====== Linux ======

===== Hardening : Accès physique au système =====
\\ 
|Recommandation ANSSI | [[https://www.ssi.gouv.fr/uploads/2015/03/NP_ConfigMateriel.pdf|Download]] |
\\ 

==== Paramétrage / sécurisation BIOS / UEFI ====
C'est le 1er programme qui s'exécute au démarrage du système. Il permet le contrôle des éléments matériels.

  * Protéger l'accès au BIOS/UEFI par un mot de passe

  * Modifier l'ordre de boot pour démarrer en priorité sur le disque système

  * Désactiver les éléments matériels non utilisés (CD-ROM, USB...)
\\ 

==== Protéger GRUB avec un mot de passe ====
**Attention !**
Ne pas éditer le fichier de configuration du grub /boot/grub/grub.conf !\\ 
Ce fichier est généré par la commande ''grub-mkconfig'' par rapport aux différents fichiers qui composent le Grub.

  * Création d’un mot de passe chiffré en SHA1 :
<cli>$ grub-mkpasswd-pbkdf2</cli>

  * Edition du fichier /etc/grub.d/00_header :
<cli>$ sudo vi /etc/grub.d/00_header</cli>

  * Ajouter à la fin du fichier :
<code |/etc/grub.d/00_header>cat << EOF
set superusers="fred"
password_pbkdf2 fred grub.pbkdf2.sha512.10000.DABE<*******> 
  ##<********> est le mot de passe créé précédemment avec la commande grub-mkpasswd-pbkdf2
EOF</code>

  * Mise à jour de GRUB pour la prise en compte :
<cli>$ sudo update-grub</cli>
\\ 
==== Blocage des supports USB ====
Modification du paramétrage GRUB, en ajoutant le paramètre ''nousb'' dans :
  * /boot/grub/grub.cfg


\\ 
==== Activation du service IOMMU ====
L'activation de ce service permet de protéger la memoire du système vis-à-vis d'accès parbitraires réalisés par des périphériques.

La directive ''iommu=force'' doit être ajoutée à la liste des paramètres du noyau choisi lors du démarrage GRUB, en plus de celles déjà présentes dans les fichiers de configurations GRUB :
  * /boot/grub/menu.lst
  * /etc/default/grub

<code |/etc/default/grub>
...
GRUB_CMDLINE_LINUX="iommu=force"
</code>
\\ 
==== Authentification pour le mode SINGLE USER ====
Booter en mode single user sous Linux permet d'être connecté directement en root sans taper de mot de passe. **Il faut l'interdire !**

<code |/etc/inittab>su :S :wait :/sbin/sulogin</code>
\\ 
==== Fermeture des sessions inactives du Shell ====
On définit une variable d'environnement TMOUT, qui permet de déconnecter les users automatiquement après une période d'inactivité.\\ 
On applique, de plus, la restriction "readonly" afin que cette variable ne puisse pas être modifiée.
<code |/etc/profile>
if ["EUID" = "0"]||["USER" = "root"] ; then
TMOUT=900
else
TMOUT=3600
fi
readonly TMOUT
export TMOUT
</code>
\\ 
==== Désactiver le redémarrage avec CTRL-ALT-DEL ====
<code |/etc/inittab>
Trap CTRL-ALT-DELETE
ca : :ctrlaltdel :/sbin/shutdown -t3 -r now
</code>
\\ 
==== Verrouiller l'accès à la console ====
<code>vlock -c</code>