Hardening linux
Connexion SSH
Bien sur l'incontournalble Fail2ban un outil de hardening pour ssh.
Warning
Il arrive que dans certaine distribution le service fail2ban ne se lance pas automatiquement.
Bien vérifier que le service est bien lancé avec la commande suivante :
Si ce n'est pas le cas on peut le lancer avec la commande suivante regarder ce que le retour de la commande vous indique généralement fail2ban ne copmprend pas quelle système de journalisation vous utiliser vous pouvez le fix via la commande suivante :
touch /etc/fail2ban/jail.local
sudo tee /etc/fail2ban/jail.local > /dev/null <<'EOF'
[sshd]
backend = systemd
EOF
sudo systemctl restart fail2ban
Contnerisation
On peut retrouver des outils de hardening pour containerisation comme falco A mon sens il peut être rapidement déployer et donner des bonne information en cas de compromission du système.
Exemple de configuration très symple avec docker :
version: '3.3'
services:
falco:
image: falcosecurity/falco:latest
container_name: falco
privileged: true
restart: always
environment:
- TZ=${TIME_ZONE}
volumes:
- /sys/kernel/tracing:/sys/kernel/tracing:ro
- /var/run/docker.sock:/host/var/run/docker.sock
- /proc:/host/proc:ro
- /etc:/host/etc:ro
- variable-falco_rules.local.yaml:/etc/falco/falco_rules.local.yaml
- macro: transmission_healthcheck
condition: (container.name = "transmission" and proc.name = "ping"
Tip
Dans cette exemple on whitelist les ping de transmission