pense-bête de bruno sanchiz

Accueil > Linux > "sécurité" informatique > "sécurité" informatique sous linux

"sécurité" informatique sous linux

Publié le 3 juillet 2017, dernière mise-à-jour le 11 avril 2024, 14 visites, 24146 visites totales.

Sous linux on peut utiliser les programmes suivants :

rkhunter

  • installation : 
    apt-get install rkhunter
  • utilisation : rkhunter --propupd && rkhunter -c et pour plus de précisions après le test : 
    grep "Warning"  /var/log/rkhunter.log

    -* résultats :

    • Warnings de type hidden files à vérifier un par un
    • PermitRootLogin : PermitRootLogin without-password avec UsePAM yes dans /etc/ssh/sshd_config semble normal

chkrootkit

  • installation : apt-get install chkrootkit et pour un test chaque jour sed 's/RUN_DAILY="false"/RUN_DAILY="true"/' -i /etc/chkrootkit.conf
  • utilisation : chkrootkit
  • résultats :
    • The following suspicious files and directories were found : beaucoup de fichiers commençant par "." pas nécessairement un problème.
    •  Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         3332 tty7   /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted

      . Les commandes w readlink -f /proc/3332/exe et readlink -f /usr/bin/X

lynis

apt-get install lynis
lynis audit system

Voir en particulier les suggestions : installer les paquets proposés

par exemple : apt-get install debian-goodies libapache2-mod-evasive libapache2-mod-qos libapache2-modsecurity

Default umask in /etc/login.defs /etc/init.d/rc could be more strict like 027

les bugs/CVE/vulnérabilité/

https://security-tracker.debian.org/tracker/
https://www.cvedetails.com/vulnerability-list/vendor_id-358/Webmin.html

logiciels

https://hackingvision.com/category/hacking-tools/
metasploit

logiciels rançongiciels d’après CERTFR-2021-CTI-001.pdf

La phase de post-exploitation d’une attaque par rançongiciel se déroule généralement de la manière suivante [35] :
• pour élever leurs privilèges au sein du SI, les attaquants peuvent :
– procéder à des attaques par force brute ;
– exploiter des vulnérabilités logicielles, par exemple du type ZeroLogon (cas de Ryuk [29]) ou d’autres
types de CVE ;
– utiliser des outils de tests d’intrusion tels que Mimikatz, Mimidogs, Mimikittenz [36], Windows Credentials editor, Rubeus [37] et LaZagne [16], afin de récupérer des identifiants légitimes.
• pour effectuer la cartographie de l’Active Directory (AD), les attaquants utilisent généralement les outils de
tests d’intrusion BloodHound, SharpHound ou ADFind [38].
• pour se latéraliser, les attaquants peuvent utiliser les outils de tests d’intrusion Cobalt Strike, Metasploit,
Powershell Empire, Koadic ou encore CrackMapExec (cas par exemple de LockBit [39]) mais aussi utiliser
abusivement des outils Windows tels que WMI [35], WinRM [16] et PsExec [35].
• pour déployer le rançongiciel, les attaquants utilisent par exemple un loader, PsExec [16] ou encore des tâches
planifiées déployées par GPO (Group Policy Objects).

sites

https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
https://docs.clip-os.org/
https://www.cvedetails.com/
https://security-tracker.debian.org/tracker/CVE-2024-3094

[bruno sanchiz]

Derniers articles modifiés

Linux

Dans la même rubrique

Mots-clés

2006 - 2024 pense-bête de bruno sanchiz
Plan du site | | Contact | RSS 2.0

SPIP