⚔ Protection contre la création de comptes utilisateurs cachés sur Linux
Introduction
Ce tutoriel explique comment détecter et bloquer la création de comptes utilisateurs cachés dans un environnement Linux, une technique utilisée par des outils de contrefaçon pour infiltrer un système. Nous aborderons trois méthodes : l’inspection des fichiers système, les commandes SUDO, et la configuration d’un pare-feu pour limiter les connexions suspectes.
Prérequis
• Accès à un terminal avec des permissions root ou SUDO.
• Compréhension des commandes Linux de base.
• Outils comme iptables ou ufw installés pour configurer le pare-feu.
• Un fichier journal système lisible (
ou équivalent selon la distribution).
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Inspection des fichiers système pour identifier les comptes suspects.
• Méthode 2 : Utilisation de commandes SUDO pour détecter et gérer les utilisateurs.
• Méthode 3 : Configuration du pare-feu pour bloquer les connexions des outils malveillants.
Avantages
Avantage de la méthode 1 : Basée sur les fichiers natifs de Linux, aucune installation requise.
Avantage de la méthode 2 : Flexibilité avec SUDO pour détecter et supprimer rapidement des comptes.
Avantage de la méthode 3 : Protège le système contre les connexions entrantes non autorisées.
Inconvénients
Inconvénient de la méthode 1 : Nécessite des connaissances sur la structure des fichiers système.
Inconvénient de la méthode 2 : Les erreurs dans les commandes peuvent perturber le système.
Inconvénient de la méthode 3 : Un pare-feu mal configuré peut bloquer des services légitimes.
⚙ Étapes à suivre pour la méthode 1
• Vérifiez les utilisateurs créés dans le fichier
.
• Utilisez la commande suivante pour lister les utilisateurs :
• Comparez avec les utilisateurs connus pour détecter les noms suspects.
• Vérifiez les connexions des comptes utilisateurs via le fichier
(ou
sur certaines distributions) :
• Supprimez les comptes suspects avec précaution.
Pour de plus amples informations
• Documentation sur passwd et auth.log
⚙ Étapes à suivre pour la méthode 2
• Listez tous les comptes utilisateurs avec la commande :
• Pour supprimer un utilisateur suspect, exécutez :
• Désactivez un compte temporairement en modifiant son shell :
• Remplacez "NomUtilisateurSuspect" par le nom du compte en question.
Pour de plus amples informations
• Documentation sur usermod et userdel
⚙ Étapes à suivre pour la méthode 3
• Pour bloquer des adresses IP suspectes avec ufw, exécutez :
• Bloquez toutes les connexions sortantes sauf celles autorisées :
• Ajoutez des exceptions pour des services essentiels :
• Pour des configurations avancées, utilisez iptables pour bloquer des ports spécifiques. Exemple :
Pour de plus amples informations
• Documentation sur ufw et iptables
Astuce
Planifiez des audits réguliers des fichiers de logs et des utilisateurs avec cron pour automatiser la détection.
Pour de plus amples informations
• Audit utilisateur sur Linux
Mise en garde
Les suppressions de comptes ou modifications dans les fichiers système doivent être effectuées avec précaution. Faites toujours une sauvegarde avant d'appliquer des modifications critiques.
Conseil
Maintenez votre système à jour et installez un IDS (Intrusion Detection System) comme Fail2Ban ou OSSEC pour renforcer la sécurité.
Pour de plus amples informations
• Outils IDS sur Linux
Solution alternative
Envisagez d'utiliser des outils comme Lynis ou Auditd pour effectuer des analyses approfondies de la sécurité des utilisateurs et des journaux.
Pour de plus amples informations
• Lynis et Auditd sur Github
• Lynis et Auditd sur Google
Conclusion
En appliquant ces méthodes, vous pouvez protéger votre système Linux contre les comptes utilisateurs cachés. Assurez-vous d’auditer régulièrement votre système et de maintenir vos outils à jour pour rester à l’abri des menaces.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCe tutoriel explique comment détecter et bloquer la création de comptes utilisateurs cachés dans un environnement Linux, une technique utilisée par des outils de contrefaçon pour infiltrer un système. Nous aborderons trois méthodes : l’inspection des fichiers système, les commandes SUDO, et la configuration d’un pare-feu pour limiter les connexions suspectes.
Prérequis• Accès à un terminal avec des permissions root ou SUDO.
• Compréhension des commandes Linux de base.
• Outils comme iptables ou ufw installés pour configurer le pare-feu.
• Un fichier journal système lisible (
Code:
/var/log/auth.log• Nous utiliserons trois approches :
• Méthode 1 : Inspection des fichiers système pour identifier les comptes suspects.
• Méthode 2 : Utilisation de commandes SUDO pour détecter et gérer les utilisateurs.
• Méthode 3 : Configuration du pare-feu pour bloquer les connexions des outils malveillants.
Avantages Avantage de la méthode 1 : Basée sur les fichiers natifs de Linux, aucune installation requise. Avantage de la méthode 2 : Flexibilité avec SUDO pour détecter et supprimer rapidement des comptes. Avantage de la méthode 3 : Protège le système contre les connexions entrantes non autorisées. Inconvénients Inconvénient de la méthode 1 : Nécessite des connaissances sur la structure des fichiers système. Inconvénient de la méthode 2 : Les erreurs dans les commandes peuvent perturber le système. Inconvénient de la méthode 3 : Un pare-feu mal configuré peut bloquer des services légitimes.⚙ Étapes à suivre pour la méthode 1
• Vérifiez les utilisateurs créés dans le fichier
Code:
/etc/passwd• Utilisez la commande suivante pour lister les utilisateurs :
Code:
cat /etc/passwd | awk -F: '{print $1}'• Comparez avec les utilisateurs connus pour détecter les noms suspects.
• Vérifiez les connexions des comptes utilisateurs via le fichier
Code:
/var/log/auth.log
Code:
/var/log/secure
Code:
grep "Accepted" /var/log/auth.log• Supprimez les comptes suspects avec précaution.
Pour de plus amples informations• Documentation sur passwd et auth.log
⚙ Étapes à suivre pour la méthode 2
• Listez tous les comptes utilisateurs avec la commande :
Code:
sudo awk -F: '$3 >= 1000 {print $1}' /etc/passwd• Pour supprimer un utilisateur suspect, exécutez :
Code:
sudo userdel -r NomUtilisateurSuspect• Désactivez un compte temporairement en modifiant son shell :
Code:
sudo usermod -s /sbin/nologin NomUtilisateurSuspect• Remplacez "NomUtilisateurSuspect" par le nom du compte en question.
Pour de plus amples informations• Documentation sur usermod et userdel
⚙ Étapes à suivre pour la méthode 3
• Pour bloquer des adresses IP suspectes avec ufw, exécutez :
Code:
sudo ufw deny from IP_Suspecte• Bloquez toutes les connexions sortantes sauf celles autorisées :
Code:
sudo ufw default deny outgoing• Ajoutez des exceptions pour des services essentiels :
Code:
sudo ufw allow out to IP_Confiance• Pour des configurations avancées, utilisez iptables pour bloquer des ports spécifiques. Exemple :
Code:
sudo iptables -A OUTPUT -p tcp --dport 80 -j DROP• Documentation sur ufw et iptables
AstucePlanifiez des audits réguliers des fichiers de logs et des utilisateurs avec cron pour automatiser la détection.
Pour de plus amples informations• Audit utilisateur sur Linux
Mise en gardeLes suppressions de comptes ou modifications dans les fichiers système doivent être effectuées avec précaution. Faites toujours une sauvegarde avant d'appliquer des modifications critiques.
ConseilMaintenez votre système à jour et installez un IDS (Intrusion Detection System) comme Fail2Ban ou OSSEC pour renforcer la sécurité.
Pour de plus amples informations• Outils IDS sur Linux
Solution alternativeEnvisagez d'utiliser des outils comme Lynis ou Auditd pour effectuer des analyses approfondies de la sécurité des utilisateurs et des journaux.
Pour de plus amples informations• Lynis et Auditd sur Github
• Lynis et Auditd sur Google
ConclusionEn appliquant ces méthodes, vous pouvez protéger votre système Linux contre les comptes utilisateurs cachés. Assurez-vous d’auditer régulièrement votre système et de maintenir vos outils à jour pour rester à l’abri des menaces.
Source : Tutoriaux-Excalibur, merci de partager.
