⚔ Se protéger des certificats numériques falsifiés pour paraître légitimes avec installation de backdoors ou de rootkits sur Linux
Introduction
Les certificats numériques falsifiés sont parfois utilisés sur Linux pour installer des backdoors ou rootkits sous une apparence légitime. Ce tutoriel montre comment se protéger en vérifiant les certificats, en limitant leur installation et en surveillant les modifications au niveau système.
Prérequis
• Accès au terminal avec des droits root ou SUDO.
• Connaissance de base des certificats X.509 et des gestionnaires de certificats comme openssl et certutil.
• Installation d'outils de surveillance comme Auditd ou inotify-tools.
• Antivirus comme ClamAV pour vérifier les fichiers signés avec des certificats douteux.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Vérifier et supprimer les certificats suspects ou falsifiés.
• Méthode 2 : Restreindre l’installation de certificats à des utilisateurs spécifiques.
• Méthode 3 : Surveiller les modifications liées aux certificats en temps réel.
Avantages
Avantage de la méthode 1 : Élimine immédiatement les certificats non fiables du système.
Avantage de la méthode 2 : Limite les risques d'installation de certificats falsifiés par des utilisateurs malveillants.
Avantage de la méthode 3 : Permet une détection rapide et proactive des anomalies dans les certificats.
Inconvénients
Inconvénient de la méthode 1 : Requiert une vérification manuelle régulière pour détecter les nouveaux certificats.
Inconvénient de la méthode 2 : Peut restreindre les utilisateurs légitimes si mal configurée.
Inconvénient de la méthode 3 : Les outils de surveillance peuvent être complexes à configurer ou générer des alertes excessives.
⚙ Étapes à suivre pour la méthode 1
• Vérifiez les certificats installés sur le système avec openssl :
• Listez les certificats dans le magasin de certificats système :
• Identifiez les certificats suspects en vérifiant leur émetteur et leur validité :
• Supprimez un certificat douteux :
Pour de plus amples informations
• Gestion des certificats Linux
⚙ Étapes à suivre pour la méthode 2
• Modifiez les permissions du répertoire contenant les certificats pour restreindre leur gestion :
• Limitez l’ajout de certificats à un groupe d’utilisateurs spécifiques :
• Désactivez la mise à jour automatique des certificats si elle est exploitée par un patch malveillant :
• Bloquez l’accès à des fichiers de certificats spécifiques pour des utilisateurs non autorisés :
Pour de plus amples informations
• Permissions des certificats sur Linux
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd pour surveiller les modifications dans le répertoire des certificats :
• Ajoutez une règle pour auditer les changements dans /etc/ssl/certs :
• Vérifiez les événements enregistrés liés aux certificats :
• Utilisez inotify-tools pour une surveillance en temps réel :
Pour de plus amples informations
• Documentation Auditd
Astuce
Configurez un outil comme Fail2Ban pour bloquer automatiquement les connexions provenant d’utilisateurs ou d’IP suspectes liées à des certificats falsifiés.
Pour de plus amples informations
• Documentation Fail2Ban
Mise en garde
La suppression d’un certificat système critique peut perturber le fonctionnement d’applications ou de services essentiels. Testez toujours vos modifications dans un environnement sécurisé.
Conseil
Mettez régulièrement à jour votre système Linux pour réduire les vulnérabilités pouvant être exploitées par des certificats falsifiés ou compromis.
Pour de plus amples informations
• Mise à jour Linux
Solution alternative
Utilisez Wazuh pour surveiller et gérer les modifications des certificats et détecter les anomalies en temps réel.
Pour de plus amples informations
• Documentation Wazuh
Conclusion
Ces étapes permettent de renforcer la sécurité des systèmes Linux contre les certificats falsifiés. Combinez une gestion stricte des certificats, des restrictions d’accès et une surveillance active pour une protection optimale.
Source : Tutoriaux-Excalibur, merci de partager.

Les certificats numériques falsifiés sont parfois utilisés sur Linux pour installer des backdoors ou rootkits sous une apparence légitime. Ce tutoriel montre comment se protéger en vérifiant les certificats, en limitant leur installation et en surveillant les modifications au niveau système.

• Accès au terminal avec des droits root ou SUDO.
• Connaissance de base des certificats X.509 et des gestionnaires de certificats comme openssl et certutil.
• Installation d'outils de surveillance comme Auditd ou inotify-tools.
• Antivirus comme ClamAV pour vérifier les fichiers signés avec des certificats douteux.


• Nous utiliserons trois approches :
• Méthode 1 : Vérifier et supprimer les certificats suspects ou falsifiés.
• Méthode 2 : Restreindre l’installation de certificats à des utilisateurs spécifiques.
• Méthode 3 : Surveiller les modifications liées aux certificats en temps réel.








⚙ Étapes à suivre pour la méthode 1
• Vérifiez les certificats installés sur le système avec openssl :
Code:
sudo openssl x509 -in /etc/ssl/certs/NomCertificat.crt -text -noout
• Listez les certificats dans le magasin de certificats système :
Code:
sudo certutil -L -d /etc/pki/nssdb
• Identifiez les certificats suspects en vérifiant leur émetteur et leur validité :
Code:
sudo openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt NomCertificat.crt
• Supprimez un certificat douteux :
Code:
sudo rm /etc/ssl/certs/NomCertificat.crt

• Gestion des certificats Linux
⚙ Étapes à suivre pour la méthode 2
• Modifiez les permissions du répertoire contenant les certificats pour restreindre leur gestion :
Code:
sudo chmod 750 /etc/ssl/certs
• Limitez l’ajout de certificats à un groupe d’utilisateurs spécifiques :
Code:
sudo chgrp admin /etc/ssl/certs
• Désactivez la mise à jour automatique des certificats si elle est exploitée par un patch malveillant :
Code:
sudo systemctl disable ca-certificates.service
• Bloquez l’accès à des fichiers de certificats spécifiques pour des utilisateurs non autorisés :
Code:
sudo setfacl -m u:NomUtilisateur:r-- /etc/ssl/certs/NomCertificat.crt

• Permissions des certificats sur Linux
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd pour surveiller les modifications dans le répertoire des certificats :
Code:
sudo apt install auditd
• Ajoutez une règle pour auditer les changements dans /etc/ssl/certs :
Code:
sudo auditctl -w /etc/ssl/certs -p war -k certificat_monitoring
• Vérifiez les événements enregistrés liés aux certificats :
Code:
sudo ausearch -k certificat_monitoring
• Utilisez inotify-tools pour une surveillance en temps réel :
Code:
sudo apt install inotify-tools
Code:
inotifywait -m /etc/ssl/certs

• Documentation Auditd

Configurez un outil comme Fail2Ban pour bloquer automatiquement les connexions provenant d’utilisateurs ou d’IP suspectes liées à des certificats falsifiés.

• Documentation Fail2Ban

La suppression d’un certificat système critique peut perturber le fonctionnement d’applications ou de services essentiels. Testez toujours vos modifications dans un environnement sécurisé.

Mettez régulièrement à jour votre système Linux pour réduire les vulnérabilités pouvant être exploitées par des certificats falsifiés ou compromis.

• Mise à jour Linux

Utilisez Wazuh pour surveiller et gérer les modifications des certificats et détecter les anomalies en temps réel.

• Documentation Wazuh

Ces étapes permettent de renforcer la sécurité des systèmes Linux contre les certificats falsifiés. Combinez une gestion stricte des certificats, des restrictions d’accès et une surveillance active pour une protection optimale.
Source : Tutoriaux-Excalibur, merci de partager.