Bonjour,
 
je cherche savoir si il existe des script d'installation ou des ova pour générer des serveur selon recommandé par l'ansi
 
je suis tombé sur cela mais cela à l'air incomplet :
 
https://static.open-scap.org/ssg-gu [...] _high.html
 
en vous remerciant

que veux tu dire pas machine selon recommandation ANSSI (Agence nationale de la sécurité des systèmes d'information) de la doc pdf ?
url ?

Je ne pense pas que tu trouves de choses "pré-faites".
Car les besoins ne sont pas forcément identiques partout.
 
Chez mon client actuel on est partis sur la création d'images durcies automatiques avec Ansible.
On prend une installation standard RedHat et on passe toutes les modifications de sécurité imposées par le client, puis on fait de même avec les serveurs d'application.
Tu te doutes bien que c'est fait à notre sauce, même si ça doit recroiser  pas mal avec les règles éditées par l'ANSI.

voila les recommandation:
 
https://www.ssi.gouv.fr/uploads/201 [...] ration.pdf
 
 

 
ce genre de script m'interesse, je trouve bizarre que la communauté n'est pas des script tout pret pour déployé des serveurs web sécurisé

Comme je le disais c'est très spécifique à mon client donc impossible à partager.

Dans l'idée on fait :
- installation de linux en auto (maintenant directement sur le cloud AWS, c'est ultra facile)
- durcissement de l'os (users, droits, sudo, installation/désinstallation de packages et de kernels, conf ssh ...) avec les reboots qui vont bien
- durcissement apache si besoin (droits, modules, ...)
- durcissement tomcat si besoin (tout pareil...)
Et au final on génère automatiquement un nouvelle image AMI sur Amazon et toutes les stacks applicatives sont configurées pour utiliser la nouvelle image.
Ça dépend aussi bien des règles à mettre en place que de l'OS et des applications utilisées (nous on fait uniquement du RHEL7, et pas Ubuntu ou Windows par exemple).

Globalement c'est à base de modules standards Ansible : lineinfile, file, ... et les modules spécifiques aux manipulations sur AWS.
AWS nous permettant de provisionner une VM à la demande uniquement pour ces opérations (setup, durcissement, tests, création de l'image). Elle est détruite une fois le processus fini.

Désormais, pour toute nouvelle règle de durcissement ou nouveau patch de sécurité à appliquer, on met à jour le playbook Ansible et on lance son exécution. Ça génère la nouvelle image et la met à disposition pour les nouvelles instances.
Il ne nous reste pour le moment plus qu'à automatiser (via un système de promotion automatique ?) les règles de redémarrage progressif des instances existantes sur la nouvelle image.
Pour ça on va devoir gérer les pools des loadbalancers pour que ça se fasse tout seul progressivement sans impacter le service rendu.

La seule difficulté ne vient pas du durcissement, mais de la mise à dispo de la nouvelle image et sa propagation dans l'"Organisation" (au sens AWS).

voila c'était l'idée et je suis étonné que la communauté n'en est pas sortie vu que les regle de base sont les meme (install minimal, partitionement optimisé, dureté des mot de passe, parametre reseau anti syn-ack...) alors qu'il avait sortie des patch noyaux grsec et autre

- Install minimale : avec quoi dedans, pour qui ?
- partitionnement optimisé : optimisé pour quoi, pour quel usage ?
- politiques de mots de passe : quel niveau, quelles exigences, quelles contraintes ?
- ...
Pour tout ce que tu cites, j'ai (ou j'ai eu) des clients qui avaient des contraintes et des réponses différentes et potentiellement contradictoires.

Impossible donc d'en déduire une "base" commmune.
Impossible donc aussi de trouver des chose pour te mâcher le travail.

Non mais si, ça existe tout ça, on appel ça des profiles SCAP
D'ailleurs, on peux même les appliquer à l'installation sur CentOS/RHEL

 
je suis preneur d'un tuto sur centos serveur

Un ptit coup de google ça mange pas de pain
https://rhelblog.redhat.com/2015/10 [...] tallation/
https://myopensourcelife.com/2016/0 [...] -and-rhel/
C'est pareil sur CentOS 7