⚔ Se protéger des patchs installant des tâches planifiées dans le système d’exploitation sur Linux
Introduction
Sur un système Linux, des patchs non officiels ou malveillants peuvent installer des tâches planifiées via cron, at ou d'autres mécanismes pour exécuter des scripts nuisibles. Ce tutoriel explique comment protéger votre système en identifiant et supprimant les tâches suspectes, en restreignant les permissions d'accès aux outils de planification, et en utilisant des outils de surveillance comme Auditd.
Prérequis
• Accès au terminal avec des droits root ou SUDO.
• Connaissance de base des commandes cron et at.
• Outils de surveillance des événements comme Auditd ou inotify-tools installés.
• Antivirus tel que ClamAV pour analyser les fichiers liés aux scripts planifiés.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Identifier et supprimer les tâches planifiées suspectes.
• Méthode 2 : Restreindre les permissions pour limiter l'utilisation des outils de planification.
• Méthode 3 : Surveiller les modifications liées aux tâches planifiées en temps réel.
Avantages
Avantage de la méthode 1 : Élimine immédiatement les tâches nuisibles présentes dans le système.
Avantage de la méthode 2 : Limite les possibilités pour les patchs malveillants d'ajouter des tâches planifiées.
Avantage de la méthode 3 : Détecte en temps réel toute tentative de modification des tâches planifiées.
Inconvénients
Inconvénient de la méthode 1 : Nécessite une surveillance manuelle pour détecter de nouvelles tâches malveillantes.
Inconvénient de la méthode 2 : Peut perturber les processus légitimes nécessitant des tâches planifiées.
Inconvénient de la méthode 3 : Requiert des outils supplémentaires et peut générer des alertes excessives.
⚙ Étapes à suivre pour la méthode 1
• Listez les tâches cron de l'utilisateur actuel :
• Supprimez toutes les tâches suspectes ou inutiles :
• Inspectez les tâches système planifiées dans
:
• Supprimez une tâche planifiée malveillante détectée :
• Recherchez les fichiers associés à at (tâches ponctuelles) :
• Supprimez une tâche spécifique identifiée :
Pour de plus amples informations
• Documentation sur cron et at
⚙ Étapes à suivre pour la méthode 2
• Limitez les utilisateurs autorisés à créer des tâches cron :
• Empêchez un utilisateur spécifique d’utiliser cron en modifiant le fichier
:
• Modifiez les permissions des répertoires de cron pour empêcher leur modification :
• Si un patch tente de modifier les fichiers cron, désactivez temporairement le service cron :
Pour de plus amples informations
• Gestion des permissions cron
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd pour surveiller les modifications dans les répertoires de cron :
• Configurez une règle pour auditer les fichiers cron :
• Affichez les événements enregistrés :
• Utilisez inotify-tools pour une surveillance en temps réel des fichiers cron :
Pour de plus amples informations
• Documentation Auditd
Astuce
Activez SELinux ou AppArmor pour ajouter une couche de restriction sur les scripts ou tâches planifiées.
Pour de plus amples informations
• Documentation AppArmor et SELinux
Mise en garde
Des configurations incorrectes peuvent perturber les services essentiels ou les tâches système nécessaires. Testez vos paramètres avant de les appliquer à un environnement critique.
Conseil
Gardez votre système à jour pour réduire les vulnérabilités exploitées par des patchs malveillants. Vérifiez également l’intégrité des fichiers avec AIDE ou Tripwire.
Pour de plus amples informations
• Documentation AIDE et Tripwire
Solution alternative
Installez un logiciel EDR comme Wazuh pour détecter et bloquer en temps réel les tâches malveillantes ou les modifications non autorisées.
Pour de plus amples informations
• Documentation Wazuh
Conclusion
En appliquant ces méthodes, vous renforcerez efficacement votre système Linux contre les patchs malveillants exploitant les tâches planifiées. Une combinaison de surveillance active et de restrictions bien configurées est essentielle pour protéger votre système.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionSur un système Linux, des patchs non officiels ou malveillants peuvent installer des tâches planifiées via cron, at ou d'autres mécanismes pour exécuter des scripts nuisibles. Ce tutoriel explique comment protéger votre système en identifiant et supprimant les tâches suspectes, en restreignant les permissions d'accès aux outils de planification, et en utilisant des outils de surveillance comme Auditd.
Prérequis• Accès au terminal avec des droits root ou SUDO.
• Connaissance de base des commandes cron et at.
• Outils de surveillance des événements comme Auditd ou inotify-tools installés.
• Antivirus tel que ClamAV pour analyser les fichiers liés aux scripts planifiés.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Identifier et supprimer les tâches planifiées suspectes.
• Méthode 2 : Restreindre les permissions pour limiter l'utilisation des outils de planification.
• Méthode 3 : Surveiller les modifications liées aux tâches planifiées en temps réel.
Avantages Avantage de la méthode 1 : Élimine immédiatement les tâches nuisibles présentes dans le système. Avantage de la méthode 2 : Limite les possibilités pour les patchs malveillants d'ajouter des tâches planifiées. Avantage de la méthode 3 : Détecte en temps réel toute tentative de modification des tâches planifiées. Inconvénients Inconvénient de la méthode 1 : Nécessite une surveillance manuelle pour détecter de nouvelles tâches malveillantes. Inconvénient de la méthode 2 : Peut perturber les processus légitimes nécessitant des tâches planifiées. Inconvénient de la méthode 3 : Requiert des outils supplémentaires et peut générer des alertes excessives.⚙ Étapes à suivre pour la méthode 1
• Listez les tâches cron de l'utilisateur actuel :
Code:
crontab -l• Supprimez toutes les tâches suspectes ou inutiles :
Code:
crontab -r• Inspectez les tâches système planifiées dans
Code:
/etc/cron*
Code:
sudo grep -r "bash" /etc/cron*• Supprimez une tâche planifiée malveillante détectée :
Code:
sudo rm /etc/cron.d/NomTâcheSuspecte• Recherchez les fichiers associés à at (tâches ponctuelles) :
Code:
atq• Supprimez une tâche spécifique identifiée :
Code:
atrm NuméroTâche• Documentation sur cron et at
⚙ Étapes à suivre pour la méthode 2
• Limitez les utilisateurs autorisés à créer des tâches cron :
Code:
sudo echo "UtilisateurAutorisé" > /etc/cron.allow• Empêchez un utilisateur spécifique d’utiliser cron en modifiant le fichier
Code:
/etc/cron.deny
Code:
sudo echo "NomUtilisateur" >> /etc/cron.deny• Modifiez les permissions des répertoires de cron pour empêcher leur modification :
Code:
sudo chmod 700 /etc/cron.*• Si un patch tente de modifier les fichiers cron, désactivez temporairement le service cron :
Code:
sudo systemctl stop cron• Gestion des permissions cron
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd pour surveiller les modifications dans les répertoires de cron :
Code:
sudo apt install auditd• Configurez une règle pour auditer les fichiers cron :
Code:
sudo auditctl -w /etc/cron.d -p war -k cron_monitoring• Affichez les événements enregistrés :
Code:
sudo ausearch -k cron_monitoring• Utilisez inotify-tools pour une surveillance en temps réel des fichiers cron :
Code:
sudo apt install inotify-tools
Code:
inotifywait -m /etc/cron.d• Documentation Auditd
AstuceActivez SELinux ou AppArmor pour ajouter une couche de restriction sur les scripts ou tâches planifiées.
Pour de plus amples informations• Documentation AppArmor et SELinux
Mise en gardeDes configurations incorrectes peuvent perturber les services essentiels ou les tâches système nécessaires. Testez vos paramètres avant de les appliquer à un environnement critique.
ConseilGardez votre système à jour pour réduire les vulnérabilités exploitées par des patchs malveillants. Vérifiez également l’intégrité des fichiers avec AIDE ou Tripwire.
Pour de plus amples informations• Documentation AIDE et Tripwire
Solution alternativeInstallez un logiciel EDR comme Wazuh pour détecter et bloquer en temps réel les tâches malveillantes ou les modifications non autorisées.
Pour de plus amples informations• Documentation Wazuh
ConclusionEn appliquant ces méthodes, vous renforcerez efficacement votre système Linux contre les patchs malveillants exploitant les tâches planifiées. Une combinaison de surveillance active et de restrictions bien configurées est essentielle pour protéger votre système.
Source : Tutoriaux-Excalibur, merci de partager.
