Modules de sécurité

Note

Un module de sécurité renforce le système, ses programmes et ses fonctionnalités.

🔑 darkone.security.complement

Mesures complémentaires transverses — Annexe A (C1–C12). (wip)

Ces mesures n’ont pas de numéro ANSSI mais sont essentielles à l’esprit du guide. Couverture des patches linux-hardened (C1), Lockdown LSM (C2), USBGuard (C3), nftables deny-by-default (C4), SSH durci (C5), LUKS2 (C6), NTP/NTS (C7), DNS sécurisé (C8), core dumps désactivés (C9), PAM anti brute-force (C10), bannières légales (C11) et restriction cron/at (C12).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définies dans darkone.system.security (via isActive).

Niveau Lockdown LSM (C2)

• none : pas de Lockdown.
• integrity : interdit les modifications du noyau depuis l’espace utilisateur.
• confidentiality : idem + interdit la lecture des secrets du noyau.

C2 — Lockdown LSM

lockdown=confidentiality interdit kexec, les écritures /dev/mem, MSR, l’hibernation. Casse dmidecode sur certaines zones, flashrom, i2c-tools.

C4 — Filtrage sortant

La politique de rejet par défaut en sortie casse les outils qui accèdent aux CDN (curl, téléchargements du noyau). Requis : un proxy HTTP(S) sortant contrôlé.

C5 — SSH durci

Tunnels SSH, agent forwarding et X11 désactivés. Adapter les workflows d’administration à ProxyJump (ssh -J). Ce module surcharge core.nix pour SSH.

• enable bool Activer les mesures complémentaires ANSSI (C1–C12).
• lockdownLevel enum [ "none" "integrity" "confidentiality" ] Niveau Lockdown LSM (C2)
• lsmStack listOf str Ordre de la pile LSM (C2, R11, R20). Modifie boot.kernelParams lsm=…
• ntpServers listOf str Serveurs NTP/NTS (C7).
• useNts bool Activer NTS (Network Time Security) pour l’authentification NTP (C7).
• sshBanner str Bannière SSH affichée avant l’authentification (C11).
• cronAllowedUsers listOf str Utilisateurs autorisés à planifier des tâches cron (C12).
• atAllowedUsers listOf str Utilisateurs autorisés à planifier des tâches at (C12). Reprend cronAllowedUsers par défaut.
• egressAllowlist listOf str Adresses IPv4/IPv6 ou CIDR autorisées en sortie sous la politique de rejet par défaut renforcée C4. Une liste vide maintient la politique mais seul le trafic loopback et established/related passe (proxy requis).

darkone.security.complement = {
  enable = false;
  lockdownLevel = "integrity";
  lsmStack = [ ];
  ntpServers = [ ];
  useNts = true;
  sshBanner = ''
        *** Access restricted to authorized personnel ***
        All connections are logged and may be subject to prosecution.
      '';
  cronAllowedUsers = [ ];
  atAllowedUsers = [ ];
  egressAllowlist = [ ];
};

---

🔑 darkone.security.filesystem

Partitionnement, arborescence et permissions des fichiers (R28–R29, R50–R57). (wip)

Couvre les options de montage sécurisées (R28), la restriction de /boot (R29), les permissions des fichiers sensibles (R50), les mots de passe exclus du store (R51), les sockets (R52), les fichiers orphelins (R53), le sticky bit (R54), les répertoires temporaires par utilisateur (R55) et setuid (R56, R57).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R28 — noexec /tmp

noexec sur /tmp casse de nombreux installeurs et compilateurs (pip, cargo, gcc). Solution : export TMPDIR=$XDG_RUNTIME_DIR dans les profils shell.

R29 — /boot noauto

noauto sur /boot nécessite un remontage manuel à chaque mise à jour NixOS. Un wrapper nixos-rebuild doit garantir le montage/démontage automatique.

• enable bool Active le durcissement du système de fichiers ANSSI (R28–R29, R50–R57).
• allowedSetuid listOf str Liste blanche des binaires setuid/setgid autorisés (R56, R57).
• extraMountHardening listOf str Points de montage à durcir avec nosuid,nodev,noexec (R28). Chaque chemin listé DOIT être une partition séparée déclarée ailleurs (hardware- configuration / disko) ; les options sont fusionnées dans son entrée fileSystems existante. Une liste explicite (plutôt qu’un flag global) évite de deviner le layout et ne crée jamais de montages fantômes. Ne pas lister /home si des utilisateurs y exécutent des scripts — noexec les casserait.

darkone.security.filesystem = {
  enable = false;
  allowedSetuid = [ ];
  extraMountHardening = [ ];
};

---

🔑 darkone.security.integrity

Intégrité du système de fichiers — HIDS (R76–R77). (en cours)

Couvre le scellement et la vérification d’intégrité via AIDE (R76) et la protection de la base de données scellée avec signature GPG plus copie distante (R77).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R76 — AIDE

Une analyse complète peut prendre 15–60 min selon la taille du FS et du CPU. Planifiez pendant les heures creuses. Les faux positifs fréquents sur /etc/resolv.conf, /var/lib, /var/cache — ajoutez-les aux exclusions.

R77 — Base de données signée

La base de données AIDE doit être re-signée à chaque mise à jour majeure NixOS (le magasin change). Planifiez une procédure de mise à jour de base.

• enable bool Activer l’intégrité ANSSI HIDS — AIDE (R76–R77).
• aideRemoteCopy nullOr ( submodule { options = { host = lib.mkOption { type = str; description = "Remote host for the AIDE database copy."; }; sshKeyFile = lib.mkOption { type = path; description = "Path to the private SSH key for the remote copy."; }; }; } ) Copie distante de la base de données AIDE signée par GPG (R77). null = désactivé.
  • host str Hôte distant pour la copie de la base de données AIDE.
  • sshKeyFile path Chemin vers la clé SSH privée pour la copie distante.

darkone.security.integrity = {
  enable = false;
  aideRemoteCopy = null;
  aideRemoteCopy.host = null;
  aideRemoteCopy.sshKeyFile = null;
};

🔑 darkone.security.journaling

Journalisation et auditd (R71–R73). (en cours)

Couvre la journalisation persistante avec forwarding TLS (R71), journaux dédiés par service (R72) et auditd avec règles ANSSI (R73).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R71 — Seal=yes

Seal=yes nécessite journalctl --setup-keys (clé d’audit hors bande). Sans cette clé, l’intégrité du journal ne peut pas être vérifiée.

R73 — auditd immuable

La configuration audit.rules = [ "-e 2" ] rend auditd immuable : tout changement de règle nécessite un redémarrage. Testez en staging avant le déploiement.

• enable bool Activer la journalisation ANSSI et auditd (R71–R73).

darkone.security.journaling.enable = false;

🔑 darkone.security.kernel-build

Configuration du noyau statique — nécessite recompilation (R15–R27). (en cours)

Ces règles nécessitent un noyau personnalisé via boot.kernelPackages. NixOS le permet via structuredExtraConfig. Toutes ces règles portent le tag kernel-recompile : elles sont ignorées si ce tag est dans excludes.

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

Pas de cache binaire NixOS

L’activation de ces règles implique une recompilation locale du noyau (~30–60 min par mise à jour selon le CPU). Aucun cache binaire public ne couvre un noyau personnalisé. Réservez à la flotte avec les bons outils MCO.

Modules hors arborescence

R18 (modules signés) rend la signature de tout module externe obligatoire (NVIDIA, ZFS, VirtualBox, v4l2loopback…) via le pipeline Nix.

• enable bool Activer le module de recompilation du noyau ANSSI (R15–R27).

darkone.security.kernel-build.enable = false;

🔑 darkone.security.kernel-params

Configuration dynamique du noyau : paramètres d’amorçage et sysctls (R8–R14). (en cours)

Règles applicables sans recompiler le noyau. Couvre les options mémoire (R8), les sysctls système (R9), la désactivation du chargement de modules (R10), Yama/ptrace (R11), les sysctls réseau IPv4 (R12), la désactivation d’IPv6 (R13), et les sysctls du système de fichiers (R14).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R8 — SMT désactivé

mds=full,nosmt et mitigations=auto,nosmt désactivent l’hyperthreading, ce qui réduit le débit multi-thread d’environ 30 %. Évaluez sur les serveurs de calcul avant d’activer le niveau intermediary.

R9 — unprivileged_userns_clone=0

Casse Docker rootless, Podman rootless, bubblewrap non-suid et Flatpak. Utilisez l’exception R9 si ces outils sont requis.

R10 — Modules désactivés

Tout nouvel appareil nécessitant un module non pré-chargé nécessite un redémarrage. Mutuellement exclusif avec nixos-rebuild switch côté pilote.

• enable bool Activer les paramètres du noyau dynamiques ANSSI (R8–R14).

darkone.security.kernel-params.enable = false;

🔑 darkone.security.mac

Contrôle d’accès obligatoire — MAC (R37, R45–R49). (en cours)

R37 est une méta-règle : valide si au moins R45 (AppArmor) ou R46 (SELinux) est active. SELinux (R46–R49) n’est pas supporté sur NixOS et est exclu par défaut via exceptions. AppArmor (R45) est partiellement supporté.

Mise en sandbox

Lorsque MAC n’est pas disponible, NixOS s’appuie souvent sur les options systemd (systemd sandbox) pour isoler les services.

NixOS et MAC

SELinux est structurellement non supporté sur NixOS (R46–R49 sont des exceptions par défaut). AppArmor est disponible mais avec peu de profils prêts à l’emploi. L’absence de profil pour un service exposé est une fausse sensation de sécurité.

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

Tag no-mac

Utilisez le tag no-mac dans excludes pour désactiver R37 et R45 avec une justification explicite dans exceptions.R37.rationale.

• enable bool Activer le module MAC ANSSI — AppArmor/SELinux (R37, R45–R49).

darkone.security.mac.enable = false;

🔑 darkone.security.mta

Gestion locale du courrier (R74–R75). (en cours)

Couvre l’MTA local durci à loopback-only (R74) et les alias mail acheminés vers l’adresse de l’administrateur (R75). Ces règles s’appliquent uniquement si un service MTA est actif (Postfix ou OpenSMTPD).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

• enable bool Activer le durcissement MTA ANSSI (R74–R75).

darkone.security.mta.enable = false;

🔑 darkone.security.network

Services réseau — isolation et supervision (R78–R80). (en cours)

Couvre l’isolation des services réseau (R78 : catégorie serveur), durcissement et monitoring des services exposés (R79 : fail2ban, en-têtes HTTP, TLS ANSSI) et réduction de la surface réseau (R80).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R79 — CSP strict

Content-Security-Policy: default-src 'self' casse les outils sans nonces (tableaux de bord avec CDN, widgets tiers). HSTS preload est irréversible — définissez uniquement sur un domaine entièrement contrôlé.

R80 — Filtrage des écouteurs

Certains services (KDE Connect, mDNS) écoutent par défaut sur toutes les interfaces. Déclarez-les dans network.publicListeners ou reconfigurez-les.

• enable bool Activer le durcissement réseau ANSSI (R78–R80).
• exposedServices listOf str Services publics pour lesquels fail2ban et supervision seront activés (R79).
• publicListeners listOf str Services autorisés à écouter sur 0.0.0.0 / :: (R80).
• httpsHeaders bool Ajoute les en-têtes de sécurité HTTP ANSSI dans Nginx/Caddy (R79).
• tlsCiphers listOf str Suite de chiffrement TLS ANSSI pour Nginx (R79).

darkone.security.network = {
  enable = false;
  exposedServices = [ ];
  publicListeners = [ ];
  httpsHeaders = true;
  tlsCiphers = [ ];
};

🔑 darkone.security.nss

NSS — Bases de données utilisateurs distantes (R69–R70). (en cours)

Règles applicables uniquement si une NSS externe est active (SSSD, nslcd). Pas actuellement pertinent pour DNF ; voir ce qui peut être fait avec Kanidm + PAM.

Couvre le durcissement des bases de données distantes (R69 : TLS obligatoire) et la séparation des comptes système et annuaire (R70).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

• enable bool Activer le durcissement NSS ANSSI (R69–R70).

darkone.security.nss.enable = false;

🔑 darkone.security.packages

Gestion des paquets et mises à jour (R58–R61). (wip)

Couverture de l’installation du strict nécessaire (R58), des dépôts de confiance (R59), des dépôts durcis (R60 : linux_hardened) et des mises à jour régulières (R61).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définies dans darkone.system.security (via isActive).

R59 — allow-import-from-derivation=false

Casse certains flakes complexes (Haskell, Python lourd avec générateurs Nix). Documenter les exceptions dans nix.settings.

R60 — linux_hardened

Le noyau linux_hardened peut accuser un retard d’une version mineure sur nixpkgs-unstable. Les modules tiers (NVIDIA, ZFS) ne sont pas garantis compatibles.

• enable bool Activer la gestion des paquets ANSSI (R58–R61).
• trustedSubstituters listOf str Liste blanche des caches binaires Nix autorisés (R59).
• trustedPublicKeys listOf str Clés publiques des caches binaires autorisés (R59).
• allowedUris listOf str Liste blanche de préfixes d’URI récupérables pendant l’évaluation (R59). Restreint builtins.fetch* / les entrées flake aux miroirs internes. Une liste vide désactive la restriction.
• maxSystemPackages nullOr int Seuil indicatif sur le nombre de paquets système (R58). Émet un avertissement d’évaluation quand dépassé ; null désactive le contrôle.

darkone.security.packages = {
  enable = false;
  trustedSubstituters = [ ];
  trustedPublicKeys = [ ];
  allowedUris = [ ];
  maxSystemPackages = 200;
};

---

🔑 darkone.security.pam

PAM — Authentification et stockage des mots de passe (R67–R68). (en cours)

Couvre l’authentification PAM distante sécurisée (R67 : SSSD, Kerberos, pam_faillock) et le stockage des mots de passe chiffrés (R68 : yescrypt).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

Compléments

pam_faillock (anti brute-force) est configuré ici pour R67 et dans complement.nix (C10). La politique de complexité (R31) est dans users.nix.

• enable bool Activer le module PAM ANSSI — authentification et mots de passe (R67–R68).

darkone.security.pam.enable = false;

🔑 darkone.security.preboot

Configuration matérielle et démarrage sécurisé (R1–R7). (en cours)

Couvre UEFI Secure Boot (R3), lanzaboote, mot de passe du chargeur d’amorçage (R5), UKIs signés (R6) et IOMMU (R7). R1 et R2 (matériel/firmware) sont hors de la portée de NixOS et produisent uniquement une note dans le rapport.

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R3/R4 — Secure Boot

L’intégration lanzaboote nécessite une inscription de clé physique initiale (sbctl enroll-keys). R4 (remplacement des clés Microsoft) porte un risque d’amorçage si la machine ne permet pas la restauration.

R7 — IOMMU

Peut causer des crashs avec certains GPU/Thunderbolt ; surcharge E/S ~5–15 % sur les tableaux NVMe à très haut débit.

• enable bool Activer le démarrage sécurisé ANSSI — Secure Boot, IOMMU (R1–R7).

darkone.security.preboot.enable = false;

🔑 darkone.security.services

Durcissement des services systemd (R62–R66). (wip)

Couvre la désactivation des services inutiles (R62), la réduction des fonctionnalités via les options de sécurité systemd (R63), la restriction des privilèges (R64), l’isolation (R65) et le durcissement des composants de conteneurisation (R66).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R63 — MemoryDenyWriteExecute

Casse les runtimes JIT (Java, V8, .NET, LuaJIT, Wasm). Utilisez le tag needs-jit dans excludes ou excluez le service individuellement.

R66 — Docker userns-remap

Casse les bind-mounts hôte-conteneur (décalage UID). Migration des volumes existants requise avant activation.

• enable bool Active le durcissement des services systemd ANSSI (R62–R66).
• rootServicesAllowed listOf str services systemd autorisés à tourner en root sans CapabilityBoundingSet (R64).
• hardenedUnits listOf str Unités systemd auxquelles la base de durcissement ANSSI est appliquée (R52 RuntimeDirectoryMode, R55 PrivateTmp, R63 sandbox complète via dnfLib.mkHardenedServiceConfig). Vide par défaut : le sandboxing généralisé peut casser les services nécessitant un accès en écriture ou des appels système supplémentaires, les unités sont donc opt-in. Listez les unités connues du framework qui tolèrent le confinement ; les surcharges serviceConfig par unité prévalent toujours.

darkone.security.services = {
  enable = false;
  rootServicesAllowed = [ ];
  hardenedUnits = [ ];
};

---

🔑 darkone.security.sudo

Durcissement de sudo (R38–R44). (en cours)

Couvre le groupe sudo dédié (R38), les directives sudo durcies (R39), la restriction des cibles non-root (R40), la limitation NOEXEC (R41), l’interdiction des négations (R42), la spécification d’arguments explicite (R43), et l’utilisation de sudoedit (R44).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R39 — requiretty

requiretty fait échouer ssh user@host sudo cmd sans TTY allouée. L’option SSH -t est requise : ssh -t user@host sudo cmd.

R39 — rootpw

rootpw force un mot de passe root partagé entre les administrateurs. Préférez targetpw ou runaspw selon la politique d’équipe.

• enable bool Activer le durcissement sudo ANSSI (R38–R44).
• allowedRootRules listOf str règles sudo autorisées à cibler root (R40). D’autres doivent cibler un compte de service.

darkone.security.sudo = {
  enable = false;
  allowedRootRules = [ ];
};

🔑 darkone.security.users

Comptes utilisateurs et authentification (R30–R36). (en cours)

Couvre les comptes inutilisés (R30), la politique de mots de passe (R31), le verrouillage d’inactivité (R32), la responsabilité des administrateurs (R33), les comptes de service (R34), les comptes de service uniques (R35), et umask (R36).

Activation

L’option enable suit darkone.system.security.enable par défaut. Les règles (Rxx/Cxx) sont activées selon le niveau, la catégorie et les exclusions définis dans darkone.system.security (via isActive).

R30 — mutableUsers=false

NixOS ne permet plus les passwd/useradd ad-hoc. Tout changement de compte nécessite un déploiement NixOS complet (colmena apply).

R36 — umask 0077

Casse la collaboration de groupe (/srv/share). Documentez que chmod g+rwx <file> est requis pour le partage de groupe.

• enable bool Activer la gestion des comptes ANSSI (R30–R36).

darkone.security.users.enable = false;