Lea Linux - Contributions [fr]

Discussion:Point d'accès sécurisé par hostAPd

2008-10-01T23:27:25Z

Lolotux (phorum) : /* Ben euh ? */

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

est ce que quelqu'un peut nous dire comment realiser un hostap avec integrated eap server
qu'est qu'on met dans le fichier de configuration!!!

Ahem, le mieux est quand même de bien formuler la demande... Avec une signature tout ça :)
Sinon, désolé, je ne suis pas au fait de ce genre de solution, je ne me suis intéressé qu'à l'authentification WPA PSK :( --[[Utilisateur:Glandos|Glandos]] 8 oct 2006 à 12:52 (CEST)

== Installation avec Ubuntu ==

Bonsoir,

J'essay actuellement et ce depuis une semaine d'installer hostapd sur mon portable afin de disposer d'un accessPoint pour me connecter dessus avec ma Wii.

Une semaine que les "make" me crachent des erreurs, que des librairies me manquent et que des erreurs m'assomment.

J'ai une carte réseau intel
http://www3.intel.com/network/connectivity/products/wireless/wireless_n/overview.htm

je pense que le chip est un chip intel. --> Est-ce compatible avec ce chip?

Si ce n'est pas le cas, ce n'est pas perdu j'ai un deuxième PC, avec une carte NetGear
http://www.netgear.com/Products/Adapters/GWirelessAdapters/WG311.aspx
Je suppose que le chip est un Atheros... (je n'y connais rien)

Est-ce que quelqun pourrais m'expliquer comment faire??? De plus j'aimerais bien réussir a insaller un logiciel sur ce foutu OS de M*****

J'espère que quelqun passera pas la et trouvera cette note...

Merci d'avance

== Précision ==

Bonjour

Il y a quoi dans :
deny_mac_file=/etc/hostapd/hostapd.deny

== Ben euh ? ==

Bonjour,

Sous Ubuntu aujourd'hui est dispo dans les paquets, donc fini la compilation (bien que formateur) !

Pour notre inconnu :
Sans les message d'erreurs de la compil comment veux-tu qu'on t'aide ?
La carte WG311 à un chipset Marvell : Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (rev 03), donc pas de pilote accèdant aux fonctions "master" de la carte :(

debian:/home/lolo# wlanconfig wlan0 destroy

wlanconfig: ioctl: Operation not supported

debian:/home/lolo# wlanconfig wlan1 create wlandev wlan0 wlanmode ap

wlanconfig: ioctl: Operation not supported

Une carte que j'utilise pour les AP est : http://www.netgear.fr/produits/produit.php?prod=WPN311

Lolotux le 02/09/2008

Discussion:Point d'accès sécurisé par hostAPd

2008-10-01T23:26:44Z

Lolotux (phorum) : /* Ben euh ? */

Discussion:Point d'accès sécurisé par hostAPd

2008-10-01T23:26:03Z

Lolotux (phorum) : /* Ben euh ? */

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

est ce que quelqu'un peut nous dire comment realiser un hostap avec integrated eap server
qu'est qu'on met dans le fichier de configuration!!!

Ahem, le mieux est quand même de bien formuler la demande... Avec une signature tout ça :)
Sinon, désolé, je ne suis pas au fait de ce genre de solution, je ne me suis intéressé qu'à l'authentification WPA PSK :( --[[Utilisateur:Glandos|Glandos]] 8 oct 2006 à 12:52 (CEST)

== Installation avec Ubuntu ==

Bonsoir,

J'essay actuellement et ce depuis une semaine d'installer hostapd sur mon portable afin de disposer d'un accessPoint pour me connecter dessus avec ma Wii.

Une semaine que les "make" me crachent des erreurs, que des librairies me manquent et que des erreurs m'assomment.

J'ai une carte réseau intel
http://www3.intel.com/network/connectivity/products/wireless/wireless_n/overview.htm

je pense que le chip est un chip intel. --> Est-ce compatible avec ce chip?

Si ce n'est pas le cas, ce n'est pas perdu j'ai un deuxième PC, avec une carte NetGear
http://www.netgear.com/Products/Adapters/GWirelessAdapters/WG311.aspx
Je suppose que le chip est un Atheros... (je n'y connais rien)

Est-ce que quelqun pourrais m'expliquer comment faire??? De plus j'aimerais bien réussir a insaller un logiciel sur ce foutu OS de M*****

J'espère que quelqun passera pas la et trouvera cette note...

Merci d'avance

== Précision ==

Bonjour

Il y a quoi dans :
deny_mac_file=/etc/hostapd/hostapd.deny

== Ben euh ? ==

Bonjour,

Sous Ubuntu aujourd'hui est dispo dans les paquets, donc fini la compilation (bien que formateur) !

Pour notre inconnu :
Sans les message d'erreurs de la compil comment veux-tu qu'on t'aide ?
La carte WG311 à un chipset Marvell : Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (rev 03), donc pas de pilote accèdant aux fonctions "master" de la carte :(

debian:/home/lolo# wlanconfig wlan0 destroy
wlanconfig: ioctl: Operation not supported

debian:/home/lolo# wlanconfig wlan1 create wlandev wlan0 wlanmode ap
wlanconfig: ioctl: Operation not supported

Une carte que j'utilise pour les AP est : http://www.netgear.fr/produits/produit.php?prod=WPN311

Lolotux

Discussion:Point d'accès sécurisé par hostAPd

2008-10-01T23:25:45Z

Lolotux (phorum) : /* Ben euh ? */

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

est ce que quelqu'un peut nous dire comment realiser un hostap avec integrated eap server
qu'est qu'on met dans le fichier de configuration!!!

Ahem, le mieux est quand même de bien formuler la demande... Avec une signature tout ça :)
Sinon, désolé, je ne suis pas au fait de ce genre de solution, je ne me suis intéressé qu'à l'authentification WPA PSK :( --[[Utilisateur:Glandos|Glandos]] 8 oct 2006 à 12:52 (CEST)

== Installation avec Ubuntu ==

Bonsoir,

J'essay actuellement et ce depuis une semaine d'installer hostapd sur mon portable afin de disposer d'un accessPoint pour me connecter dessus avec ma Wii.

Une semaine que les "make" me crachent des erreurs, que des librairies me manquent et que des erreurs m'assomment.

J'ai une carte réseau intel
http://www3.intel.com/network/connectivity/products/wireless/wireless_n/overview.htm

je pense que le chip est un chip intel. --> Est-ce compatible avec ce chip?

Si ce n'est pas le cas, ce n'est pas perdu j'ai un deuxième PC, avec une carte NetGear
http://www.netgear.com/Products/Adapters/GWirelessAdapters/WG311.aspx
Je suppose que le chip est un Atheros... (je n'y connais rien)

Est-ce que quelqun pourrais m'expliquer comment faire??? De plus j'aimerais bien réussir a insaller un logiciel sur ce foutu OS de M*****

J'espère que quelqun passera pas la et trouvera cette note...

Merci d'avance

== Précision ==

Bonjour

Il y a quoi dans :
deny_mac_file=/etc/hostapd/hostapd.deny

== Ben euh ? ==

Bonjour,

Sous Ubuntu aujourd'hui est dispo dans les paquets, donc fini la compilation (bien que formateur) !

Pour notre inconnu :
Sans les message d'erreurs de la compil comment veux-tu qu'on t'aide ?
La carte WG311 à un chipset Marvell : Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (rev 03), donc pas de pilote accèdant aux fonctions "master" de la carte :(

debian:/home/lolo# wlanconfig wlan0 destroy
wlanconfig: ioctl: Operation not supported
debian:/home/lolo# wlanconfig wlan1 create wlandev wlan0 wlanmode ap
wlanconfig: ioctl: Operation not supported

Une carte que j'utilise pour les AP est : http://www.netgear.fr/produits/produit.php?prod=WPN311

Lolotux

Discussion:Point d'accès sécurisé par hostAPd

2008-10-01T23:25:19Z

Lolotux (phorum) : Ben euh ?

Sur cette page, vous pouvez laisser tout ce qui vous passe par la tête, mais en rapport avec la page bien sûr :) --[[Utilisateur:Glandos|Glandos]] 22 mai 2006 à 18:57 (CEST)

est ce que quelqu'un peut nous dire comment realiser un hostap avec integrated eap server
qu'est qu'on met dans le fichier de configuration!!!

Ahem, le mieux est quand même de bien formuler la demande... Avec une signature tout ça :)
Sinon, désolé, je ne suis pas au fait de ce genre de solution, je ne me suis intéressé qu'à l'authentification WPA PSK :( --[[Utilisateur:Glandos|Glandos]] 8 oct 2006 à 12:52 (CEST)

== Installation avec Ubuntu ==

Bonsoir,

J'essay actuellement et ce depuis une semaine d'installer hostapd sur mon portable afin de disposer d'un accessPoint pour me connecter dessus avec ma Wii.

Une semaine que les "make" me crachent des erreurs, que des librairies me manquent et que des erreurs m'assomment.

J'ai une carte réseau intel
http://www3.intel.com/network/connectivity/products/wireless/wireless_n/overview.htm

je pense que le chip est un chip intel. --> Est-ce compatible avec ce chip?

Si ce n'est pas le cas, ce n'est pas perdu j'ai un deuxième PC, avec une carte NetGear
http://www.netgear.com/Products/Adapters/GWirelessAdapters/WG311.aspx
Je suppose que le chip est un Atheros... (je n'y connais rien)

Est-ce que quelqun pourrais m'expliquer comment faire??? De plus j'aimerais bien réussir a insaller un logiciel sur ce foutu OS de M*****

J'espère que quelqun passera pas la et trouvera cette note...

Merci d'avance

== Précision ==

Bonjour

Il y a quoi dans :
deny_mac_file=/etc/hostapd/hostapd.deny

== Ben euh ? ==

Bonjour,

Sous Ubuntu aujourd'hui est dispo dans les paquets, donc fini la compilation (bien que formateur) !

Pour notre inconnu :
Sans les message d'erreurs de la compil comment veux-tu qu'on t'aide ?
La carte WG311 à un chipset Marvell : Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (rev 03), donc pas de pilote accèdant aux fonctions "master" de la carte :(

# wlanconfig wlan0 destroy
wlanconfig: ioctl: Operation not supported
debian:/home/lolo# wlanconfig wlan1 create wlandev wlan0 wlanmode ap
wlanconfig: ioctl: Operation not supported

Une carte que j'utilise pour les AP est : http://www.netgear.fr/produits/produit.php?prod=WPN311

Lolotux

Point d'accès sécurisé par hostAPd

2008-07-21T15:25:02Z

Lolotux (phorum) : /* Pour tout le monde */

= Introduction =
[[Catégorie:Administration réseau]][[Catégorie:Réseau]][[Catégorie:Réseau local]]
Ce n'est pas vraiment un tutoriel, mais plutôt un retour d'expérience. Mais finalement c'est ce que sont tous les tutoriels. Je tiens simplement à vous prévenir qu'avant ce week-end, je n'avais jamais installé de matériels Wi-fi. Je ne suis donc pas un expert, mais j'ai appris un certain nombre de choses qui pourront être utiles.

= Présentation =
== But recherché ==
Tout d'abord, il convient de préciser ce que je voulais faire, en plus de « installer le wifi chez moi ». Pour ne pas verser dans l'étalage de vie privée, voici ce dont je disposais :
* Une freebox basique (sans fonctions routeur ni wifi).
* Un PC (passerelle pour le reste du document) connecté directement à la freebox sous Debian/testing. Elle dispose de deux cartes réseau Ethernet RJ45 (filaire) qui sont identifiées par l'OS en tant que eth_adsl et eth_local. La freebox est reliée sur eth_adsl. Un firewall tourne entre eth_adsl et eth_local à l'aide d'iptables.
* Un switch branché sur eth_local, et sur lequel sont reliés deux clients de manière on ne peut plus classique.
* Une carte Wi-Fi D-Link DWL-G520 PCI avec chipset Atheros (le chipset importe beaucoup plus que la carte, croyez moi !!).
* Un ordinateur portable Asus A7D, avec une carte Ethernet et une carte Wi-fi avec un chipset Broadcom 4318 (là encore, il a fallu le trouver...)

TODO : schéma

Le but est donc pour moi de faire que le portable puisse se brancher en Wi-fi sur le réseau local, exactement comme les autres clients. Je ne voulais pas me taper des règles firewall en plus, alors j'ai opté pour le bridge.

== Prérequis ==
Voici les connaissances ou le matériel que je considère comme requis :
* La passerelle tourne sous Debian.
* La passerelle dispose d'un serveur DHCP fonctionnel pour le réseau local.
* Les commandes tapées sur la passerelle sont à faire en tant que root. Vous devez donc avoir le mot de passe administrateur de cette machine.
* Avoir quelques connaissances requises, au moins sur le vocabulaire d'un réseau local.
* Pour le Wi-fi et son vocabulaire, vous pouvez aller voir [[hardware-hard_net-wifi|par là]]
* Un pot de rillettes et du bon pain. Les musulmans sont bien évidemment invités à choisir une mousse de canard ou des tranches de dinde.

= Le bridge, invention magique =
== Présentation du bridge ==
Le bridge (pont en anglais) permet de faire une chose miraculeuse : réunir de manière transparente plusieurs cartes réseaux, en une seule virtuelle. Il y a quelques inconvénients, notamment sur le fait que le démarrage est un peu plus lent, le temps que le bridge se fasse, et que c'est un peu compliqué pour la tête. Mais je voulais vraiment que le portable se connecte en Wi-fi en changeant le minimum de choses sur la passerelle.

== Installation ==
Pour cela, il est donc nécessaire d'avoir un noyau compilé avec les bonnes options. Pour l'utilisateur normal qui n'a pas recompilé son noyau, ne cherchez pas, c'est bon, ça ira :) Pour les autres, trouvez comment activer le bridging dans le noyau, je ne sais pas comment on fait :p
Ensuite, il faut installer les utilitaires nécessaires :

<code>apt-get install bridge-utils
</code>

Pour les autres systèmes ça doit être dans le même style.
Il faut donc créer ce bridge. Sachez d'abord que tout sera géré par ce futur bridge. Cela veut donc dire que vous ne parlerez plus directement à vos interfaces (ici eth_local et ath0), mais directement à bridge_local (j'aime bien les noms explicites :) ). Cela implique donc que vous n'avez RIEN à configurer sur les cartes réseaux qui vont être incluses dans ce bridge, et même mieux : il faut enlever ce qui est propre à la configuration de ces cartes.
Chez Debian, tout se passe dans /etc/network/interfaces ce qui est plutôt pratique. Voici donc le fichier AVANT l'installation du bridge :

<code># This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

auto eth_local
iface eth_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
</code>

La carte eth_adsl est donc initialisée au démarrage (ligne auto eth_adsl), a une adresse IPv4 (inet) et ses paramètres réseaux lui sont attribués automatiquement (dhcp), en l'occurence par la Freebox.
De même, la carte eth_local est initialisée au démarrage, mais ses paramètres réseaux sont fixés par moi (static), avec les paramètres spécifiés en dessous. Je pense que c'est assez clair.

Après l'installation du bridge, voici ce que j'ai :

<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth_adsl
iface eth_adsl inet dhcp

iface ath0 inet static
wireless-mode master
wireless-channel 9

auto bridge_local
iface bridge_local inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth_local ath0
</code>

La partie eth_adsl n'a pas changé : c'est normal :) Par contre, on voit que bridge_local a les même paramètres que mon ex-carte eth_local. Sauf que en plus, on lui dit que c'est un bridge qui contient les cartes eth_local et ath0. Ainsi, dès que j'envoie des paquets depuis la passerelle sur l'adresse 192.168.0.254, ceux-ci seront transmis automatiquement aux deux cartes, et réciproquement, lorsqu'une carte reçoit un paquet pour 192.168.0.254, elle le transmet au bridge. Moi, je trouve ça magique :)
Il y a également une partie sur ath0 me direz-vous. Oui d'accord, mais elle n'est là que pour régler certains paramètres propres au Wi-fi, rien de plus ! Vous remarquerez qu'il n'y a pas de ligne auto ath0, donc elle n'est pas initialisée au démarrage.

== Activation ==
Ceci étant fait, il y a plusieurs méthodes pour activer ce bridge. Sachez que dans la plupart des cas, ceci va foutre en l'air la connexion ! C'est ce qui m'est arrivé, ça fait un peu tout drôle. Normalement, l'ADSL reste en place, mais ce n'est pas le cas de la connexion sur eth_local.

Soit vous faites :<code>/etc/init.d/networking force-reload
</code>

Soit :<code>/etc/init.d/networking stop && /etc/init.d/networking start
</code>

Soit carrément un bon vieux reboot :<code>reboot
</code>

Je sais pas pourquoi je mets la commande... On sait jamais :p
Enfin, après l'une de ses trois méthodes (voire les trois), en tapant

<code>ifconfig
</code>

Vous devriez voir ça :
<code>ath0 Lien encap:Ethernet HWaddr 00:15:E9:3F:AA:90
adr inet6: fe80::215:e9ff:fe3f:aa90/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:163080 errors:955516 dropped:0 overruns:0 frame:955509
TX packets:315546 errors:613 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:200
RX bytes:13726343 (13.0 MiB) TX bytes:462013643 (440.6 MiB)
Interruption:185 Mémoire:e08e0000-e08f0000

bridge_lo Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
inet adr:192.168.0.254 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:294178 errors:0 dropped:0 overruns:0 frame:0
TX packets:454533 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:458148569 (436.9 MiB) TX bytes:541885943 (516.7 MiB)

eth_adsl Lien encap:Ethernet HWaddr 00:11:D8:09:6D:31
inet adr:xx.xx.xx.xx Bcast:xx.xx.xx.xx Masque:255.255.255.0
adr inet6: fe80::211:d8ff:fe09:6d31/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:279243 errors:0 dropped:0 overruns:0 frame:0
TX packets:264750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:189704796 (180.9 MiB) TX bytes:66643253 (63.5 MiB)
Interruption:177 Adresse de base:0xb000

eth_local Lien encap:Ethernet HWaddr 00:11:95:C5:44:61
adr inet6: fe80::211:95ff:fec5:4461/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403023 errors:0 dropped:0 overruns:0 frame:0
TX packets:142751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:460239899 (438.9 MiB) TX bytes:80409812 (76.6 MiB)
Interruption:169 Adresse de base:0xd800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:38438 errors:0 dropped:0 overruns:0 frame:0
TX packets:38438 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:3297781 (3.1 MiB) TX bytes:3297781 (3.1 MiB)
</code>

On constate donc que eth_local et ath0 n'ont aucune adresse IPv4 (inet adr) et que bridge_local a bien l'adresse 192.168.0.254. Quant à eth_adsl, pour les xx, c'est moi qui les ai mis : j'ai une IP fixe, je tiens à garder ma vie privée :)

Avant de passer à la prochaine étape, je vous conseille de suivre la procédure suivante :
* Découper une tranche de pain.
* La tartiner abondamment de rillettes (ou de mousse de canard :) ).
* La savourer délicatement.
Cela permet, en plus de reposer vos mains meurtries par ces infâmes périphériques de saisie, de soulager les cris blafards de votre estomac. Vous pourrez alors apprécier à leur juste valeur les hormones de bien-être sécrétées par une digestion bien méritée :)

= Créer le point d'accès =
== Présentation de hostAPd ==
Étape suivante : transformer une simple carte Wi-fi en puissant point d'accès (accesss point en anglais soit AP). Pour cela, après avoir parcouru rapidement le web, une solution s'est imposée : hostAPd disponible sur [http://hostap.epitest.fi/hostapd/ cette page]
Attention, il faut différencier les 3 projets du site : hostAP driver, hostAPd et wpa_supplicant. hostAP driver ne m'intéressait pas : c'est l'implémentation libre d'un driver pour carte Wi-fi. Wpa_supplicant est un client WPA, comme on va le voir par la suite. Et hostAPd est le logiciel capable de faire tourner votre carte Wi-fi « de base » en point d'accès genre « Enterprise » :)

== Installation ==
Lors de la première version de ce tutoriel, il fallait recompiler hostAPd soit même pour que ça marche. Aujourd'hui, plus la peine de se fatiguer, du moins pour les cartes avec chipset Atheros. Je laisse cependant le passage sur la compilation, pour les gens dans le besoin

=== Avec les paquets Debian ===
Je ne pense pas surprendre la foule en disant qu'il faut simplement lancer la commande :<code>apt-get install hostapd
</code>
Simple, efficace, propre. Vous pouvez passer au chapitre suivant :)

=== Compilation ===
La première fois, j'ai été confronté à l'instabilité de Debian/testing... En effet, les binaires hostAPd étaient présents mais pas compilés avec les bonnes options pour madwifi, et les sources étaient celles de la version 0.5.0 pleines de bugs corrigés depuis. J'ai perdu un temps monstre sur ça, que je vais vous épargner ici :) Mais du coup le moment est bien choisi pour aborder la compilation « à la mimine ».

Pour cela, il faut d'abord installer quelques outils, dont le fameux gcc. Sous Debian (et là ça marche bien :p ) :

<code>apt-get install build-essential gcc
</code>

Je pense que seul gcc est nécessaire dans notre cas, mais bon on sait jamais, ça pourra servir :). Ensuite, on va avoir besoin des sources de hostAPd (normal). Ce qui m'intéressait étant aussi de faire fonctionner hostAPd avec madwifi, il me fallait également les sources de madwifi. On fait donc un petit

<code>apt-get install madwifi-source
</code>

Et un téléchargement de hostAPd dans le répertoire /usr/src/, classique pour toute compilation standard. Il faut maintenant extraire les fichiers :

<code>tar xvfj madwifi.tar.bz2
tar xvfz hostapd-0.5.2.tar.gz</code>

Vous avez donc remarqué qu'à cette heure, la version en cours de hostAPd est la 0.5.2 ;) Rendez-vous dans le répertoire hostapd-0.5.2/ créé lors de l'extraction. Vous pouvez lire le README, c'est en anglais, mais ça peut faire du bien de temps à autre. L'essentiel à comprendre est qu'il faut créer un fichier .config lui disant quoi mettre lors de la compilation. Heureusement, un listing des options est présent. Faites donc :

<code>cp defconfig .config
</code>
Et éditez ce fichier .config. Voilà à quoi ressemble le mien :

<code># Driver interface for Host AP driver
#CONFIG_DRIVER_HOSTAP=y

# Driver interface for wired authenticator
#CONFIG_DRIVER_WIRED=y

# Driver interface for madwifi driver
CONFIG_DRIVER_MADWIFI=y
CFLAGS += -I../modules/madwifi/ # change to reflect local setup; directory for madwifi src

# Driver interface for Prism54 driver
#CONFIG_DRIVER_PRISM54=y

# Driver interface for drivers using Devicescape IEEE 802.11 stack
#CONFIG_DRIVER_DEVICESCAPE=y

# Driver interface for FreeBSD net80211 layer (e.g., Atheros driver)
#CONFIG_DRIVER_BSD=y
#CFLAGS += -I/usr/local/include
#LIBS += -L/usr/local/lib

# IEEE 802.11F/IAPP
#CONFIG_IAPP=y

# WPA2/IEEE 802.11i RSN pre-authentication
#CONFIG_RSN_PREAUTH=y

# IEEE 802.11i/IEEE 802.11e STAKey negotiation for direct link connection
#CONFIG_STAKEY=y

# Integrated EAP server
CONFIG_EAP=y

# EAP-MD5 for the integrated EAP server
#CONFIG_EAP_MD5=y

# EAP-TLS for the integrated EAP server
CONFIG_EAP_TLS=y
</code>

Tout le reste est commenté, j'en ai rien à faire, je n'ai besoin que du WPA avec un driver madwifi. Pour les plus curieux, j'ai dû laisser CONFIG_EAP et CONFIG_EAP_TLS, parce que sinon ça plantait, ce sera visiblement corrigé dans la version 0.5.3. Remarquez aussi la ligne pour madwifi : CFLAGS contient le chemin vers les sources de madwifi, fraîchement décompressé dans le répertoire /usr/src/modules/madwifi/. Sauvegardez et quittez.
C'est parti pour l'instant geek crucial :

<code>make
</code>

Simple non ? Moi ça me déroute parfois tout ce qu'il peut écrire avec aussi peu de lettres tapées :) Si tout se passe bien, il n'affiche aucune ligne trop inquiétante remplie d'étoiles et de mot ERROR. Sinon, ben euh, posez vos questions après le bip.

Maintenant que c'est compilé, faut l'installer. En gros, la plupart du temps, ça consiste en un simple copier/coller des fichiers compilés. Rassurez-vous la procédure standard est on ne peut plus explicite :

<code>make install
</code>

Et pouf. Comme c'est indiqué, les exécutables sont installés dans /usr/local/bin par défaut. C'est très bien là où c'est :)

== Configuration de hostAPd ==
Prochaine étape : la configuration de hostAPd. C'est pas trop dur, à la base, il y a trois fichiers, placés comme d'habitude dans /etc. À savoir :
* ''/etc/default/hostapd'' - Permet d'activer ou de désactiver le lancement automatique de hostAPd
* ''/etc/hostapd/hostapd.conf'' - Fichier de configuration de hostAPd
* ''/etc/init.d/hostapd'' - Script shell gérant l'exécution et l'arrêt de hostAPd en tant que démon.

=== Après une compilation manuelle ===
Si vous avez compilé vous même hostapd, je vous propose une astuce pour pas trop se casser la tête : installer le paquet Debian de hostAPd, qui, même s'il est défectueux, installe les fichiers par défaut au bon endroit pour vous. Il n'y aura plus qu'à faire quelques retouches. C'est parti :

<code>apt-get install hostapd
</code>
Si jamais vous voulez retirer les exécutables (présent dans /sbin ou /usr/sbin pour le paquet Debian) pour éviter de s'emmêler les pinceaux :

<code>apt-get remove hostapd
</code>
Et normalement les fichier de configuration sont restés là :)

On va d'abord éditer le script afin de lancer le bon programme. Dans votre éditeur de texte chercher la ligne suivante :

<code>DAEMON=/usr/sbin/hostapd
</code>
Chez moi, c'est la douzième. Remplacez la par :

<code>DAEMON=/usr/local/bin/hostapd
</code>

=== Pour tout le monde ===
Maintenant, on va aller configurer hostAPd. Le plus dur est de lire tous les commentaires en fait :) Mais pour aller un peu plus vite, voici les lignes qui servent dans MON cas (simple WPA-PSK) :
<code>#La carte Wifi, forcément indispensable :)
interface=ath0

#Si la carte est bridgée et utilise madwifi, il faut préciser le nom du bridge
bridge=bridge_local

# Le driver nécessité par la carte
driver=madwifi

#Options de log par défaut, elles sont très bien :)
logger_syslog=-1
logger_syslog_level=1
logger_stdout=-1
logger_stdout_level=2

debug=2

dump_file=/tmp/hostapd.dump

#Contrôle du programme, encore une fois, le réglage par défaut est nickel :)
ctrl_interface=/var/run/hostapd

ctrl_interface_group=0

#Le nom de votre réseau. C'est important. Choisissez un nom à peu près reconnaissable et pas trop long.
ssid=MADOUIFI

# Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=1

#Chemin des fichiers pour les listes noire et blanche
# Je vous conseille de les créer tout de suite, on verra plus tard pour les remplir correctement
accept_mac_file=/etc/hostapd/hostapd.accept
deny_mac_file=/etc/hostapd/hostapd.deny

# La description anglaise pour les curieux :)
auth_algs=1

#Celui là, je sais pas trop... Je crois qu'on peut l'enlever, mais bon je suis pas sûr, j'ai pas testé :)
eap_server=0

#Dis qu'on veut faire du WPA-PSK
wpa=1

# Votre clé, le coeur de la sécurité du WPA-PSK :)
wpa_passphrase=SupèRecléDelAmor,Avecdetrucch3l0us;)

# Pour un petit peu plus de sécurité, vous pouvez attribuer une clé WPA par adresse MAC (donc par ordinateur).
#C'est quand même un peu plus embêtant à maintenir...
#wpa_psk_file=/etc/hostapd/wpa_psk

# On définit ce qu'on veut comme WPA
wpa_key_mgmt=WPA-PSK

# Et l'algo de cryptage
wpa_pairwise=TKIP

# Quelques options temporelles. Pas forcément nécessaire pour que ça marche :)
wpa_group_rekey=600

wpa_gmk_rekey=86400
</code>

Et la touche finale. Éditez le fichier /etc/default/hostapd et décommentez la ligne suivante :

<code>RUN_DAEMON=yes
</code>
Et voilà. C'est fini. Enfin, non, ce n'est pas tout à fait exact. La configuration du serveur est finie. Il reste à la tester et à configurer des clients :) En avant toute !

== Première validation du point d'accès ==
Premier test. Normalement, la commande suivante :

<code>/etc/init.d/hostapd start
</code>

devrait donner un résultat positif. Faites ensuite

<code>/etc/init.d/hostapd stop
hostapd -dd /etc/hostapd/hostapd.conf</code>

Cela lance le programme en avant plan en mode débug, idéal pour vérifier que tout marche bien. Ne vous inquiétez pas trop de ce qu'il dit, tant qu'il ne vous redonne pas la main, c'est bon signe :) En général, il dit qu'il se met en attente. Pendant qu'il se lance, n'hésitez pas à attaquer encore le pot de rillettes ou de canard qui commence à se barrer en douce.

= Configurer le client =
La dernière étape, c'est de configurer son client.
== Sous Ubuntu ... ==
La première version de ce tutorial a été fait lors du temps révolu d'Ubuntu 5.10 Breezy Badger. Aujourd'hui, avec Ubuntu 6.10 Edgy Eft, le NetworkManager a résolu mes soucis. Je laisse cependant l'ancienne version au cas où...

=== Depuis Edgy Eft ===
Je vous conseille vivement d'installer l'application NetworkManager, c'est le meilleur choix. Ce n'est pas très mature, mais très prometteur.
Il faut installer le paquet network-manager : soit avec synaptic, soit avec la commande :<code>apt-get install network-manager
</code>

Cette application va s'occuper de configurer pour vous le réseau, de manière transparente. Seulement pour cela, il va falloir nettoyer le fichier ''/etc/network/interfaces'' afin de ne plus faire apparaitre les interfaces réseaux. NetworkManager ignorera toutes les interfaces déjà configurées par le biais de ce fichier. Chez moi, au final, il ne restait plus que l'interface ''lo''

Ensuite, lancez la commande :<code>nm-applet
</code>
Dans votre emplacement système (les icônes en haut à droite), devrait apparaitre une icône sympa. Cliquez dessus, et il y a les réseaux Wifi détectés, ainsi que le réseau filaire si nécessaire. La suite est tellement triviale que je ne vous insulterai pas en la décrivant. Ceci étant dit, je reste disponible pour expliquer aux plus novices d'entre nous !

Cette application doit se lancer à chaque démarrage. Vous pouvez le vérifier dans la liste des applications lancées au démarrage (Menu Système > Préférences > Je sais plus trop quelle appli)

==== Limitations ====
La version actuelle de NetworkManager marche, mais impose les limitations suivantes :
- Une seule interface d'active à la fois
- La nécessité de taper le mot de passe du stockage des clés à chaque démarrage
- Pas de connexions tant que l'utilisateur ne s'est pas identifié de manière graphique
- Pas de préférences globales, pour tous les utilisateurs de la machine

Ceci sera résolu dans la prochaine version de NetworkManager (0.7), qui ne devrait pas être incluse avant la prochaine Ubuntu (7.04 Feisty Fawn). En attendant, c'est quand même fonctionnel et '''largement''' plus simple que la ''méthode geek''

=== Breezy Badger ===
Ceci s'applique à une Ubuntu Breezy Badger fraîchement installée. La carte Wifi doit déjà être détectée.

TODO : lier vers une page d'install ou en faire une :)

Je vais appeler la carte Wi-fi wlan0. La méthode suivante va donner beaucoup plus d'importance à la carte Wi-fi qu'à la carte Ethernet. Je dois avouer que je n'ai pas réussi à faire marcher le gestionnaire de réseau sous Gnome, donc j'y suis allé ''comme un geek''.
<cadre type=alert>Cette solution n'est donc pas optimale si vous utilisez aussi fréquemment la carte filaire que la carte sans-fil. Cependant, ceci risque de devenir obsolète dans la version suivante de Ubuntu qui devrait intégrer Network-Manager, qui fait du beau travail à en croire les captures d'écrans :)</cadre>

==== Configuration des interfaces ====
Tout d'abord, on va un peu épurer le fichier de configuration automatique des interfaces.
<code># This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet dhcp

auto wlan0
iface wlan0 inet dhcp
pre-up /etc/init.d/wpasupplicant start
wireless-mode Managed
wireless-essid "MADOUIFI"
wireless-key "SupèRecléDelAmor,Avecdetrucch3l0us;)"
pre-down /etc/init.d/wpasupplicant stop
</code>
Maintenant que vous êtes un baroudeur de ce fichier vous avez dû remarquer les choses suivantes :
* eth0 n'est plus confiée à hotplug : celui-ci à la facheuse tendance de lui faire prendre le dessus sur wlan0, ça m'énervait :)
* On laisse tout de même eth0 en mode DHCP, mais plus en initialisation automatique (C'est là que je dis que ça favorise plutôt la carte Wi-fi).
* Les lignes pre-up et pre-down vont démarrer quelque chose encore inconnu et sûrement non installé. Mais gardez patience, sinon on ne va pas y arriver :)
* Les lignes wireless- servent à configurer la carte Wi-fi. Je ne crois pas que ce soit utile, car wpasupplicant devrais s'en charger, mais bon. C'est là l'une des marques de mes lacunes ;)

==== Installation et utilisation de wpasupplicant ====
Si vous vous en souvenez, wpasupplicant est un des projets développés en même temps que hostAPd. Ça tombe plutôt bien :). Wpasupplicant est un client WPA permettant de faire marcher quasiment n'importe quelle carte Wi-fi sur un réseau protégé en WPA.

On commence donc par télécharger le paquet Ubuntu :

<code>sudo apt-get install wpasupplicant
</code>

Ensuite, on va éditez son fichier de configuration pour qu'il convienne à notre réseau. Ce fichier s'appelle /etc/wpa_supplicant.conf :

<code># Faites zless /usr/share/doc/wpasupplicant/wpa_supplicant.conf.gz pour voir toutes les otptions disponibles

# Ne rien changer ici
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0

eapol_version=1
ap_scan=1
fast_reauth=1

# Déclaration et paramétrage d'un réseau
network={
# Le même SSID du point d'accès
ssid="MADOUIFI"
key_mgmt=WPA-PSK
psk="SupèRecléDelAmor,Avecdetrucch3l0us;)"
}
</code>

Et on redémarre le réseau à l'aide de la commande :

<code>sudo /etc/init.d/networking restart
</code>

Ensuite, il suffit d'attendre un certain moment, le temps que l'authentification se fasse et que le serveur DHCP réagisse. Normalement, en tapant /sbin/ifconfig vous devriez obtenir ceci :
<code>lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:142349 errors:0 dropped:0 overruns:0 frame:0
TX packets:142349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:10530324 (10.0 MiB) TX bytes:10530324 (10.0 MiB)

wlan0 Lien encap:Ethernet HWaddr 00:15:F2:CC:F4:39
inet adr:192.168.0.3 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::215:f2ff:fecc:f439/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:90878 errors:0 dropped:0 overruns:0 frame:0
TX packets:60354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:98143829 (93.5 MiB) TX bytes:5812510 (5.5 MiB)
Mémoire:fe3fc000-fe3fdfff
</code>
La carte wlan0 avec l'état ''UP'' et une adresse IP (''inet adr'').

==== Pistes en cas de problèmes ====
* Lancer hostAPd à la main en mode debug avec la commande
<code>/usr/local/bin/hostapd -dd /etc/hostapd/hostapd.conf
</code>Puis relancez le client. Le journal qui s'affiche peut aider grandement le diagnostic.
* Vérifier que votre serveur DHCP est bien actif. Sur le client, tapez :
<code>sudo dhclient
</code>Si ça ne se finit pas par l'attribution d'une adresse IP, il y a un problème.

== ... comme sous Windows ==
Il est également possible d'utiliser wpasupplicant sous Windows. Seulement, quitte à utiliser ce système d'exploitation, autant le faire à fond.
La plupart du temps, un utilitaire de connexion Wi-fi est fourni avec votre matériel. Je ne peux malheureusement pas vous aider là-dessus de façon globale :(

Sinon, je vous rassure, avec Windows XP SP2, l'utilitaire de connexion sans fil Windows marche très bien. Cliquez sur la petite icône de votre carte réseau en bas à droite à côté de l'heure (souvent, c'est un petit écran depuis lequel partent des ondes stylisées). Il devrait vous afficher la liste des réseaux sans-fils. Choisissez le votre, cliquez sur "Connecter" et rentrez la clé. Bienvenue chez vous :)

= Conclusion =

Le wifi sous Linux c'est possible et ça marche bien. Je n'ai jamais utilisé de solutions propriétaires, donc je ne peux pas comparer, mais j'ai pu monter mon réseau sécurisé à moindre coût (mais avec un peu de temps :p).

<cadre type=alert>Je tiens à prévenir le public sensible qu'aucun pot de rillettes n'a été maltraité pendant la réalisation de ce tutorial, pour mon plus grand malheur
</cadre>

{{Copy|Avril 2006|Glandos|FDL}}

Discussion:Point d'accès sécurisé par hostAPd

2008-07-21T15:18:52Z

Lolotux (phorum) : Précision

Discussion:Contact

2008-07-21T07:19:27Z

Lolotux (phorum) :

Visiblement le serveur IRC n'est plus à : irc.lea-linux.org ?

Modèle:Fiches:plan-securite

2006-08-03T00:23:00Z

Lolotux (phorum) : /* à rédiger */

=== Sécurité ===
*[[Fiches:securite-ficheroot|Pourquoi ne faut-il pas utiliser l'utilisateur root par défaut ?]]

* [[Fiches:Tenir compte de la sécurité au quotidien|Tenir compte de la sécurité au quotidien]]

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T01:01:51Z

Lolotux (phorum) :

==Serveur Etherboot sur une Mandrake 10.1==

==I) Prérequis :==

Résumer :
Installer de la MDK 10.1 :
kernel2.6.8.1.12mdk
kernelsource2.62.6.8.112mdk < Pour les im nbi
kernel2.6.11.6mdk (De la MDK 10.2) que j'utilise
kernelsource2.6.116mdk (De la MDK 10.2) que j'utilise
dhcpclient
dhcpcommon
dhcpserver
clusternfs
terminalserver
etherboot
tftpserver
mkinitrdnet < devra être mis à jour car la busybox est compilé (e) avec de mauvaises options pour udhcpc.

La mise à jour de mkinitrdnet peut être faite avec le paquetage de la MDV 2006.0, ce qui fait passer la version de 1.1019mdk à 1.1024mdk.
La version udhcpc de mkinitrdnet1.1024mdk provoque un "warning, m" mais pas un "error, m" du mkinitrd net1.1019mdk ce qui laisse alors votre terminal
monter ses racines sur nfs...

==II) Configurations :==

La Config du serveur : /etc/dhcpd.conf :
<code>
#dhcpd.conf generated by drakTermServ
ddnsupdatestyle none;
defaultleasetime 172800;
maxleasetime 172800;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
option subnetmask 255.255.255.0;
option broadcastaddress 192.168.1.255;
option domainname "systemlinux.net";
range dynamicbootp 192.168.1.100 192.168.1.130;
option domainnameservers 192.168.1.1;
}
# Include client machine configurations
include "/etc/dhcpd.conf.etherboot.clients";
# Include Etherboot definitions and defaults
include "/etc/dhcpd.conf.etherboot.include";
# Include Etherboot default kernel version
include "/etc/dhcpd.conf.etherboot.kernel";
<code>
<nowiki>Entrez le texte non formatté ici</nowiki></code>

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:59:24Z

Lolotux (phorum) :

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:57:29Z

Lolotux (phorum) :

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:56:41Z

Lolotux (phorum) :

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:49:37Z

Lolotux (phorum) :

== Serveur Etherboot sur une Mandrake 10.1 ==

I) Prérequis :
Résumer : Installer de la MDK 10.1 : kernel2.6.8.1.12mdk kernelsource2.62.6.8.112mdk < Pour les im nbi kernel2.6.11.6mdk (De la MDK 10.2) que j'utilise kernelsource2.62.6.116mdk (De la MDK 10.2) que j'utilise dhcpclient dhcpcommon dhcpserver clusternfs terminalserver etherboot tftpserver mkinitrdnet < devra être mis à jour car la busybox est compilé (e) avec de mauvaises options pour udhcpc. La mise à jour de mkinitrdnet peut être faite avec le paquetage de la MDV 2006.0, ce qui fait passer la version de 1.1019mdk à 1.1024mdk. La version udhcpc de mkinitrdnet1.1024mdk provoque un "warning, m" mais pas un "error, m" du mkinitrd net1.1019mdk ce qui laisse alors votre terminal monter ses racines sur nfs...

) onfigurations : II C
La Config du serveur : /etc/dhcpd.conf :
#dhcpd.conf generated by drakTermServ ddnsupdatestyle none; defaultleasetime 172800; maxleasetime 172800; subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.1; option subnetmask 255.255.255.0; option broadcastaddress 192.168.1.255; option domainname "systemlinux.net"; range dynamicbootp 192.168.1.100 192.168.1.130; option domainnameservers 192.168.1.1; } # Include client machine configurations include "/etc/dhcpd.conf.etherboot.clients"; # Include Etherboot definitions and defaults include "/etc/dhcpd.conf.etherboot.include"; # Include Etherboot default kernel version include "/etc/dhcpd.conf.etherboot.kernel";

dhcpd.conf.etherboot.* Sont générés par terminalserver (drakTermServ)...

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Le dhcpd.conf.etherboot.clients est trés important c'est ce fichier qui dira quelle adresse MAC aura quelle IP et sur quelle noyaux réseau elle bootera !
<code>
# dhcpd.conf.etherboot.client généré par DrakTermServ
host satellite { hardware ethernet 00:14:2a:3e:ee:cb;
fixedaddress 192.168.1.254;
#type thin;
if substring (option vendorclassidentifier, 0, 9) = "PXEClient"
filename "viarhine.zimg.pxe"; }
else if substring (option vendorclassidentifier, 0, 9) = "Etherboot" {
filename "bootviarhine.2.6.116mdk.nbi"; }
#hdw_config true;
}
</code>

Pour que cela soit téléchargé sur le terminal c'est TFTP1 qui intervient avec xinetd.... Dans /etc/xinetd.d/tftp

# Service TFTP service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = s /var/lib/tftpboot per_source = 11 cps = 100 2 flags = IPv4 }

Aprés ceci le PC boot... jusqu'a ce qu'il plante au montage NFS ! C'est içi que clusternfs intervient ! Il à la paricularité de lire dans /etc/exports les caractères $$... Pourquoi ? Pour que les clients aient une config particulière à chacun.... Mon /etc/exports :
/ /home /etc/sysconfig/mouse$$IP=192.168.1.254$$ /etc/modules.conf$$IP=192.168.1.254$$ /etc/modules$$IP=192.168.1.254$$ /etc/modprobe.conf$$IP=192.168.1.254$$ /etc/modprobe.preload$$IP=192.168.1.254$$ /etc/X11/XF86Config$$IP=192.168.1.254$$ /etc/X11/XF86Config4$$IP=192.168.1.254$$ /etc/X11/xorg.conf$$IP=192.168.1.254$$ /etc/sysconfig/i18n$$IP=192.168.1.254$$ /mnt/cdrom$$CLIENT$$ 192.168.1.0/255.255.255.0(ro,no_root_squash) 192.168.1.0/255.255.255.0(rw,root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash)

1 A ne pas confondre avec un serveur FTP !!!
Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Il faut aussi faire des copies de : /etc/passwd /etc/shadows /etc/group en /etc/passwd$$IP=192.168.1.254$$ /etc/shadows$$IP=192.168.1.254$$ /etc/group$$IP=192.168.1.254$$ En réalité draTermServ crée des fichier /etc/quelquechose$$CLIENT$$. Lorsque qu'avec drakTermServ vous crée un client lègé avec une IP=192.168.1.XX Tous les fichiers /etc/quelquechose$$CLIENT$$ sont reproduits en /etc/quelquechose$$IP=192.168.1.XX$$ ATTENTION : en console cp /etc/quelquechose$$CLIENT$$ /etc/quelquechose$$IP=*******$$ ne fonctionne pas car il faut mettre cp /etc/quelquechose\$\$CLIENT\$\$ / etc/quelquechose\$\$IP\=*******\$\$ On arrive au login console et/ou KDM, GDM.... Mais là cela plante !!!! (peutêtre) Chez moi oui cela plantait ! Sur le serveur etherboot j'ai une carte vidéo GeForce II et pas sur le portable... Donc plantage ! Soluce : Un live CD. Réccupération sur clef USB (ex) de /etc/X11/XF86Config4 et /etc/X11/XF86Config. Un : cp /mnt/removable/XF86Config4 /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ cp /mnt/removable/XF86Config /etc/X11/XF86Config\$\$IP\=192.168.1.254\$\$ ln s /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ /etc/X11/xorg.conf\$\$IP\=192.168.1.254\$\$ J'ai modifié mon /etc/initab\$\$IP\=192.168.1.254\$\$ pour être en init 3.
# /etc/inittab$$IP=192.168.1.254$$ # created by drakTermServ id:3:initdefault: # System initialization. si::sysinit:/etc/rc.d/rc.sysinit l0:0:wait:/etc/rc.d/rc l1:1:wait:/etc/rc.d/rc l2:2:wait:/etc/rc.d/rc l3:3:wait:/etc/rc.d/rc l4:4:wait:/etc/rc.d/rc l5:5:wait:/etc/rc.d/rc l6:6:wait:/etc/rc.d/rc 0 1 2 3 4 5 6

# Things to run in every runlevel. ud::once:/sbin/update # Trap CTRL-ALT-DELETE ca::ctrlaltdel:/sbin/reboot -f # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 # Connect to X server #x:5:respawn:/usr/X11R6/bin/X -ac -query 192.168.1.1

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

login:zterminal01 (on peut ainsi voir si le z est à Z ou X, et les chiffres déjà activés) password:****** login(pam_unix)[2116]: session opened for user zterminal01 by LOGIN(uid=0) zterminal01[2116]: LOGIN ON tty1 BY zterminal01 Içi dans les ~/.bash_login j'ai mis une commande qui lance Xtart (modifié : Xtartterm)
# .bash_login /usr/bin/Xtartzterm

Cela donne donc le choix à l'utilisateur de lancer KDE.... Ensuite si une application métier est sur l'intranet dans ~/.kde/Autostart/ J'ai crée une application qui lance un navigateur (firefox) sur la page « application metier ». Firefox ayant l'extension KIOSK, l'utilisateur ne peut accèder à autre chose que l'application metier.
[Desktop Entry] Comment= Comment[fr]= Encoding=UTF8 Exec=/logicaldisk/data/SOURCES/firefox/firefox http://www.systemlinux.net/egroupware GenericName= GenericName[fr]= Icon=exec MimeType= Name= Name[fr]= Path= StartupNotify=true Terminal=false TerminalOptions= Type=Application XDCOPServiceType= XKDESubstituteUID=false XKDEUsername=

Nous sommes logué !!!! III)Conclusion : C'est la configuration la plus satisfaisante que j'ai eu à réaliser. Car elle englobe la connaissance du noyaux, des réseaux (dhcpd, ethernet...), de X et de ses multiples (innombrables?) possibilités, NFS.... Bref à réaliser ne seraitce que pour le fun !

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:47:20Z

Lolotux (phorum) :

== Serveur Etherboot sur une Mandrake 10.1 ==

I) Prérequis :
Résumer : Installer de la MDK 10.1 : kernel2.6.8.1.12mdk kernelsource2.62.6.8.112mdk < Pour les im nbi kernel2.6.11.6mdk (De la MDK 10.2) que j'utilise kernelsource2.62.6.116mdk (De la MDK 10.2) que j'utilise dhcpclient dhcpcommon dhcpserver clusternfs terminalserver etherboot tftpserver mkinitrdnet < devra être mis à jour car la busybox est compilé (e) avec de mauvaises options pour udhcpc. La mise à jour de mkinitrdnet peut être faite avec le paquetage de la MDV 2006.0, ce qui fait passer la version de 1.1019mdk à 1.1024mdk. La version udhcpc de mkinitrdnet1.1024mdk provoque un "warning, m" mais pas un "error, m" du mkinitrd net1.1019mdk ce qui laisse alors votre terminal monter ses racines sur nfs...

) onfigurations : II C
La Config du serveur : /etc/dhcpd.conf :
#dhcpd.conf generated by drakTermServ ddnsupdatestyle none; defaultleasetime 172800; maxleasetime 172800; subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.1; option subnetmask 255.255.255.0; option broadcastaddress 192.168.1.255; option domainname "systemlinux.net"; range dynamicbootp 192.168.1.100 192.168.1.130; option domainnameservers 192.168.1.1; } # Include client machine configurations include "/etc/dhcpd.conf.etherboot.clients"; # Include Etherboot definitions and defaults include "/etc/dhcpd.conf.etherboot.include"; # Include Etherboot default kernel version include "/etc/dhcpd.conf.etherboot.kernel";

dhcpd.conf.etherboot.* Sont générés par terminalserver (drakTermServ)...

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Le dhcpd.conf.etherboot.clients est trés important c'est ce fichier qui dira quelle adresse MAC aura quelle IP et sur quelle noyaux réseau elle bootera !
<code>
# dhcpd.conf.etherboot.client généré par DrakTermServd
host satellite { hardware ethernet 00:14:2a:3e:ee:cb; fixedaddress 192.168.1.254; #type thin; if substring (option vendorclassidentifier, 0, 9) = "PXEClient" { filename "viarhine.zimg.pxe"; } else if substring (option vendorclassidentifier, 0, 9) = "Etherboot" { filename "bootviarhine.2.6.116mdk.nbi"; } #hdw_config true; }
</code>

Pour que cela soit téléchargé sur le terminal c'est TFTP1 qui intervient avec xinetd.... Dans /etc/xinetd.d/tftp

# Service TFTP service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = s /var/lib/tftpboot per_source = 11 cps = 100 2 flags = IPv4 }

Aprés ceci le PC boot... jusqu'a ce qu'il plante au montage NFS ! C'est içi que clusternfs intervient ! Il à la paricularité de lire dans /etc/exports les caractères $$... Pourquoi ? Pour que les clients aient une config particulière à chacun.... Mon /etc/exports :
/ /home /etc/sysconfig/mouse$$IP=192.168.1.254$$ /etc/modules.conf$$IP=192.168.1.254$$ /etc/modules$$IP=192.168.1.254$$ /etc/modprobe.conf$$IP=192.168.1.254$$ /etc/modprobe.preload$$IP=192.168.1.254$$ /etc/X11/XF86Config$$IP=192.168.1.254$$ /etc/X11/XF86Config4$$IP=192.168.1.254$$ /etc/X11/xorg.conf$$IP=192.168.1.254$$ /etc/sysconfig/i18n$$IP=192.168.1.254$$ /mnt/cdrom$$CLIENT$$ 192.168.1.0/255.255.255.0(ro,no_root_squash) 192.168.1.0/255.255.255.0(rw,root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash)

1 A ne pas confondre avec un serveur FTP !!!
Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Il faut aussi faire des copies de : /etc/passwd /etc/shadows /etc/group en /etc/passwd$$IP=192.168.1.254$$ /etc/shadows$$IP=192.168.1.254$$ /etc/group$$IP=192.168.1.254$$ En réalité draTermServ crée des fichier /etc/quelquechose$$CLIENT$$. Lorsque qu'avec drakTermServ vous crée un client lègé avec une IP=192.168.1.XX Tous les fichiers /etc/quelquechose$$CLIENT$$ sont reproduits en /etc/quelquechose$$IP=192.168.1.XX$$ ATTENTION : en console cp /etc/quelquechose$$CLIENT$$ /etc/quelquechose$$IP=*******$$ ne fonctionne pas car il faut mettre cp /etc/quelquechose\$\$CLIENT\$\$ / etc/quelquechose\$\$IP\=*******\$\$ On arrive au login console et/ou KDM, GDM.... Mais là cela plante !!!! (peutêtre) Chez moi oui cela plantait ! Sur le serveur etherboot j'ai une carte vidéo GeForce II et pas sur le portable... Donc plantage ! Soluce : Un live CD. Réccupération sur clef USB (ex) de /etc/X11/XF86Config4 et /etc/X11/XF86Config. Un : cp /mnt/removable/XF86Config4 /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ cp /mnt/removable/XF86Config /etc/X11/XF86Config\$\$IP\=192.168.1.254\$\$ ln s /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ /etc/X11/xorg.conf\$\$IP\=192.168.1.254\$\$ J'ai modifié mon /etc/initab\$\$IP\=192.168.1.254\$\$ pour être en init 3.
# /etc/inittab$$IP=192.168.1.254$$ # created by drakTermServ id:3:initdefault: # System initialization. si::sysinit:/etc/rc.d/rc.sysinit l0:0:wait:/etc/rc.d/rc l1:1:wait:/etc/rc.d/rc l2:2:wait:/etc/rc.d/rc l3:3:wait:/etc/rc.d/rc l4:4:wait:/etc/rc.d/rc l5:5:wait:/etc/rc.d/rc l6:6:wait:/etc/rc.d/rc 0 1 2 3 4 5 6

# Things to run in every runlevel. ud::once:/sbin/update # Trap CTRL-ALT-DELETE ca::ctrlaltdel:/sbin/reboot -f # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 # Connect to X server #x:5:respawn:/usr/X11R6/bin/X -ac -query 192.168.1.1

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

login:zterminal01 (on peut ainsi voir si le z est à Z ou X, et les chiffres déjà activés) password:****** login(pam_unix)[2116]: session opened for user zterminal01 by LOGIN(uid=0) zterminal01[2116]: LOGIN ON tty1 BY zterminal01 Içi dans les ~/.bash_login j'ai mis une commande qui lance Xtart (modifié : Xtartterm)
# .bash_login /usr/bin/Xtartzterm

Cela donne donc le choix à l'utilisateur de lancer KDE.... Ensuite si une application métier est sur l'intranet dans ~/.kde/Autostart/ J'ai crée une application qui lance un navigateur (firefox) sur la page « application metier ». Firefox ayant l'extension KIOSK, l'utilisateur ne peut accèder à autre chose que l'application metier.
[Desktop Entry] Comment= Comment[fr]= Encoding=UTF8 Exec=/logicaldisk/data/SOURCES/firefox/firefox http://www.systemlinux.net/egroupware GenericName= GenericName[fr]= Icon=exec MimeType= Name= Name[fr]= Path= StartupNotify=true Terminal=false TerminalOptions= Type=Application XDCOPServiceType= XKDESubstituteUID=false XKDEUsername=

Nous sommes logué !!!! III)Conclusion : C'est la configuration la plus satisfaisante que j'ai eu à réaliser. Car elle englobe la connaissance du noyaux, des réseaux (dhcpd, ethernet...), de X et de ses multiples (innombrables?) possibilités, NFS.... Bref à réaliser ne seraitce que pour le fun !

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Fiches:Terminal-etherboot-MDK-10.1

2006-08-01T00:43:48Z

Lolotux (phorum) :

== Serveur Etherboot sur une Mandrake 10.1 ==

I) Prérequis :
Résumer : Installer de la MDK 10.1 : kernel2.6.8.1.12mdk kernelsource2.62.6.8.112mdk < Pour les im nbi kernel2.6.11.6mdk (De la MDK 10.2) que j'utilise kernelsource2.62.6.116mdk (De la MDK 10.2) que j'utilise dhcpclient dhcpcommon dhcpserver clusternfs terminalserver etherboot tftpserver mkinitrdnet < devra être mis à jour car la busybox est compilé (e) avec de mauvaises options pour udhcpc. La mise à jour de mkinitrdnet peut être faite avec le paquetage de la MDV 2006.0, ce qui fait passer la version de 1.1019mdk à 1.1024mdk. La version udhcpc de mkinitrdnet1.1024mdk provoque un "warning, m" mais pas un "error, m" du mkinitrd net1.1019mdk ce qui laisse alors votre terminal monter ses racines sur nfs...

) onfigurations : II C
La Config du serveur : /etc/dhcpd.conf :
#dhcpd.conf generated by drakTermServ ddnsupdatestyle none; defaultleasetime 172800; maxleasetime 172800; subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.1; option subnetmask 255.255.255.0; option broadcastaddress 192.168.1.255; option domainname "systemlinux.net"; range dynamicbootp 192.168.1.100 192.168.1.130; option domainnameservers 192.168.1.1; } # Include client machine configurations include "/etc/dhcpd.conf.etherboot.clients"; # Include Etherboot definitions and defaults include "/etc/dhcpd.conf.etherboot.include"; # Include Etherboot default kernel version include "/etc/dhcpd.conf.etherboot.kernel";

dhcpd.conf.etherboot.* Sont générés par terminalserver (drakTermServ)...

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Le dhcpd.conf.etherboot.clients est trés important c'est ce fichier qui dira quelle adresse MAC aura quelle IP et sur quelle noyaux réseau elle bootera !
# dhcpd.conf.etherboot.client généré par rakTermServ d host satellite { hardware ethernet 00:14:2a:3e:ee:cb; fixedaddress 192.168.1.254; #type thin; if substring (option vendorclassidentifier, 0, 9) = "PXEClient" { filename "viarhine.zimg.pxe"; } else if substring (option vendorclassidentifier, 0, 9) = "Etherboot" { filename "bootviarhine.2.6.116mdk.nbi"; } #hdw_config true; }

Pour que cela soit téléchargé sur le terminal c'est TFTP1 qui intervient avec xinetd.... Dans /etc/xinetd.d/tftp

# Service TFTP service tftp { disable = no socket_type = dgram protocol = udp wait = yes user = root server = /usr/sbin/in.tftpd server_args = s /var/lib/tftpboot per_source = 11 cps = 100 2 flags = IPv4 }

Aprés ceci le PC boot... jusqu'a ce qu'il plante au montage NFS ! C'est içi que clusternfs intervient ! Il à la paricularité de lire dans /etc/exports les caractères $$... Pourquoi ? Pour que les clients aient une config particulière à chacun.... Mon /etc/exports :
/ /home /etc/sysconfig/mouse$$IP=192.168.1.254$$ /etc/modules.conf$$IP=192.168.1.254$$ /etc/modules$$IP=192.168.1.254$$ /etc/modprobe.conf$$IP=192.168.1.254$$ /etc/modprobe.preload$$IP=192.168.1.254$$ /etc/X11/XF86Config$$IP=192.168.1.254$$ /etc/X11/XF86Config4$$IP=192.168.1.254$$ /etc/X11/xorg.conf$$IP=192.168.1.254$$ /etc/sysconfig/i18n$$IP=192.168.1.254$$ /mnt/cdrom$$CLIENT$$ 192.168.1.0/255.255.255.0(ro,no_root_squash) 192.168.1.0/255.255.255.0(rw,root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash) 192.168.1.254(rw,no_root_squash)

1 A ne pas confondre avec un serveur FTP !!!
Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Il faut aussi faire des copies de : /etc/passwd /etc/shadows /etc/group en /etc/passwd$$IP=192.168.1.254$$ /etc/shadows$$IP=192.168.1.254$$ /etc/group$$IP=192.168.1.254$$ En réalité draTermServ crée des fichier /etc/quelquechose$$CLIENT$$. Lorsque qu'avec drakTermServ vous crée un client lègé avec une IP=192.168.1.XX Tous les fichiers /etc/quelquechose$$CLIENT$$ sont reproduits en /etc/quelquechose$$IP=192.168.1.XX$$ ATTENTION : en console cp /etc/quelquechose$$CLIENT$$ /etc/quelquechose$$IP=*******$$ ne fonctionne pas car il faut mettre cp /etc/quelquechose\$\$CLIENT\$\$ / etc/quelquechose\$\$IP\=*******\$\$ On arrive au login console et/ou KDM, GDM.... Mais là cela plante !!!! (peutêtre) Chez moi oui cela plantait ! Sur le serveur etherboot j'ai une carte vidéo GeForce II et pas sur le portable... Donc plantage ! Soluce : Un live CD. Réccupération sur clef USB (ex) de /etc/X11/XF86Config4 et /etc/X11/XF86Config. Un : cp /mnt/removable/XF86Config4 /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ cp /mnt/removable/XF86Config /etc/X11/XF86Config\$\$IP\=192.168.1.254\$\$ ln s /etc/X11/XF86Config4\$\$IP\=192.168.1.254\$\$ /etc/X11/xorg.conf\$\$IP\=192.168.1.254\$\$ J'ai modifié mon /etc/initab\$\$IP\=192.168.1.254\$\$ pour être en init 3.
# /etc/inittab$$IP=192.168.1.254$$ # created by drakTermServ id:3:initdefault: # System initialization. si::sysinit:/etc/rc.d/rc.sysinit l0:0:wait:/etc/rc.d/rc l1:1:wait:/etc/rc.d/rc l2:2:wait:/etc/rc.d/rc l3:3:wait:/etc/rc.d/rc l4:4:wait:/etc/rc.d/rc l5:5:wait:/etc/rc.d/rc l6:6:wait:/etc/rc.d/rc 0 1 2 3 4 5 6

# Things to run in every runlevel. ud::once:/sbin/update # Trap CTRL-ALT-DELETE ca::ctrlaltdel:/sbin/reboot -f # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 # Connect to X server #x:5:respawn:/usr/X11R6/bin/X -ac -query 192.168.1.1

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

login:zterminal01 (on peut ainsi voir si le z est à Z ou X, et les chiffres déjà activés) password:****** login(pam_unix)[2116]: session opened for user zterminal01 by LOGIN(uid=0) zterminal01[2116]: LOGIN ON tty1 BY zterminal01 Içi dans les ~/.bash_login j'ai mis une commande qui lance Xtart (modifié : Xtartterm)
# .bash_login /usr/bin/Xtartzterm

Cela donne donc le choix à l'utilisateur de lancer KDE.... Ensuite si une application métier est sur l'intranet dans ~/.kde/Autostart/ J'ai crée une application qui lance un navigateur (firefox) sur la page « application metier ». Firefox ayant l'extension KIOSK, l'utilisateur ne peut accèder à autre chose que l'application metier.
[Desktop Entry] Comment= Comment[fr]= Encoding=UTF8 Exec=/logicaldisk/data/SOURCES/firefox/firefox http://www.systemlinux.net/egroupware GenericName= GenericName[fr]= Icon=exec MimeType= Name= Name[fr]= Path= StartupNotify=true Terminal=false TerminalOptions= Type=Application XDCOPServiceType= XKDESubstituteUID=false XKDEUsername=

Nous sommes logué !!!! III)Conclusion : C'est la configuration la plus satisfaisante que j'ai eu à réaliser. Car elle englobe la connaissance du noyaux, des réseaux (dhcpd, ethernet...), de X et de ses multiples (innombrables?) possibilités, NFS.... Bref à réaliser ne seraitce que pour le fun !

Postes en réseau sans disque dur, sans disquette... Avec cartes mêres, processeurs, de la RAM et cartes réseaux.

Bac à sable

2006-07-17T02:18:19Z

Lolotux (phorum) : /* tutu */

= Information =
Cette page est le bac à sable de Léa : utilisez le pour faire vos expérimentations. N'hésitez pas à y faire n'importe quoi.
Par exemple on peut y écrire n'importe quoi.<br />
J'ai dit ''n''''importe''''' <span style="text-decoration:underline;">quoi</span>, et même le contraire du reste ou autre chose.

Exemple d'uploade de fichier txt : [[Media:essai.txt|essai.txt]]

(essai de n'importe quoi :-D )

{{En construction}}

== essai de la balise sitemap : ==

g envi de fer XXXX...

qui suis-je ? Je ne sais pas qui tu es!

<!sitemap>ns=Annuaire|title!=Old%</sitemap!>

= essai d'ajout =
test
'''Texte gras'''hgfghfgf'''Texte gras'''

''Texte italique''ghdgh''Texte italique''

== liens interwiki ==

voir [http://meta.wikimedia.org/wiki/Aide:Lien_interwiki sur meta.wikimedia.org]

préfixe '''meta:''' [[meta:Aide:Lien_interwiki]]

préfixe '''w:''' [[w:Aide:Lien_interwiki]]

préfixe '''ew:''' [[ew:Aide:Lien_interwiki]]

prefixe '''dict:''' [[dict:Linux]]

== listes ==

=== ''itemize'' ===
* liste 1
* liste 2
** liste 2.1
***liste 2.1.1
**** liste 2.1.1.1
c'est bien beau tout çà mais ça sert à quoi?

=== ''enumerate'' ===

# element 1
# element 2
## element 2.1
###element 2.1.1
## element 2.2

== Texte de sous-titre ==
=== Texte de sous-titre ===
==== Texte de sous-titre ====
===== Texte de sous-titre =====
====== Texte de sous-titre ======

== Caractères ==

æ Æ œ Œ ® © Ω § ÷ « € @ ß »
É È Ê Ë À Â Î Ï Ô Ö Ù Û Ü Ç

== tutu ==

titi
toto

-- ksks --

== tata ==

ffjfjjfjf

Bac à sable

2006-07-17T02:17:45Z

Lolotux (phorum) : tutu

Tenir compte de la sécurité au quotidien

2006-07-17T02:14:35Z

Lolotux (phorum) : /* Localiser le problème et nettoyer */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe et bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomb et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur) qui ne doit souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support extérieur (CD, clef USB...) peut être nécessaire.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour avoir contribué grandement à l'article (''sécurité réseau'' et ''sécurité logicielle'', ainsi qu'une certaine restructuration de l'article)<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-17T02:14:04Z

Lolotux (phorum) : /* Voir aussi */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe et bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomb et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour avoir contribué grandement à l'article (''sécurité réseau'' et ''sécurité logicielle'', ainsi qu'une certaine restructuration de l'article)<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-17T02:13:16Z

Lolotux (phorum) : /* Voir aussi */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe et bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomb et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur) qui ne doit souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support extérieur (CD, clef USB...) peut être nécessaire.

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour avoir contribué grandement à l'article (''sécurité réseau'' et ''sécurité logicielle'', ainsi qu'une certaine restructuration de l'article)<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-17T02:12:31Z

Lolotux (phorum) : /* Localiser le problème et nettoyer */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe et bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomb et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour avoir contribué grandement à l'article (''sécurité réseau'' et ''sécurité logicielle'', ainsi qu'une certaine restructuration de l'article)<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T08:13:44Z

Lolotux (phorum) : /* Localiser le problème et nettoyer */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

Remarque : Ajout de Lolotux
Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle (dans le cadre personnel) vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur...) qui ne peut souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support exterieur (CD, Clef USB...) peut-être nécessaire !

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T08:12:26Z

Lolotux (phorum) : /* Localiser le problème et nettoyer */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

Remarque : Ajout de § Lolotux §
Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle (dans le cadre personnel) vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur...) qui ne peut souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support exterieur (CD, Clef USB...) peut-être nécessaire !

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T08:08:48Z

Lolotux (phorum) : /* Localiser le problème et nettoyer */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

'Remarque : Ajout de § Lolotux §
Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle (dans le cadre personnel) vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur...) qui ne peut souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support exterieur (CD, Clef USB...) peut-être nécessaire !'

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T08:07:44Z

Lolotux (phorum) : /* chkrootkit */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T08:06:28Z

Lolotux (phorum) :

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

''Remarque : Ajout de § Lolotux §
Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromises.
Un LiveCD peut dans le cadre d'une machine personnelle (dans le cadre personnel) vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur...) qui ne peut souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support exterieur (CD, Clef USB...) peut-être nécessaire !''

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}

Tenir compte de la sécurité au quotidien

2006-07-13T07:57:43Z

Lolotux (phorum) :

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint.

Cette fiche est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur, connecté à un réseau ou non, ainsi que pour se parer contre la plupart des attaques et enfin pour savoir comment nettoyer l'ordinateur après une attaque que l'on vient de subir.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

== Avant tout, connaître son système ==
D'abord et avant tout il faut être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux connaître et comprendre ce que nous faisons et d'autre part de mieux réagir en cas d'attaque. Donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]).Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les démons et comment ils fonctionnent]]. Voyez comment fonctionne un réseau, ce que sont les ports réseau, les permissions des fichiers, ce que sont les failles de sécurité des logiciels, etc.

== Connaître les risques ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ? Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau, ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-un de ces mots.

==== Firewalls ====
Pour le définir de manière concise un firewall (mur de feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de traffic qu'il analyse et à quel niveau il se place sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseaux un par un et les acceptes ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état où elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connection et qu'il est susceptible de se faire saturer (Dénis de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes, les proxy, les filtre de contenu (clamav), etc, sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basé dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): -F -O -sV

nmap est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter les informations utiles qui transitent par la carte réseau de la machine piratée. Ainsi, tous les mots de passes en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espions pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du traffic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assure de l'intégrité d'un système en stockant un CRC des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines, de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer l'une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Il faut savoir qu'en informatique il existe des logiciels malveillants ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des virus, des vers, des chevaux de Troie ou encore des rootkits. Mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Unix. Cependant il faut être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des malwares, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, pour collecter les mots de passe vers d'autres systèmes, etc). Ils peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>,
<code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkits permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement [http://www.chkrootkit.org/ chkrootkit], qui vérifie la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tout ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html|rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit erkms avant de continuer à se propager. Ce malware combinait à la fois un vers et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe, bien qu'elle soit inclassable du point de vue technique c'est probablement la plus efficace.

Souvent, si le pirate est un ''insider'' (quelqu'un de l'intérieur), il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale ingénierie sociale]. C'est une méthode consistant à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres sont par exemple appelés par l'attaquant, se faisant alors passer pour le service technique de l'entreprise, qui prétend avoir besoin du mot de passe de l'utilisateur pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un applomd et un génie de l'improvisation allié avec des connaissances techniques hors du commun qui lui ont permi de réaliser des miracles (du mauvais coté de la loi, hélas).

== Protéger son ordinateur ==
=== Sécuriser son boot ===
Si l'accès physique à la machine est une faille, il faut configurer son bios. Celui-ci ne doit autoriser que le boot sur disque dur, et doit être protégé par mot de passe.
[http://fr.wikipedia.org/wiki/GRand_Unified_Bootloader Grub] permettant d'éditer manuellement le boot (périphérique de démarrage, noyau, options pour l'init...), il est nécessaire de le protéger par mot de passe afin qu'on ne puisse pas modifier les configurations prédéfinies.
En fait il est même parfois conseillé de supprimer tout périphérique susceptible d'être source d'insécurité à ce niveau, comme le lecteur de disquettes par exemple. Cela dit, si c'est une station de bureau il vaut mieux garder ce dont on a besoin, cela va sans dire. C'est à vous d'en juger.

De toute manière, un système n'est jamais sûr puisque pour l'exemple présent, il est possible de supprimer le mot de passe du [http://fr.wikipedia.org/wiki/Basic_Input_Output_System BIOS] en réinitialisant celui-ci. Ainsi pour quelqu'un ayant un accès physique à la machine il est facile d'ouvrir le boîtier et de retirer quelques secondes la batterie alimentant le BIOS. La parade consisterait à verrouiller l'accès à l'intérieur de la machine (cadenas).

Pire encore : le BIOS étant de nos jour stocké dans une mémoire accessible en écriture -- généralement de la mémoire flash. Sur les carte-mères plus anciennes le BIOS est stocké dans une ROM. -- ce qui permet potentiellement à quelqu'un de le flasher (le mettre à jour) pour le remplacer par une version vérolée.

Avant de continuer sur le BIOS, voyons un peu comment celui-ci fonctionne et pourquoi il existe :

Immédiatement à la mise sous tension, le BIOS déroule la procédure de POST (''Power-On Self Test'' ou ''vérification de mise sous tension''). Durant cette phase, le BIOS effectue divers contrôles : [http://fr.wikipedia.org/wiki/Processeur CPU], [http://fr.wikipedia.org/wiki/Somme_de_contrôle autovérification par chiffre de contrôle], contrôle des paramètres BIOS enregistrés (mémoire de "setup"), initialisation de divers composants (horloge, [http://fr.wikipedia.org/wiki/Accès_direct_mémoire DMA], etc), vérification de la mémoire, des périphériques (claviers, lecteur(s) de disquette, disque(s) dur(s), etc.).

En cas d'erreur, le BIOS tente de continuer ou, en cas d'erreur grave il arrête le système et affiche, si possible, un message d'erreur. Autrement il fait une série de beep pour aider au diagnostic de la panne. Il envoie également un code sur le port série, code qui peut être récupéré par divers moyens.

Immédiatement après le POST, le BIOS va charger le premier secteur du disque amorçable. Ce secteur contient un petit programme de chargement (boot loader) du chargeur du (des) système(s) d'exploitation (grub, lilo ou, pour Windows, NTLDR). Le POST se termine en transférant l'exécution au boot loader.

C'est en fait, à l'origine, la fonctionnalité principale (c'est elle qui a donné son nom au BIOS) du BIOS : fournir une couche logicielle d'abstaction (permettant d'ignorer lors de la programmation les aspects purement matériels) pour les périphériques les plus courants : clavier, écran, lecteur de disquettes, disques durs, souris, etc.
On accède à ces fonctions par l'envoi d'interruptions logicielles ou, plus rarement, par accès direct à la mémoire BIOS.

Fort heureusement, linux étant un bon système d'exploitation il n'utilise pas le BIOS, qui sert comme on l'a vu de couche d'abstraction entre le logiciel et le matériel. Le risque d'attaque via le BIOS est donc considéré comme nul. Cependant, il reste techniquement possible -- mais les pirates n'y auraient aucun intérêt -- de flasher le BIOS de telle sorte qu'il ne puisse plus booter l'ordinateur, bloqué dans une boucle infinie.

=== Partitionnement conséquent ===
À l'installation du système, il faut bien réfléchir au partitionnement des disques. Les données statiques (binaires, fichiers de configuration, etc.) seront sur une partition montée en lecture seule pour éviter toute modification :
* /bin
* /boot
* /lib
* /sbin
* /usr
Eventuellement d'autres dossiers, selon la distribution.

Lorsque l'accès physique à la machine est une faille potentielle de sécurité, il n'est pas une mauvaise idée que de créer une partition dédiée à /etc , qui serait formatée en un système de fichiers chiffré (voir [http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/ Encrypted root filesystem howto]). Dans ce cas-là, même si on démarre l'ordinateur avec un LiveCD il devient impossible à moins d'avoir les identifiants idoïnes d'accéder aux données de la partition.

=== N'installer que le strict nécessaire ===
Chaque bout de code est potentiellement une faille. C'est pour cela que moins il y a de logiciels installés, plus le risque d'avoir une faille est réduit. Un exemple courant pour faire comprendre le principe est que sur un serveur il n'est généralement nul besoin de serveur X. Un autre exemple, dans un environnement unix il n'est nul besoin de serveur Samba.
Une fois le ménage fait dans votre installation, il faut bien configurer ses logiciels. D'ailleurs pour être certain d'avoir une machine propre, faites l'installation hors-ligne et ne mettez la machine en réseau qu'une fois bien sécurisée, surtout au niveau de Netfilter/iptables.

=== Utilisateurs ===
Vérifier que root n'est pas autorisé à se connecter. [[Sudo|Utiliser sudo]] plutôt que [[Fiches:Securite-ficheroot|le compte root directement]] pour les tâches d'administration.
Evitez par ailleurs d'avoir des comptes inutiles sur votre machine car même s'ils n'ont que des droits restreints, l'utilisation d'une faille pour obtenir plus de permissions par un intrus n'est pas impossible.

=== Permissions ===
De manière générale, éviter autant que possible de positionner les droits ''setuid'' et ''setgid'' d'un éxécutable, qui permettent, en particulier, d'exécuter un programme avec les droits de '''root''' alors qu'on est connecté en simple utilisateur.

<cadre>'''setuid bit ''' droit donné à un fichier exécutable d'utiliser les droits du propriétaire du fichier éxécutable (en général le root).

'''setgid bit''' droit donné à un fichier exécutable d'utiliser les droits du groupe propriétaires du fichier éxécutable.</cadre>

Utiliser [[Admin-admin_env-chroot|chroot]] pour les services et les utilisateurs distants qui doivent avoir un accès restreint à la machine.

Pour plus d'information sur les droits, consulter la [[Permissions|documentation de Léa sur les permissions]]

== Bien configurer ses démons ==
[[Reseau-web-Apache_protec|Sécuriser Apache]] en limitant les accès aux répertoires. On peut pour cela utiliser les fichiers .htaccess ou modifier directement la configuration du serveur, généralement <code>/etc/apache/httpd.conf</code> ou <code>/etc/apache2/apache2.conf</code> .

Utilisez [[Reseau-secu-ssh|ssh/sshd]] plutôt que <code>telnet</code>. En effet, ce dernier ne chiffre pas ses flux de données, contrairement à ssh, ce qui permet grâce à un simple sniffeur réseau de voler identifiants et mots de passe via le réseau.

Les serveurs de fichiers (ou apparents) tels <code>Samba</code>, <code>NFS</code> ou encore <code>FTP</code> ne doivent accepter de connexion que des utilisateurs enregistrés : une section est prévue à cet effet dans le fichier de configuration de chaque serveur. Il est préférable de faire ceci, même si les services n'autorisent que les connexions locales et même si l'authentification des utilisateurs est déjà limitée : mieux vaut trop de sécurité que pas assez. Si vous cherchez à faire du transfert de fichiers de manière sécurisée, préférez <code>scp</code> (qui est en fait une manière d'utiliser le protocole ssh).

Si vous utilisez vnc, préférez le faire de manière sécurisée : [[Reseau-resau_plus-vnc|vnc au-dessus de ssh]].

== Barrer la route aux connexions non souhaitées ==
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

== Détecter les intrusions, connaître les outils ==
=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "innofensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

<cadre>
Remarque : Ajout de § Lolotux §
Lors de la possible compromission de la machine, il faut considérer les commandes sensibles (ps, top, who...) comme compromise.
Un LiveCD peut dans le cadre d'une machine personnelle (dans le cadre personnel) vous fournir une base de commandes saines.
Dans le cadre d'une machine en production (serveur...) qui ne peut souffrir de l'arrêt des services, un jeu de commandes compilées (avec librairie statique) sur un support exterieur (CD, Clef USB...) est nécessaire !
</cadre>

=== Les systèmes de détection d'intrusion ===
Un [http://fr.wikipedia.org/wiki/Système_de_détection_d'intrusion IDS (''Intrusion Detection System'')] est un logiciel qui a pour but de détecter toute intrusion dans le système. On peut citer par exemple [[Reseau-secu-SNORT|snort]] et tiger mais il en existe d'autres.
Un tel logiciel fait des vérifications sur le système (logs, réseau, etc.) et reporte toute anomalie, tout ce qui est suspect.

== Localiser le problème et nettoyer ==
Grâce aux outils précédents il est plus ou moins facile de localiser d'où vient le problème. On peut alors agir en conséquence, à savoir tuer les processus incriminés et supprimer les logiciels correspondants. Au préalable on peut aussi, si l'on est curieux, regarder ce qu'a fait l'attaquant : il a certainement laissé des traces que l'on peut examiner pour mieux comprendre.

L'intrus ayant pu avoir les droits root il serait de bon augure de réinstaller proprement -- en ayant pris soin de vider le cache de son gestionnaire de paquets -- les outils permettant la découverte de logiciels non souhaités, comme chkrootkit. Ceci fait un scan complet de tous les disques doit être fait. Prenez soin de monter toutes les partitions avant de lancer le scan. Veillez aussi à vérifier le partitionnement de vos disques, au cas où l'attaquant aurait créé une partition dans le but d'avoir un endroit de stockage de ses outils malveillants que l'administrateur de la machine -- vous-même -- ne verrait pas. Eh oui, il faut penser à toutes les éventualités ! Je pense qu'il vaut mieux être trop paranoïaque que pas assez, lorsqu'on administre un serveur.

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

== Remerciements ==
Un grand merci à abgech pour sa contribution à la partie concernant le BIOS,<br>
Merci à oudoubah, pour ses idées et son expérience,<br>
Merci à Morgan pour l'aide qu'il m'a apporté pour restructurer l'article, ainsi que pour ses idées et ses critiques également.<br>
Merci à Fleury pour sa contribution en rapport avec les virus, vers, chevaux de Troie, etc.<br>
Merci enfin à Léa d'être là pour le logiciel libre !

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-NC-SA}}