En général le client sait déjà pourquoi il demande un audit de sécurité. Il veut justifier un budget pour un nouveau projet... Il vaudrait mieux identifier avec lui 10 à 20 points de contrôle identiques pour tous les OS, qui donneront un résultat constructif :
- Quelle est la version du noyau ? Parfois un uptime de 4 ans n'est pas un bon signe...
- Quels sont les (derniers) patchs appliqués ?
- Est-ce que le nom d'host respecte la nomenclature ?
- Est-ce que des logs sont générés ?
- Quelle est la durée de rétention des logs ? (Date du plus vieux log)
- Est-ce que les logs sont exportés sur un syslog ?
- Est-ce qu'il y a un système de mise à jour des systèmes ? (Par exemple Red Hat Satellite)
- Est-ce que l'authentification est locale ou via un annuaire ?
- Est-ce que les ressources (espace disque, CPU, mémoire, bande passante) sont supervisées ? (Par exemple via Nagios)
- Est-ce que SSH est utilisé et non telnet ?
- Est-ce qu'on peut se connecter sur SSH avec le compte root ?
- Quels sont les services réseau actifs ?
- Est-ce qu'il y a une stratégie de sécurité des mots de passe et des comptes ? Longueur, complexité, verrouillage après X échecs.
Il faut aussi avoir une idée de la façon dont tu vas procéder.
- Est-ce qu'on va te fournir un compte sur chaque machine ? Cela peut prendre du temps et même devenir bloquant si ce n'est pas centralisé.
- Est-ce que le compte a les droits suffisants pour faire du relevé de configuration ?