Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 29/03/2018, à 10:42

Folavoalh

Re : Résulta d'analyse de rkhunter ??

bonjour,
je déterre cette discussion, ce matin j'ai eu une alarme virus suite au clic dans un mail malveillant (l'adresse commençait par un nom connu, je ne me suis pas méfié...
je suis sous ubuntu 16.04 64 bits, navigateur firefox
j'ai fait tourner rkhunter et j'ai eu les résultats suivants :
en commande report warning only :
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/shm/pulse-shm-1530965054: data
         /dev/shm/pulse-shm-3991868733: data
         /dev/shm/pulse-shm-2447374233: data
         /dev/shm/pulse-shm-885998629: data
         /dev/shm/pulse-shm-505901614: data
         /dev/shm/pulse-shm-1287827050: data
         /dev/shm/pulse-shm-3164730826: data
         /dev/shm/pulse-shm-1055513566: data
         /dev/shm/pulse-shm-3602784006: data
         /dev/shm/pulse-shm-3603842917: data

en commande check :
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [ Warning ]   en rouge...
    /usr/bin/bsd-mailx                                       [ OK ]
    ------
  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]   en rouge..
    Checking for hidden files and directories                [ None found ]

mes authentifications vers mon opérateur et ma boîte mail ont eu du mal à redémarrer et prennent leur temps pour s'afficher

est ce grave docteur
merci de vos commentaires
JL.C

Hors ligne

#27 Le 29/03/2018, à 10:49

jean-luc5629

Re : Résulta d'analyse de rkhunter ??

Folavoalh a écrit :

bonjour,
est ce grave docteur
merci de vos commentaires
JL.C

Salut;

Ici, très bonne réponse de bruno:

https://forum.ubuntu-fr.org/viewtopic.p … #p21892492

smile

Hors ligne

#28 Le 29/03/2018, à 11:06

Folavoalh

Re : Résulta d'analyse de rkhunter ??

ok très bien merci, mais si je peux faire quelque chose avant que ma machine ne meure, je voudrais bien savoir
ou que je m'aperçoive avoir été délesté de tous mes identifiants et mots de passe
j'essaie d’appréhender le danger avec les moyens du bord
si il y a mieux, je prends, mais si pas grave on laissera tomber
JL.C

Hors ligne

#29 Le 29/03/2018, à 11:34

bruno

Re : Résulta d'analyse de rkhunter ??

Je crois que tu n'a s pas compris ma réponse.
rkhunter ou chkrootkit ne sont pas des anti-virus leut usage est réservé aux spécialistes de la sécurité qui voudrait analyser une machine compromise.

De toute façon un anti-virus est parfaitement inutile sous GNU/Linux. Si tu n'utilises que les dépôts officiels de ta distribution, que tu fais régulièrement les mises à jour et que tu n'installes pas n'importe quel service sans savoir le configurer (pourquoi postfix sur ta machine ?) tu ne risques absolument rien.

Hors ligne

#30 Le 29/03/2018, à 12:33

Folavoalh

Re : Résulta d'analyse de rkhunter ??

mais si j'ai compris
et je ne cherche pas d'antivirus et je n'ai utilisé ces logiciels pour vérifier l'intégrité logicielle de mon pc, suite à un clic ce matin dans un mail, clic qui a déclenché une alarme virus, windows apparemment
je ne suis pas spécialiste windows ou linux, simple utilisateur
il est quand même écrit sur différents sites, que l'installation de "malware" sous linux est possible, d'où mon interrogation sur ces warnings
quant aux dépots, je n'y fais que rarement accès, les màj,
s'il n'y a pas de remède, je vais en rester là, on verra bien
JL.C

Hors ligne

#31 Le 30/03/2018, à 06:58

bruno

Re : Résulta d'analyse de rkhunter ??

L’installation d'applications malveillantes sous Linux est possible mais elle est extrêmement difficile et requiert une action volontaire de l'administrateur système (root).
Il n'y a pas de remède car il n'y a pas de maladie wink

Hors ligne

#32 Le 03/04/2018, à 17:03

bazzanella

Re : Résulta d'analyse de rkhunter ??

Je remonte ce post car il me semble important de préciser certains points concernant la sécurité. Cela sera utile à d'autres, je pense. Ni plus, ni moins.

1/ mettre à jour son BIOS et le protéger par mot de passe.

La raison est celle-ci : https://translate.google.com/translate? … rev=search
avec une démonstration qu'un pirate est capable de faire : https://www.youtube.com/watch?v=XpJT-nj4nss

2/ installer rkhunter après avoir installé ubuntu

Modifications dans /etc/rkhunter.conf :
ALLOWDEVFILE=/dev/shm/pulse-shm-*
ALLOWHIDDENDIR=/etc/.java

sudo rkhunter -c --rwo
devrait vous envoyer aucune alerte sur une ubuntu 16.04.4 lts

Paramétrez le parefeu. Personnellement, j'ai fait un petit script pour plus de facilité.

sudo firewall aide

J'ai mis ce script dans /usr/sbin/firewall avec un chmod 100. Ce script me sert également de mémo

#!/bin/bash

############# 0/ FONCTIONS ###################
##### ne pas modifier ########################

set_reset () {
 echo "o" | /usr/sbin/ufw --dry-run reset
 saverule=$(ls /etc/ufw/before.rules.*)
 cp $saverule /etc/ufw/before.rules
}

set_serviceStop () {
 /usr/sbin/service nmbd stop
 /usr/sbin/service smbd stop
}

set_serviceStart () {
 /usr/sbin/service nmbd restart
 /usr/sbin/service smbd restart
}

set_clean () {
 ### Nettoyage des sauvegardes des regles.
 rm -f /etc/ufw/after6.rules.*
 rm -f /etc/ufw/before6.rules.*
 rm -f /etc/ufw/after.rules.*
 rm -f /etc/ufw/before.rules.*
 rm -f /etc/ufw/user6.rules.*
 rm -f /etc/ufw/user.rules.*

 ### Appliquer la journalisation
 /usr/sbin/ufw logging on
}

set_save () {
 ### Appliquer les changements
 /usr/sbin/ufw disable
 /usr/sbin/ufw enable
} 

set_view () {
 ### Afficher les regles de parefeu (numérotées)
 echo ""
 echo "REGLES ACTIVES :"
 /usr/sbin/ufw status numbered
}

set_secure () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetSecure () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetSamba () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### autorise SSH port 22 en sortie
 /usr/sbin/ufw allow out 22/tcp

 ### autorise SAMBA 4
 # nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
 ## Kerberos 88tcp/udp
 /usr/sbin/ufw allow out  from 192.168.1.0/24 to 192.168.1.0/24 port 88
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 88
 ## End Point Mapper (DCE/RPC Locator Service) 135/tcp
 /usr/sbin/ufw allow out  proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 ## NetBIOS Name Service 137/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 ## NetBIOS Datagram 138/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 ## NetBIOS Session 139/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 ## LDAP 389/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 389
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 389
 ## SMB over TCP 445/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 ## Kerberos kpasswd 464/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 464
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 464
 ## LDAPS (TLS) 636/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 ## Dynamic RPC Ports 1024:1300/tcp 
 ## ( The range matches the port range used by Windows Server 2008 and later. Samba versions before 4.7 used the TCP ports 1024 to 1300 instead )
 ##/usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 49152:65535
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 1024:1300
 ## Global Catalog 3268/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3268
 ## Global Catalog SSL 3269/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3269
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Demarrage des services
 set_serviceStart
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetVpn1 () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### OPEN VPN entreprise
 /usr/sbin/ufw allow out on tun0
 # Ethernet
 /usr/sbin/ufw allow out on enp9s0 to X.X.X.X port 53,1195 proto udp
 # Carte Wifi
 /usr/sbin/ufw allow out on wlp12s0 to X.X.X.X port 53,1195 proto udp
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_defaut () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant
 ### On autorise tout en sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default allow outgoing
 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetPublic () {
 set_serviceStop
 set_reset

 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing

 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp

 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp

 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp

 ### autorise Mail Administration
 ## Web
 /usr/sbin/ufw allow out 7071/tcp

 ### autorise Zenthyal Administration
 ## Web
 /usr/sbin/ufw allow out 8443/tcp

 ### Autorise mail securise SSL
 # smtp
 /usr/sbin/ufw allow out 465/tcp
 # imap
 /usr/sbin/ufw allow out 993/tcp

 ### Autoriser le Whois en sortie
 /usr/sbin/ufw allow out 43/tcp

 ### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
 /usr/sbin/ufw allow out 11371/tcp

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_Maison () {
 set_serviceStop
 set_reset

 ### On bloque tout en entrant et autorise en sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default allow outgoing

 ### autoriser Internet en sortant
 #/usr/sbin/ufw allow out 80/tcp
 #/usr/sbin/ufw allow out 53/udp
 #/usr/sbin/ufw allow out 443/tcp

 ### autorise Proxmox Administration
 ## Web
 #/usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 #/usr/sbin/ufw allow out 8888/tcp
 ### autorise Mail Administration
 ## Web
 #/usr/sbin/ufw allow out 7071/tcp
 ### autorise Zenthyal Administration
 ## Web
 #/usr/sbin/ufw allow out 8443/tcp
 ### Autorise mail securise SSL
 # smtp
 #/usr/sbin/ufw allow out 465/tcp
 # imap
 #/usr/sbin/ufw allow out 993/tcp
 ### Autoriser le Whois en sortie
 #/usr/sbin/ufw allow out 43/tcp
 ### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
 #/usr/sbin/ufw allow out 11371/tcp
 ### autorise SSH port 22 en sortie
 #/usr/sbin/ufw allow out 22/tcp
 ### Autorise SSH en entree depuis portable 
 #/usr/sbin/ufw allow in proto tcp from 192.168.1.51 to 192.168.1.200 port 22
 ### autorise FTP en sortie
 #/usr/sbin/ufw allow out 20/tcp
 #/usr/sbin/ufw allow out 21/tcp

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Afficher les regles de parefeu (numérotées)
 set_view
}

set_internetDev () {
 set_serviceStop
 set_reset
 ### On bloque tout en entrant et sortant
 /usr/sbin/ufw default deny incoming
 /usr/sbin/ufw default deny outgoing
 ### autoriser Internet en sortant
 /usr/sbin/ufw allow out 80/tcp
 /usr/sbin/ufw allow out 53/udp
 /usr/sbin/ufw allow out 443/tcp
 ### autorise Proxmox Administration
 ## Web
 /usr/sbin/ufw allow out 8006/tcp
 ### autorise Pfsense Administration
 ## Web
 /usr/sbin/ufw allow out 8888/tcp
 ### Autorise mail securise SSL
 # smtp
 /usr/sbin/ufw allow out 465/tcp
 # imap
 /usr/sbin/ufw allow out 993/tcp
 ### autorise SSH port 22 en sortie
 /usr/sbin/ufw allow out 22/tcp
 ### autorise FTP en sortie
 /usr/sbin/ufw allow out 20/tcp
 /usr/sbin/ufw allow out 21/tcp

 ### autorise SAMBA 4
 # nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
 ## Kerberos 88tcp/udp
 /usr/sbin/ufw allow out  from 192.168.1.0/24 to 192.168.1.0/24 port 88
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 88
 ## End Point Mapper (DCE/RPC Locator Service) 135/tcp
 /usr/sbin/ufw allow out  proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 135
 ## NetBIOS Name Service 137/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 137
 ## NetBIOS Datagram 138/udp
 /usr/sbin/ufw allow out proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 /usr/sbin/ufw allow in proto udp from 192.168.1.0/24 to 192.168.1.0/24 port 138
 ## NetBIOS Session 139/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 139
 ## LDAP 389/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 389
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 389
 ## SMB over TCP 445/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 445
 ## Kerberos kpasswd 464/tcp udp
 /usr/sbin/ufw allow out from 192.168.1.0/24 to 192.168.1.0/24 port 464
 /usr/sbin/ufw allow in from 192.168.1.0/24 to 192.168.1.0/24 port 464
 ## LDAPS (TLS) 636/tcp
 /usr/sbin/ufw allow out proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 /usr/sbin/ufw allow in proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 636
 ## Dynamic RPC Ports 1024:1300/tcp
 ## ( The range matches the port range used by Windows Server 2008 and later. Samba versions before 4.7 used the TCP ports 1024 to 1300 instead )
 ##/usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 49152:65535
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 1024:1300
 ## Global Catalog 3268/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3268
 ## Global Catalog SSL 3269/tcp
 /usr/sbin/ufw allow proto tcp from 192.168.1.0/24 to 192.168.1.0/24 port 3269

 ### Appliquer les changements
 set_save
 ### Nettoyage des sauvegardes des regles.
 set_clean
 ### Demarrage des services
 set_serviceStart
 ### Afficher les regles de parefeu (numérotées)
 set_view
}


############## 1/ PARAMS ##################
##### ne pas modifier #####################

parametre="${1}"

if [ "${parametre}" == "list" ]; then
  ## Afficher les regles de parefeu (numérotées)
  set_view
  exit 0
fi

if [ "${parametre}" == "log" ]; then
  ## Afficher les logs du parefeu
  /usr/bin/tail -f /var/log/ufw.log
  exit 0
fi

if [ "${parametre}" == "stop" ]; then
  ## Stopper parefeu : DANGEREUX !
  /usr/sbin/ufw disable
  exit 0
fi

if [ "${parametre}" == "start" ]; then
  ## Demarrer parefeu : RECOMMANDER !
  /usr/sbin/ufw enable
  exit 0
fi

if [ "${parametre}" == "defaut" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Autoriser trafic sortant
  set_defaut
  exit 0
fi

if [ "${parametre}" == "secure" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  set_serviceStop
  set_secure
  exit 0
fi

if [ "${parametre}" == "internet" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  set_internetSecure
  exit 0
fi

if [ "${parametre}" == "maison" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  set_Maison
  exit 0
fi


if [ "${parametre}" == "vpn" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autoriser OpenVPN
  set_internetVpn1
  exit 0
fi

if [ "${parametre}" == "public" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autorise mail securise SSL, 445, 995 en sortant
  set_internetPublic
  exit 0
fi

if [ "${parametre}" == "dev" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## Autorise mail securise SSL, 445, 995 en sortant
  ## autorise SSH port 22 en sortie
  ## autorise FTP en sortie
  ## autorise Samba
  set_internetDev
  exit 0
fi

if [ "${parametre}" == "samba" ]; then
  ## Reset du parefeu avec les regles par defaut
  ## Interdire trafic entrant
  ## Interdire trafic sortant
  ## Autoriser Internet 80,443,8006,8888 et dns sur UDP 53 en sortant
  ## autorise SSH port 22 en sortie
  ## autorise Samba
  set_internetSamba
  exit 0
fi

if [ "${parametre}" == "help" -o "${parametre}" == "aide" ]; then
  echo "firewall secure (Interdire tout trafic entrant et sortant)"
  echo "firewall internet (Interdire tout trafic entrant et sortant sauf trafic Internet sortant 80,443,8006,8888 DNS udp 53)"
  echo "firewall vpn (internet + vpn + pfsense tcp 8888)"
  echo "firewall public (internet + mail)"
  echo "firewall maison (internet + mail + ssh)"
  echo "firewall samba (internet + SSH 22 + samba)"
  echo "firewall dev (internet + mail + SSH 22 + FTP 21 + samba)"
  echo "firewall defaut (Interdire tout trafic entrant, autoriser tout trafic sortant)"
  echo "firewall list (Liste des regles de parefeu)"
  echo "firewall (sans parametre : applique les regles définies)"


  exit 0
fi

################# 2/ MAIN ####################
##### ne pas modifier ########################

### Les regles s'appliquant à IPV6 sont désactivées
### sur le firewall puisque le noyau desactive tout trafic IPV6
### Modifier la ligne à : IPV6=no
### Puis sudo /env/firewall
cat /etc/default/ufw | grep "^IPV6"

### Le noyau pour desactiver l'IPV6
### /etc/sysctl.conf
### ajouter a la fin si necessaire
###    #disable ipv6
###    net.ipv6.conf.all.disable_ipv6 = 1
###    net.ipv6.conf.default.disable_ipv6 = 1
###    net.ipv6.conf.lo.disable_ipv6 = 1
cat /etc/sysctl.conf | grep "^net.ipv6.conf"

### autoriser les pings
### /etc/ufw/before.rules
###
###   # Autoriser les ping / ok icmp codes output
###   -A ufw-before-output -p icmp --icmp-type destination-unreachable -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type source-quench -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type time-exceeded -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type parameter-problem -j ACCEPT
###   -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPT

### Nettoyage des sauvegardes des regles.
set_clean

### Reset du parefeu avec les regles par defaut.
### (echo "o" | /usr/sbin/ufw reset)
set_reset

### On bloque tout en entrant et sortant
/usr/sbin/ufw default deny incoming
/usr/sbin/ufw default deny outgoing

################################################
################# 3/ REGLES ACTIVES ############
################################################
##### modifier si necessaire avec prudence #####

set_serviceStop

### autoriser Internet en sortie
/usr/sbin/ufw allow out 80/tcp
/usr/sbin/ufw allow out 53/udp
/usr/sbin/ufw allow out 443/tcp
### pfsense
/usr/sbin/ufw allow out 8888/tcp
### hyperviseur
/usr/sbin/ufw allow out 8006/tcp
### autres
/usr/sbin/ufw allow out 8080/tcp
/usr/sbin/ufw allow out 8443/tcp
/usr/sbin/ufw allow out 5050/tcp

### autorise SSH port 22 en sortie
/usr/sbin/ufw allow out 22/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.0.13 to 192.168.1.102 port 22

### autorise SSH port 22 en ENTREE
### depuis 192.168.0.13 (backup)
#/usr/sbin/ufw allow in proto tcp from 192.168.0.13 to 192.168.1.102 port 22

### autorise RSYNC port 873
#/usr/sbin/ufw allow out 873/tcp
### vers et depuis 192.168.0.13 (backup)
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.13 port 873
#/usr/sbin/ufw allow in proto tcp from 192.168.0.13 to 192.168.1.102 port 873

### autorise DHCP en sortie depuis Machine Machin vers Pfsense 192.168.0.254
### SPT=68 depuis 192.168.1.102 vers DPT=67 192.168.0.254 en udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 port 68 to 192.168.0.254 port 67

### Autoriser le Whois en sortie
/usr/sbin/ufw allow out 43/tcp

### Autoriser le port des clés publiques des dépôts de paquets logiciels de Launchpad en sortie
/usr/sbin/ufw allow out 11371/tcp

### autorise SAMBA 4
## Kerberos 88tcp/udp
#/usr/sbin/ufw allow out  from 192.168.1.102 to 192.168.0.1 port 88
#/usr/sbin/ufw allow in from 192.168.0.1 to 192.168.1.102 port 88
## nf_conntrack_netbios_ns présent dans PT_MODULES, fichiers /etc/default/ufw
## End Point Mapper (DCE/RPC Locator Service) 135/tcp
#/usr/sbin/ufw allow out  proto tcp from 192.168.1.102 to 192.168.0.1 port 135
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 135
## NetBIOS Name Service 137/udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 to 192.168.1.0/24 port 137
#/usr/sbin/ufw allow in proto udp from 192.168.0.1 to 192.168.1.102 port 137
## NetBIOS Datagram 138/udp
#/usr/sbin/ufw allow out proto udp from 192.168.1.102 to 192.168.1.0/24 port 138
#/usr/sbin/ufw allow in proto udp from 192.168.1.102 to 192.168.0.1 port 138
## NetBIOS Session 139/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.1 port 139
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 139
## LDAP 389/tcp udp
#/usr/sbin/ufw allow out from 192.168.1.102 to 192.168.0.1 port 389
##/usr/sbin/ufw allow in from 192.168.0.1 to 192.168.1.102 port 389
## SMB over TCP 445/tcp
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.1 port 445
#/usr/sbin/ufw allow in proto tcp from 192.168.0.1 to 192.168.1.102 port 445

### PostGRESQL
## Acces a la BD depuis le poste de Machin
#/usr/sbin/ufw allow out proto tcp from 192.168.1.102 to 192.168.0.250 port 5432

### NE PAS DECOMMENTER. (juste pour info)
## Vnc Web Console
#/usr/sbin/ufw allow out 5900:5999/tcp
## Spice
#/usr/sbin/ufw allow out 3198/tcp
## rpcbind
#/usr/sbin/ufw allow out 111/tcp
## corosync multicast (if you run a cluster): 5404, 5405 UDP
#/usr/sbin/ufw allow out 5404/udp
#/usr/sbin/ufw allow out 5405/udp

################# 4/ EXECUTION ###############
##### ne pas modifier ########################

set_save
set_serviceStart
set_view

et voici le /etc/sysctl.conf

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
net.ipv4.conf.all.log_martians = 1
#
#disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Dernière modification par bazzanella (Le 03/04/2018, à 17:06)


"Sans contrôle total de l'utilisateur, le logiciel n'est rien."
Mes pages Internet

Hors ligne

#33 Le 04/04/2018, à 09:59

bruno

Re : Résulta d'analyse de rkhunter ??

Bonjour,

Le mot de passe au niveau du bios n'est utile qu'en cas d'accès physique à la machine. Il ne fera que ralentir un peu l'attaquant puisque facile à faire sauter. La seule protection valable contre un accès physique est le chiffrement avec mots de passes solides.

rkhunter n'est pas à proprement parler un outil de sécurité, c'est un outil d'analyse post-mortem (bis repetita). Cet outil n'a rien à faire sur une machine de bureau.

Le pare-feu est très généralement inutile sur une machine isolée (vieux débat…)

Ton /etc/sysctl.conf est une « recette » pour ton usage personnel. Tout le monde n'a pas besoin ou envie de désactiver l'IPv6 par exemple ! De plus ce type de configuration se fait sous /etc/sysctl.d/ et on dans le fichier sysctl.conf.

Dernière modification par bruno (Le 04/04/2018, à 10:02)

Hors ligne

#34 Le 04/04/2018, à 21:19

bazzanella

Re : Résulta d'analyse de rkhunter ??

bruno a écrit :

Bonjour,

Le mot de passe au niveau du bios n'est utile qu'en cas d'accès physique à la machine. Il ne fera que ralentir un peu l'attaquant puisque facile à faire sauter.

Bonsoir Bruno.
https://www.youtube.com/watch?v=XpJT-nj4nss


"Sans contrôle total de l'utilisateur, le logiciel n'est rien."
Mes pages Internet

Hors ligne

#35 Le 05/04/2018, à 13:05

bruno

Re : Résulta d'analyse de rkhunter ??

Quelle rapport entre cette vidéo et le mot de passe du bios ?

Hors ligne

#36 Le 05/04/2018, à 13:20

bazzanella

Re : Résulta d'analyse de rkhunter ??

bruno a écrit :

Quelle rapport entre cette vidéo et le mot de passe du bios ?

C'est une démonstration d'un root kit BIOS EUFI

Il faut donc pour s'en préserver :
S'assurer que UEFI SecureFlash est activé
Mettre à jour le BIOS chaque fois qu'il existe un correctif de sécurité
Configurer un mot de passe BIOS ou UEFI


"Sans contrôle total de l'utilisateur, le logiciel n'est rien."
Mes pages Internet

Hors ligne

#37 Le 05/04/2018, à 13:29

bruno

Re : Résulta d'analyse de rkhunter ??

Une ressource textuelle fiable ?
Comment est installé ce rootkit et où s'installe-t-il ?

Hors ligne

#38 Le 05/04/2018, à 13:31

bazzanella

Re : Résulta d'analyse de rkhunter ??

bruno a écrit :

Une ressource textuelle fiable ?
Comment est installé ce rootkit et où s'installe-t-il ?

Comme cité dans mon premier message de ce fil : https://translate.google.com/translate? … rev=search


"Sans contrôle total de l'utilisateur, le logiciel n'est rien."
Mes pages Internet

Hors ligne

#39 Le 05/04/2018, à 13:45

bruno

Re : Résulta d'analyse de rkhunter ??

Oui ce genre de rootkit dans les BIOS est connu depuis longtemps (parfois même installés par les constructeurs).

Mais pour l'installer il faut avoir eu un accès physique à la machine (ou à la limite un accès root à distance). De plus la démonstration que tu cites fonctionne sous Windows et exploite des failles Windows.

Les problèmes de sécurité Windows ce n'est pas le sujet ici.

Dernière modification par bruno (Le 05/04/2018, à 13:45)

Hors ligne