Sécurité - GNU/Linux et logiciels libres

Mes autres pages "sécurité"

Infos

• Recommandations de l'ANSSI (gouv.fr)
  
• Guides réseau et sécurité (traduction française)
  
• Malekal
• IRP
• LinuxSecurity
• Linux Security HowTo
• Linuxtoday
• Openwall (sécurité au niveau des logiciels libres)
  
• Security in Linux
• Wikipédia - Portail: sécurité informatique

Malwares et exploits

• Liste Wikipédia des malwares Linux (angl)
• Rootshell.com - A resource of the newest exploits and how to fix them

Actualité

• LWN, seclists

Blogs

• blog.spiderlabs.com
• Red Hat security blog
• nixCraft : tutos GNU/Linux *** sur la sécurité, Iptables, etc.
  

Apache

• mod_SSL
  
• mod_security : Web server application firewall (tuto)
  

Authentification

• FreeRadius
• NuFW

Emails sécurisés

Failles critiques

20160114 - Vulnérabilité au niveau du noyau Linux

201501 - GHOST (glibc)

Infos : découverte de la faille et explications, article

Buffer overflow dans la fonction __nss_hostname_digits_dots() de la librairie GNU glibc, fonction appelée par les fonctions de la famille gethostbyname(). Cette faille affecte les distributions GNU/Linux utilisant glibc-2.2 à glibc-2.17.

Mesures à prendre

• Un patch est sorti en 2013 => installer glibc 2.18 ou ultérieure.

201411 - Failles SSLv3 (OpenSSL) - POODLE, etc.

Articles : en français ici, là, et là...

Infos et versions d'OpenSSL patchées

Mesures à prendre

• Au niveau navigateur, utiliser une version qui corrige cette faille, ou désactiver SSLv3
• Au niveau serveur
• installer une version d'OpenSSL patchée (qui corrige ces failles), vérifier
• désactiver SSLv3 au niveau des logiciels serveurs (Apache, etc.) - article1, article2, etc.
  

201409 - Shellshock (shell Bash)

201404 - Heartbleed (OpenSSL)

Outils

Outils logiciels de sécurité

Ensuite, utiliser des outils d'audit

• CIS :: GNU/Linux, serveurs, etc
• nessus (infos Wikipédia) : outil de vérif. générale
  
• nmap (infos Wikipédia) : scanneur de ports
  
• openvas (doc Ubuntu fr) - ensemble d'outils
  

Anti-virus & contrôle des emails

• Doc Ubuntu
  
• ClamAV - (wikipédia fr | angl).
• Clamtk : interface graphique pour ClamAV.
• Désinfection d'un PC équipé de Windows : démarrer sur un LiveCD GNU/Linux, exécuter Clam et effectuer un test du disque dur.
  
• ClamWin - wikipedia (Windows) -- performant en recherche de virus dans les fichiers et emails mais pas de protection temps réel
• Comodo antivirus pour Linux
  

Firewall

Isolation

namespace : pam_namespace (RHEL 5, 6, etc.), SELinux sandbox (RHEL 6, etc.), SystemD (Fedora 17).

Container et cgroups

chroot

IDS (Intrusion Detection Software) et IPS (Intrusion Prevention Software)

• Snort (IDS & IPS)
• Prelude : Security Information Management (SIM) universel
• interfaces à Prelude : Piwi, Prewikka
• Recherche dans les logs d'activité suspecte
  
• Sagan
  
• FAM (File Alteration Monitor / pister les fichiers modifiés), FIM (File Integrity Monitoring)
  
• OSSEC (multi s.e.)
  
• blog | howto
  
• vérifie l'intégrité des fichiers, analyse les logs, détecte les rootkits, etc.
  
• Tripwire (SourceForge) et outils associés
• Détection de rootkit
• chkrootkit (Wikipédia)
  
• rkhunter
  

Sécurité multi-niveaux

• grsecurity (Wikipédia, article)

Renforcer la sécurité au niveau authentification

• Fail2ban : analyse les fichiers de log, et - en ajoutant des règles au pare-feu - bannit les adresses IP des ordinateurs qui échouent un certain nombre de fois au niveau authentification.
  

Renforcer la sécurité au sein du s.e. GNU/Linux

Sécuriser le boot

• Sécuriser le BIOS par un mot de passe, cela évite par un boot sur live-CD une modification d'un grub.cfg sécurisé (hors reset du BIOS).
  
• Sécuriser GRUB et créer un mdp pour root. Dans le cas contraire, en bootant en init single (Recovery, mode de dépannage), le mdp de root pourrait être changé.
• Créer un mdp pour root
  
1. Vérification
• # grep -i "root" /etc/passwd ; grep -i "root" /etc/shadow
2. Etablissement d'un mdp pour root (sur Ubuntu)
   
• dans un "Terminal Administrateur" : # passwd root
• ou, dans un "Terminal" : $ sudo passwd root
3. Pour vérifier, refaire l'étape 1, un mdp crypté devrait apparaître désormais pour root dans /etc/shadow.

Sécurité au niveau mémoire

• KernelHardening#ptrace
  
• etc/sysctl.d/10-ptrace.conf

Sécuriser le noyau Linux

KernelHardening

/etc/sysctl.d   (Ubuntu)

• 10-kernel-hardening.conf
• après modif, exécuter service procps start (ou : invoke-rc.d procps start)
  

sysctl.conf

• Linux Kernel /etc/sysctl.conf Security Hardening
• Edit /etc/sysctl.conf For DoS and Syn Protection

Renforcement de la sécurité au niveau des privilèges et des applications

• Bastille-Linux

• AppArmor

• Infos : Wikipédia, Ubuntu-fr, Ubuntu
  
• Associe un profil de sécurité à chaque programme afin de restreindre ses possibilités, complète le (DAC (Discretionary Access Control) par du MAC (Mandatory Access Control). AppArmor est implémenté au travers des LSM (Linux Security Modules).
• Utilisé par SLES, Ubuntu, etc.
• Commandes : rcapparmor status (SLES), aa-status (Ubuntu)
  

• SELinux

• Infos : Wikipédia
• Sécurité multi-niveaux : mélange de TE (contexte de sécurité au niveau fichier, label), MAC (Mandatory Access Control), RBAC (Role-Based Access Control) et MIC (Mandatory Integrity Controls).
• - - L'Access Control n'est pas utilisable au niveau du montage de systèmes de fichiers NTFS (car NTFS ne gère pas le security label).
  
• Utilisé par RHEL, Ubuntu, etc.
• Commandes : getenforce/setenforce (indique/configure le mode en cours), chcon, restorecon, etc.
  
• Tutos : blog de Dan Walsh, Using Apache and SELinux Together, Relocating an Apache DocumentRoot under SELinux

Sécurité au niveau des exécutables

• Capabilities - au lieu de se voir attribuer tous les privilèges (par le set-user-ID-root), un exécutable peut se voir attribuer des privilèges spécifiques (le noyau Linux 3.2 en a 36)
  
• man, article sur LWN, article blog (statistiques + shell-script)
  
• ExecutableBit
• A partir de la version 10.10, Ubuntu n'autorise plus d'exécuter des programmes Windows dans Wine (ce n'était pas le cas jusqu'en Ubuntu 10.04).

Sécuriser l'ordinateur

Avec des mots de passe robustes

• Infos de Ubuntu-fr
  

Outils

• chkrootkit
  

Sécuriser

• Comparaison Wikipedia des logiciels d'encryption de disque
• Cryptsetup (infos Wikipedia) : outil Linux d'encryption de disque, basé sur le module noyau DMCrypt, permettant d'encrypter un volume aux formats LUKS (dossier PDF, infos Wikipédia), Dm-crypt (infos Wikipédia, infos anciennes), loop-AES, TrueCrypt (incluant l'extension VeraCrypt)...
  

Sécuriser ses données au niveau partition/volume, ou au niveau fichier

• GPG ou GnuPG (infos Wikipédia) : logiciel libre, implémentation d'OpenPGP (format libre d'échange sécurisé de données).
• Concernant Windows, GPG est inclus dans la suite GPG4Win (infos Wikipédia)
• TrueCrypt
• 201405 /!\ ses développeurs ont arrêté TrueCrypt, et ont considéré que la dernière version ne serait pas fiable...
• La distrib GNU/Linux Tails 1.2 intègre une doc expliquant comment ouvrir des volumes TrueCrypt en utilisant son remplaçant cryptsetup.
  
• truecrypt.ch propose la dernière version et d'anciennes versions et les sources de TrueCrypt.
• VeraCrypt (serait basé sur TrueCrypt 7.1a avec failles colmatées), de Idrix, une alternative ?
  
• conseils de l'ANSSI concernant l'abandon de TrueCryp
  
• articles, doc fr Ubuntu (install, usage, Thunderbird)
  
• disque virtuel : TrueCrypt (open source, fonctionne sous Windows et GNU/Linux)
  
• protection de clé USB avec TrueCrypt (dossier en français)

Sécuriser l'effacement de données (fichier, partition, disque dur)

• Quelques outils & tutos
  

Sécuriser les fichiers ramenés d'Internet

• Vérif d'intégrité de fichier - à l'aide de gpg, fichier signature (.sig), md5, etc.

Shell & terminal sécurisé

Mosh (Mobile shell)

Terminal interactif, qui peut remplacer un terminal SSH.
Freeware pour GNU/Linux, BSD, macOS, Solaris, Android, Chrome, et iOS.

Shellinabox (Web-based SSH)

Installable sur les distribs Debian, RHEL, et dérivées. Utilisable avec nginx.
Tuto install, config, et utilisation

SSH

Authentification par login et password ou certificat.

• Clé et certificat
• Ex très complet (génération de clé, PuTTY, SecureCRT, etc.) : HPE 3PAR SSH Key Authentication
• Connexion sécurisée
• ssh une_adresse_IP
• Debug
• ssh -v -2 une_adresse_IP
  
• Port forwarding (permet de s'adresser à machine_distante:port_distant au travers du port local)
  
• ssh -L port_local:machine_distante:port_distant
• Ce tunnel peut être également réalisé par un logiciel tiers, Putty, etc.
  
• Protection
• Dévalider le login SSH des utilisateurs, ou de root (en ajoutant "PermitRootLogin no" dans /etc/ssh/ssh_config ou dans /etc/ssh/sshd_config)
• Le programme python denyhosts permet de blacklister automatiquement les adresses IP qui effectuent une attaque brute SSH (tentative de se logguer par essais successifs de mdp) en ajoutant ces adresses IP dans le fichier /etc/hosts.deny
• Transfert sécurisé : sftp (SSH File Transfer Protocol), scp
  
• ex : sftp -P num_du_port  login@url.com, sftp -o Port=num_du_port  login:mdp@url.com, etc.

OpenSSL

• OpenSSL > sources, docs
• Failles et versions d'OpenSSL
• 201411 - Failles SSLv3 : Poodle, etc.
• 201404 - Heartbleed
  
• Infos Wikipédia
  
• Dossiers Openssl de hsc.fr

Quelques commandes

• $ openssl version -a ; lsof | egrep "libssl|crypto"   (version d'OpenSSL, et des libs utilisées)
  
• $ for i in $(lsof | awk '/openssl/ { print $1 }' | sort | uniq) ; do chkconfig --list | grep $i | awk '{ print $1 }' ; done
  
• $ netstat -atulp | grep https  (pour voir port(s) à l'écoute)
• $ lsof -iTCP:https ; lsof -i TCP:443
  

• $ openssl version ; openssl s_client -connect le_hostname:port -tls1   (ou ssl3, ou rien, etc.)

Protocoles TLS et SSL

TLS : à utiliser, la version 1.2 est à préférer, car c'est la version la plus récente et la plus sécurisée
Guide TLS (serveur et client)

SSL : ne plus l'utiliser.

VPN

WireGuard : multi-plate-formes

Quelques commandes

CPU et BIOS - vérification de la fonctionnalité NX

• # /usr/bin/check-bios-nx --verbose
• retourne 0 si CPU et BIOS ok
• retourne 1 si CPU ok mais NX désactivé au niveau BIOS.
  
• NX (No-eXecute) permet d'interdire l'exécution de code dans certaines zones mémoire.
  

GNU/Linux

• $ sudo
• $ id un_utilisateur
• $ groups un_utilisateur
• $ getent passwd
  
• $ getent group ; getent group un_utilisateur
  
• Vérif. des groupes dont fait partie un utilisateur
• # for i in `groups un_utilisateur | awk -F: '{print $2}'` ; do getent group | grep "^$i" ; done
• $ getent initgroups un_utilisateur | tr -s ' ' | cut -d ' ' -f2- | xargs getent group   (Ubuntu)
  

Config GNU/Linux

Root, su, sudo, gksudo

Passer root ou exécuter une commande avec les droits root (pour administrer le s.e. il est nécessaire d'être administrateur).

Commandes su, gksudo et sudo

Le compte root est verrouillé par défaut. Pour le déverrouiller (et pour pouvoir utiliser la "recovery console" du menu grub) : sudo passwd root

• su : permet de changer d'utilisateur ou de passer root (utiliser sudo est préférable)
  
• doc Ubuntu :: su | root
• pour pouvoir devenir root avec su, il faut avoir défini un mot de passe pour root ($ sudo passwd root)
  
• utiliser le signe - pour devenir root avec son environnement (PATH, etc.) :
  
• $ su -
• exécuter une commande en tant que root
• $ su -c commande
• $ su -c nautilus
• $ su -c "fdisk -l"
• $ su utilisateur –c commande
• gksudo : permet d'exécuter une application en tant que root (le mot de passe est demandé dans une fenêtre)
• doc Ubuntu
• pourquoi utiliser gksudo
• exemple : lancer nautilus en tant que root (shell-script ci-dessous)
• sudo : permet d'exécuter une application en tant que root ou autre utilisateur
• Config : se fait par la commande visudo, qui édite /etc/sudoers.
  
• Doc
• man sudo_root
  
• doc Ubuntu :: sudo
• Exemples
• $ sudo fdisk -l
• $ sudo nautilus
• $ sudo –u utilisateur commande
• Si plusieurs commandes sont à exécuter, deux solutions pour éviter de taper sudo devant chaque commande :
• $ sudo -s
  
• $ sudo -i
• $ sudo bash
• Attention
• Utiliser : "ssh -t le_hostname sudo la_commande"   (car, sans l'option -t, le mot de passe passe en clair dans le réseau)
  

Pour utiliser nautilus avec les droits root, 2 solutions :

• installer nautilus-gksu, ce qui créera une nouvelle entrée "Ouvrir en tant qu'administrateur" dans le menu contextuel.
  
• ou créer le shell-script nautilus-root suivant dans "~/.gnome2/nautilus-scripts" et lui donner les droits d'exécution, ensuite click-droit dans toute fenêtre nautilus et exécuter ce script
  
• #!/bin/bash
  # nautilus-root --- ouvre un nautilus en root.
  gksudo -u root -k -m "Exécuter un nautilus en root" "nautilus --no-desktop $NAUTILUS_SCRIPT_CURRENT_URI"

Pb de connexion à distance ?

=> vérifier :

• par les commandes
• $ netstat -anp
• $ iptables -L -v
• le fichier
• /etc/hosts.deny
• si ça ne vient pas de SELinux

Parano, vie privée

Analyser les communications des services par tcpdump

Empêcher certaines communications par iptables

Arrêter les services (démons) inutiles et empêcher leur démarrage automatique

Certains services sont démarrés par les scripts du dossier init.d

• # for i in `ls -1 /etc/init.d`; do service $i status ; done
  
• # service slapd status

• # chkconfig --del le_service
• ou, par le GUI : System Settings > Server settings > Services
• netstat -ntulp   (vérification)
  

1. $ sudo invoke-rc.d slapd stop
2. $ sudo update-rc.d -f slapd remove  (enlève les liens /etc/rcx.d/xxxslapd vers /etc/init.d/slapd)

D'autres sont démarrés à la demande par xinetd

1. sous /etc/xinetd.d, configurer "disable = yes" dans le fichier de config du service
2. # /etc/rc.d/init.d/xinetd reload
3. netstat -ntulp   (vérification)
   

Ports

• mes infos

Configuration réseau

• /etc/sysctl.d/10-ipv6-privacy.conf   (Ubuntu)
• après modif, exécuter service procps start (ou : invoke-rc.d procps start)
  

• #/bin/bash
  for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
  echo 2 > $i 
  done

Se protéger du spoofing

• /etc/sysctl.d/10-network-security.conf
• net.ipv4.conf.default.rp_filter=1   (vérification de l'adresse source)
  net.ipv4.conf.all.rp_filter=1
  

Se protéger des attaques par inondation SYN (SYN-flood, TCP-SYN)

• /etc/sysctl.d/10-network-security.conf
• net.ipv4.tcp_syncookies=1
  
• Activer les SYN cookies
• # echo 1 > /proc/sys/net/ipv4/tcp_syncookies
• Ou : "net.ipv4.tcp_syncookies = 1" dans /etc/sysctl.conf, et rebooter
• Si pb, voir si CONFIG_SYN_COOKIES est configuré à 'y' dans le noyau Linux.
• Limiter le flux entrant des SYN (traduction en français de Linux Advanced Routing & Traffic Control - lartc.org).

Se protéger des dénis de service

• Limiter le débit ICMP pour se protéger des dénis de service (traduction en français de Linux Advanced Routing & Traffic Control - lartc.org).

Assurer un accès à distance (via ssh) quel que soit l'état du trafic

• En donnant la priorité au trafic interactif (traduction en français de Linux Advanced Routing & Traffic Control - lartc.org).

Vie privée, sécurité - configuration

Chercher dans la fenêtre de recherche de ce site-ci : "vie privée" (ou privacy)

• Considérations et checklists
  
• Distributions GNU/Linux bootables et déjà sécurisées

Distributions GNU/Linux - sécuriser

• Securing and Optimizing Linux (Red Hat Edition)
  
• Securing RedHat 5.X

• Doc fr Ubuntu
• Guide et shell-scripts post-install pour 14.04
• Configurer Ubuntu 12.04