⚔ Comment se protéger d'une injection dans les clés de registre sous Linux
Introduction
Bien que les clés de registre n'existent pas sous Linux comme elles le font sous Windows, des fichiers critiques tels que ceux dans
ou des fichiers de démarrage automatique peuvent être modifiés pour exécuter des scripts malveillants. Ce tutoriel explique comment identifier et bloquer ces modifications indésirables sous Linux.
Prérequis
• Système fonctionnant sous Linux
• Accès au terminal avec des privilèges sudo
• Connaissance de base des fichiers de démarrage comme
ou les services systemd
• Un outil comme Auditd ou Tripwire pour surveiller les modifications
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Inspection manuelle des fichiers critiques
• Méthode 2 : Surveillance des modifications avec des scripts shell
• Méthode 3 : Utilisation d'outils avancés comme Auditd pour un contrôle en temps réel
Avantages
Avantage de la méthode 1 : Facile à mettre en œuvre et sans dépendance logicielle
Avantage de la méthode 2 : Automatisation des vérifications pour une gestion simplifiée
Avantage de la méthode 3 : Surveillance proactive et notifications en temps réel
Inconvénients
Inconvénient de la méthode 1 : Chronophage et peu efficace pour de multiples fichiers
Inconvénient de la méthode 2 : Requiert une configuration initiale
Inconvénient de la méthode 3 : Nécessite l'installation et la configuration d'outils supplémentaires
⚙ Étapes à suivre pour la méthode 1
• Ouvrez un terminal et inspectez les fichiers critiques comme :
• Recherchez des lignes suspectes exécutant des scripts ou des commandes non reconnues
• Commentez ou supprimez les lignes suspectes après vérification, en ajoutant un
au début
• Sauvegardez le fichier avec CTRL+O et quittez avec CTRL+X
• Vérifiez les services systemd pour d’éventuelles manipulations :
Pour de plus amples informations
• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
⚙ Étapes à suivre pour la méthode 2
• Créez un script shell pour surveiller les modifications dans un fichier critique :
• Sauvegardez ce script sous
et rendez-le exécutable :
• Planifiez son exécution régulière avec cron :
• Ajoutez une tâche pour exécuter le script toutes les heures :
Pour de plus amples informations
• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd si ce n'est pas encore fait :
• Configurez une règle pour surveiller les modifications dans
:
• Vérifiez les journaux d’audit avec :
Pour de plus amples informations
• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
Astuce
Attribuez des permissions en lecture seule à des fichiers critiques avec
pour prévenir les modifications non autorisées
Pour de plus amples informations
• Informations additionnelles sur Google
Mise en garde
Assurez-vous de tester toutes les règles ou scripts dans un environnement de test avant de les appliquer sur un système de production
Conseil
Effectuez des sauvegardes régulières de vos fichiers critiques pour restaurer rapidement en cas d’altérations malveillantes
Pour de plus amples informations
• Informations additionnelles sur Google
Solution alternative
Utilisez Tripwire pour surveiller et alerter en cas de modification des fichiers critiques
Pour de plus amples informations
• Informations additionnelles sur Github
• Informations additionnelles sur Google
Conclusion
Sous Linux, la sécurité des fichiers critiques est essentielle pour éviter des injections malveillantes. Une combinaison de surveillance manuelle et d’outils avancés comme Auditd ou Tripwire garantit une protection optimale
Source: Tutoriaux-Excalibur, merci de partager.
IntroductionBien que les clés de registre n'existent pas sous Linux comme elles le font sous Windows, des fichiers critiques tels que ceux dans
Code:
/etc• Système fonctionnant sous Linux
• Accès au terminal avec des privilèges sudo
• Connaissance de base des fichiers de démarrage comme
Code:
/etc/rc.local• Un outil comme Auditd ou Tripwire pour surveiller les modifications
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Inspection manuelle des fichiers critiques
• Méthode 2 : Surveillance des modifications avec des scripts shell
• Méthode 3 : Utilisation d'outils avancés comme Auditd pour un contrôle en temps réel
Avantages Avantage de la méthode 1 : Facile à mettre en œuvre et sans dépendance logicielle Avantage de la méthode 2 : Automatisation des vérifications pour une gestion simplifiée Avantage de la méthode 3 : Surveillance proactive et notifications en temps réel Inconvénients Inconvénient de la méthode 1 : Chronophage et peu efficace pour de multiples fichiers Inconvénient de la méthode 2 : Requiert une configuration initiale Inconvénient de la méthode 3 : Nécessite l'installation et la configuration d'outils supplémentaires⚙ Étapes à suivre pour la méthode 1
• Ouvrez un terminal et inspectez les fichiers critiques comme :
Code:
sudo nano /etc/rc.local• Recherchez des lignes suspectes exécutant des scripts ou des commandes non reconnues
• Commentez ou supprimez les lignes suspectes après vérification, en ajoutant un
Code:
#• Sauvegardez le fichier avec CTRL+O et quittez avec CTRL+X
• Vérifiez les services systemd pour d’éventuelles manipulations :
Code:
sudo systemctl list-units --type=service --state=running• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
⚙ Étapes à suivre pour la méthode 2
• Créez un script shell pour surveiller les modifications dans un fichier critique :
Code:
#!/bin/bash
file_to_watch="/etc/rc.local"
checksum_file="/backup/rc_local_checksum"
current_checksum=$(md5sum "$file_to_watch" | awk '{print $1}')
stored_checksum=$(cat "$checksum_file")
if [ "$current_checksum" != "$stored_checksum" ]; then
echo "Modification détectée dans $file_to_watch !"
cp "$file_to_watch" "/backup/rc_local_modified_$(date +%F).bak"
echo "$current_checksum" > "$checksum_file"
fi• Sauvegardez ce script sous
Code:
monitor_rc_local.sh
Code:
chmod +x monitor_rc_local.sh• Planifiez son exécution régulière avec cron :
Code:
crontab -e• Ajoutez une tâche pour exécuter le script toutes les heures :
Code:
0 * * * * /chemin/vers/monitor_rc_local.sh• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
⚙ Étapes à suivre pour la méthode 3
• Installez Auditd si ce n'est pas encore fait :
Code:
sudo apt install auditd• Configurez une règle pour surveiller les modifications dans
Code:
/etc/rc.local
Code:
sudo auditctl -w /etc/rc.local -p wa -k rc_local_watch• Vérifiez les journaux d’audit avec :
Code:
sudo ausearch -k rc_local_watch• Informations additionnelles sur Linux.org
• Informations additionnelles sur le forum Ubuntu
AstuceAttribuez des permissions en lecture seule à des fichiers critiques avec
Code:
chattr +i• Informations additionnelles sur Google
Mise en gardeAssurez-vous de tester toutes les règles ou scripts dans un environnement de test avant de les appliquer sur un système de production
ConseilEffectuez des sauvegardes régulières de vos fichiers critiques pour restaurer rapidement en cas d’altérations malveillantes
Pour de plus amples informations• Informations additionnelles sur Google
Solution alternativeUtilisez Tripwire pour surveiller et alerter en cas de modification des fichiers critiques
Pour de plus amples informations• Informations additionnelles sur Github
• Informations additionnelles sur Google
ConclusionSous Linux, la sécurité des fichiers critiques est essentielle pour éviter des injections malveillantes. Une combinaison de surveillance manuelle et d’outils avancés comme Auditd ou Tripwire garantit une protection optimale
Source: Tutoriaux-Excalibur, merci de partager.
