Très simple, tu mets une ligne
0 * * * * root /usr/bin/regarde
Dans crontab et tous les heures, il y a une recherche d’unb processus caché. Un mail à root est envoyé en cas de positif.
Idem pour surveillance sauf qu’il n’a pas besoin d’être root.
37 * * * * francois /usr/bin/surveille
Regarde la doc sur /usr/share/doc//README
Tres bien ce lien! Merci
Il faut rajouter 2 types de scan (je les ai pas vu):
-> Le scan par rebond ftp. Le pirate se connecte sur un serveur ftp pour scanner (le protocole FTP a cette “fonctionnalité”, il permet de faire communiquer 3 machines en fait)
-> Le idle-scan. Le pirate passe par une machine dont la pile tcp/ip n’est pas tres securisée. Idée assez originale.
Concernant Snort, je l’avais testé. A l’epoque cet outil ne faisait que detecter des attaques, je decouvre à l’instant qu’il peut etre maintenant actif.
J’avais installé snort-inline qui necessitait un patch du noyau (plus maintenant). Je trouve l’interet des Nids limité, surtout sans hids (aide,samhain,tripwire)
Un truc simple mais assez important c’est de faire des graphes (mrtg ou plutot rrdtool) de votre debit internet. Si à un moment vous voyez une augmentation anormale du traffic, c’est qu’il s’est passé quelquechose.
Important aussi c’est le fitrage en sortie (ouverture de connexion interne->externe).
Mot de passe costaud : http://grc.com/passwords.htm
etc…
Pour répondre à Matt, oui moi pareil je n’ai pas le temps de lire les rapports.
Logwatch ils sont gentils mais si ils pouvaient se mettre sur le port http je pourrai au moins voir ce que c’est… je crois que ca CHERCHE des mots clefs. Je prefere la politique inverse: enlever les lignes recurrentes normales et afficher le reste. Les 2 peut-etre oui pourquoi pas.
Ouai fin j’ai compliqué mes paswd, mais pas a ce point la:
pRt[(%E7]M’/VG!)7+G.8F5Hmw`v>/h~YxP"'kmDl$I|3…R[=G-PB{~4l3SO,s
Un bordel pareil faut jamais avoir a l’utiliser, parce que impossible a retenir et rien que pour l’écrire sur un papier t’en as déja pour 5min…
[quote=“avision”]Ouai fin j’ai compliqué mes paswd, mais pas a ce point la:
pRt[(%E7]M’/VG!)7+G.8F5Hmw`v>/h~YxP"'kmDl$I|3…R[=G-PB{~4l3SO,s
Un bordel pareil faut jamais avoir a l’utiliser, parce que impossible a retenir et rien que pour l’écrire sur un papier t’en as déja pour 5min…[/quote]
Je crois que sudo est censé aider à ca. A la limite, tu n’as meme pas besoin de les connaitre si tu utilises sudo. Enfin je suis pas partisant d’utiliser sudo.
Sinon tu prends la regle:
deux des trois type de caractères parmis: lettre, chiffre, ponctuation.
quote="BorisTheButcher"Je crois que sudo est censé aider à ca. A la limite, tu n’as meme pas besoin de les connaitre si tu utilises sudo. Enfin je suis pas partisant d’utiliser sudo.(…)[/quote] Pkoi ?
tu n’es pas obligé de laisser tous les droits à un sudoer, moi je touves ça plutot bien pour eviter de taper le mdp de comptes critiques.
Prk? Je sais pas, j’ai apris sur des stations unix et a l’epoque y avait pas de sudo donc j’ai du mal a capter sudo… vu que meme dans les tutos de debian ils expliquent que c’est recommandé j’en deduis que je dois me planter…
[quote]
tu n’es pas obligé de laisser tous les droits à un sudoer, moi je touves ça plutot bien pour eviter de taper le mdp de comptes critiques.[/quote]
Oui c’est clair, pas à la ubuntu “sudo su” ou meme ce que j’ai vu “sudo visudo” (qui revient au meme).
Mais ou fixer la limite? Par exemple t’as quoi toi dans ton sudo (si c pas indiscret…)? Si unix a definit des droits et des cloisonnements de droits (untel a pas le droit de lancer ifconfig), c’est qu’il y a une raison, je ne vois pas prk on utiliserait sudo pour les bypasser. En environnement ou tu veux deleguer des droits d’administration a certains utilisateurs sans leur donner de mot de passe (ce qui est souvent le cas), je veux bien. Mais dans mon cas ou j’administre moi-meme les machines, les avantages sont minimes comparés aux inconvenients. Actuellement ma machine a un accès ssh et fait proxy pour deux trois personnes. Je veux pas qu’ils aient des infos sur mon systeme.
Moi j’ai une fenetre root dans lequel je tappe mes commandes privilegiées et une fenetre user.
Ok les problèmes de ma methode c’est
Autocritique: en meme temps, il ya une regle qui dit: a partir du moment ou un utilisateur a un shell a votre machine, c’est juste une question de temps avant qu’il devienne root. donc mon accès ssh… (je cherche les problèmes mais justement je teste la sécurité de ma debian)
Pinaise, ca fume j’ai trop reflechi 
Tout ca pour un petit sudo c’est fou ce truc, ca me travaille depuis des mois lol
J’attends vos commentaires…
Bon, ben je vais y aller de mes commentaires alors, c’est plutôt pour demander des précisions… Je résume le contexte actuel qui me fait replonger dans ce fil :
[quote=“avision”]… J’ai bien passé 1/2h dans mes logs l’autre jour… c’était la 1er fois que j’allais voir la dedans[/quote]Voilà moi aussi et je vois ça :
Sep 27 15:01:36 localhost psad: scan detected: 221.2.73.51 -> 192.168.x.x tcp=[3128] SYN tcp=1 udp=0 icmp=0 dangerlevel: 2Ayant lu [quote=“http://abuse.numericable.fr/?MENUID=4&Langue=”]Le Port Scan peut avoir des usages légitimes, comme dans le cas de maintenance réseau, mais il peut aussi être de nature malicieuse si quelqu’un est à la recherche de failles sur votre ordinateur. Le Scan Port n’est pas en crime en soit. Il n’existe pas de façon d’empêcher quelqu’un de le faire, car la communication Internet est ainsi conçu. Il existe par contre des logiciels qui peuvent arrêter un Port Scanner de faire des dommages à votre système.[/quote]Je me dis que c’est peut-etre pas dramatique, mais je cherche des logiciels qui peuvent arrêter un Port ScannerJe tombe sur différent posts, dont un qui m’interesse : [quote=“http://linuxfr.org/~TImaniac/11888.html”]Enfin abuse c’est bien, mais vaut mieux ne l’utiliser que pour les choses importantes. Les scans barbare vaut mieux les ignorer* ou regarder la machine en face et lui faire comprendre qu’il faudrait arreter de jouer (25 ouvert par exemple).[/quote]Et effectivement, je préfère cette solution à un rapport à abuse, mais là, je cherche toujours les logiciels en question …
Quels sont les logiciels qui permettent de stopper un Port Scanner (avec un bon pti lien si possible pour apprendre à s’en servir 
) ?
Comment envoyer un message carrément à la machine qui scanne pour lui dire que ça va c’est bon ?
Comme je relis le fil en entier (un minimum), je résume ce que j’en retiens et ce que je dois tester :
[quote=“fran.b”]1) cacheproc qui affiche cherche les processus cachés et affiche les renseignements relatifs aux processus cachés trouvés (ligne de commande, répertoire, etc). Je l’avais développé après avoir constaté que checkrootkit ne remplissait pas son office et ne signalait pas des processus cachés existants (J’ai une une intrusion chez moi il y a 3 ans et checkrootkit n’a rien signalé et n’a pas détecté le rootkit SuckIT installé y compris lorsque je le lançais explicitement dans cette recherche (je meuis aperçu de l’intruision 6 heures après en gros).
Lancé régulièrement par cron, je suis prévenu de la modification d’un fichier (on s’aperçoit que ça arrive spontanément de temps à autre) par mail.[/quote]Au fait, on est prévenu par mail qu’au boot ou au login en console ?
Est-ce qu’il n’y a pas moyen d’etre prévenu par une pop-up, une fenetre d’alerte ?
Donc je peux installer cacheproc mis aimablement à disposition par fran.b, et chkrootkit, et comme fran.b tu signales que ce dernier n’est pas suffisant et que je lis :
[quote=“apt-cache show rkhunter”]Rootkit Hunter scans your system for known and unknown rootkits,
backdoors, sniffers and exploits.
.
Some of the tests it does:
[quote=“MattOTop”]Sur les chasseur de rootkit, AMA, plus y en a mieux c’est [/quote]Ok, il est temps de faire un pti résumé là, sinon je suis parti pour une page entière rien que pour ce post lol :
C’est cohérent, qu’est ce qu’il manque d’important ?
Pour cacheproc, il faut que je réfléchisse, ça doit être faisable ne serait ce que par xmessage. Je vais voir.
Pour surveillance, la réponse est oui, je me doutais que des programmes équivalents existaient mais je voulais un programme autosuffisant, compilé en statique (il est d’ailleurs livré avec md5sum-static qui est un md5sum en statique) de telle manière à ce que sur une machine réellement sensible, on puisse mettre le tout sur un CDROM avec l’assurance que quoi qu’il arrive, y compris la modification des librairies, le programme lui même soit intègre (Un CDROM ne peut être modifié). Par ailleurs, je voulais un truc simple d’emploi.
Pour checkrootkit, mes critiques (réellement fondées, il ne détectait ni une interface en mode promiscuous, ni le rootkit SuckIT) datent quand même de 2 ans, mais c’est vrai que ma confiance est ébranlée.
logwatch pour ne pas avoir à éplucher tous les logchecks.
[quote=“fran.b”]Pour cacheproc, il faut que je réfléchisse, ça doit être faisable ne serait ce que par xmessage. Je vais voir…[/quote]Tu pense à quelquechose ?
ps: mdr l’imgage sur la page d’accueil quand c’est en dérangement free 
moi aussi commence a devenir parano là 
si mon routeur est configuré pour ne diriger que le 22 ,le 80,et un je sais plus pour winnut, sur mon serveur,normalement pas besoin de firewall ?
sur un autre forum on m’a dit :mets toi un bon gros mot de passe,tu en risqueras rien.c’est vrai ?
sinon,est-ce que si je fis une copie de mon disque sur cd (ca doit pas depasser 200Mo je crois chez moi),et que en cas de problemes je le rebalance,ca passera ?
Test sur existence d’un displayprésent et envoi d’un message par xmessage. Mais il me faut un peu de temps et je n’en ai pas beaucoup en ce moment.
[quote=“dupdup17”]moi aussi commence a devenir parano là [/quote]Si tu souhaites faire de la sécyrité, on ne l’est jamais assez.[quote=“dupdup17”]si mon routeur est configuré pour ne diriger que le 22 ,le 80,et un je sais plus pour winnut, sur mon serveur,normalement pas besoin de firewall ?[/quote]On peut obtenir beaucoup de chose par rebond sur un routeur. Si la faille est là, alors ça vaut le coup d’avoir un parefeu AUSSI sur le serveur en plus de configurer celui du routeur physique. Mais c’est toi qui juges de tes investissements en sécurité (il y a toujours du travail) en fonction du risque que tu penses prendre.[quote=“dupdup17”]sur un autre forum on m’a dit :mets toi un bon gros mot de passe,tu en risqueras rien.c’est vrai ?[/quote]Ca c’est sûr, tu ne risques rien à le faire de toutes façon, sauf d’oublier le mot de passe. Mais ça ne suffit certainement pas si tu veux faire ça un peu sérieusement.[quote=“dupdup17”]sinon,est-ce que si je fis une copie de mon disque sur cd (ca doit pas depasser 200Mo je crois chez moi),et que en cas de problemes je le rebalance,ca passera ?[/quote]Testes ? Prends une knoppix (pas ghost qui marche mal avec les formats de partition ext), fais une image de ton disque, et restores là sur un autre.
[quote=“MattOTop”][quote=“dupdup17”]moi aussi commence a devenir parano là [/quote]Si tu souhaites faire de la sécyrité, on ne l’est jamais assez.[quote=“dupdup17”]si mon routeur est configuré pour ne diriger que le 22 ,le 80,et un je sais plus pour winnut, sur mon serveur,normalement pas besoin de firewall ?[/quote]On peut obtenir beaucoup de chose par rebond sur un routeur. Si la faille est là, alors ça vaut le coup d’avoir un parefeu AUSSI sur le serveur en plus de configurer celui du routeur physique. Mais c’est toi qui juges de tes investissements en sécurité (il y a toujours du travail) en fonction du risque que tu penses prendre.[quote=“dupdup17”]sur un autre forum on m’a dit :mets toi un bon gros mot de passe,tu en risqueras rien.c’est vrai ?[/quote]Ca c’est sûr, tu ne risques rien à le faire de toutes façon, sauf d’oublier le mot de passe. Mais ça ne suffit certainement pas si tu veux faire ça un peu sérieusement.[quote=“dupdup17”]sinon,est-ce que si je fis une copie de mon disque sur cd (ca doit pas depasser 200Mo je crois chez moi),et que en cas de problemes je le rebalance,ca passera ?[/quote]Testes ? Prends une knoppix (pas ghost qui marche mal avec les formats de partition ext), fais une image de ton disque, et restores là sur un autre.[/quote]Pour une sauvegarde de disk il y a aussi un petit utilitaire tres bien qui se nomme acronis true image sont seul défault etre propriétaire