Accueil > Linux > "sécurité" informatique > "sécurité" informatique sous linux
"sécurité" informatique sous linux
Publié le 3 juillet 2017, dernière mise-à-jour le 18 juillet 2024, > 20 visites, >> 9056 visites totales.
Sous linux on peut utiliser les programmes suivants :
wapiti
wapiti - analyseur de vulnérabilités d’application web
wapiti -u http://pascale.landais.free.fr
rkhunter
- installation :
apt-get install rkhunter
- utilisation :
rkhunter --propupd && rkhunter -c
et pour plus de précisions après le test :grep "Warning" /var/log/rkhunter.log
-* résultats :
- Warnings de type hidden files à vérifier un par un
- PermitRootLogin : PermitRootLogin without-password avec UsePAM yes dans /etc/ssh/sshd_config semble normal
chkrootkit
- installation :
apt-get install chkrootkit
et pour un test chaque joursed 's/RUN_DAILY="false"/RUN_DAILY="true"/' -i /etc/chkrootkit.conf
- utilisation :
chkrootkit
- résultats :
- The following suspicious files and directories were found : beaucoup de fichiers commençant par "." pas nécessairement un problème.
-
Checking `chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 3332 tty7 /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch chkutmp: nothing deleted
. Les commandes
w
readlink -f /proc/3332/exe
etreadlink -f /usr/bin/X
lynis
apt-get install lynis
lynis audit system
Voir en particulier les suggestions : installer les paquets proposés
par exemple : apt-get install debian-goodies libapache2-mod-evasive libapache2-mod-qos libapache2-modsecurity
Default umask in /etc/login.defs /etc/init.d/rc could be more strict like 027
les bugs/CVE/vulnérabilité/
https://security-tracker.debian.org/tracker/
https://www.cvedetails.com/vulnerability-list/vendor_id-358/Webmin.html
logiciels
https://hackingvision.com/category/hacking-tools/
metasploit
logiciels rançongiciels d’après CERTFR-2021-CTI-001.pdf
La phase de post-exploitation d’une attaque par rançongiciel se déroule généralement de la manière suivante [35] :
• pour élever leurs privilèges au sein du SI, les attaquants peuvent :
– procéder à des attaques par force brute ;
– exploiter des vulnérabilités logicielles, par exemple du type ZeroLogon (cas de Ryuk [29]) ou d’autres
types de CVE ;
– utiliser des outils de tests d’intrusion tels que Mimikatz, Mimidogs, Mimikittenz [36], Windows Credentials editor, Rubeus [37] et LaZagne [16], afin de récupérer des identifiants légitimes.
• pour effectuer la cartographie de l’Active Directory (AD), les attaquants utilisent généralement les outils de
tests d’intrusion BloodHound, SharpHound ou ADFind [38].
• pour se latéraliser, les attaquants peuvent utiliser les outils de tests d’intrusion Cobalt Strike, Metasploit,
Powershell Empire, Koadic ou encore CrackMapExec (cas par exemple de LockBit [39]) mais aussi utiliser
abusivement des outils Windows tels que WMI [35], WinRM [16] et PsExec [35].
• pour déployer le rançongiciel, les attaquants utilisent par exemple un loader, PsExec [16] ou encore des tâches
planifiées déployées par GPO (Group Policy Objects).
sites
https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
https://docs.clip-os.org/
https://www.cvedetails.com/
https://security-tracker.debian.org/tracker/CVE-2024-3094