Sécurité ordinateur
Transcription
Sécurité ordinateur
Sécurité ordinateur - serveur Extrait du funambule http://funambule.chezlagrenouille.fr/spip.php?article13 Sécurité ordinateur - serveur - DEBIAN - Date de mise en ligne : lundi 31 août 2015 Copyright © funambule - Tous droits réservés Copyright © funambule Page 1/10 Sécurité ordinateur - serveur • Sécurisez votre ordinateur, votre serveurs , site-internet .. anti-virus clamav Copyright © funambule Page 2/10 Sécurité ordinateur - serveur apt-cache search clamav libc-icap-mod-virus-scan - Antivirus Service for c-icap clamav-base - anti-virus utility for Unix - base package clamav-daemon - anti-virus utility for Unix - scanner daemon clamav-dbg - debug symbols for ClamAV clamav-docs - anti-virus utility for Unix - documentation clamav-milter - anti-virus utility for Unix - sendmail integration clamav-testfiles - anti-virus utility for Unix - test files clamdscan - anti-virus utility for Unix - scanner client libclamav-dev - anti-virus utility for Unix - development files clamav-unofficial-sigs - update script for 3rd-party clamav signatures clamfs - user-space anti-virus protected file system clamtk - graphical front-end for ClamAV clamtk-nautilus - Nautilus MenuProvider extension for ClamTk claws-mail-clamd-plugin - ClamAV socket-based plugin for Claws Mail courier-filter-perl - purely Perl-based mail filter framework for the Courier MTA havp - HTTP Anti Virus Proxy libclamav-client-perl - Perl client for the ClamAV virus scanner daemon nagios-plugins-contrib - Plugins for nagios compatible monitoring systems python-pyclamd - Python interface to the ClamAV daemon python3-pyclamd - Python 3 interface to the ClamAV daemon python-clamav - Python bindings to ClamAV - transitional package python-pyclamav - Python bindings to ClamAV rmilter - Another sendmail milter for different mail checks amavisd-new - interface entre agent de transfert de courriel (MTA) et les antivirus/filtres de contenu clamassassin - Adaptateur de filtre de virus dans des courriels pour ClamAV clamav - Utilitaire anti-virus pour Unix - interface en ligne de commande clamav-freshclam - Utilitaire anti-virus pour Unix - outil de mise à jour de la base des virus clamsmtp - Mandataire SMTP qui vérifie la présence de virus libc-icap-mod-clamav - paquet factice de transition libclamav6 - utilitaire anti-virus pour Unix - bibliothèque libclamunrar6 - anti-virus utility for Unix - unrar support Copyright © funambule Page 3/10 Sécurité ordinateur - serveur • Si vous voulez en savoir plus. apt-cache showpkg clamav puis installez votre anti-virus en root apt-get install clamav fail2ban • L 'installation est simple apt-get install fail2ban • Les fichiers sont dans /etc/fai2ban Copyright © funambule Page 4/10 Sécurité ordinateur - serveur Fail2ban est un outil de sécurité pour les serveurs web. Par défaut, Fail2ban banni une IP au bout de 3 tentatives de connexions Fail2ban va lire les logs des applications web, sshd, apache..etc..Il va détecter un nombre X de tentatives d'authentification infructueuses, et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs ou détecter des requêtes anormales sur un service web tel qu'Apache2, ssh, qmail, exim, ftp..etc.. avec un ensemble de règles par défaut que nous pouvons modifier. Une fois le comportement d'une IP détectée comme suspecte, celle-ci est banni l'interdiction de communication avec le serveur est au début de 600 secondes *Par défaut, le port 22 (ssh) est surveillé, vous pouvez vérifier que les règles ipatbles ont bien prises en compte. en root /home/momo# iptables -S | grep fail2ban -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A fail2ban-ssh -j RETURN • Dans etc.. deux fichiers de configurations ls -lisha fail2ban/ total 52K 290620 4,0K drwxr-xr-x 260609 6 root root 4,0K nov. 12K drwxr-xr-x 155 root root 12K févr. 30 12:14 . 2 09:56 .. 295327 4,0K drwxr-xr-x 2 root root 4,0K nov. 30 12:14 action.d 290645 4,0K -rw-r--r-- 1 root root 1,5K mars 15 2014 fail2ban.conf 295524 4,0K drwxr-xr-x 2 root root 4,0K mars 19 2014 fail2ban.d 290906 4,0K drwxr-xr-x 2 root root 4,0K nov. 30 12:14 filter.d 295526 1 root root 14K mars 19 2014 jail.conf 2 root root 4,0K mars 19 2014 jail.d 16K -rw-r--r-- 295525 4,0K drwxr-xr-x • • • • La configuration se fait dans jail.conf Pour activer la surveillance d'un service, il suffit de placer la variable "enabled" à "true" Par défaut la protection du service SSH est activée, pas les autres : Si votre ssh n'écoute pas sur le port 22, pensez à le changer... (port = N° de port) exemple extrait de jail.conf pour ssh Copyright © funambule Page 5/10 Sécurité ordinateur - serveur [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6 Copyright © funambule Page 6/10 Sécurité ordinateur - serveur • ARTICLE PAS TERMINÉ • Lire la doc pour plus d'infos lynis • Lynis est un petit soft qui s'utilise en ligne de commande, Un outil d'audit de votre système Il a pour but de vérifier via un scan, quasiment tous les paramètres de votre système avant de vous faire une synthèse complète et de vous afficher des suggestions qui vont vous permettre d'agir sur les points faibles de celui-ci. apt-get install lynis • Vous pouvez la lancer en entrant ceci dans votre terminal : lynis -check-all • Vous pouvez lancer Lynis de manière à ce que ce dernier ne vous demande pas de confirmation entre chaque test. lynis -c -Q Rkhunter -systraq - Chkrootkit - Logwatch Copyright © funambule Page 7/10 Sécurité ordinateur - serveur systraq rkhunter • Installation apt-get update && apt-get install rkhunter pour l'aide rkhunter -help ou man rkhunter -*Le fichier de propriétés de fichiers stockés (de rkhunter.dat) est vide, et doit être créé. P • • • • Pour rkhunter d'effectuer des contrôles de propriété de fichiers, il faut d'abord avoir un fichier de base de données ('de rkhunter.dat') contenant la propriété valeurs pour chaque fichier. Il peut alors comparer chaque courant de fichiers valeurs contre ceux stockés dans la base de données. Toute différence indique que le fichier a changé. Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.qui peuvent déclencher un [ Warning ] de créer cette base et ainsi limiter le nombre des Warnings Tapez rkhunter --propupd Copyright © funambule Page 8/10 Sécurité ordinateur - serveur • Utilisation rkhunter --update rkhunter --check ou rkhunter -c ou rkhunter --checkall • ou pour écourter les résultats rkhunter --checkall --report-warnings-only • rkhunter calcule une sorte de md5 de chaque fichier essentielle (l'utilitaire md5sum permet de calculer ce qu'on appelle l'empreinte d'un fichier. en anglais,fingerprint, message-digest ou encore checksum est une valeur de 128 bits correspondant à une somme de contrôle calculée à partir de l'archive. cette signature est unique pour chaque fichier et il est pour le moment non-craqué. un checksum md5 n'a pas pour but de garantir la provenance d'un fichier ou d'un groupe de fichiers. son intérêt est de permettre la vérification de l'intégrité des données récupérées. en effet, nul n'est à l'abri d'une perturbation ou d'un problème réseau ayant pour conséquence la corruption d'une archive en cours de téléchargement. en gros, en comparant le md5 du fichier que vous venez de récupérer au md5 que le site de téléchargement vous donne, vous pouvez être sûr que le site et vous ayez le même fichier. vous pouvez donc vous assurer que le fichier est bien "entier" ou qu'il n'a pas été modifié par un tiers dans un but mal intentionné.) Copyright © funambule Page 9/10 Sécurité ordinateur - serveur Chkrootkit Logwatch Enigmail/GnuPG les règles de filtrage iptable Copyright © funambule Page 10/10