Bonjour
Je souhaite juste a près le login lancer le programme « snort » dans un terminal.
j’ai donc placé un script dans /etc/profile.d qui contient:
#!/bin/sh
wait 10
konsole -e snort -c /usr/local/etc/snort/snort.lua -i wlp2s0 -A alert_fast -s 65535 -k none
Le script est executable rendu executable par root grace à par chmod 711
Mais rien ne se lance.
Merci d’avance
Je trouve très étrange de :
1 - lancer un programme KDE à partir de /etc/profile.d, d’autant plus que je suppose que ‹ snort › demande un accès root;
2 - utiliser ‹ snort › qui semble une vieillerie
→ snort / old-old-stable
Donc pour commencer, accessoirement, d’où provient ‹ snort ›, et la commande est-elle fonctionnelle ?
Quelle distribution utilises-tu pour y trouver ‹ snort › ?
Est-ce Snort++ externe à Debian ?
Merci pour ta réponse.
Snort provient du github de son developpeur, il semble le le developpement aie repris et j’ai suivi le tuto de Découverte de Snort 3 | DevSecOps
J’avais trouvé le nom ce programme dans 10.3. Mise en place de détection d'intrusion qui date effectivement beaucoup.
et…
Ah desolé j’ai zappé.
Oui la commande marche parfaitement si je la lance une fois loggué et avec un sudo
La question est plus précisément non pas avec ‹ sudo snort … ›, mais le script que tu montres est-il fonctionnel ?
Pourquoi aurais-tu besoin de ‹ konsole › en root ??? Dans quelle session pourrait se lancer konsole qui a besoin d’un environnement graphique ??
Toujours en suivant les recommandations de l’ANSSI j’ai vérouillé mon compte root.
Je ne peux lancer des commande super utilisateur que par sudo.
Effectivement Konsole ne peut se lancer en root et cela est probablement la cause de mon souci.
J’ai par ailleurs un compte administrateur et un compte utilisateur.
C’est dans ce dernier que je cherche à afficher les alertes snort qui aurait pu être lancé au démarrage ou au login
Ce n’est certainement pas ‹ l’ANSI › qui te recommande de lancer konsole en root à partir d’un script système. Ça n’a pas de sens.
Comme ça ressemble à du bricolage et que je ne comprends pas ce que tu veux faire avec konsole en ‹ root ›, je ne peux en dire plus, sauf de repenser à tout ça en profondeur.
Je ne pense pas que Linux soit réservé à ceux qui ont pu apprendre à l’école et que les « bricoleurs » doivent s’abstenir et payer des professionnels pour leur services. Sinon autant rester sous WIndows. La référence à l’ANSSI, qui recommande bien de verrouiller son compte root provient d’une confusion avec mon autre post Aide pour AIDE - #4 par Anonymous23 puisque c’est des documents que je lis. Snort est conseillé dans le document officiel de Debian qui n’a jamais été mis a jour.
Ce que je veux faire c’est lancer snort au login et afficher sa sortie dans une fenêtre pour que je puisse être alerté en cas d’intrusion. Effectivement à ce stade c’est du bricolage, je suis preneur d’une méthode plus rigoureuse.
Bonne journée
L’idée de lancer une session graphique en root est à oublier (parce-que etc etc…)
Dans une session graphique user (= non root), tu peux toujours ouvrir un terminal spécifique pour surveillance snort, et après un ‹ su - ›, lancer directement ‹ snort -c /usr/local/etc/snort/snort.lua -i wlp2s0 -A alert_fast -s 65535 -k none ›.
Pour lancer automatiquement un script en session user, on utilise le répertoire ~/.config/autostart/ , dans lequel tu pourrais lancer au démarrage le script snort sh suivant (avec un chmod +x):
#!/bin/sh
sleep 10
xterm -hold -title snort -c 'sudo /usr/sbin/snort -c /usr/local/etc/snort/snort.lua -i wlp2s0 -A alert_fast -s 65535 -k none'
ou
#!/bin/sh
sleep 10
konsole --hold -e 'sudo /usr/sbin/snort -c /usr/local/etc/snort/snort.lua -i wlp2s0 -A alert_fast -s 65535 -k none'
en supposant que l’exécutable snort est bien /usr/sbin/snort, à adapter sinon.
La différence est que le terminal est ouvert en session user, mais seule la commande snort est lancée avec des droits root.
Pour que sudo ne demande pas de mot de passe au user toto spécifiquement pour une commande, il faut configurer visudo.
toto ALL=NOPASSWD: /usr/sbin/snort
utilise suricata c’est un service, donc pas de script quelconque pour le lancer.
Snort a été racheté par Cisco il y a pas mal d’année d’où sa disparition de Debian.
Sudo est une defaillacne de sécurité si on considère l’a&ccès à toutes les commande.
Sudo ne devrait être utilisable qu’avec des commandes définies y compris pour les options, sinon c’est une dévalorisation de la fonctionnalité d’administrateur.
la raison la plus simple, c’ets qu’un mot de passe utilisateur, et son utilisation son moins fiable que celle de l’administrateur.
Quand à ce genre de chose c’est sale. Mettre un système de sécurité sans aucune précaution de sécurité, c’est comme avoir un système d’alarme avec la porte ouverte.
Merci a vous deux pour vos réponses. Votre aide m’est précieuse et je fais beaucoup de progrès grâce à vous.
Je vais essayer suricata
A terme je ferai une nouvelle installation plus propre
Ce qui est regrettable est de lancer un nouveau sujet sur les alternatives à snort, avant même d’avoir terminé l’analyse de ton démarrage automatique de terminal root, qui n’est pas spécifique à snort. C’est de la perte d’information.
Tu peux toujours ouvrir un nouveau sujet ‹ alternatives à snort ›.
Au passage, un script doit toujours être testé avant d’être lancé en automatique.
Comme tu n’as pas précisé la distribution que tu utilises, je suis surpris du ‹ wait 10 › dans ton script. J’aurais mis plutôt ‹ sleep 10 ›.
Vérifies que ‹ wait 10 › fonctionne dans ta distribution.
Bonjour @Verner
Tu as raison c’est sleep qu’il faut mettre, je suis bien sous Debian 12.
Ma mémoire a fourché pour la commande.
Pourtant le script fonctionne dans le sans ou le script lance bien snort, mais n’attends pas 10s
@Zargos Je suis surpris. L’ANSSI recommande la cloture du compte root. J’ai donc un compte administrateur qui est le seul a être dans les sudoers et un compte courant pour travailler. Effectivement l’ANSSI recommande également la restriction des opérations possibles avec sudo ce qui est un peu bizarre vu qu’il n’y a plus d’accès au compte root?
@Verner , ta solution d’autostart est très intéressante mais je comprends que c’est aussi une faille de sécurité. Je la garde sous le coude pour des programmes moins stratégiques
Bonne journée
Ca ne reste que des recommandations.
Clôturer le compte root sous linux est une aberration. Par contre sous WIndows (car je crois que l’ANSSI par de super-utilisateur) c’est pertinent et très souvent pratiqué.
Ceci étant nombre de ces recommandations sont anciennes et pas toujours mises à jour au regards des pratiques et technologies actuelles.
Il faudrait détailler exactement pourquoi avec des explications non pas théoriques sorties de généralités approximatives et fumeuses, mais très précises, avec exemples à l’appui, et expliquer comment tu comprenais que lancer un environnement graphique en session root n’était pas une énorme faille de sécurité.
Bref, tout est relatif, et chacun a sa compréhension du sujet. C’est l’avantage du libre.
Bon courage.
Avoir une session xterm permanente en tant que root, c’est s’exposer potentiellement à un exploit par terminal croisé . terminal exploitation.
D’autant qu’à ma connaissance snort avait la capacité de se lancer somme un service, donc rendant ce type de démarrage inutile.
Car un snort qui ne tourne pas en permanence n’a qu’un intérêt extrêmement limité, comme tout IDS d’ailleurs dans de pareilles conditions.
Je ne suis pas intéressé par ce genre de considération générale et théorique.
Il ne s’agit pas de laisser un terminal ouvert en root qui serait accessible à un visiteur, mais d’une seule commande, snort en l’occurrence exécutée dans un terminal ouvert en user, comme pour toute autre commande nécessitant des droits root.
C’est toute la différence entre la théorie et la pratique de la compréhension du sujet.
A chacun son interprétation personnalisée du sujet.
Bon courage.
Simplement on ne me l’avais jamais dit. 
Mais puisqu’on aborde ce point je suis en train de chercher sur le net la raison de cela et tout ce que je trouve est vague du type « mais voyons, c’est évident » ou « on va pas le répéter ». Donc pourriez vous me diriger vers une bonne explication?
Merci
OK j’ai fini par trouver ce lien vulgarisation de Root et sécurité (résolu) (Page 2) / Sécurité / Forum Ubuntu-fr.org
Je comprends mieux