Les 10 Commandements de la Sécurité Informatique.
Même si Linux est plus sécurisé, il n'en demeure pas moins que quelques régles de sécurité doievent être respectées
.
Ces rêgles sont à appliquer par tout utilisateur d'Internet LINUX ou WINDOWS
1 - Avoir une politique de Sécurité.
2 - Mettre ses logiciels à jour.
3 - Installer le minimum de logiciels (moins de failles de sécurité à gérer).
4 - Laisser le minimum de ports réseau ouverts.
5 - Enfermer ses serveurs à cles.
6 - Positionner le minimum de droits permettant l'exploitation du système.
7 - Utiliser de bons mots de passe.
8 - Utiliser des liaisons réseau sécurisée.
9 - Tester la sécurité de son système ( à confier à des spécialistes ).
10 - Sauvegarder ses données.
La sécurité sous Linux n'est pas un vain mot, et si les virus ne sont pas nombreux pour ce système, il n'empêche qu'il n'est pas à l'abri de ceux-ci.
Chaque distribution inclut dans ses suites logicielles au moins 2 voire plusieurs logiciels antivirus (Clamav, AVG, etc...).
Installez-en un, ne serait-ce que pour contrôler vos messages e-mail et les fichiers joints.
L'un d'entre eux, Clamav pour ne pas le nommer peut s'interfacer dans l'environnement de KDE, et prend alors le nom de Klamav.
Sobre et efficace, il vous protègera suffisamment.
Protégez votre messagerie, installez un anti-spam (Spamassassin), configurez les filtres et éviter autant que faire se peut d'ouvrir vos messages au format Html, N'ouvrez pas les pièces jointes dans votre logiciel de messagerie, Enregistrez-les, scannez-les avec votre antivirus, puis ouvrez-les si la pièce jointe n' est entachée d'aucune anomalie,
Le plus grand danger sous Linux concernant la sécurité, est le "rootkit", équivalent à un cheval de Troie sous Windows.
Dès la première intrusion d'un assaillant, celui-ci crée une porte cachée dans le système, ce qui lui permet de modifier des commandes système voire également de modifier certaines parties du noyau. Il s'autorise ainsi à cacher certains processus et certains fichiers.
Le meilleur moyen de s'en protéger, est d'avoir activé les mises à jour de sécurité sur son système de façon automatique.
Le plus ancien des logiciels de détection de rootkits se nomme "chkrootkit" et fonctionne en mode console. A noter qu'il effectue également un contrôle des worms (vers en anglais).Une fois votre logiciel installé, dans une console logé en su, taper la commande chkrootkit.
Voici ce que cela donne:
chrisbus@linux-b78y:~> su
Mot de passe :
linux-b78y:/home/chrisbus # chkrootkit
ROOTDIR is '/'
Checking 'amd'... not found
Checking 'basename'... not infected
Checking 'biff'... not found
Checking 'chfn'... not infected
Checking 'chsh'... not infected
Checking 'cron'... not infected
Checking 'crontab'... not infected
Checking 'date'... not infected
Checking 'du'... not infected
Checking 'dirname'... not infected
Checking 'echo'... not infected
Checking 'egrep'... not infected
Checking 'env'... not infected
Checking 'find'... not infected
Checking 'fingerd'... not found
Checking 'gpm'... not infected
Checking 'grep'... not infected
Checking 'hdparm'... not infected
Checking 'su'... not infected
Checking 'ifconfig'... not infected
Checking 'inetd'... not tested
Checking 'inetdconf'... not found
Checking 'identd'... not found
Checking 'init'... not infected
Checking 'killall'... not infected
Checking 'ldsopreload'... not infected
Checking 'login'... not infected
Checking 'ls'... not infected
Checking 'lsof'... not infected
Checking 'mail'... not infected
Checking 'mingetty'... not infected
Checking 'netstat'... not infected
Checking 'named'... not found
Checking 'passwd'... not infected
Checking 'pidof'... not infected
Checking 'pop2'... not found
Checking 'pop3'... not found
Checking 'ps'... not infected
Checking 'pstree'... not infected
Checking 'rpcinfo'... not infected
Checking 'rlogind'... not found
Checking 'rshd'... not found
Checking 'slogin'... not infected
Checking 'sendmail'... not infected
Checking 'sshd'... not infected
Checking 'syslogd'... not tested
Checking 'tar'... not infected
Checking 'tcpd'... not infected
Checking 'tcpdump'... not infected
Checking 'top'... not infected
Checking 'telnetd'... not found
Checking 'timed'... not found
Checking 'traceroute'... not infected
Checking 'vdir'... not infected
Checking 'w'... not infected
Checking 'write'... not infected
Checking 'aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/URI/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Archive/Tar/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/PLog/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Config/Crontab/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/ycp/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/SPP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/IO/Socket/SSL/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/IO/Zlib/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/IO/Compress/Base/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/IO/Compress/Zlib/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/SaX/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/HTML/Tagset/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/HTML/Parser/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/ExtUtils/Depends/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/ExtUtils/PkgConfig/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Term/ReadLine/Gnu/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Term/ReadKey/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/DBI/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Mail/SpamAssassin/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Parse/RecDescent/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Crypt/SSLeay/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Crypt/SmbHash/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Digest/MD4/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Digest/SHA1/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Digest/HMAC/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/XML/Bare/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/XML/Writer/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/XML/XPath/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/XML/Parser/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/SDL_perl/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/RRDs/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/File/Tail/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/File/Find/Rule/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/XFree/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/RRDp/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Locale/gettext/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Glib/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Carp/Clan/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/FBSet/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Cairo/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Bootloader/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Date/Calc/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Bit/Vector/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Number/Compare/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/CVT/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/LWP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Net/IP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Net/SSLeay/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Net/Daemon/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Net/DNS/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/DBD/SQLite/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Text/Glob/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/TimeDate/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Compress/Raw/Zlib/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Compress/Zlib/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/X500/DN/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Image/ExifTool/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/Gtk2/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/RPC/PlServer/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i586-linux-thread-multi/auto/RPC/XML/.packlist
/usr/lib/perl5/5.8.8/i586-linux-thread-multi/.packlist
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... Warning: '' is linked to another file
Checking 'asp'... not infected
Checking 'bindshell'... not infected
Checking 'lkm'... chkproc: nothing detected
Checking 'rexedcs'... not found
Checking 'sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking 'w55808'... not infected
Checking 'wted'... chkwtmp: nothing deleted
Checking 'scalper'... not infected
Checking 'slapper'... not infected
Checking 'z2'... chklastlog: nothing deleted
Checking 'chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp !
! RUID PID TTY CMD
! root 2367 tty7 /usr/bin/Xorg -br -nolisten tcp :0 vt7 -auth
/var/lib/xdm/authdir/authfiles/A:0-Ina7eM
chkutmp: nothing deleted
La documentation concernant ce logiciel se trouve à l'adresse:
Pour Windows XP, Vista, voir à cette adresse:
http://www.resplendence.com/hookanalyzer
Un projet plus jeune et plus complet peut être installé en complément de chkrootkit. Il se nomme "rkhunter" et on peut le trouver sur le DVD d'installation, dans les dépôts de packages, ou alors à l'adresse :
http://www.rootkit.nl/projects/rootkit_hunter.html
Fourni en principe avec le DVD d'installation de votre distribution ou dans ses repositories, et une fois installé, en mode console et sous root on lance la commande rkhunter --update , les logiciels de sécurité évoluant sans cesse et dans des délais assez courts.
linux-b78y:/home/chrisbus # rkhunter --update
Running updater...
Mirrorfile /var/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://rkhunter.sourceforge.net
[DB] Mirror file : Up to date
[DB] MD5 hashes system binaries : Up to date
[DB] Operating System information : Mirror outdated. Skipped
Info (current version: 2009111401, version of mirror: 2007061401)
[DB] MD5 blacklisted tools/binaries : Up to date
[DB] Known good program versions : Up to date
[DB] Known bad program versions : Up to date
Ready
Puis toujours sous root on lance la commande "rkhunter --checkall".
Si le compte-rendu de l'analyse, vous signale un voire d'autres fichiers suspects rendez vous sur la page des FAQ du logiciel :
http://sourceforge.net/docman/display_doc.php?docid=35179&group_id=155034
Si certains logiciels devaient être marqués comme étant vulnérables, il vous faudra les mettre à jour sans attendre avec les patches de sécurité.
Mise à jour avec OpenSuse:
linux-b78y:/home/chrisbus # yast2 check --update
linux-b78y:/home/chrisbus #
Mon système étant automatiquement mis à jour, il n'y a pas de mention pour un update.
Nota : selon que vous utilisiez un autre système de mise à jour, il suffit de remplacer yast2 par drakeconf, yum, zypper, ou celui de votre distribution.