Durcissement du composant Postfix pour répondre aux exigencesLe durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution…
Le guide de durcissement d’un système Linux peut contenir plusieurs centaines de pages suivant l’exposition de celui-ci aux risques. Je vais aborder le durcissement de son serveur Linux en quelques minutes du coté des services réseaux. Attention cela ne vous dispense pas de faire le reste (WAF, Patch Management, Anti-virus….). Avant de modifier votre configuration,…
Dans la suite de notre durcissement, nous allons installer des mesures (Composants techniques) qui vont nous permettre de savoir si notre serveur dispose d’un rootkit malveillant. On n’apprécie pas particulièrement que notre plateforme héberge des accès non autorisés dans notre approche PCI DSS. Je vous propose de voir les outils suivants qui peuvent répondre à…
Mise à jour le 30 Juillet 2014Lors de l’écriture du guide de durcissement d’un socle Linux, des amis QSA m’ont fait part d’un oubli de taille. « As tu pensé à stopper la liste des services inutiles sur ton OS ? » Ma confiance envers le Firewall était largement exagéré et je ne répondais plus aux exigences…
Après le guide de l’Audité, on se pose tous la dernière question. Mais comment se passe un entretien avec un auditeur QSA ? Je ne peux que partager mon expérience et je vous propose la checklist suivante qui sert de fil rouge lors des entretiens. Bien entendu, cette checklist n’est pas une recommandation et votre…
Il existe pas mal de tuto sur la façon de faire un audit du coté QSA mais du coté client je n’ai rien trouvé de vraiment pratique. Je vous propose les suggestions suivantes pour bien vivre un audit PCI DSS quelque soit votre niveau de préparation ou de stress. La première chose est d’appréhender son…
Lors de la revue des exigences PCI DSS, il est demandé de produire un guide de durcissement des systèmes d’informations. Il apparait alors une vrai intérrogation sur le sujet. Dois je fournir un guide d’installation complet de 200 pages sur le durcissement de ma plateforme ou encore un dossier d’installation avec quelques tips sur la…
A chaque projet PCI, on se retrouve devant des mythes et des légendes urbaines. Je vous propose les 3 mythes que je rencontre lors de mes missions sur les projets PCI DSS.
