Bonjour Tarik, compte-tenu du temps que cela va te prendre d'analyser les docs, il vaut mieux te payer une licence Nessus (ou autre) pour faire le boulot (négocie avec tes chefs). Je n'ai pas eu l'occasion de tester OVALDI ( http://sourceforge.net/apps/mediawiki/ovaldi/index.php?title=Main_Page) depuis longtemps. Il semble y avoir des tests pour Unix et Solaris. Peut-être une piste à creuser.
Sinon tu es bon pour éplucher les checklists, mais tu vas être débordé si tu veux tout vérifier. - DISA : http://iase.disa.mil/stigs/os/index.html - CIS : https://benchmarks.cisecurity.org/downloads/browse/?category=benchmarks.os - Solaris : http://docs.oracle.com/cd/E23824_01/html/819-3195/index.html - AIX : http://www.redbooks.ibm.com/redpieces/abstracts/sg247430.html?Open - HP-UX : Il semble falloir utiliser leur produit "Bastille" -> https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=B6849AA En général le client sait déjà pourquoi il demande un audit de sécurité. Il veut justifier un budget pour un nouveau projet... Il vaudrait mieux identifier avec lui 10 à 20 points de contrôle identiques pour tous les OS, qui donneront un résultat constructif : - Quelle est la version du noyau ? Parfois un uptime de 4 ans n'est pas un bon signe... - Quels sont les (derniers) patchs appliqués ? - Est-ce que le nom d'host respecte la nomenclature ? - Est-ce que des logs sont générés ? - Quelle est la durée de rétention des logs ? (Date du plus vieux log) - Est-ce que les logs sont exportés sur un syslog ? - Est-ce qu'il y a un système de mise à jour des systèmes ? (Par exemple Red Hat Satellite) - Est-ce que l'authentification est locale ou via un annuaire ? - Est-ce que les ressources (espace disque, CPU, mémoire, bande passante) sont supervisées ? (Par exemple via Nagios) - Est-ce que SSH est utilisé et non telnet ? - Est-ce qu'on peut se connecter sur SSH avec le compte root ? - Quels sont les services réseau actifs ? - Est-ce qu'il y a une stratégie de sécurité des mots de passe et des comptes ? Longueur, complexité, verrouillage après X échecs. Il faut aussi avoir une idée de la façon dont tu vas procéder. - Est-ce qu'on va te fournir un compte sur chaque machine ? Cela peut prendre du temps et même devenir bloquant si ce n'est pas centralisé. - Est-ce que le compte a les droits suffisants pour faire du relevé de configuration ? - Est-ce que tu peux scripter ? Dans quel langage ? Les commandes shell sont parfois très différentes entre AIX, Linux et Solaris. - Est-ce qu'on t'autorise à tester la robustesse des mots de passe ? Cela pose parfois un problème de confidentialité, mais est tellement révélateur... C'est un poil en vrac. J'espère t'avoir donné des idées. Bon courage. Florent
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
