Linux Hardening Intermédiaire - 4 jours - 4200€ HT
Description
Les systèmes Linux constituent la base de la majorité des infrastructures et des postes de travail. Toutefois, une configuration par défaut ne permet généralement pas de limiter l'impact en cas de compromission d'un service ni d'entraver les mouvements latéraux. La sécurisation de ces environnements repose sur la maîtrise des outils de restriction et d'isolation natifs de l'OS.
Au cours de cette formation de quatre jours, les participants aborderont quatre modules techniques dédiés au durcissement des systèmes Linux : le contrôle d'accès obligatoire (AppArmor), le filtrage réseau (nftables), le confinement des processus (systemd) et la conteneurisation rootless (podman). Ces concepts seront systématiquement mis en pratique à travers des laboratoires dédiés, allant de l'écriture de profils stricts à l'isolation manuelle de processus en s'appuyant sur les primitives du noyau.
-
4 jours (28 heures)
-
4 modules techniques dédiés aux mécanismes de restriction et d'isolation sous Linux
-
Machines virtuelles Linux individuelles
-
Approche fortement axée sur la pratique (écriture de profils AppArmor, configuration nftables, durcissement systemd, conteneurisation manuelle et via podman)
Objectifs
-
Comprendre et déployer les mécanismes de sandboxing sous Linux
-
Mettre en place un pare-feu et filtrer les flux réseau de manière granulaire
-
Confiner les services systèmes et restreindre leurs privilèges
-
Isoler des processus manuellement (namespaces, chroot) et via la conteneurisation
Public et prérequis
Cette formation s'adresse aux profils techniques souhaitant concevoir, administrer ou auditer des systèmes Linux durcis.
-
Administrateurs systèmes Linux
-
Développeurs d'applications sécurisées
-
Ingénieurs sécurité / DevSecOps
Une maîtrise de l'administration système Linux (ligne de commande, gestion des processus, système de fichiers) ainsi que des bases en réseaux (TCP/IP) et en pare-feu (iptables/nftables) sont nécessaires pour suivre les différents modules.
Contenu
Jour 1 : AppArmor
Mécanismes de sandboxing : panorama des solutions sous Linux, comparaison SELinux et AppArmor. Fondamentaux AppArmor : compréhension d'un profil, cheatsheet des commandes utiles, pièges classiques. Création et modification : modification de profils existants, écriture de profils depuis zéro. Syntaxe avancée : contrôle fin des transitions (clean exec, stacking de profils), contrôle des accès réseau, limites de ressources. Lancements multiples : exécution de deux instances d'un programme avec des profils distincts. Labs : écriture de profils, réalisation d'un jailed shell (invite de commande en lecture seule sans accès réseau).
Jour 2 : Nftables
Netfilter : le système de hooks, comparaison iptables vs nftables. Syntaxe Nftables : structure des règles, gestion conntrack et NAT. Filtrage avancé : filtrage des flux sortants par UID/GID. Exploitation : compteurs, logging et monitoring pour le débogage de règles. Labs : mise en place d'un pare-feu nftables à l'état de l'art sur une VM Linux, implémentation du filtrage des flux sortants.
Jour 3 : Systemd
Présentation : architecture et projet systemd. Gestion de l'init : remplacer initrc, services systemd. Hardening : durcissement des units systemd (restriction système de fichiers, réseau, capabilities). Fonctionnalités avancées : socket activation. Remplacements systèmes : remplacer cron (timers systemd), ifupdown (systemd-networkd), grub (systemd-boot), resolvconf (systemd-resolved), rsyslog (systemd-journald). Labs : audit et durcissement d'units systemd.
Jour 4 : Podman
Concepts d'isolation : présentation des outils de base des conteneurs modernes. Isolation manuelle (labs) : isoler un processus du système de fichiers (chroot), isoler du réseau (unshare), contrôler les accès réseau. Conteneurisation moderne : différences fondamentales entre docker et podman. Utilisation de podman (labs) : compiler du code exotique (cross-compilation) sans polluer le système hôte, lancer une application graphique non approuvée de manière isolée.
Toutes les modalités de déroulement de la formation sont détaillées sur cette page.
Contact us
N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.
