| Les deux révisions précédentesRévision précédente | |
| issue83:securite [2014/09/01 13:41] – auntiee | issue83:securite [2014/09/02 14:27] (Version actuelle) – andre_domenech |
|---|
| ** | ** |
| |
| De Thomas Brooks : Dans le cadre du processus de détermination du renforcement de la sécurité, est-ce que Lynis offrira la possibilité d'appliquer ses suggestions ? Et si besoin, téléchargera-t-il les outils appropriés (par exemple un pare-feu) en utilisant APT ? | De Thomas Brooks : Dans le cadre du processus de détermination du renforcement de la sécurité, est-ce que Lynis offrira la possibilité d'appliquer ses suggestions ? Et si besoin est, téléchargera-t-il les outils appropriés (par exemple un pare-feu) en utilisant APT ? |
| MB : Lynis, dans sa forme actuelle, sera principalement dédié à vérifier les systèmes et à fournir de l'aide aux propriétaires. Renforcer automatiquement est possible, mais en raison des risques encourus, tout ne sera pas entièrement automatisé. Pour les clients de la version Lynis Entreprise, cependant, des scripts seront fournis pour aider au renforcement, en se focalisant principalement sur les outils de gestion de configuration comme cfengine et Puppet. | MB : Lynis, dans sa forme actuelle, sera principalement dédié à vérifier les systèmes et à fournir de l'aide aux propriétaires. Renforcer automatiquement est possible, mais en raison des risques encourus, tout ne sera pas entièrement automatisé. Pour les clients de la version Lynis Entreprise, cependant, des scripts seront fournis pour aider au renforcement, en se focalisant principalement sur les outils de gestion de configuration comme cfengine et Puppet. |
| |
| De Thomas Brooks : Les listes blanches, plus encore que les listes noires, semblent être parmi les outils les plus utiles pour empêcher un système de se connecter à un serveur compromis. Lynis offrira-t-il une telle fonctionnalité? Avez-vous des recommandations? | De Thomas Brooks : Les listes blanches, plus encore que les listes noires, semblent être parmi les outils les plus utiles pour empêcher un système de se connecter à un serveur compromis. Lynis offrira-t-il une telle fonctionnalité ? Avez-vous des recommandations ? |
| MB : Lynis est utilisé pour la vérification et le renforcement d'un système. Cependant, il ne renforce pas lui-même le système. C'est à l'administrateur système de choisir les bons outils et les configurer en fonction des objectifs du système. Utiliser des listes blanches est un concept générique et généralement meilleur qu'utiliser des listes noires. La raison principale en est que vous pouvez définir d'avance ce que vous voulez accepter, au lieu de décider ce qui est peut-être mauvais. Plusieurs logiciels permettent de faire une quelconque liste blanche, comme iptables dans lequel vous définissez quels flux d'information sont autorisés (et rejetez tous les autres). | MB : Lynis est utilisé pour la vérification et le renforcement d'un système. Cependant, il ne renforce pas lui-même le système. C'est à l'administrateur système de choisir les bons outils et les configurer en fonction des objectifs du système. Utiliser des listes blanches est un concept générique et généralement meilleur qu'utiliser des listes noires. La raison principale en est que vous pouvez définir d'avance ce que vous voulez accepter, au lieu de décider ce qui est peut-être mauvais. Plusieurs logiciels permettent de faire une quelconque liste blanche, comme iptables dans lequel vous définissez quels flux d'information sont autorisés (et rejetez tous les autres). |
| |
| ** | ** |
| |
| De Jim Barber: Comment détecter et supprimer les rootkits? | De Jim Barber : Comment détecter et supprimer les rootkits ? |
| MB: Les rootkits sont un cas particulier de malware (logiciel malveillant), car leur principal objectif est de fournir à l'attaquant une porte dérobée dans le système et, de plus, de rendre leur détection la plus difficile possible. Pour éviter la détection, les rootkits vont modifier des fichiers binaires, intercepter des fonctions spéciales du noyau, ou tout simplement se cacher au nez et à la barbe de tous (par exemple dans /bin). Ainsi, pour détecter un rootkit, le logiciel doit être un peu plus intelligent que celui qui a essayé de le cacher en premier lieu. Il doit utiliser des compilations alternatives ou statiques de fichiers binaire et différentes façons de trouver les fichiers (echo * et ls -l), et comparer les résultats, etc. Dans certains cas, nous obtenons un résultat différent de celui attendu et ce signale généralement qu'il faudrait vérifier la machine ou les binaires découverts. En ce qui concerne la suppression : feriez-vous jamais confiance à un système qui a été compromis? Bien sûr, un fichier avec un virus pourrait être retiré ou nettoyé. Mais si des parties vitales du système ont été remplacées, ou des binaires ordinaires ont été piégés par une porte dérobée, je ne ferais plus jamais confiance au système. La meilleure façon de supprimer les rootkits est de faire une nouvelle installation de la machine et une reconstruction correcte. | MB : Les rootkits sont un cas particulier de malware (logiciel malveillant), car leur principal objectif est de fournir à l'attaquant une porte dérobée dans le système et, de plus, de rendre leur détection la plus difficile possible. Pour éviter la détection, les rootkits vont modifier des fichiers binaires, intercepter des fonctions spéciales du noyau, ou tout simplement se cacher au nez et à la barbe de tous (par exemple dans /bin). Ainsi, pour détecter un rootkit, le logiciel doit être un peu plus intelligent que celui qui a essayé de le cacher en premier lieu. Il doit utiliser des compilations alternatives ou statiques de fichiers binaires et différentes façons de trouver les fichiers (echo * et ls -l), et comparer les résultats, etc. Dans certains cas, nous obtenons un résultat différent de celui attendu et ceci signale généralement qu'il faudrait vérifier la machine ou les binaires découverts. En ce qui concerne la suppression : feriez-vous jamais confiance à un système qui a été compromis ? Bien sûr, un fichier avec un virus pourrait être retiré ou nettoyé. Mais si des parties vitales du système ont été remplacées, ou des binaires ordinaires ont été piégés par une porte dérobée, je ne ferai plus jamais confiance au système. La meilleure façon de supprimer les rootkits est de faire une nouvelle installation de la machine et une reconstruction correcte. |
| |
| ** | ** |
| ** | ** |
| |
| De Jim Barber : J'ai aussi entendu parler d'un cheval de Troie pour Linux qui se trouve actuellement dans la nature. Comment peut-il être détecté et géré? | De Jim Barber : J'ai aussi entendu parler d'un cheval de Troie pour Linux qui se trouve actuellement dans la nature. Comment peut-il être détecté et géré ? |
| MB : Les chevaux de Troie et les portes dérobées sont communs sur la plupart des plates-formes. La meilleure politique est de les éviter en n'utilisant pas de logiciel non approuvé (par exemple, ne pas utiliser un logiciel qui n'est pas dans les dépôts). Les binaires malveillants peuvent être détectés avec des outils communs de détection de logiciels malveillants comme ClamAV, Rootkit Hunter, Chkrootkit, OSSEC et des outils de test de l'intégrité des fichiers tels que AIDE, Samhain et Tripwire. | MB : Les chevaux de Troie et les portes dérobées sont communs sur la plupart des plates-formes. La meilleure politique est de les éviter en n'utilisant pas de logiciel non approuvé (par exemple, ne pas utiliser un logiciel qui n'est pas dans les dépôts). Les binaires malveillants peuvent être détectés avec des outils communs de détection de logiciels malveillants comme ClamAV, Rootkit Hunter, Chkrootkit, OSSEC et des outils de test de l'intégrité des fichiers tels que AIDE, Samhain et Tripwire. |
| |
| De Wade Smart : [En ce qui concerne le contrôle de systèmes par porte dérobée] Comment puis-je expliquer [aux utilisateurs de Linux] la réalité de ce qui est possible par rapport à ce qui est probable? | De Wade Smart : [En ce qui concerne le contrôle de systèmes par porte dérobée.] Comment puis-je expliquer [aux utilisateurs de Linux] la réalité de ce qui est possible par rapport à ce qui est probable ? |
| MB : La meilleure façon d'expliquer aux autres ce qui est réel, est de trouver de vrais logiciels malveillants et les essayer dans un bac à sable (par exemple une machine virtuelle sans connexions réseau). Curieusement, il existe de nombreuses attaques (et des exemples) disponibles, mais il faut un certain temps pour les trouver ou enquêter sur eux. Il est même difficile d'en faire fonctionner certains d'entre eux ! Le contrôle par porte dérobée, en général, est toujours possible, surtout si l'on a obtenu un accès root au système. Peut-on faire confiance à l'ensemble de la chaîne des personnes qui ont travaillé sur un système d'exploitation ? Peut-on faire confiance aux compilateurs qui construisent les binaires que nous utilisons ? À un certain moment, nous devons tout simplement faire confiance aux autres. Pour les utilisateurs normaux de Linux, garder leurs systèmes à jour devrait être la priorité numéro un. Les personnes qui ne se sentent toujours pas en sécurité pourrait passer à OpenBSD : il y a moins de fonctionnalités, mais c'est davantage préoccupé par la sécurité. | MB : La meilleure façon d'expliquer aux autres ce qui est réel est de trouver de vrais logiciels malveillants et les essayer dans un bac à sable (par exemple une machine virtuelle sans connexion réseau). Curieusement, il existe de nombreuses attaques (et des exemples) disponibles, mais il faut un certain temps pour les trouver ou enquêter sur eux. Il est même difficile d'en faire fonctionner certains d'entre eux ! Le contrôle par porte dérobée, en général, est toujours possible, surtout si l'on a obtenu un accès root au système. Peut-on faire confiance à l'ensemble de la chaîne des personnes qui ont travaillé sur un système d'exploitation ? Peut-on faire confiance aux compilateurs qui construisent les binaires que nous utilisons ? À un certain moment, nous devons tout simplement faire confiance aux autres. Pour les utilisateurs normaux de Linux, garder leurs systèmes à jour devrait être la priorité numéro un. Les personnes qui ne se sentent toujours pas en sécurité pourrait passer à OpenBSD : il y a moins de fonctionnalités, mais c'est davantage préoccupé par la sécurité. |
| |
