| Mandrake Linux 8.2: Manuel de référence serveur | ||
|---|---|---|
| Page précédente | Chapitre 10. De la sécurité sous GNU/Linux | Page suivante |
Alors vous avez suivi les conseils donnés ici (ou ailleurs) et avez détecté une effraction? La première chose à faire est de garder votre calme. Des actions précipitées peuvent causer plus de dégâts que ce qu'aurait fait l'attaquant.
Repérer une violation de sécurité sur le vif peut être une expérience stressante. Comment vous réagissez peut avoir de graves conséquences.
Si la violation que vous voyez est physique, il y a des chances que vous voyiez quelqu'un en train de violer votre maison, bureau ou laboratoire. Vous devriez avertir les autorités locales. Dans un laboratoire, vous pourriez voir quelqu'un en train d'essayer d'ouvrir un boîtier ou de redémarrer une machine. Suivant votre compétence et le règlement, vous pouvez leur demander d'arrêter ou contacter le personnel de sécurité local.
Si vous avez détecté un utilisateur local en train d'essayer de compromettre votre sécurité, la première chose à faire est de confirmer qu'il est bien celui que vous pensez. Vérifiez le site depuis lequel il est connecté. Est-ce le site habituel? Non? Alors utilisez un moyen non électronique pour rentrer en contact. En l'occurrence, appelez le par téléphone ou allez à leur bureau/maison pour lui parler. S'ils admettent qu'ils sont connectés, vous pouvez leur demander d'expliquer ce qu'ils étaient en train de faire ou leur intimer d'arrêter. S'ils ne sont pas connectés, et n'ont aucune idée de ce dont vous parlez, l'incident demandera sans doute plus d'investigations. Examinez bien chaque incident, et récoltez le plus d'information possible avant de faire une quelconque accusations.
Si vous avez détecté une violation réseau, la première chose à faire (si vous le pouvez) est de déconnecter votre réseau. S'ils sont connectés par modem, débranchez le câble du modem; s'ils sont connectés par Ethernet, déconnectez le câble Ethernet. Cela les empêchera de faire plus de dommages, et ils interpréteront cela comme un problème réseau plutôt qu'une détection.
Si vous ne pouvez pas déconnecter le réseau (si vous avez un site occupé, ou n'avez pas le contrôle physique des machines), la meilleure étape suivante est d'utiliser quelque chose comme les encapsuleurs TCP ou ipfwadm pour refuser l'accès au site de l'intrus.
Si vous ne pouvez pas refuser tous les utilisateurs du même hôte que celui de l'intrus, bloquer le compte de cet utilisateur devrait fonctionner. Notez que bloquer un compte n'est pas chose aisée. Vous devez prendre en compte les fichiers .rhosts, accès FTP, et une foule de portes dérobées possibles.
Après que vous avez fait l'une des choses précédentes (déconnecté le réseau, refusé l'accès depuis leur site, et/ou désactivé leur compte), vous devez tuer tous leurs processus utilisateurs et les déconnecter.
Vous devriez soigneusement surveiller votre site dans les minutes qui suivent, car l'attaquant pourra essayer de revenir. Peut-être en utilisant un autre compte, et/ou en utilisant une autre adresse réseau.
Alors vous avez détecté une violation qui a déjà eu lieu ou vous l'avez détectée et avez mis dehors (espérons-le) l'intrus. Et maintenant?
Si vous pouvez trouver le moyen qu'a utilisé l'attaquant pour pénétrer votre système, vous devriez essayer de boucher ce trou. En l'occurrence, vous verrez peut-être plusieurs entrées FTP juste avant que l'utilisateur ne se connecte. Désactivez le service FTP et recherchez s'il existe une version mise à jour, ou si une liste quelconque connaît un remède.
Consultez tous vos fichiers de log, et faites une visite à vos listes de sécurité et sites Web pour voir s'il n'y a pas un nouveau trou que vous pourriez boucher. Vous pouvez trouver les mises à jour de sécurité de Mandrake Linux en lançant MandrakeUpdate régulièrement.
Il y a maintenant un projet d'audit de sécurité GNU/Linux. ils explorent méthodiquement tous les utilitaires utilisateurs à la recherche de possibles exploitations détournées et débordements. Extrait de leur annonce :
« Nous tentons un audit systématique des sources GNU/Linux avec le but de devenir aussi sûr que OpenBSD. Nous avons déjà découvert (et résolu) quelques problèmes, mais plus d'aide serait la bienvenue. La liste n'est pas modérée et est aussi une source utile pour des discussions générales de sécurité. La liste de l'adresse est : security-audit@ferret.lmh.ox.ac.uk. Pour vous inscrire, envoyez un message à : security-audit-subscribe@ferret.lmh.ox.ac.uk »
Si vous ne gardez pas l'intrus hors de portée, il reviendra sans doute. Pas seulement sur votre machine, mais quelque part sur votre réseau. S'il utilisait un renifleur de paquets, il y a de bonnes chances qu'ils aient accès à d'autres machines locales.
La première chose à faire est d'évaluer les dégâts. Qu'est-ce qui a été corrompu? Si vous utilisez un contrôleur d intégrité tel que Tripwire, vous pouvez le lancer pour exécuter une vérification d'intégrité, et cela devrait vous aider à dire ce qui a été corrompu. Sinon, vous devrez vérifier toutes vos données importantes.
Du fait que les systèmes GNU/Linux deviennent de plus en plus facile à installer, vous devriez envisager de sauvegarder vos fichiers de configuration pour effacer vos disques puis réinstaller GNU/Linux, et restaurer les fichiers utilisateurs et fichiers de configuration des sauvegardes. Cela assurera que vous avez à nouveau un système propre. Si vous devez sauvegarder des données depuis le système corrompu, soyez particulièrement vigilant avec tous les binaires que vous restaurez, car ils pourraient contenir des chevaux de Troie, placés là par l'intrus.
La Réinstallation devrait être considérés obligatoire après qu'un intrus a obtenu l'accès root. De plus, vous voudrez sans doute garder toutes les preuves, avoir un disque de rechange est donc recommandé.
Vous devez alors vous préoccuper de la date de l'intrusion, et si la sauvegarde contient alors du travail endommagé.
Faire des sauvegardes régulières est une aubaine pour les problèmes de sécurité. Si votre système est compromis, vous pouvez restaurer les données dont vous avez besoin des sauvegardes. Bien sûr, des données intéressent l'intrus aussi, et ils ne feront pas que la détruire, ils la voleront et garderont leur propre copie; Mais au moins vous aurez encore vos données.
Vous devriez vérifier plusieurs sauvegardes en arrière avant de restaurer un fichier qui a été compromis. L'intrus pourrait avoir compromis vos fichiers il y a longtemps, et vous pourriez avoir fait plusieurs sauvegardes valides du fichier corrompu!
Bien sûr, il y a aussi une flopée de soucis avec les sauvegardes. Assurez vous de les stocker dans un endroit sûr. Soyez informé de qui y accède. (Si un attaquant peut obtenir vos sauvegardes, il peut accéder à toutes vos données sans que vous vous en rendiez compte.)
OK, vous avez mis l'intrus hors de portée, et récupéré votre système, mais vous n'avez pas tout à fait fini encore. Bien qu'il soit improbable que la plupart des intrus soient jamais pris, vous devriez dénoncer l'attaque.
Vous devriez rendre compte de l'attaque au contact administratif du site depuis lequel l'attaquant s'en est pris à votre système. Vous pouvez rechercher ce contact avec whois ou la base de données Internic. Vous devriez leur envoyer un courriel avec toutes les entrées de log concernées, dates et heures. Si vous avez remarqué quoi que ce soit d'autre distinctif à propos de l'intrus, vous devriez le mentionner de même. Après avoir envoyé le courriel, vous devriez (si vous y êtes disposé) le faire suivre d'un appel téléphonique. Si cet administrateur repère lui aussi l'attaquant, il pourrait être capable de contacter l'administrateur du site depuis lequel il vient, et ainsi de suite.
Les bons crackers utilisent souvent plusieurs systèmes intermédiaires, certains (ou plusieurs) desquels pouvant ne pas même être au courant qu'ils ont été violé. Essayer de pister un cracker jusqu'à son système de base peut être difficile. En restant poli avec les administrateurs auxquels vous parlez peut être utile pour obtenir de l'aide de leur part.
Vous devriez aussi avertir toutes les organisations de sécurité dont vous faites partie, (CERT ou autre), ainsi que MandrakeSoft: mandrakelinux.com
| Page précédente | Début | Page suivante |
| Préparation de sécurité (avant de vous connecter) | Remonter | Documents de base |