarchie.

  • # Lister tous les paquets installés

    Posté par  (site web personnel) . Évalué à 4.

    Les outils de détection de vulnérabilités tel que Tenable Nessus ou Rapid7 Nexpose (je n'ai pas eu l'occasion de travailler avec OpenVAS) listent tous les paquets installés, que ce soit via les dépôts de la distribution ou via une source externe. Potentiellement, n'importe quel paquet peut contenir une vulnérabilité ou ne pas être à jour.

    Une bonne base serait de générer une liste de tous les RPM installés sur chaque système :

    rpm -qa | sort > installed-rpm-$HOSTNAME-$(date +"%F")

    Il est possible d'ajouter l'option -qf avec des arguments supplémentaire pour obtenir plus d'information (date d'installation de chaque paquet par exemple).

    Mais comme précisé dans un autre commentaire, Red Hat 4, 5 et 6 sont complètement obsolètes, le mieux est de commencer à prévoir une migration vers un système plus récent.

    • [^] # Re: Lister tous les paquets installés

      Posté par  (site web personnel) . Évalué à 5.

      C'est un bon début, mais à mon avis pas suffisant : est-ce que tous les logiciels ont été installés via le système de paquet ?
      je pense aux
      - tar.gz,
      - aux modules python (pip, conda), perl (cpan), ruby (gem) ….
      - sans oublier le bios et autres firmwares constructeur

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.