Audit de sécurité d’un système Linux

Ce guide propose un audit de sécurité Linux, applicable aux environnements critiques (SOC, cloud privé, OT), en conformité avec les normes ISO 27001, NIS2, ou PCI-DSS. Chaque vérification inclut une commande, un objectif de sécurité, et une explication claire.

1. Cartographie des services et ports ouverts

ss -tulwnp
nmap -sT -p- -T4 localhost

Pour détecter les daemons inattendus ou services exposés.

2. Détection de fichiers setuid / capabilities

find / -xdev -perm -4000 -type f 2>/dev/null
getcap -r / 2>/dev/null

Permet de repérer les vecteurs d’escalade de privilèges classiques.

3. Inspection des modules noyau

lsmod | grep -i \"netfilter\"
modinfo [module_name]

Contrôle des modules réseau ou suspects chargés en mémoire.

4. Vérification des fichiers de boot

cat /etc/default/grub | grep -i \"audit\"
ls -l /boot

Audit de la configuration de démarrage, détection de modifications.

5. État de SELinux / AppArmor

getenforce
apparmor_status

Vérifie si une politique MAC est active et logue les violations.

6. Surveillance réseau en temps réel

iftop
tcpdump -i any -nnn -c 100

Permet de repérer des flux malveillants, beaconing ou exfiltration.

7. Analyse des journaux critiques

journalctl -xe
ausearch --success no

Extraction des logs d’échec, d’accès refusé, ou PAM.

8. Détection de rootkits

chkrootkit
rkhunter --checkall

Outils de détection de compromission système bas-niveau.

9. Vérification de l’intégrité système

rpm -Va
dpkg -V
AIDE --check

Compare les checksums installés avec la version d’origine.

10. Persistance malveillante (systemd/cron)

ls /etc/systemd/system/
crontab -l

Détection de scripts ou jobs persistants ajoutés à l’insu de l’admin.

11. Auditd (anomalies système)

auditctl -l
aureport --summary

Analyse fine des appels système et comportements anormaux.

12. Vérification des agents de sécurité

ps aux | grep wazuh
systemctl status ossec

Valide le fonctionnement des EDR/HIDS déployés.

13. Revue des fichiers .bash_history

find /home -name \".bash_history\" -exec grep -i 'nc\\|wget\\|curl' {} \\;

Pour détecter des actions manuelles suspectes ou post-exploitation.

14. Contrôle NTP (synchronisation des logs)

timedatectl
ntpq -p

Assure la cohérence temporelle pour les corrélations SIEM.

15. Audit des conteneurs Docker

docker ps -a
docker inspect [ID]
docker scan [image]

Pour identifier les vulnérabilités dans les images actives.

Conclusion

Ce type d’audit doit être régulier, automatisé et documenté. Il est recommandé d’intégrer chaque contrôle à une supervision via SIEM ou pipeline de durcissement Linux d’entreprise.