Don't kernel panic! Gord will be back shortly for more of your questions. In this new section Michael Boelen (creator of Lynis) will answer your Linux security questions. Do you have a question on Linux/Ubuntu security for Michael? Please email it to: misc@fullcirclemagazine.org.
Ne paniquez pas du noyau ! Gord va revenir très bientôt pour répondre à vos questions.
Dans cette nouvelle section Michael Boelen (créateur de Lynis) va répondre à vos questions de sécurité sous Linux. Si vous avez une question à poser à Michael sur la sécurité Linux ou Ubuntu, merci de l'envoyer par e-mail à: misc@fullcirclemagazine.org.
From Ben McTee: I’m currently running Xubuntu 13.04 as a music, video, and file server for my home and abroad. I have an SSH server set up with key authentication only (password is disabled). In order to access my server remotely, port forwarding is enabled on my Airport Extreme router, forwarding all port 80 traffic to my server. I have Plex Server installed and set up to allow streaming of videos to my devices while I am away from home. Additionally, I use Webmin to manage services, servers, SAMBA, and other tasks on the Xubuntu machine. Are there checks I can perform, either locally or remotely, to ensure an attacker is not able to gain access to my system from outside the network? I have read of security flaws in Webmin, but at the same time love it for its convenience. MB: If a malicious person (or script) would like to enter your network, it’s a matter of finding the weakest link. One way to find this is using a well-known network port (like port 80) combined with a piece of easy identifiable software (e.g. Webmin). There are few things which can be done to strengthen the weakest links: use a non-standard port to thwart most malicious scripts, encrypt data if possible, limit access by using an IP filter or an additional layer of authentication. In your case, you already applied several of these methods. One way to test them is to check what ports are open from “outside”, and check if others can determine what you are running. As always, apply security patches to those packages with known vulnerabilities, especially if they listen on the network.
De Ben McTee: J'utilise actuellement Xubuntu 13.04 en tant que serveur de musique, de vidéo, et de fichiers à la maison et à l'extérieur. J'ai un serveur SSH paramétré avec une authentification par clé (celle par mot de passe est désactivée). Afin d'accéder à mon serveur à distance, la redirection de port est activée sur mon routeur Airport Extreme, redirigeant tout le trafic du port 80 vers mon serveur. J'ai installé Plex Server et l'ai configuré pour permettre le streaming de vidéos sur mes appareils pendant que je suis loin de la maison. De plus, j'utilise Webmin pour gérer des services, des serveurs, SAMBA, et d'autres tâches sur la machine Xubuntu. Y a-t-il des vérifications que je puisse effectuer, localement ou à distance, afin de m'assurer qu'un attaquant n'est pas capable d'accéder à mon système depuis l'extérieur du réseau ? J'ai lu qu'il y avait des failles de sécurité dans Webmin, mais en même temps je l'adore pour son confort.
MB: Lorsqu'une personne malveillante (ou un script) souhaite entrer dans votre réseau, elle cherche le maillon faible. Une façon de le trouver est d'utiliser un port réseau bien connu (comme le port 80) combiné à un logiciel facilement identifiable (par exemple, Webmin). Il n'y que très peu de choses qui peuvent être faites pour renforcer les maillons les plus faibles : utiliser un port non standard pour contrecarrer la plupart des scripts malveillants, chiffrer les données si possible, limiter l'accès à l'aide d'un filtre IP ou une couche supplémentaire d'authentification. Dans votre cas, vous avez déjà appliqué plusieurs de ces méthodes. Une façon de les tester est de vérifier quels ports sont ouverts à partir de « l'extérieur », et de vérifier si d'autres peuvent déceler ce que vous exécutez. Comme toujours, appliquer des correctifs de sécurité pour les paquets dont les vulnérabilités sont connues, surtout s'ils écoutent sur le réseau.
From Ben McTee: What is the best method of automatically notifying me if an attack is being attempted on my network (port scanning, for example). MB: One should first know the definition of an attack. Unfortunately this differs for every individual or company. In the field of security incident response, we consider mainly any events which are outside normal behavior, and with a clear malicious intent. Port scanning would therefore not be an attack or a trigger for security incident response. It’s simply a common thing on the internet, similar to brute forcing accounts via SSH. But performing a distributed denial of service on your system is considered malicious and not a daily event. So my advice is to decide first what you want to protect and what you would do with events occurring. Would you investigate each port scan attempt and would it be worth the time? To test your PCs security, see Michael's HowTo article earlier in this issue on Lynis.
De Ben McTee: Quelle est la meilleure méthode de recevoir des notifications automatiquement si une attaque est tentée sur mon réseau (scan de port, par exemple).
MB: Il faut d'abord connaitre la définition d'une attaque. Malheureusement, cela diffère pour chaque personne ou entreprise. Dans le domaine de la réponse aux incidents de sécurité, nous prenons en compte principalement tous les événements qui n'ont pas un comportement normal, mais une intention clairement malveillante. Un balayage de port n'est donc pas une attaque ni un déclencheur de réponse aux incidents de sécurité. C'est tout simplement une chose ordinaire sur Internet, similaire à une attaque brute des comptes via SSH. Mais réaliser un déni de service distribué sur votre système est considéré comme malveillant et un événement qui sort complètement de l'ordinaire. Donc, mon conseil est d'abord de décider ce que vous voulez protéger et ce que vous feriez si des événements survenaient. Voulez-vous enquêter sur chaque tentative de balayage de port et cela vaudrait-il la peine d'y passer beaucoup de temps ?
Pour tester la sécurité de votre PC, voir le tutoriel de Michael plus haut dans ce numéro sur Lynis.