Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1840 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  anssible ou ova pour créer des serveurs anssi compliant ?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

anssible ou ova pour créer des serveurs anssi compliant ?

n°152112
exmachina
Posté le 18-02-2018 à 20:04:43  profilanswer
 

Bonjour,
 
je cherche savoir si il existe des script d'installation ou des ova pour générer des serveur selon recommandé par l'ansi
 
je suis tombé sur cela mais cela à l'air incomplet :
 
https://static.open-scap.org/ssg-gu [...] _high.html
 
en vous remerciant

mood
Publicité
Posté le 18-02-2018 à 20:04:43  profilanswer
 

n°152115
skoizer
tripoux et tête de veau
Posté le 19-02-2018 à 09:34:04  profilanswer
 

que veux tu dire pas machine selon recommandation ANSSI (Agence nationale de la sécurité des systèmes d'information) de la doc pdf ?
url ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°152120
nex84
Dura lex, sed lex
Posté le 19-02-2018 à 10:43:18  profilanswer
 

Je ne pense pas que tu trouves de choses "pré-faites".
Car les besoins ne sont pas forcément identiques partout.
 
Chez mon client actuel on est partis sur la création d'images durcies automatiques avec Ansible.
On prend une installation standard RedHat et on passe toutes les modifications de sécurité imposées par le client, puis on fait de même avec les serveurs d'application.
Tu te doutes bien que c'est fait à notre sauce, même si ça doit recroiser  pas mal avec les règles éditées par l'ANSI.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
n°152139
exmachina
Posté le 19-02-2018 à 18:55:23  profilanswer
 

voila les recommandation:
 
https://www.ssi.gouv.fr/uploads/201 [...] ration.pdf
 
 

Citation :

Chez mon client actuel on est partis sur la création d'images durcies automatiques avec Ansible.  


 
ce genre de script m'interesse, je trouve bizarre que la communauté n'est pas des script tout pret pour déployé des serveurs web sécurisé

n°152153
nex84
Dura lex, sed lex
Posté le 20-02-2018 à 09:15:58  profilanswer
 

exmachina a écrit :

voila les recommandation:

 

https://www.ssi.gouv.fr/uploads/201 [...] ration.pdf

 


Citation :

Chez mon client actuel on est partis sur la création d'images durcies automatiques avec Ansible.

 

ce genre de script m'interesse, je trouve bizarre que la communauté n'est pas des script tout pret pour déployé des serveurs web sécurisé


Comme je le disais c'est très spécifique à mon client donc impossible à partager.

 

Dans l'idée on fait :
- installation de linux en auto (maintenant directement sur le cloud AWS, c'est ultra facile)
- durcissement de l'os (users, droits, sudo, installation/désinstallation de packages et de kernels, conf ssh ...) avec les reboots qui vont bien
- durcissement apache si besoin (droits, modules, ...)
- durcissement tomcat si besoin (tout pareil...)
Et au final on génère automatiquement un nouvelle image AMI sur Amazon et toutes les stacks applicatives sont configurées pour utiliser la nouvelle image.
Ça dépend aussi bien des règles à mettre en place que de l'OS et des applications utilisées (nous on fait uniquement du RHEL7, et pas Ubuntu ou Windows par exemple).

 

Globalement c'est à base de modules standards Ansible : lineinfile, file, ... et les modules spécifiques aux manipulations sur AWS.
AWS nous permettant de provisionner une VM à la demande uniquement pour ces opérations (setup, durcissement, tests, création de l'image). Elle est détruite une fois le processus fini.

 

Désormais, pour toute nouvelle règle de durcissement ou nouveau patch de sécurité à appliquer, on met à jour le playbook Ansible et on lance son exécution. Ça génère la nouvelle image et la met à disposition pour les nouvelles instances.
Il ne nous reste pour le moment plus qu'à automatiser (via un système de promotion automatique ?) les règles de redémarrage progressif des instances existantes sur la nouvelle image.
Pour ça on va devoir gérer les pools des loadbalancers pour que ça se fasse tout seul progressivement sans impacter le service rendu.

 

La seule difficulté ne vient pas du durcissement, mais de la mise à dispo de la nouvelle image et sa propagation dans l'"Organisation" (au sens AWS).


Message édité par nex84 le 20-02-2018 à 09:23:38

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
n°153436
exmachina
Posté le 19-04-2018 à 11:37:03  profilanswer
 

voila c'était l'idée et je suis étonné que la communauté n'en est pas sortie vu que les regle de base sont les meme (install minimal, partitionement optimisé, dureté des mot de passe, parametre reseau anti syn-ack...) alors qu'il avait sortie des patch noyaux grsec et autre

n°153448
nex84
Dura lex, sed lex
Posté le 19-04-2018 à 15:08:00  profilanswer
 

exmachina a écrit :

voila c'était l'idée et je suis étonné que la communauté n'en est pas sortie vu que les regle de base sont les meme (install minimal, partitionement optimisé, dureté des mot de passe, parametre reseau anti syn-ack...) alors qu'il avait sortie des patch noyaux grsec et autre


- Install minimale : avec quoi dedans, pour qui ?
- partitionnement optimisé : optimisé pour quoi, pour quel usage ?
- politiques de mots de passe : quel niveau, quelles exigences, quelles contraintes ?
- ...
Pour tout ce que tu cites, j'ai (ou j'ai eu) des clients qui avaient des contraintes et des réponses différentes et potentiellement contradictoires.

 

Impossible donc d'en déduire une "base" commmune.
Impossible donc aussi de trouver des chose pour te mâcher le travail.


Message édité par nex84 le 19-04-2018 à 15:08:56

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
n°153645
l0g4n
Proxmox&Beer
Posté le 26-04-2018 à 20:23:32  profilanswer
 

Non mais si, ça existe tout ça, on appel ça des profiles SCAP :o
D'ailleurs, on peux même les appliquer à l'installation sur CentOS/RHEL :D


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
n°153704
exmachina
Posté le 01-05-2018 à 09:50:51  profilanswer
 

Citation :


 
D'ailleurs, on peux même les appliquer à l'installation sur CentOS/RHEL :D
 


 
je suis preneur d'un tuto sur centos serveur

n°153706
l0g4n
Proxmox&Beer
Posté le 01-05-2018 à 11:49:19  profilanswer
 

Un ptit coup de google ça mange pas de pain :o
https://rhelblog.redhat.com/2015/10 [...] tallation/
https://myopensourcelife.com/2016/0 [...] -and-rhel/
C'est pareil sur CentOS 7 :jap:


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  anssible ou ova pour créer des serveurs anssi compliant ?

 

Sujets relatifs
Creer sous-réseau en wifi pour clients2 serveurs DHCP + Agent relais
Créer une matrice de flux réseau.Un domaine vers plusieurs serveurs
Creer des groupes Owncloud a partir de users LDAPVmware Vsan et serveurs DELL R730
Problème de connexion serveurs distantsSchéma Infrastructure Serveurs interactif
Creer VPN inter-site (site-to-site)Diminuer les petits serveurs
Plus de sujets relatifs à : anssible ou ova pour créer des serveurs anssi compliant ?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR