[Tuto] Renforcer la sécurité sur Ubuntu 14.04

Des questions pour configurer votre réseau, Wifi, installer un serveur, sécuriser votre machine ?

Modérateur : Mods GNU/Linux

Wullfk

[Tuto] Renforcer la sécurité sur Ubuntu 14.04

par Wullfk »

Bonjour,

Ubuntu est une distribution Linux.

Définition d'un ROOTKIT
Un rootkit est un programme qui maintient un accès frauduleux à un système informatique et cela le plus discrètement possible, leur détection est difficile, parfois même impossible tant que le système d'exploitation fonctionne. Certains rootkits résistent même au formatage car ils peuvent s'introduire directement dans le BIOS. Ils existent sous Linux depuis longtemps (car le noyau est ouvert et modulaire).
Un Webkit quant à lui permet de prendre l'accès d'une machine via une faille puis par port http et de prendre l'accès sur le système. Il existe néanmoins des programmes pour les détecter, nous allons les voir ci-dessous.
Source : Rootkit – Documentation Ubuntu Francophone

La Sécurité sur Ubuntu:
Avec seulement 1,52% d'utilisateurs d'une distribution Linux (Source NetMarketShare, 1,91% sur StatCounter), les stations de travail ne sont pas la cible des pirates informatiques. Néanmoins, les machines Linux sont souvent des serveurs ce qui en fait des cibles de choix !

Ubuntu possède un pare-feu ( firewall ) intégré de base (UFW) mais il n'est pas activé par défaut. Il s'utilise via un terminal mais pour faciliter son utilisation il est possible d'y adjoindre une interface graphique (GUI = Graphic User Interface) : Gufw via la logithèque.

De base Ubuntu ne dispose pas d'antivirus et à vrai dire on peut très bien sans passer mais il y a tout de même possibilité d'installer ClamAv. Il existe aussi un GUI nommé ClamTk .

Anti-malwares
On dispose de quelques outils d'analyses qui s'utilisent via un terminal il n'existe pas d'interface graphique (GUI):
  • Chkrootkit (installation via paquet .deb)
  • Rkhunter (installation via paquet .deb)
  • Lynis (audit de sécurité du système)
Protection du système
On dispose de l'outil AppArmor (installation via le terminal ou paquet .deb)

Analyse de vulnérabilité
On dispose de 2 outils :
  • Nessus (Scanner de vulnérabilité)
  • OpenVAS (Scanner de vulnérabilité libre basé sur Nessus)

GUFW (Interface graphique pour UFW)
Image

L'interface graphique pour le Firewall UFW d'Ubuntu s'installe via la Logithèque Ubuntu, UFW n'est pas activé par défaut. Une fois l'installation effectuée pour activer l'interface et de fait le Firewall on le lance via le Dash d'Unity ou via son icône dans la barre Unity, puis on clique sur le bouton Status.

Votre mot de passe vous sera demandé, car seul un administrateur peut débloquer le Firewall.

Image

Pour peaufiner vos réglages via l'interface, se reporter à la documentation de Gufw.

ClamAV & ClamTK
Image
Clam AntiVirus (ClamAv) est un antivirus GPL pour UNIX qui s'utilise de base dans un terminal.
Pour lui adjoindre une interface (GUI) utiliser ClamTk disponible via un paquet .deb .

La mise à jour de la base de données ClamAv peut s'effectuer manuellement via le lien suivant :
https://launchpad.net/~ubuntu-security-proposed/+archive/ubuntu/ppa/+build/6764309

Image
Pour obtenir la dernière version de ClamTk cliquer sur le lien suivant : Download ClamTk il vous reste plus qu'à lancer le paquet .deb pour effectuer l'installation qui s'effectuera via la Logithèque Ubuntu.

Une fois l'interface installée, lancée là via Dash Unity ou son icône dans la barre Unity.
Image

Il ne vous reste plus qu'à personnaliser les réglages.

ChkRootkit
Chkrootkit est un scanner Anti-rootkit, qui s'utilise via un terminal.
Vérifie que les fichiers exécutables du système n'ont pas été modifiés, que la carte réseau n'est pas en mode "promiscuous" et que des vers LKM (Loadable Kernel Module) ne sont pas présents.
Source : Rootkit - Documentation Ubuntu Francophone

La documentation Ubuntu francophone (paragraphe 1.2) renvoi sur le site officiel en Anglais : http://www.chkrootkit.org/

Celui-ci ne propose pas de paquet debian pour l'installation, il faut passer par la page Ubuntu pour pouvoir télécharger le fichier .deb version 0.49 pour Ubuntu 14.04 (Trusty Thar) sélectionner votre version en fonction de votre système (32 ou 64Bits) ou cliquer sur un des liens si dessous : En passant par un paquet debian et donc par la Logithèque Ubuntu, on dispose en Anglais d'un peu plus d'explication sur les actions de Chkrootkit, comme le montre la capture d'écran si dessous :

Image

Liste des commandes de Chkrootkit via la commande suivante:

Code : Tout sélectionner

sudo chkrootkit -h
Image


RkHunter
Image

Rkhunter (pour Rootkit Hunter) est une alternative, voir un complément de Chkrootkit. Il s'utilise aussi via un terminal. (Rkhunter – Documentation Ubuntu Francophone)

Image
Contrôle notamment que les fichiers n'ont pas été modifiés en comparent les hash avec une base de données en ligne.
Source : Rootkit (paragraphe 1.1) - Documentation Ubuntu Francophone

Site officiel : The Rootkit Hunter Project

Le téléchargement du fichier debian, s'effectue via le lien suivant :
rkhunter_1.4.0-3_all.deb (205.9 KiB)
Installation en effectuant un double clic sur le fichier qui ouvre la Logithèque Ubuntu (image ci-dessus)

Avant la première utilisation effectuer la mise à jour via la commande suivante :

Code : Tout sélectionner

sudo rkhunter --update
Image

Avant toute chose, nous allons maintenant configurer notre anti-rootkit convenablement.
Pour cela, d’abord réaliser une sauvegarde du fichier de configuration initiale

Code : Tout sélectionner

cp /etc/rkhunter.conf /etc/rkhunter.conf.bak
Maintenant, utiliser notre éditeur de texte Gedit pour configurer Rkhunter en fonction des besoins.

Code : Tout sélectionner

sudo gedit /etc/rkhunter.conf
On recherche la ligne suivante pour la modifier en ajoutant l’adresse mail sur laquelle vous souhaitez recevoir les rapports générés quotidiennement et/ou les alertes transmises par Rkhunter :
MAIL-ON-WARNING=[email protected]

Par défaut, Rkhunter stocke ses fichiers journaux dans le répertoire /var/log/rkhunter.log/
Si vous souhaitez modifier l'emplacement alors éditer la ligne suivante :
LOGFILE=/var/log/rkhunter.log

Vous pouvez à présent lancer votre première analyse en spécifiant par exemple un rapport uniquement sur les avertissements via la ligne de commande suivante :

Code : Tout sélectionner

sudo rkhunter --checkall --report-warning-only
La commande suivante :

Code : Tout sélectionner

sudo rkhunter –propupd
Permet de créer la première base de données qui sera utilisée pour les futures analyses. Il faut donc être le sûr que possible que le système est sain à ce moment précis. Pour que Rkhunter s'exécute automatiquement, sans intervention, il faut créer un script lié à cette tâche grâce à crontab

Création d'un script comme l'exemple suivant à adaptez celons vos besoin :

#!/bin/sh
source /etc/profile
rkhunter --update && rkhunter –check


Enregistrer le dans /home/login/Documents sous le nom auto-rkhunter.sh
Remplacer login par votre nom d'utilisateur.
Le rendre exécutable dans un terminal :

Code : Tout sélectionner

chmod +x auto-rkhunter.sh
Puis créer votre tâche en éditant le fichier crontab :

Code : Tout sélectionner

crontab -e
Image

Choisir l'option 2 (l'éditeur nano) et saisissez votre tâche cron, comme dans l'exemple :

00 20 * * * /home/login/Documents/auto-rkhunter.sh

À adapter selon vos propres critères.

Image

Finaliser en enregistrant par la combinaison de touches CTRL+X et valider la sauvegarde par OUI

Lynis
Lynis est un outil d'analyse plus récent que CHKROOTKIT et RKHUNTER.
Il permet d'effectuer un audit de sécurité de votre système via un terminal.
Contrôle le pare-feu, les certificats SSL périmés, l'intégrité des fichiers.
Source : Rootkit (paragraphe 1.3) - Documentation Ubuntu Francophone

Il existe sur la page Ubuntu lynis_1.3.9-1_all.deb (92.8 KiB) pour Ubuntu 14.04 (Trusty Thar) qui s'installe via un paquet .deb et dispose d'un lanceur dans la barre Unity.
Image

Comme l'indique la capture d'écran ci-dessous, ce n'est pas la dernière version disponible :

Image

Pour réccupérer la dernière version en .tar.gz, aller sur le site de l'éditeur CISOFY
Pour l'installation suivre le guide : Get Started with Lynis – Installation Guide

Vous pouvez aussi utiliser Lynis sans installation.

Cette version ne dispose malheureusement pas d'un lanceur dans la barre Unity.
Lancer l'audit de sécurité via un terminal avec les commandes suivantes :

Code : Tout sélectionner

cd /usr/local/lynis
./lynis

Différents paramètres peuvent être associés à la commande :

Code : Tout sélectionner

./lynis
Bien qu'en anglais la documentation Lynis est bien construite et simple à comprendre.

Je n'ai pas essayé mais il est possible de créer un lanceur pour l'intégrer dans la barre Unity.

AppArmor

(Tiré du Guide de sécurisation pour Ubuntu 14.04 disponible à la fin de cet article)

Les navigateurs, clients de messagerie, ... doivent communiquer via Internet et sont donc assez permissifs par défaut. Ces logiciels se sont sophistiqués et embarquent désormais énormément de fonctionnalités et de technologies, par conséquent, ils sont quotidiennement exposés aux risques.

Il est recommandé d'utiliser AppArmor, ce logiciel libre permettra de limiter l'exécution et l'accès aux programmes du système. Par défaut, AppArmor ne protège pas Firefox, pour le constater faites l'expérience suivante : ouvrez avec Firefox un fichier sensible, par exemple le fichier gfxblacklist.txt

Ce fichier situé dans le système de fichier /boot/grub est la partition non-chiffrée d'amorçage qui permet le déchiffrement du disque dur lors du démarrage de l'ordinateur. Si Firefox peut y accéder alors l'attaquant qui exploitera Firefox pourra aussi y accéder. Une modification de la partition /boot pourrait, par exemple, installer discrètement un enregistreur de frappes (keylogger), un rootkit, une porte cachée (backdoor), ...

Sécuriser Mozilla Firefox avec AppArmor

Ouvrez un terminal et installez AppArmor :

Code : Tout sélectionner

sudo apt-get install apparmor-utils apparmor-profiles apparmor-notify
Ou via des paquets .deb :

apparmor_2.8.95~2430-0ubuntu5_amd64.deb (311.3 KiB)

apparmor-utils_2.8.95~2430-0ubuntu5_amd64.deb (51.5 KiB)

apparmor-profiles_2.8.95~2430-0ubuntu5_all.deb (32.5 KiB)

apparmor-notify_2.8.95~2430-0ubuntu5_all.deb (11.3 KiB)

apparmor_2.8.95~2430-0ubuntu5_i386.deb (320.6 KiB)

apparmor-utils_2.8.95~2430-0ubuntu5_i386.deb (51.5 KiB)

Il faut passer le profil de Firefox en mode "enforce"

Code : Tout sélectionner

sudo aa-status | grep firefox
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
sudo aa-status | grep firefox
Les binaires Firefox sont désormais en mode "enforce"

Redémarrer pour appliquer les changements.
Vérifiez si Firefox est bien en mode "enforce" en essayant à nouveau d'ouvrir un fichier sensible.
On a une notification AppArmor a bloqué Firefox lorsque celui-ci tente d'ouvrir un fichier sensible.

Image

Si la notification vous dérange, la désactiver en utilisant:

Code : Tout sélectionner

sudo gedit /etc/apparmor/notify.conf
# set to 'yes' to enable AppArmor DENIED notifications
show_notifications="no"


Il est recommandé de redémarrer l'ordinateur pour la prise en compte.

Vous pouvez ajouter d'autres processus et binaires en mode "enforce" pour diminuer les risques.
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles

Ouvrez un terminal et vérifiez l'état des profils :

Code : Tout sélectionner

sudo apparmor_status
Image

Passez les profils critiques en mode "enforce" les profils d'AppArmor sont localisés dans /etc/apparmor.d

Code : Tout sélectionner

sudo aa-enforce /etc/apparmor.d/usr.sbin.avahi-daemon
sudo aa-enforce /etc/apparmor.d/usr.sbin.dnsmasq
sudo aa-enforce /etc/apparmor.d/usr.sbin.mdnsd
sudo aa-enforce /etc/apparmor.d/usr.sbin.smbd
Nessus
ImageImage
Nessus est un outil de sécurité informatique.

Il signale les faiblesses potentielles ou avérées du matériel testé (machines, équipement réseau).

Nessus est devenu un logiciel propriétaire à partir de la version 3. Cependant, il est resté gratuit pour usage non commercial. Un fork libre a été créé:

Plus d'infos ici : Nessus - Documentation Ubuntu Francophone

OpenVAS
Image
Un fork libre de Nessus

Tout comme Nessus, il signale les faiblesses potentielles ou avérées du matériel testé (machines, équipement réseau).

OpenVAS est capable de scanner un équipement (machine ou matériel réseau), un ensemble d'équipements (à partir d'un fichier ou d'une plage IP) ou encore un réseau entier.

Plus d'infos ici : OpenVAS - Documentation Ubuntu Francophone

Voila ça devraient suffire pour une utilisation raisonnablement sûre de votre système.

Ce tutoriel est fini, vous disposez à présent de 6 outils pour protéger et analyser la sécurité sur Ubuntu.

Ce tutoriel est aussi disponible au format PDF
Protections Ubuntu 14.04LTS.pdf

LE GUIDE DE SECURISATION POUR UBUNTU 14.04.pdf
Wullfk

Re: [Tuto] Renforcer la sécurité sur Ubuntu 14.04

par Wullfk »

Bonsoir,

Mise à jour du tuto
Malekal_morte
Messages : 116869
Inscription : 10 sept. 2005 13:57

Re: [Tuto] Renforcer la sécurité sur Ubuntu 14.04

par Malekal_morte »

Merci pour ce tutoriel PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Réseau sous GNU/Linux »