pense-bête de bruno sanchiz

Accueil > Linux > "sécurité" informatique > "sécurité" informatique sous linux

"sécurité" informatique sous linux

Publié le 3 juillet 2017, dernière mise-à-jour le 29 octobre 2025, > 27 visites, >> 165987 visites totales.

Installer les programmes suivants pour renforcer :

sudo apt-get install libpam-tmpdir apt-listbugs apt-listchanges needrestart

Sous linux on peut utiliser les programmes suivants :

wapiti

wapiti - analyseur de vulnérabilités d’application web
wapiti -u http://pascale.landais.free.fr

rkhunter

  • installation : apt-get install rkhunter
  • utilisation : rkhunter --propupd && rkhunter -c et pour plus de précisions après le test : grep "Warning"  /var/log/rkhunter.log
  • résultats :
    • Warnings de type hidden files à vérifier un par un
    • PermitRootLogin : PermitRootLogin without-password avec UsePAM yes dans /etc/ssh/sshd_config semble normal

chkrootkit

  • installation : apt-get install chkrootkit</code> et pour un test chaque jour <code>sed 's/RUN_DAILY="false"/RUN_DAILY="true"/' -i /etc/chkrootkit.conf
  • utilisation : chkrootkit
  • résultats :
    • The following suspicious files and directories were found : beaucoup de fichiers commençant par "." pas nécessairement un problème.
    • Checking chkutmp'...                                        The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID          PID TTY    CMD ! root 3332 tty7 /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
      chkutmp : nothing deleted. Les commandes ``w readlink -f /proc/3332/exeet readlink -f /usr/bin/X

lynis

Voir aussi lynis
apt-get install lynis
lynis audit system

Voir en particulier les suggestions : installer les paquets proposés

par exemple : apt-get install debian-goodies libapache2-mod-evasive  libapache2-mod-qos libapache2-modsecurity

Default umask in /etc/login.defs /etc/init.d/rc could be more strict like 027

echo lynix; apt-get install libpam-tmpdir apt-listbugs apt-listchanges needrestart debsecan debsums 

chmod o-rwx /etc/sudoers.d
chmod -R o-rwx /home/*

cp /etc/fail2ban/jail.conf  /etc/fail2ban/jail.local

sed 's/#\(\* *soft *core *0\)/\1/' -i  /etc/security/limits.conf   # core dumps https://cisofy.com/lynis/controls/KRNL-5820/

sed "s/^\(UMASK[\t  ]*\)022/\1027/" -i  /etc/login.defs # Default umask in /etc/login.defs could be more strict like 027 [AUTH-9328] https://cisofy.com/lynis/controls/AUTH-9328/

apt-get install sysstat #Enable sysstat to collect accounting (no results) [ACCT-9626] https://cisofy.com/lynis/controls/ACCT-9626/

apt-get install auditd #Enable auditd to collect audit information [ACCT-9628] 
      https://cisofy.com/lynis/controls/ACCT-9628/

apt-get install tripwire samhain # Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350] https://cisofy.com/lynis/controls/FINT-4350/

apt-get install puppet  #Determine if automation tools are present for system management [TOOL-5002] 
      https://cisofy.com/lynis/controls/TOOL-5002/

les bugs/CVE/vulnérabilité/

https://security-tracker.debian.org/tracker/
https://www.cvedetails.com/vulnerability-list/vendor_id-358/Webmin.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2025-39735

logiciels

https://hackingvision.com/category/hacking-tools/
metasploit

logiciels rançongiciels d’après CERTFR-2021-CTI-001.pdf

La phase de post-exploitation d’une attaque par rançongiciel se déroule généralement de la manière suivante [35] :
• pour élever leurs privilèges au sein du SI, les attaquants peuvent :
– procéder à des attaques par force brute ;
– exploiter des vulnérabilités logicielles, par exemple du type ZeroLogon (cas de Ryuk [29]) ou d’autres
types de CVE ;
– utiliser des outils de tests d’intrusion tels que Mimikatz, Mimidogs, Mimikittenz [36], Windows Credentials editor, Rubeus [37] et LaZagne [16], afin de récupérer des identifiants légitimes.
• pour effectuer la cartographie de l’Active Directory (AD), les attaquants utilisent généralement les outils de
tests d’intrusion BloodHound, SharpHound ou ADFind [38].
• pour se latéraliser, les attaquants peuvent utiliser les outils de tests d’intrusion Cobalt Strike, Metasploit,
Powershell Empire, Koadic ou encore CrackMapExec (cas par exemple de LockBit [39]) mais aussi utiliser
abusivement des outils Windows tels que WMI [35], WinRM [16] et PsExec [35].
• pour déployer le rançongiciel, les attaquants utilisent par exemple un loader, PsExec [16] ou encore des tâches
planifiées déployées par GPO (Group Policy Objects).

sites

https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
https://docs.clip-os.org/
https://www.cvedetails.com/
https://security-tracker.debian.org/tracker/CVE-2024-3094

[bruno sanchiz]

Dans la même rubrique

Derniers articles modifiés

Linux

Mots-clés

2006 - 2025 pense-bête de bruno sanchiz
Plan du site | | Contact | RSS 2.0

En tant que titulaire des droits d’auteur ou distributeur autorisé, bruno sanchiz s'oppose expressément à toute intégration, transmission ou absorption totale ou partielle du présent document par des moteurs ou algorithmes d’Intelligence Artificielle (IA) sans son accord . bruno sanchiz s'oppose également à toute fouille de textes et de données ou création dérivée produite par une IA et basée sur le présent document sans son accord.