Développeur et Entrepreneur

Mise en place de Rkhunter sous Centos

nov12
2010 Laisser un commentaire Par Michaël

rkhunter (pour Rootkit Hunter) est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d’une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkit, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques à Linux et FreeBSD.

Rappelons cependant qu’en 2004, des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu, ont démontré qu’on pouvait créer des fichiers distincts de même signature MD5 en raison d’une propriété d’invariance mathématique de ce procédé.

Pour l’installer avec yum :

yum install rkhunter.noarch

Il faut lancer la commande suivante pour initialiser la base contenant les propriétés des fichiers surveillés. Cette commande doit être exécutée sur un système sain !

rkhunter --propupd

Ensuite, il faut mettre en place un cron qui le mettra à jour puis le lancera quotidiennement avec envoie d’un mail contenant les warnings.

Créer le fichier rkhunter.sh

vi /etc/cron.daily/rkhunter.sh

Le fichier rkhunter.sh doit contenir

#!/bin/sh
(
/usr/bin/rkhunter --versioncheck --nocolors && /usr/bin/rkhunter --update --nocolors && /usr/bin/rkhunter --cronjob --report-warnings-only --no-mail-on-warning 2>&1
) | /bin/mail -s "RKhunter Scan Details on `/bin/hostname`" root

Donner au fichier créé les bons droits

chmod 755 /etc/cron.daily/rkhunter.sh

C’est en place, félicitations !

Classé dans Administration, Sécurité

Mise en place de chkrootkit sous Centos

nov12
2010 Laisser un commentaire Par Michaël

chkrootkit est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n’a pas été compromis par un rootkit.

Il permet de détecter les traces d’une attaque et de rechercher la présence d’un rootkit sur un système Unix/Linux en vérifiant les quelques points suivants :

  • si des fichiers exécutables du système ont été modifiés ;
  • si la carte réseau est en mode « promiscuous » ;
  • si un ou des vers LKM (Loadable Kernel Module) sont présents.

La vérification effectuée au sujet du mode promiscuous consiste à voir si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu’un sniffer soit installé sur le système.

La définition exacte de rootkit donnée par Le Jargon Français est : « ensemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur), c’est-à-dire avec lequel on peut faire n’importe quoi) sur une machine Unix. »

Pour l’installer avec yum (version 32 bits) :

yum install chkrootkit.i386

Ensuite, il faut mettre en place un cron qui se lancera quotidiennement et qui enverra un mail contenant les possibles infections.

Créer le fichier chkrootkit.sh

vi /etc/cron.daily/chkrootkit.sh

Le fichier chkrootkit.sh doit contenir

#!/bin/sh
(
/usr/sbin/chkrootkit -q 2>&1
) | /bin/mail -s "Analyse chkrootkit sur `/bin/hostname` du `/bin/date +\%d`/`/bin/date +\%m`/`/bin/date +\%y`" votre@mail.ici

Donner au fichier créé les bons droits

chmod 755 /etc/cron.daily/chkrootkit.sh

C’est en place, félicitations !

Classé dans Administration, Sécurité

Modifier les ports SMTP(S) sous Plesk (Qmail)

nov12
2010 Laisser un commentaire Par Michaël

Il arrive que certains fournisseurs d’accès bloque le port 25. Il faut donc passer par un port différent pour pouvoir envoyer des mails par un serveur SMTP autre que celui de votre fournisseur d’accès.

Pour ce faire, éditez le fichier /etc/services et ajoutez par exemple :

smtp_alt 25025/tcp # new SMTP port

où 25025 est le numéro du port additionnel.

Ensuite faites une copie de /etc/xinetd.d/smtp_psa vers /etc/xinetd.d/smtp_psa_alt et modifier la ligne :

service smtp

en

service smtp_alt

Relancez xinetd

/etc/init.d/xinetd restart

Les connections SMTP sont dorénavant acceptées sur le port standard (25) et le port 25025. Pour info, le port alternatif du port 25 le plus courant est le port 587 qui est d’ailleurs déjà défini dans la liste des services.

Si vous souhaitez supprimer le port par défaut, il suffit simplement de supprimer le fichier /etc/xinetd.d/smtp_psa puis de redémarrer xinetd

/etc/init.d/xinetd restart

N’oubliez de reconfigurer vos webmails (Horde, Atmail) pour qu’ils utilisent ce nouveau port et continuent de fonctionner.

Cependant, Plesk détermine le statut du service SMTP en vérifiant le port 25 et ce n’est malheureusement pas modifiable. Si vous supprimez, comme ci-dessus, le port 25, ce service s’affichera comme inactif. Pour palier à ce problème, à la place de supprimer le fichier /etc/xinetd.d/smtp_psa, il faut le modifier en ajoutant bind = 127.0.0.1 dans sa configuration

service smtp
{
        bind = 127.0.0.1
        socket_type = stream
        protocol = tcp
        wait = no
        ...
}
Classé dans Administration, Linux
Older Entries

Catégories

Administration (5)
Développement (1)
Flex / Air (1)
Linux (4)
Sécurité (2)

WP Cumulus Flash tag cloud by Roy Tanck and Luke Morton requires Flash Player 9 or better.