Tutoriel ⚔ Protection contre les certificats falsifiés et rootkits sous Linux

Sylvain*

Administrateur
Membre VIP
Membre présenté
Membre
Se protéger des certificats numériques falsifiés pour paraître légitimes avec installation de backdoors ou de rootkits sur Linux

🔦 Introduction

Les certificats numériques falsifiés sont parfois utilisés sur Linux pour installer des backdoors ou rootkits sous une apparence légitime. Ce tutoriel montre comment se protéger en vérifiant les certificats, en limitant leur installation et en surveillant les modifications au niveau système.



🔬 Prérequis

• Accès au terminal avec des droits root ou SUDO.

• Connaissance de base des certificats X.509 et des gestionnaires de certificats comme openssl et certutil.

• Installation d'outils de surveillance comme Auditd ou inotify-tools.

• Antivirus comme ClamAV pour vérifier les fichiers signés avec des certificats douteux.



📋 Méthodologie

📜 Introduction

Nous utiliserons trois approches :

Méthode 1 : Vérifier et supprimer les certificats suspects ou falsifiés.

Méthode 2 : Restreindre l’installation de certificats à des utilisateurs spécifiques.

Méthode 3 : Surveiller les modifications liées aux certificats en temps réel.



👍 Avantages

✅ Avantage de la méthode 1 : Élimine immédiatement les certificats non fiables du système.

✅ Avantage de la méthode 2 : Limite les risques d'installation de certificats falsifiés par des utilisateurs malveillants.

✅ Avantage de la méthode 3 : Permet une détection rapide et proactive des anomalies dans les certificats.



👎 Inconvénients

❌ Inconvénient de la méthode 1 : Requiert une vérification manuelle régulière pour détecter les nouveaux certificats.

❌ Inconvénient de la méthode 2 : Peut restreindre les utilisateurs légitimes si mal configurée.

❌ Inconvénient de la méthode 3 : Les outils de surveillance peuvent être complexes à configurer ou générer des alertes excessives.



Étapes à suivre pour la méthode 1

• Vérifiez les certificats installés sur le système avec openssl :

Code:
sudo openssl x509 -in /etc/ssl/certs/NomCertificat.crt -text -noout

• Listez les certificats dans le magasin de certificats système :

Code:
sudo certutil -L -d /etc/pki/nssdb

• Identifiez les certificats suspects en vérifiant leur émetteur et leur validité :

Code:
sudo openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt NomCertificat.crt

• Supprimez un certificat douteux :

Code:
sudo rm /etc/ssl/certs/NomCertificat.crt

🔗 Pour de plus amples informations

Gestion des certificats Linux



Étapes à suivre pour la méthode 2

• Modifiez les permissions du répertoire contenant les certificats pour restreindre leur gestion :

Code:
sudo chmod 750 /etc/ssl/certs

• Limitez l’ajout de certificats à un groupe d’utilisateurs spécifiques :

Code:
sudo chgrp admin /etc/ssl/certs

• Désactivez la mise à jour automatique des certificats si elle est exploitée par un patch malveillant :

Code:
sudo systemctl disable ca-certificates.service

• Bloquez l’accès à des fichiers de certificats spécifiques pour des utilisateurs non autorisés :

Code:
sudo setfacl -m u:NomUtilisateur:r-- /etc/ssl/certs/NomCertificat.crt

🔗 Pour de plus amples informations

Permissions des certificats sur Linux



Étapes à suivre pour la méthode 3

• Installez Auditd pour surveiller les modifications dans le répertoire des certificats :

Code:
sudo apt install auditd

• Ajoutez une règle pour auditer les changements dans /etc/ssl/certs :

Code:
sudo auditctl -w /etc/ssl/certs -p war -k certificat_monitoring

• Vérifiez les événements enregistrés liés aux certificats :

Code:
sudo ausearch -k certificat_monitoring

• Utilisez inotify-tools pour une surveillance en temps réel :

Code:
sudo apt install inotify-tools

Code:
inotifywait -m /etc/ssl/certs

🔗 Pour de plus amples informations

Documentation Auditd



💡 Astuce

Configurez un outil comme Fail2Ban pour bloquer automatiquement les connexions provenant d’utilisateurs ou d’IP suspectes liées à des certificats falsifiés.

🔗 Pour de plus amples informations

Documentation Fail2Ban



🚨 Mise en garde

La suppression d’un certificat système critique peut perturber le fonctionnement d’applications ou de services essentiels. Testez toujours vos modifications dans un environnement sécurisé.



🔖 Conseil

Mettez régulièrement à jour votre système Linux pour réduire les vulnérabilités pouvant être exploitées par des certificats falsifiés ou compromis.

🔗 Pour de plus amples informations

Mise à jour Linux



🔎 Solution alternative

Utilisez Wazuh pour surveiller et gérer les modifications des certificats et détecter les anomalies en temps réel.

🔗 Pour de plus amples informations

Documentation Wazuh



💬 Conclusion

Ces étapes permettent de renforcer la sécurité des systèmes Linux contre les certificats falsifiés. Combinez une gestion stricte des certificats, des restrictions d’accès et une surveillance active pour une protection optimale.

Source : Tutoriaux-Excalibur, merci de partager.
 

Campagne de dons

Dons pour T-E

Campagne de dons pour T-E
Objectif
300.00 $
Reçu
125.81 $
Cette collecte de dons se termine dans
33 semaines, 2 jours, 6 heures, 37 minutes, 39 seconds
  41.9%

En ligne

Aucun membre en ligne actuellement.

Statistiques des forums

Discussions
18 696
Messages
29 996
Membres
356
Dernier inscrit
lukette

Nouveaux membres

Retour
Haut Bas