PRESENTATION DE L’AUTOMATISATION
Dans ce chapitre nous allons mettre en place un système d’automatisation de la conformité de sécurité de la norme PCI-DSS v3.2.1. Nous utiliserons deux systèmes Red Hat Entreprise 8. L’un servira de serveur et l’autre de client. A partir de notre serveur, nous utiliserons les outils Ansible et OSCAP pour rendre la machine cliente conforme aux normes de sécurité PCI-DSS.
Architecture et adressage
Tout au long du raisonnement, Nous allons utiliser l’architecture et l’adressage suivants Serveur : Système : Red Hat Entreprise 8 Nom : serveur Adresse : 192.168.1.168 Domaine : conformite.sec (192.168.1.168) Utilisateur : drsouleymane Outils : BIND, Ansible, OpenSSH et scap-workbench Client: Système : Red Hat Entreprise 8 Nom: client Adresse: 192.168.1.169 Domaine : conformite.sec Utilisateur : sdrame Outils : OpenSSH et oscap-scanner
Installations et configurations
Après l’installation du système Red Hat, un enregistrement serait nécessaire pour son utilisation. Dans notre cas, nous l’utiliserons l’outils subscription Management. Le but principal du « Subscription Management » est de gérer les abonnements des produits Red Hat. Vous gérez les abonnements en travaillant avec des abonnements qui offrent des droits logiciels. Vous utilisez ces droits pour obtenir des logiciels Red Hat nouveaux et mis à jour, ainsi que pour rester en concordance avec les accords d’utilisation de Red Hat. Figure 14: subscription management Ici le nom d’utilisateur drsouleymane est celui de notre compte Red Hat. Après chaque enregistrement, il est nécessaire d’associer automatiquement tout abonnement disponible correspondant à ce système Figure 15: subscription management
BIND
Nous avons utilisé le gestionnaire de paquet yum pour l’installation de bind. Figure 16: Installation bind Red Hat, Automatisation de la conformité de sécurité avec Ansible et OSCAP. 67 Après installation, nous pouvons éditer le fichier de configuration named.conf qui se trouve dans le répertoire /etc pour y ajouter les modifications nécessaires y compris l’adresse de notre serveur DNS et les zones de recherche.