Tutoriel 📝 Gestion des extensions de fichiers non sécurisées avec File Screening (Linux)

[Sylvain*]

Contrôle des extensions de fichiers non sécurisées sous Linux avec des outils de gestion avancée

Introduction

• Ce tutoriel vous montre comment utiliser des outils natifs de Linux comme inotify-tools et Auditd pour surveiller, restreindre ou bloquer les fichiers non sécurisés basés sur leurs extensions. Ces solutions sont idéales pour assurer la sécurité des systèmes critiques.

---

Prérequis

• Un système Linux (Debian, Ubuntu, CentOS, etc.).

• Privilèges root ou sudo.

• inotify-tools et Auditd installés sur le système.

---

Méthodologie

• Nous explorerons deux approches :

• Méthode 1 : Surveiller et bloquer avec inotify-tools.

• Méthode 2 : Configurer une surveillance approfondie avec Auditd.

---

Avantages des 2 méthodes

• Méthode 1 : Rapide et légère pour surveiller des dossiers spécifiques.

• Méthode 2 : Fournit un journal détaillé des événements de fichiers.

---

Inconvénients des 2 méthodes

• Méthode 1 : Moins adaptée à la gestion de nombreux dossiers.

• Méthode 2 : Configuration initiale complexe pour les utilisateurs débutants.

---

Étapes pour chaque méthode

Méthode 1 : Surveiller et bloquer avec inotify-tools


Installez inotify-tools :

sudo apt install inotify-tools

Créez un script Bash pour surveiller un dossier :

#!/bin/bash
inotifywait -m /chemin/vers/dossier -e create -e moved_to |
while read path action file; do
if [[ "$file" == *.exe || "$file" == *.bat ]]; then
echo "Fichier bloqué : $file" >> /var/log/fichier_bloque.log
rm "$path/$file"
fi
done

Rendez le script exécutable :

chmod +x surveillance.sh

Exécutez le script en arrière-plan :

./surveillance.sh &

---

Méthode 2 : Surveiller avec Auditd

Installez Auditd si nécessaire :

sudo apt install auditd

Ajoutez une règle pour surveiller un dossier spécifique :

sudo auditctl -w /chemin/vers/dossier -p war -k surveillance_fichiers

Configurez le fichier /etc/audit/audit.rules pour une surveillance persistante :

-w /chemin/vers/dossier -p war -k surveillance_fichiers

Affichez les journaux d’audit :

sudo ausearch -k surveillance_fichiers

---

Astuce

• Combinez les deux méthodes pour surveiller les extensions critiques et réagir automatiquement.

---

Mise en garde

• Les suppressions automatiques de fichiers peuvent entraîner des pertes involontaires. Utilisez un environnement de test avant de déployer en production.

---

Conseil

• Configurez une alerte par e-mail pour être informé des tentatives de création de fichiers non sécurisés.

---

Solution alternative

• Envisagez d'utiliser AppArmor ou SELinux pour restreindre les exécutions de fichiers non sécurisés.

---

Références

• Arch Wiki - inotify-tools

• Manuel Linux - Auditd

• Documentation Red Hat - SELinux

---

Conclusion

• La gestion des extensions de fichiers non sécurisées sous Linux est essentielle pour maintenir un environnement sécurisé. Les outils inotify-tools et Auditd offrent des solutions flexibles et efficaces pour surveiller et restreindre l'utilisation des fichiers.