tuto2: Add new parts

tutorial/ansible/anssi.md

@@ -0,0 +1,44 @@
+Durcir les configurations de base
+---------------------------------
+
+Le pare-feu va vous aider à être moins susceptible d'attirer l'attention en
+présentant des scans épurés, et en n'exposant exclusivement que les ports
+nécessaires, aux bonnes personnes. Mais vous allez sans doute devoir présenter
+un certain nombre de services à Internet. Il convient donc de sécuriser au
+mieux ces services.
+
+Avant même de regarder service par service, il est important de passer en revue
+la configuration du système d'exploitation en lui-même.
+
+Un bon point de départ pour faire cela est de suivre les recommandations de
+l'ANSSI que vous jugez adaptées à votre déploiement :\
+<https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/>
+
+![Le guide de recommandations de l'ANSSI fait référence](linux_configuration-fr.jpg){width=30%}
+
+::::: {.question}
+
+#### Quel niveau de durcissement choisir ? {-}
+
+Vous devriez viser un niveau de durcissement **minimal** selon la
+classification de l'ANSSI.
+
+Par ailleurs, les recommandations 1 à 8 et 28 ne sont pas applicables ici puisque
+vous êtes dans une machine virtuelle, et le bootloader est figé sur l'ISO. Mais
+peut-être que vous devriez songer à appliquer ces recommandations à vos propres
+machines.
+
+:::::
+
+::::: {.exercice}
+
+Faites le tour des configurations afin de vous assurer qu'elles sont
+suffisamment durcies. Pensez à noter vos changements, vous devrez les
+reporter dans un fichier au prochain TP !
+
+:::::
+
+Outre la difficulté supplémentaire qu'un attaquant aura à pénétrer un système
+correctement configuré, les scans automatiques auront également moins
+d'informations à afficher car la récolte d'empreinte sera d'autant plus
+difficile (par exemple si un logiciel n'expose pas son numéro de version).