Catalogue des règles de sécurité

Cette page récapitule quelles règles ANSSI s’activent, selon le niveau et la catégorie d’un hôte. C’est la référence à consulter avant de monter le durcissement d’une machine.

Comprendre d’abord

Les notions employées ici (niveaux, catégories, étiquettes, MAC, egress…) sont expliquées dans Notions de sécurité.

Rappel : niveau et catégorie

darkone.system.security = {
  enable   = true;
  level    = "intermediary";   # minimal | intermediary | reinforced | high
  category = "server";         # base | client | server
};

Les niveaux sont cumulatifs : intermediary ajoute ses règles à celles de minimal, et ainsi de suite. La catégorie ajoute les règles propres au poste (client) ou au serveur (server).

Catégorie conseillée par profil

Profil	Catégorie conseillée	Pourquoi
minimal, portable	base	Socle universel
desktop, laptop	client	Écran, USB, session interactive
server, gateway, hcs, vm	server	Services exposés, réseau

Aujourd’hui : base partout

Le rattachement automatique profil → catégorie n’est pas encore actif. Tous les hôtes sont en minimal / base par défaut. Pour appliquer une catégorie, posez category à la main sur l’hôte concerné.

Tableau comparatif par niveau

Chaque colonne indique l’état de la règle à ce niveau (les niveaux étant cumulatifs). Légende :

Icône	Signification
✅	Active à ce niveau
⚠️	Partielle (voir la note)
❌	Pas encore active à ce niveau

Catégories

Les règles marquées (serveur) ou (poste) ne s’activent qu’avec la catégorie correspondante (server ou client), en plus du niveau indiqué.

Amorçage et matériel

Code	Règle	Min	Inter	Renf	Élevé
R3	Secure Boot UEFI (si supporté)	❌	⚠️	⚠️	⚠️
R5	Mot de passe du chargeur d’amorçage	❌	⚠️	⚠️	⚠️
C6	Chiffrement disque LUKS2	❌	⚠️	⚠️	⚠️
R7	IOMMU activé	❌	❌	✅	✅
R29	/boot restreint	❌	❌	✅	✅
R6	Protection cmdline et initramfs	❌	❌	❌	✅

R3, R5, C6 : avertissement, pas de reconfiguration de l’amorçage

À partir de intermediary, ces règles émettent un avertissement quand la protection n’est pas détectée, mais ne reconfigurent pas le démarrage. Le Secure Boot (lanzaboote, enrôlement de clés) et le chiffrement LUKS se déclarent dans la configuration disque de l’hôte (disko) ; le module ne fait que signaler leur absence. Le futur checkScript vérifiera leur état réel.

Noyau

Code	Règle	Min	Inter	Renf	Élevé
R8	Options mémoire sur la ligne de commande	❌	✅	✅	✅
R9	sysctls de durcissement	❌	✅	✅	✅
R11	Yama : ptrace restreint	❌	✅	✅	✅
R10	Chargement de modules désactivé	❌	❌	✅	✅
R60	Noyau linux_hardened	❌	❌	✅	✅
C1	Patchs linux-hardened	❌	❌	❌	✅
C2	LSM Lockdown	❌	❌	❌	✅
R15–R27	Durcissement à la compilation	❌	❌	❌	✅

Comptes et authentification

Code	Règle	Min	Inter	Renf	Élevé
R30	Comptes inutilisés désactivés	✅	✅	✅	✅
R31	Mots de passe robustes	✅	✅	✅	✅
R68	Stockage des mots de passe en yescrypt	✅	✅	✅	✅
R32	Verrouillage sur inactivité	❌	✅	✅	✅
R33	Traçabilité des actions admin	❌	✅	✅	✅
R34	Comptes de service sans shell	❌	✅	✅	✅
R35	Comptes de service uniques	❌	✅	✅	✅
R67	PAM distant sécurisé	❌	⚠️	⚠️	⚠️
R69	Bases d’utilisateurs en TLS	❌	⚠️	⚠️	⚠️
R70	Comptes système ≠ annuaire	❌	⚠️	⚠️	⚠️
C10	Anti force brute, limites de session	❌	✅	✅	✅

R67, R69, R70 : annuaire distant différé

Ces règles ne concernent qu’un annuaire distant (SSSD/nslcd), non utilisé par DNF aujourd’hui ; leur volet TLS est différé (futur checkScript). Seul l’anti-force-brute local (pam_faillock, voir C10) est actif dès intermediary.

Droits d’administration (sudo)

Code	Règle	Min	Inter	Renf	Élevé
R39	Directives sudo durcies	❌	✅	✅	✅
R40	Cibles sudo non-root	❌	✅	✅	✅
R42	Interdiction des négations	❌	✅	✅	✅
R44	sudoedit pour l’édition	❌	✅	✅	✅
R38	Groupe sudo dédié	❌	❌	✅	✅
R41	Limitation des overrides NOEXEC	❌	❌	✅	✅

Fichiers et permissions

Code	Règle	Min	Inter	Renf	Élevé
R53	Détection des fichiers sans propriétaire	✅	✅	✅	✅
R54	Sticky bit sur /tmp et /var/tmp	✅	✅	✅	✅
R56	Détection des setuid hors liste blanche	✅	✅	✅	✅
R14	sysctls système de fichiers	❌	✅	✅	✅
R28	Partitionnement et options de montage	❌	✅	✅	✅
R50	Restriction des fichiers sensibles	❌	✅	✅	✅
R52	Permissions des sockets et tubes nommés	❌	⚠️	⚠️	⚠️
R55	Répertoires temporaires par utilisateur	❌	⚠️	⚠️	⚠️
R36	UMASK 0077	❌	❌	✅	✅
R57	setuid root minimal (capabilities)	❌	❌	✅	✅

R28, R52, R55 : services et partitions désignés

R28 durcit d’office /tmp, /proc et /dev/shm ; les options sur /var/log, /srv, /opt, /home s’ajoutent via darkone.security.filesystem.extraMountHardening (partitions séparées requises). R52 (mode 0750 des répertoires d’exécution) et R55 (/tmp privé par service) s’appliquent aux unités listées dans darkone.security.services.hardenedUnits — vide par défaut. Voir R63.

Services et confinement

Code	Règle	Min	Inter	Renf	Élevé
R62	Services obsolètes coupés	✅	✅	✅	✅
R63	Capacités des services réduites	❌	⚠️	⚠️	⚠️
R37	Contrôle d’accès obligatoire (MAC)	❌	❌	✅	✅
R45	Profils AppArmor	❌	❌	✅	✅
R64	Privilèges de service restreints	❌	❌	✅	✅
R65	Isolation des services (namespaces)	❌	❌	✅	✅
R66	Durcissement des conteneurs	❌	❌	❌	✅

R63 : bac à sable opt-in par service

Le confinement systemd complet (ProtectSystem=strict, filtres d’appels système, MemoryDenyWriteExecute, UMask=0027…) s’applique aux unités déclarées dans darkone.security.services.hardenedUnits. Vide par défaut : un durcissement aveugle casserait des services. La liste agit comme un plancher, surchargeable par unité, et needs-jit lève MemoryDenyWriteExecute pour les moteurs JIT.

Réseau

Code	Règle	Min	Inter	Renf	Élevé
R80	Surveillance des ports en écoute	✅	✅	✅	✅
C4	Pare-feu en refus par défaut	⚠️	⚠️	✅	✅
R12	sysctls réseau IPv4	❌	✅	✅	✅
R13	Désactivation d’IPv6 (sauf no-ipv6)	❌	✅	✅	✅
C5	Durcissement OpenSSH	❌	✅	✅	✅
C7	Synchronisation horaire NTS	❌	✅	✅	✅
C8	Résolveur DNS sécurisé (DNSSEC, DoT)	❌	✅	✅	✅
R79	Services exposés durcis (serveur)	❌	✅	✅	✅
R78	Isolation des services réseau (serveur)	❌	❌	✅	✅

C4 partielle aux deux premiers niveaux

Au niveau minimal et intermediary, C4 couvre le filtrage entrant (refus par défaut). Le filtrage sortant (egress) s’ajoute à partir de reinforced.

Journaux et intégrité

Code	Règle	Min	Inter	Renf	Élevé
R71	Journalisation persistante scellée	❌	❌	✅	✅
R72	Journaux dédiés par service	❌	❌	✅	✅
R73	auditd avec règles ANSSI	❌	❌	✅	✅
C9	Désactivation des core dumps	❌	❌	✅	✅
R76	Scellement et vérification d’intégrité	❌	❌	❌	✅
R77	Protection de la base scellée	❌	❌	❌	✅

Système et divers

Code	Règle	Min	Inter	Renf	Élevé
C11	Bannières légales d’accès	✅	✅	✅	✅
C12	cron / at restreints	✅	✅	✅	✅
R61	Mises à jour régulières	⚠️	⚠️	⚠️	⚠️
R74	Courrier local durci	❌	✅	✅	✅
R75	Alias de messagerie (root → admin)	❌	✅	✅	✅
R51	Rotation des secrets d’installation	❌	❌	✅	✅
C3	USBGuard (poste)	❌	❌	✅	✅

R61 : géré par DNF

Les mises à jour sont pilotées de façon centralisée par le déploiement déclaratif. Le mécanisme autoUpgrade du module reste donc désactivé à tous les niveaux.

Étiquette kernel-recompile

Le durcissement noyau du niveau high (R15 à R27, C1) implique de recompiler le noyau. Sur une machine sans ce besoin, ajoutez kernel-recompile à excludes pour l’ignorer.

Adapter sans tout casser

Deux soupapes permettent d’écarter une protection précise sans descendre le niveau global.

• Tags (excludes) : couper un groupe de règles incompatibles (ex. needs-jit, no-ipv6).
• Exceptions (exceptions) : contourner une règle, justification obligatoire.

Le détail de ces soupapes est dans Notions de sécurité.

Module en cours de stabilisation

Montez le niveau progressivement et testez chaque hôte avant la production.

Voir aussi

• Notions de sécurité : les concepts pour lire ce catalogue
• Sécurité et durcissement : la mise en œuvre au quotidien
• Référence des modules de sécurité : toutes les options exposées par le code