Sécuriser Linux & Unix

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Tests d'intrusion et hacking éthique - SANS SEC560  Tests d'intrusion avancés, exploitation de failles et hacking éthique - SANS SEC660  Tests d'intrusion des applications web et hacking éthique - SANS SEC542  Protéger les applications web - SANS DEV522
Objectifs  Certification  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : 16-20 décembre 2013 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

 

Apprenez à gérer en profondeur les problèmes de sécurité liés aux Unix et à Linux. Examinez comment réduire ou éliminer les risques sur les systèmes d'exploitation de type Unix, incluant les vulnérabilités dans les systèmes d'authentification par mot de passe, les systèmes de fichiers, la mémoire système et les applications qui tournent couramment sur ces environnements. Cette formation s'articule autour de configurations spécifiques, de cas d'utilisation réels et de trucs et astuces.

Tout au long de cette formation vous monterez en compétences sur les outils permettant de répondre aux incidents de sécurité tels que SSH, AIDE, sudo, lsof et bien d'autres. L'approche pratique voulue par SANS avec des travaux pratiques quotidiens se veut proche des environnements de production. Vous pourrez ainsi reproduire les mêmes actions au sein de votre système d'information. Ces outils seront aussi utilisés pour couvrir le cas d'une investigation inforensique simple après compromission d'un système.

Cette formation prépare à l'examen de certification GIAC Certified UNIX Security Administrator [GCUX]. L'examen n'est pas obligatoire. Il se passe dans un centre agréé GIAC.

5 jours (9h00-18h30).

Julien Reveret (Julien.Reveret@hsc.fr), responsable de la formation
Johann Broudin (Johann.Broudin@hsc.fr)

Cette formation s'adresse aux professionnels de la sécurité désirant apprendre les bases de la sécurisation des systèmes d'exploitation Unix, aux administrateurs systèmes expérimentés voulant connaître les détails des attaques contre les systèmes Unix et comment s'en protéger, les ingénieurs systèmes cherchant à sécuriser des applications accessibles sur Internet hébergées sur une plateforme Unix. Les analystes en sécurité, auditeurs et membres de CERT amélioreront leurs connaissances des procédures, bonnes pratiques et outils de sécurité du monde Unix.

Pré-requis: La connaissance préalable des systèmes Unix ainsi que 3 à 5 ans d'expérience dans le domaine de l'administration système sont recommandées.

Cours magistral, avec de nombreuses démonstrations et des travaux pratiques.

Tests d'intrusion et hacking éthique - SANS SEC560
Tests d'intrusion avancés, exploitation de failles et hacking éthique - SANS SEC660
Tests d'intrusion des applications web et hacking éthique - SANS SEC542
Protéger les applications web - SANS DEV522

Le support de cours est intégralement en anglais.

Le plan est issu de la formation SEC 506 du Sans Institute et suit donc le programme décrit à l'adresse : http://www.sans.org/security-training/securing-linux-unix-76-mid

Le plan des formations est susceptible d'être modifié sans préavis pour être en accord avec les dernières modifications de leur contenu réalisées par SANS.

Attaques mémoire et dépassement

• Dépassement de pile et de tas
• Détournement de chaîne de formatage
• Mécansimes de protection de la pile

Minimiser les vulnérabilités

• Configuration minimaliste vs. application de correctifs
• Configuration minimale de l'OS
• Les stratégies d'application de correctifss

La configuration du démarrage de l'OS

• Réduire de le nombre de services
• Désactiver inetd/xinetd
• Gérer sendmail
• Configuration SSH basic

Accès chiffré

• Exploits de type "détournement de session"
• Les arguments en faveur du chiffrement
• La configuration du service SSH

Les pare-feux pour machine hôte

• IPtables et autres alternatives
• Pare-feux simples pour poste
• Gérer et automatiser la mise à jour des règles

Rootkits et logiciels malveillants

• Portes dérobées et rootkits
• Rootkits en espace noyau
• Présentation de chkrookit et rkhunter

Évaluation de l'intégrité des fichiers

• Apercy de AIDE
• Configuration de base
• Cas typique d'utilisation

Attaques et défenses physiques

• Les attaques connues
• La sécurité apporée par le mode "single user"
• Les mots de passe du gestionnnaire d'amorçage

Contrôler les accès des utilisateurs

• Menaces et solutions pour les mots de passe
• Contrôler les utilisateurs
• Paramétrer l'environnement

Utiliser sudo pour les droits administrateurs

• Fonctionnalités et cas d'utilisation
• Configuration
• Problèmes connus et cas d'utilisation

Les bannières d'avertissement

• Pourquoi ?
• Suggestion de contenu
• Problèmes d'implémentation

Optimisations de sécurité du noyau

• Optimisations réseaux
• Limiter les ressources systèmes
• Restreindre les fichiers "core"

Automatisation des tâches avec SSH

• Pourquoi et comment
• Authentification par clé publique
• Programme ssh-agent et mode "Agent Forwarding"

AIDE à travers SSH

• Aperçu conceptuel
• Configuration de SSH
• Outils et scripts

Aperçu des mécanismes de journalisation Unix/Linux

• Configuration de Syslog
• Traçabilité système
• Traçabilité des processus
• Audit au niveau noyau

Création de tunnels SSH

• X11 Forwarding
• TCP Forwarding
• Problèmes inhérents aux tunnels inverses

Journalisation centralisée avec Syslog-NG

• Pourquoi le faire
• Configuration de base
• Trucs et astuces pour faire passer les données dans un tunnel
• Outils d'analyse de logs et stratégies

Sécuriser une application avec chroot()

• Qu'est-ce que chroot() ?
• Comment utiliser chroot() ?
• Les failles connues

L'interpréteur de commande SCP-only

• Présentation
• Configurer un répertoire pour chroot()
• Astuces et automontage dans un déploiement à grande échelle

Les bases de SELinux

• Aperçus des fonctionnalités
• Navigation et interface de commande
• Corriger les problèmes courants

Politique de référence de SELinux

• Prérequis et outils
• Créer et charger une politique de base
• Tester et affiner sa politique
• Déployer les fichiers de politiques

Exercice: défi de sécurité applicative

BIND

• Problématiques de sécurité commums
• DNS en mode split-horizon
• Configuration sécurisée
• Faire tourner BIND dans un chroot()

DNSSec

• Problèmes d'implémentation
• Génération des clés et signature des zones
• Recouvrement de clé
• Outils d'automatisation

Sendmail

• Problèmes de sécurité communs
• Configurations sécurisées
• Faire tourner Sendmail avec un compte non privilégié

Apache

• Configuration de répertoires sécurisées
• Choix d'installation et de configuration
• Authentification des utilisateurs
• Mise en place de SSL

Les pare-feux applicatifs web avec mod_security

• Introduction aux configurations communes
• Dépendances et prérequis
• Règles fondamentales
• Installation et déverminage

Tours d'horizon des outils

• The Sleuth Kit
• Foremost
• chkrootkit
• lsof et d'autres commandes systèmes critiques

Préparation d'un audit inforensique et bonnes pratiques

• Les principes de base de l'inforensique
• De l'importance des politiques
• Inforensique d'infrastructure
• Construire un laboratoire d'analyse sur son ordinateur

Réponse à incident et acquisition de preuves

• Processus de réponse à incident
• Les outils indispensables pour l'investigation
• Prendre une image instantanée du système
• Création d'images disques bit à bit

Analyse de média

• Les bases sur les sytèmes de fichier
• Les temps MAC et l'analyse chronologique
• Récupérer des fichiers effacés
• Chercher dans l'espace non-alloué
• Recherches de chaînes de caractères

Rapport d'incident

• Les éléments critiques d'un rapport
• Les leçons à retenir
• Calcul de coût

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 15 jours ouvrés avant la formation. Ce délai strict de 15 jours est imposé par SANS. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.