(Version mixte – formateur & stagiaire)
Ce cours vise à former les participants à l’administration avancée et à la sécurisation des systèmes Linux en environnement professionnel. Il couvre la gestion du système, la configuration des services, la sécurité réseau, la supervision, les sauvegardes et le durcissement complet du système d’exploitation (OS Hardening).
- Administrateurs système et réseau
- Ingénieurs DevOps / Sécurité
- Étudiants en informatique avancée
- Toute personne souhaitant maîtriser la sécurité Linux
- Connaissance de base des commandes Linux.
- Connaissance de l’administration système et réseau de base.
- Savoir utiliser une console et un éditeur de texte (nano, vim).
| Module | Thème | Durée | Objectif principal |
|---|---|---|---|
| 1 | Introduction et rappels Linux | ½ j | Revoir les bases |
| 2 | Gestion avancée des utilisateurs et permissions | 1 j | ACL, quotas, PAM |
| 3 | Processus, services et tâches planifiées | 1 j | Superviser et automatiser |
| 4 | Stockage, LVM, RAID | 1 j | Gérer le stockage et la redondance |
| 5 | Réseau et sécurité réseau | 1½ j | Configurer et sécuriser le réseau |
| 6 | Pare-feux et durcissement de base | 1 j | iptables, SELinux, fail2ban |
| 7 | Sécurisation des services essentiels | 1½ j | SSH, Web, DNS, Mail |
| 8 | Automatisation et gestion de configuration | 1 j | Bash et Ansible |
| 9 | Supervision et audit | 1 j | Logs, alertes, auditd |
| 10 | Sauvegarde et PRA | 1 j | Sauvegarde et reprise |
| 11 | OS Hardening complet | 1½ j | Sécuriser le système |
| 12 | Projet final et certification | 1 j | Application intégrale |
Revoir les fondamentaux pour harmoniser le niveau du groupe.
-
Architecture et arborescence Linux (
/etc,/var,/usr,/opt,/home) -
Commandes essentielles :
ls -l /etc grep -r "root" /etc/passwd find /var -type f -size +10M -
Gestion des paquets :
- Debian/Ubuntu :
apt,dpkg - RHEL/CentOS :
yum,dnf
- Debian/Ubuntu :
➡️ Installer Apache et vérifier son fonctionnement :
sudo apt install apache2 -y
systemctl enable --now apache2
curl localhost- Quelle commande affiche la taille d’un dossier ?
- Quelle différence entre
aptetdpkg?
Maîtriser les permissions, ACL, sudo, PAM et les quotas.
-
Gestion utilisateurs :
useradd,usermod,passwd,/etc/passwd -
Permissions :
chmod,chown,umask -
ACL :
setfacl -m u:alice:rwx /srv/data getfacl /srv/data
-
Sudoers et privilèges :
visudo alice ALL=(ALL) NOPASSWD: /usr/bin/systemctl
Créer un utilisateur adminweb pouvant redémarrer Apache via sudo.
sudo useradd -m adminweb
sudo visudo
adminweb ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart apache2- Que fait
chmod 750 fichier? - Quelle est la différence entre ACL et permissions classiques ?
Savoir gérer les services, priorités et tâches automatiques.
- Surveillance :
ps aux,top,htop,nice,renice - Services :
systemctl start/stop/status - Tâches :
crontab -e,at now + 5 minutes
Créer une tâche cron qui sauvegarde /etc chaque nuit.
Gérer le stockage et assurer la redondance.
-
Partitionnement (
fdisk,lsblk) -
LVM :
pvcreate /dev/sdb vgcreate data_vg /dev/sdb lvcreate -n data_lv -L 5G data_vg
-
RAID logiciel (
mdadm --create /dev/md0)
Configurer, analyser et sécuriser le réseau.
- Configuration :
ip,nmcli,/etc/netplan/ - Diagnostic :
ping,traceroute,ss,tcpdump,nmap - Sécurisation SSH (clé, port, bannière, fail2ban)
Mettre en place les protections réseau et systèmes.
-
iptables :
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP
-
fail2ban, auditd, SELinux, AppArmor
-
sysctl sécurisés :
net.ipv4.tcp_syncookies = 1
Sécuriser SSH, Web, FTP, DNS, Mail.
- SSH :
PermitRootLogin no,AllowUsers - Apache/Nginx : SSL/TLS, headers, redirections
- DNS : DNSSEC, chroot
- Mail : SPF, DKIM, DMARC
Simplifier la gestion avec Bash et Ansible.
-
Scripts Bash :
for user in $(cat users.txt); do useradd $user; done
-
Ansible : inventaires, playbooks, modules
user,file,service.
Surveiller, auditer et réagir aux incidents.
-
journald, rsyslog, logrotate
-
auditd :
auditctl -w /etc/passwd -p wa -k passwd_change
-
Supervision : glances, netdata, Nagios
Sauvegarde/restauration et continuité.
- Sauvegardes :
tar,rsync,borg - Snapshots LVM
- Plan PRA : test de restauration, backup distant chiffré
Appliquer les normes de sécurité CIS/NIST/ANSSI.
-
Désactivation des services inutiles
-
Permissions minimales
-
PAM et verrouillage de session
-
sysctl sécurisés
-
Intégrité : AIDE, Lynis, OpenSCAP
-
Ansible hardening :
ansible-playbook harden.yml
- Auditer le système avec Lynis
- Corriger les failles détectées
- Générer un rapport de conformité
Mettre en œuvre toutes les compétences.
“Sécuriser un serveur Linux de production selon les recommandations CIS.” Inclure :
- Audit initial
- Hardening complet
- Sécurisation réseau
- Sauvegarde et PRA
- Rapport PDF final
- Contrôles pratiques par module
- Projet final noté
- Certification : Administrateur Linux Avancé & Sécurité (OS Hardening)
- Linux Administration Handbook
- The Linux Command Line
- CIS Benchmark Ubuntu/Debian/CentOS
- ANSSI Référentiel SSI Linux