Sécurité ordinateur

Sécurité ordinateur - serveur
Extrait du funambule
http://funambule.chezlagrenouille.fr/spip.php?article13
Sécurité ordinateur - serveur
- DEBIAN -
Date de mise en ligne : lundi 31 août 2015
Copyright © funambule - Tous droits réservés
Copyright © funambule
Page 1/10
Sécurité ordinateur - serveur
•
Sécurisez votre ordinateur, votre serveurs ,
site-internet ..
anti-virus clamav
Copyright © funambule
Page 2/10
Sécurité ordinateur - serveur
apt-cache search clamav
libc-icap-mod-virus-scan - Antivirus Service for c-icap
clamav-base - anti-virus utility for Unix - base package
clamav-daemon - anti-virus utility for Unix - scanner daemon
clamav-dbg - debug symbols for ClamAV
clamav-docs - anti-virus utility for Unix - documentation
clamav-milter - anti-virus utility for Unix - sendmail integration
clamav-testfiles - anti-virus utility for Unix - test files
clamdscan - anti-virus utility for Unix - scanner client
libclamav-dev - anti-virus utility for Unix - development files
clamav-unofficial-sigs - update script for 3rd-party clamav signatures
clamfs - user-space anti-virus protected file system
clamtk - graphical front-end for ClamAV
clamtk-nautilus - Nautilus MenuProvider extension for ClamTk
claws-mail-clamd-plugin - ClamAV socket-based plugin for Claws Mail
courier-filter-perl - purely Perl-based mail filter framework for the Courier MTA
havp - HTTP Anti Virus Proxy
libclamav-client-perl - Perl client for the ClamAV virus scanner daemon
nagios-plugins-contrib - Plugins for nagios compatible monitoring systems
python-pyclamd - Python interface to the ClamAV daemon
python3-pyclamd - Python 3 interface to the ClamAV daemon
python-clamav - Python bindings to ClamAV - transitional package
python-pyclamav - Python bindings to ClamAV
rmilter - Another sendmail milter for different mail checks
amavisd-new - interface entre agent de transfert de courriel (MTA) et les antivirus/filtres de contenu
clamassassin - Adaptateur de filtre de virus dans des courriels pour ClamAV
clamav - Utilitaire anti-virus pour Unix - interface en ligne de commande
clamav-freshclam - Utilitaire anti-virus pour Unix - outil de mise à jour de la base des virus
clamsmtp - Mandataire SMTP qui vérifie la présence de virus
libc-icap-mod-clamav - paquet factice de transition
libclamav6 - utilitaire anti-virus pour Unix - bibliothèque
libclamunrar6 - anti-virus utility for Unix - unrar support
Copyright © funambule
Page 3/10
Sécurité ordinateur - serveur
•
Si vous voulez en savoir plus.
apt-cache showpkg clamav
puis installez votre anti-virus
en root
apt-get install clamav
fail2ban
•
L 'installation est simple
apt-get install fail2ban
•
Les fichiers sont dans /etc/fai2ban
Copyright © funambule
Page 4/10
Sécurité ordinateur - serveur
Fail2ban est un outil de sécurité pour les serveurs web.
Par défaut, Fail2ban banni une IP au bout de 3 tentatives de connexions
Fail2ban va lire les logs des applications web, sshd, apache..etc..Il va détecter un nombre X de tentatives
d'authentification infructueuses, et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs ou détecter
des requêtes anormales sur un service web tel qu'Apache2, ssh, qmail, exim, ftp..etc.. avec un ensemble de règles
par défaut que nous pouvons modifier.
Une fois le comportement d'une IP détectée comme suspecte, celle-ci est banni
l'interdiction de communication avec le serveur est au début de 600 secondes
*Par défaut, le port 22 (ssh) est surveillé, vous pouvez vérifier que les règles ipatbles ont bien prises en compte.
en root
/home/momo# iptables -S | grep fail2ban
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
•
Dans etc.. deux fichiers de configurations
ls -lisha fail2ban/
total 52K
290620 4,0K drwxr-xr-x
260609
6 root root 4,0K nov.
12K drwxr-xr-x 155 root root
12K févr.
30 12:14 .
2 09:56 ..
295327 4,0K drwxr-xr-x
2 root root 4,0K nov.
30 12:14 action.d
290645 4,0K -rw-r--r--
1 root root 1,5K mars
15
2014 fail2ban.conf
295524 4,0K drwxr-xr-x
2 root root 4,0K mars
19
2014 fail2ban.d
290906 4,0K drwxr-xr-x
2 root root 4,0K nov.
30 12:14 filter.d
295526
1 root root
14K mars
19
2014 jail.conf
2 root root 4,0K mars
19
2014 jail.d
16K -rw-r--r--
295525 4,0K drwxr-xr-x
•
•
•
•
La configuration se fait dans jail.conf
Pour activer la surveillance d'un service, il suffit de placer la variable "enabled" à "true"
Par défaut la protection du service SSH est activée, pas les autres : Si votre ssh n'écoute pas sur le port 22,
pensez à le changer... (port = N° de port)
exemple extrait de jail.conf pour ssh
Copyright © funambule
Page 5/10
Sécurité ordinateur - serveur
[ssh]
enabled = true
port
= ssh
filter
= sshd
logpath
= /var/log/auth.log
maxretry = 6
Copyright © funambule
Page 6/10
Sécurité ordinateur - serveur
•
ARTICLE PAS TERMINÉ
•
Lire la doc pour plus d'infos
lynis
•
Lynis est un petit soft qui s'utilise en ligne de commande, Un outil d'audit de votre système
Il a pour but de vérifier via un scan, quasiment tous les paramètres de votre système avant de vous faire une
synthèse complète et de vous afficher des suggestions qui vont vous permettre d'agir sur les points faibles de
celui-ci.
apt-get install lynis
•
Vous pouvez la lancer en entrant ceci dans votre terminal :
lynis -check-all
•
Vous pouvez lancer Lynis de manière à ce que ce dernier ne vous demande pas de confirmation entre chaque
test.
lynis -c -Q
Rkhunter -systraq - Chkrootkit - Logwatch
Copyright © funambule
Page 7/10
Sécurité ordinateur - serveur
systraq
rkhunter
•
Installation
apt-get update && apt-get install rkhunter
pour l'aide
rkhunter -help
ou
man rkhunter
-*Le fichier de propriétés de fichiers stockés (de rkhunter.dat) est vide,
et doit être créé. P
•
•
•
•
Pour rkhunter d'effectuer des contrôles de propriété de fichiers, il faut d'abord
avoir un fichier de base de données ('de rkhunter.dat') contenant la propriété
valeurs pour chaque fichier. Il peut alors comparer chaque courant de fichiers
valeurs contre ceux stockés dans la base de données. Toute différence
indique que le fichier a changé.
Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.qui peuvent
déclencher un [ Warning ]
de créer cette base et ainsi limiter le nombre des Warnings
Tapez
rkhunter --propupd
Copyright © funambule
Page 8/10
Sécurité ordinateur - serveur
•
Utilisation
rkhunter --update
rkhunter --check
ou
rkhunter -c
ou
rkhunter --checkall
•
ou pour écourter les résultats
rkhunter --checkall --report-warnings-only
•
rkhunter calcule une sorte de md5 de chaque fichier essentielle
(l'utilitaire md5sum permet de calculer ce qu'on appelle l'empreinte d'un fichier. en anglais,fingerprint,
message-digest ou encore checksum est une valeur de 128 bits correspondant à une somme de contrôle calculée à
partir de l'archive. cette signature est unique pour chaque fichier et il est pour le moment non-craqué.
un checksum md5 n'a pas pour but de garantir la provenance d'un fichier ou d'un groupe de fichiers. son intérêt est
de permettre la vérification de l'intégrité des données récupérées. en effet, nul n'est à l'abri d'une perturbation ou d'un
problème réseau ayant pour conséquence la corruption d'une archive en cours de téléchargement.
en gros, en comparant le md5 du fichier que vous venez de récupérer au md5 que le site de téléchargement vous
donne, vous pouvez être sûr que le site et vous ayez le même fichier.
vous pouvez donc vous assurer que le fichier est bien "entier" ou qu'il n'a pas été modifié par un tiers dans un but
mal intentionné.)
Copyright © funambule
Page 9/10
Sécurité ordinateur - serveur
Chkrootkit
Logwatch
Enigmail/GnuPG
les règles de filtrage iptable
Copyright © funambule
Page 10/10