mercredi 27 janvier 2010

Comment sécuriser son linux ? Netstat et lsof

Netstat


"Netstat" est un outil que l'on va utiliser du coté du défenseur. Il indique l'état des connexions réseaux en cours

netstat -taupe | sort



# netstat -taupe | sort

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
PID/Program name
tcp 0 0 192.168.0.12:36932 ey-in-f191.1e100.n:http ESTABLISHED toto 11436
4490/firefox-bin
tcp 0 0 192.168.0.1:netbios-ssn *:* LISTEN root 6851 3997/smbd
tcp 0 0 192.168.0.:microsoft-ds *:* LISTEN root 6850 3997/smbd
tcp 0 0 localhost:microsoft-ds *:* LISTEN root 6852 3997/smbd
tcp 0 0 localhost:netbios-ssn *:* LISTEN root 6853 3997/smbd
udp 0 0 *:bootpc *:* root 6576 3856/dhcpcd
udp 0 0 *:netbios-dgm *:* root 6875 4007/nmbd
udp 0 0 *:netbios-ns *:* root 6874 4007/nmbd
udp 0 0 192.168.0.12:netbios-ns *:* root 6878 4007/nmbd

udp 0 0 192.168.0.1:netbios-dgm *:* root 6879 4007/nmb



Dans mon cas, je me rends compte que j'ai firefox qui a une connexion sur un site, que j'ai samba qui tourne et dhcp qui tourne.
Etant donné que j'utilise rarement samba, je le desactive :


# rc-update del samba
* 'samba' removed from the following runlevels: default
# /etc/init.d/samba stop
* samba -> stop: smbd
...
[ ok ]
* samba -> stop: nmbd ...



Pour avoir un poste plus sécurisé, une bonne approche consiste à désactiver ce qui est peu ou pas utilisé.
En effet, un pirate va tout d'abord scanner votre ordinateur puis si il detecte des ports ouvert, il va tenter de les hacker.Si ils sont fermés, vous ne craignez rien.


lsof

Cet outil va vous premettre de vérifiez ce qui est ouvert (tout est un fichier sur linux) sur votre ordinateur.


emerge sys-process/lsof

lsof -Pi | sort




# lsof -Pi | sort
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
dhcpcd 3856 root 7u IPv4 6576 0t0 UDP *:68

firefox-b 4490 toto 13u IPv4 11436 0t0 TCP 192.168.0.12:36932->ey-in-f191.1e100.net:80
(ESTABLISHED)

nmbd 4007 root 6u IPv4 6874 0t0 UDP *:137

nmbd 4007 root 7u IPv4 6875 0t0 UDP *:138

nmbd 4007 root 8u IPv4 6878 0t0 UDP 192.168.0.12:137

nmbd 4007 root 9u IPv4 6879 0t0 UDP 192.168.0.12:138

smbd 3997 root 19u IPv4 6850 0t0 TCP 192.168.0.12:445 (LISTEN)

smbd 3997 root 20u IPv4 6851 0t0 TCP 192.168.0.12:139 (LISTEN)

smbd 3997 root 21u IPv4 6852 0t0 TCP localhost:445 (LISTEN)

smbd 3997 root 22u IPv4 6853 0t0 TCP localhost:139 (LISTEN)


nestat_wikipedia
netstat command

mercredi 20 janvier 2010

Comment sécuriser son linux ? Desinstaller les commandes à risque

Certains outils contiennent des failles de sécurité connues, il faut donc les desinstaller.Parmis ceux-ci figurent rlogin, rsh ....Ces outils ont leurs équivalents : ssh.

emerge -C net-misc/netkit-rsh

Il faut aussi noter que les outils ftp sont aussi à risque.Il faut plutôt utiliser SFTP.

mercredi 13 janvier 2010

Comment sécuriser son linux ? les mots de passe

Objectif : Dans cette article, nous allons vérifiez que les mots de passe sont dans /etc/shadow
puis nous allons tester nos mots de passe.


Etape 1 : S'assurer que les mots de passe ne sont pas dans le fichier /etc/passwd

Si vous ouvrez le fichier /etc/passwd, il doit ressembler à ceci :


root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false

daemon:x:2:2:daemon:/sbin:/bin/false

adm:x:3:4:adm:/var/adm:/bin/false

toto:x:500:100::/home/damitux:/bin/bash



Le x indique que le mot de passe est présent dans un autre fichier.Le fichier /etc/shadow.Si ce n'est pas le cas, il vous faut utiliser pwconv


Pour information, le format de ce fichier est le suivant :
username:password:userid:groupeid:nom_du_compte:repertoire_utilisateur:shell



C'est le fichier /etc/shadow qui doit contenir les mots de passe :

root:$6$/oxwgEtd$8qxL1XfoR5QW7xtduZyaopknIV6ETEBj5fDvGjdPvDO3TYlTRQOQkYvWrJoiPtyjYfYYkgLyJHpT6oq0nAvef.:14583:0:::::

bin:!!:9797:0:::::

daemon:!!:9797:0:::::

toto:$1$u1fuA5jK$wZFULlHT/Sd8FhBv9GZhi1:14213:0:::::0



Ce fichier contient plusieurs champs.Les deux qui nous interessent sont :
- le premier qui contient le nom d'utilisateur

- le second qui contient le mot de passe



Il faut noter que le mot de passe commence par $chiffre$.Ceci indique le cryptage qui est utilisé :

SHA-512 == $6$

MD5 == $1$

SHA-256 == $5$



Etape 2 : Tester ses mots de passes


Pour tester ses mots de passe, l'utilitaire le plus connu est John the ripper


emerge app-crypt/johntheripper

unshadow /etc/passwd /etc/shadow > testpwdmd5

john --show testpwdmd5



Remarque :

- Il faut appuyer sur entree lorsque pour savoir où il en est.

- Il vous affichera le résultat lorsqu'il aura trouver (utilisateur motdepasse)

- Il ne cherchera pas le mot de passe de root car il est en $6$ SHA-512.Il faudra regarder sur le site de john the ripper si il existe des patchs.



Site
JohnTheRipper

Comment sécuriser son linux ?

L'objectif de ses articles est de savoir quoi faire pour sécuriser son environnement linux.On essayera de répondre aux questions suivantes :
- Que faut-il regarder ?
- Quels services fonctionnent ? Est-ce normal ?
- Est ce que quelqu'un est connecter sur mon poste ?
- Quels précautions dois-je prendre ?
- ...

jeudi 7 janvier 2010

Bonne année

Bonjour et bonne année !

Au programme cette année : Optimisation de sa gentoo, surveillance réseau et sécurité, KDE4 ...
Enfin pleins de bonne chose !

Bonne Gentoo

PoweredByGento