📋 chkcert_V1R1M1📋 chkcert_V1R1M1
Rapport audit et sécurité
Audit and security report
P1
priorité
P2
durcissement
P3
gouvernance
CLI
local
P1
priority
P2
hardening
P3
governance
CLI
local
Synthèse
Summary
L'outil manipule des données sensibles d'inventaire certificat. Le contrôle d'accès, les rapports protégés et les logs sans secrets sont requis.
The tool handles sensitive certificate inventory data. Access control, protected reports and secret-free logs are required.
Contrôles de sécurité présents
Security controls in place
- Les mots de passe sont masqués avec
****. - L'authentification par clé SSH est recommandée pour le mode distant.
- Les clés d'hôte SSH inconnues sont rejetées par défaut.
- Les fichiers d'état sont protégés.
- Les sorties JSON et HTML sont générées localement.
- Passwords are masked with
****. - SSH key authentication is recommended for remote mode.
- Unknown SSH host keys are rejected by default.
- State files are protected.
- JSON and HTML outputs are generated locally.
Dossier d'exploitation
Operations folder
Utiliser un dossier d'exploitation dédié avec accès restreint. Séparer les fichiers d'entrée, les rapports, les fichiers temporaires et les logs.
Use a dedicated operations folder with restricted access. Keep input files, reports, temporary files and logs separated.
| Zone | Recommandation | Confidentialité / sécurité |
|---|---|---|
bin/ | Script ou binaire compilé. | Lecture/exécution pour les opérateurs; écriture réservée aux administrateurs. |
properties/ | Fichiers de configuration contrôlés. | Modification restreinte et changements tracés. |
input/ | Certificats, CSR et keystores à analyser. | Éviter les clés privées ou secrets non nécessaires. |
reports/ | Exports HTML/JSON et résumés. | À traiter comme documents internes sensibles. |
tmp/ | Fichiers intermédiaires d'extraction. | Nettoyage automatique ou purge planifiée. |
logs/ | Traces d'exécution si activées. | Aucun mot de passe, passphrase, clé privée ou token. |
| Area | Recommendation | Confidentiality / security |
|---|---|---|
bin/ | Script or compiled binary. | Read/execute for operators; write access for administrators only. |
properties/ | Controlled configuration files. | Restricted modification and change tracking. |
input/ | Certificates, CSR and keystores to analyse. | Avoid unnecessary private keys or secrets. |
reports/ | HTML/JSON outputs and summaries. | Treat as internal sensitive documents. |
tmp/ | Intermediate extraction files. | Automatic cleanup or scheduled purge. |
logs/ | Execution traces if enabled. | No passwords, passphrases, private keys or tokens. |
Surface d'attaque
Attack surface
| Surface | Risque | Contrôle attendu |
|---|---|---|
| Certificats importés | Des valeurs non fiables peuvent contenir des caractères spéciaux. | Protéger tout affichage HTML; ne jamais exécuter le contenu. |
| Keystores protégés | Des mots de passe peuvent être fournis aux outils externes. | Masquer la console et éviter les logs bruts. |
| secret.properties | Une configuration sensible peut être présente. | Accès restreint; ne jamais publier le contenu. |
| Outils externes | Le comportement Java/MQ peut varier selon la version. | Timeouts, erreurs bloquantes et capture stderr/stdout. |
| Remote SFTP | Risque si une nouvelle clé hôte est acceptée sans contrôle. | Utiliser known_hosts; réserver la confiance initiale à un onboarding contrôlé. |
| Surface | Risk | Expected control |
|---|---|---|
| Imported certificates | Untrusted values can contain special characters. | Protect all displayed HTML output; never execute content. |
| Protected keystores | Passwords may be supplied to external tools. | Mask console output and avoid raw logs. |
| secret.properties | Sensitive configuration may be present. | Restricted access; never publish content. |
| External tools | Java/MQ behaviour can vary by version. | Timeouts, blocking errors and stderr/stdout capture. |
| Remote SFTP | Risk if a new host key is accepted casually. | Use known_hosts; reserve first-time trust for controlled onboarding. |
Recommandations de durcissement
Hardening recommendations
- Créer une fonction unique de protection HTML et l'appliquer à tous les champs dynamiques.
- Utiliser un modèle de licence vérifié avec une clé publique embarquée.
- Uniformiser la gestion des erreurs externes: warning récupérable, erreur bloquante et code retour final.
- Ajouter des tests avec valeurs certificat ressemblant à du HTML, alias longs, subjects vides et chaînes incomplètes.
- Nettoyer les fichiers temporaires sur tous les chemins d'exécution.
- Documenter les conditions d'exploitation: machine autorisée, dossiers restreints, rapports internes sensibles et aucun secret dans les logs ou rapports.
- Create one HTML protection function and use it for all dynamic report fields.
- Use a licence model verified with an embedded public key.
- Standardise external error handling: recoverable warning, blocking error and final return code.
- Add tests for HTML-like certificate values, long aliases, empty subjects and incomplete chains.
- Clean temporary files on every execution path.
- Document operations conditions: authorised machine, restricted folders, internal-sensitive reports and no secrets in logs or reports.
Fichiers référencés
Referenced files
| Fichier | Rôle | Confidentialité / sécurité |
|---|---|---|
C:\Tools\python\chkcert_V1R1M1.py | Source principale | Accès contrôlé |
C:\Tools\python\secret.properties | Ne pas publier le contenu de secret.properties. Il doit être traité comme une configuration sensible. | Accès restreint uniquement |
C:\Tools\python\Documentation\Codex_v3\constantes.properties | Fichier de constantes externe | Chemin contrôlé par administrateur |
C:\Tools\python\Documentation\Codex_v3\class_bcolors.py | Personnalisation couleur optionnelle | Répertoire de confiance uniquement |
| File | Role | Confidentiality / security |
|---|---|---|
C:\Tools\python\chkcert_V1R1M1.py | Main source | Controlled access |
C:\Tools\python\secret.properties | Do not publish the content of secret.properties. Treat it as sensitive configuration. | Restricted access only |
C:\Tools\python\Documentation\Codex_v3\constantes.properties | External constants file | Administrator-controlled path |
C:\Tools\python\Documentation\Codex_v3\class_bcolors.py | Optional colour customization | Trusted directory only |