Fichier conf perdu et intégrité

Support Debian
Tags: #<Tag:0x00007fc6f1c388f8>
#1

Bonjour

Ayant installé auditd, AIDE et chrootkit.
Ayant essayé d’utiliser pam_mount et effacé par erreur pam_mount.conf.xml j’ai à chaque connexion sudo le message :
I/O warning : failed to load external entity « /etc/security/pam_mount.conf.xml »
(rdconf1.c:404): libxml detected a syntax error in /etc/security/pam_mount.conf.xml

De plus AIDE a tourné toute la nuit pour se configurer.
Ce matin auditd me renvoie les logs:
4. 13/08/2025 02:38:30 ANOM_RBAC_INTEGRITY_FAIL /usr/bin/aide pts/2 user 985
5. 13/08/2025 05:13:29 ANOM_RBAC_INTEGRITY_FAIL /usr/bin/aide ? ? unset 1046

Qu’en pensez vous?

#2

libpam_mount c’est pour monter une partition à la volée lors de l’authentification d’un user.

Pour aide, comment as-tu fait? RBAC c’est un problème de Role Base Access Control.
Il faut être root pour manipuler aide.
et avoir fait un aideinit bien sur (j’imagine que c’est ca qui a pris du temps), ce qui est normal).
Pour alléger AIDE tu peux desactiver cetains fichiers de conf si tu n’utilises pas ce qui correspond; par exemple, inutile d’avoir 31_aide_postfix si aucun postfix n’est installé.

#3

Ou j’ai fait un sudo aide --init --config /fichier /pathto/fichier-config
Sans le sudo cela ne marchait pas.
Mai je pense que j’ai fait un premier aide-init pas fini, car j’ai cru qu’il avit planté et je l’ai arrêté… pas bonne idée. Puis je l’ai refait et laissé la nuit.
C’est peut être cela qui a été notifié.

pour libpam_mout, oui j’ai voulu l’essayer, mais je ne m’en sers plus. dois je l’enlever?
Et j’ai effacé par mégarde le fichier de config. cela se recrée?

#4

si tu ne l’utilise pas, desinstalle le, c’est mieux.

Vérifie dans les fichiers /etc/pam.d que pam_mount n’y soit plus présent.

#5

J’ai aussi fait tourner RK Hunter

j’ai quelques warning

   Warning: Suspicious file types found in /dev:
 [13:26:41]          /dev/shm/3adb8fd6b7d370: data
    [13:26:41]          /dev/shm/a9b874533b801aec: data
    [13:26:41]          /dev/shm/ec302538f0fb028: data
    [13:26:41]   Checking for hidden files and directories       [ Warning ]
    [13:26:41] Warning: Hidden directory found: /etc/.java
#6

Pour voir qui utilise ces fichiers, regarde avec lsof en filtrant le nom du fichier

#7

la première est liée à mon installation de Matlab

   lsof: WARNING: can't stat() fuse.portal file system /run/user/1001/doc
      Output information may be incomplete.
COMMAND    PID                USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
MathWorks 3596 user  mem    REG   0,26      124    5 /dev/shm/3adb8fd6b7d370
MathWorks 3596 user  38u   REG   0,26      124    5 /dev/shm/3adb8fd6b7d370

Pour les autres c’est vide:

lsof: WARNING: can't stat() fuse.portal file system /run/user/1001/doc
      Output information may be incomplete.
#8

Tout a l’heure j’avais laissé OnlyOffice ouvert et j’avais une erreur aussi d’utilisation de la mémoire

#9

Je me demande deux choses.

J’ai réglé ufw sur allow outgoing, deny incoming
Est ce que je dois faire un deny outgoing et ouvrir port par port?

Est ce que je peux surveiller le trafic réseau pour voir quel programme tente de sortir sans mon accord ?

Juste pour savoir si les logiciels que j’installe ne transfèrent pas des données vers l’extérieur

#10

de toute façon /dev/shm ce n’est que du temporaire. les fichiers disparaissent au redémarrage.

#11

OK.

J’ai aussi installé CHrootkit et j’ai

Searching for suspicious files and dirs… WARNING

WARNING: The following suspicious files and directories were found:
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscodeignore
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.gitignore
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscode
/usr/lib/ruby/vendor_ruby/rubygems/tsort/.document
/usr/lib/ruby/vendor_ruby/rubygems/optparse/.document
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/jvm/.java-1.17.0-openjdk-amd64.jinfo
/usr/lib/python3/dist-packages/numpy/core/include/numpy/.doxyfile
/usr/lib/python3/dist-packages/numpy/f2py/tests/src/assumed_shape/.f2py_f2cmap
/usr/lib/python3/dist-packages/numpy/f2py/tests/src/f2cmap/.f2py_f2cmap
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierignore
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.eslintrc.js
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierrc
/usr/lib/python3/dist-packages/matplotlib/tests/baseline_images/.keep
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/.gitignore
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/_static/.gitignore

et

WARNING: Output from ifpromisc:
lo: not promisc and no packet sniffer sockets
wlp2s0: PACKET SNIFFER(/usr/sbin/NetworkManager[1056], /usr/sbin/NetworkManager[1056], /usr/sbin/wpa_supplicant[1299])

et

Checking `bindshell'...                                     WARNING

WARNING: Potential bindshell installed: infected ports: 4000

Je vais regarder sur le web a quoi cela correspond, probablement des faux positifs

#12

Celle ci est opérée par le programme « nx » qui pourrait être lié à mon installation de Nomachine

#13

D’un autre coté, les programme comme nomachine sont toujours des risques de sécurité. En premier lieu parce que c’est propriétaire, ensuite parce qu’il va être nécessaire de faire du X11Forwarding sur le SSH, si tu utilise du SSH.

Ce type de soft ne devrait pas être utilisé en dehors d’un VPN ou d’un tunnel pour ce ui est des condiération de sécurité.

Donc je ne suis pas surpris que chkrootkit le mentionne.

.

#14

Oui je suis bien conscient que ces programmes propriétaires ont des comportements peu amicaux.

Malheureusement c’est ce qui a été choisi la ou je suis pour notre serveur de calcul. La pour le coup il y a un informaticien qui s’en occupe et cela doit être plutôt bien fait coté serveur.

Mais par contre nous n’avons pas de VPN

J’envisage aussi un jour de me prendre par la main et passer mes programmes de Matlab sous Python car Gnu Octave m’est insuffisant.