[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Systeme attaque

ca prends plusieurs points :

1) verifier la presence du rootkit (par exemple faire un ps -ax si il te
dit pas que ps -ax is deprecated et qu a la place on utilise ps ax, le
rootkit est installé, d'autres solutions existent aussi pour verifier sa
presence.

2) verifie qu'un sniffer ne soit pas installé sur ta machine, il existe
des utilitaires pour les detecter

Des bon points, certainments. Cependant, si ton systeme a vraiment
ete cracke maintes fois, tu ferais mieux,si c'est du tout possible, 
de tout reinstaller et de "recommencer" avec un systeme configure
de facon plus securitaire.  J'ignore si ta machine est un serveur
commercial ou simplement ta machine desktop, ce qui pourrait
decider si tu as l'option de tout recommencer, mais ce serait
vraiment plus securitaire. 

Voici les chose de base que je ferais (certains repetent ce que
dis Benoit plus bas.):

-reinstalle OS. Installe seulement les packages essentiels, ne choisis
pas une des installation de base de RH. 

*Avant* de mettre la machine en-ligne:

- fais une liste des rpm sur ta machine 

# rpm -qa > /tmp/package_list

Delete ceux qui ne sont pas essentiels qui aurait echappes a la
selection lors de l'installation.

-fais un listing ps, regarde les process (Ah! devinez-vous que je
suis anglophone! :-). Arrete ceux qui ne te semblent pas essentiels.
Si tu reconnais pas un process que tu vois dans la liste, lis
la page man. Il y aura probablement deux sorte de process que tu
ne reconnaitras pas: ceux qui appartiennent au kernel, comme kswapd et
kflushd, et ceux que tu veux arreter si tu en a pas besoin, comme
nfsd, et portmap. 

-empeche les process pas rapport d'etre commencer lorsque
la machine boot. Va dans /etc/rc.d/init.d (pour les systemes
 RH). Cache les fichiers d'initialisation des choses que tu
ne veux pas commencer lorsque la machine boot. Par example,

# mv nfsd HIDE.nfsd

Ceci va empecher NFS d'etre commencer lorsque la machine boot

- shadow ton fichier password. Je crois que Rh 6.0 le fait
   par default, maintenant.

- dans le ficher /etc/inetd.conf "comment out" (terme francais?)
  le services non-essentiels. Sur une machine personelle, typiquement,
  je commente out *tous* les services dans inetd.conf, et j'installe
  ssh, que j'utilise a la place de telnet et ftp. Si le machine
  est un serveur qui doit offrir des services comme telnet et ftp,
  utilise tcp_wrappers, qui te permet de restreidre qui a acces
  a ces services. NOTE: apres avoir "commented" les services dans
  inetd.conf, HUP inetd:

  # kill -HUP `cat /var/run/inetd.pid`

  pour que les modifications soit reconnues par inetd. 

- Comme dis Benoit, aussitot que possible, download et applique
   tous les update redhat. 

- configure syslog

- Une autre chose qui est super le fun a faire, est downloader
  les outils des cracker, et de les essayer *sur tes propres
  machines* pour decouvrir les vulnerabilitees. 


La Redhat est la distrib qui a mon gout necessite le plus de modifs afin
d'en faire quelque chose d a peu pres sur (le totalement sur n existe
pas) en opposition a la debian.

Redhat est plutot poche du cote default securite. Il devrait
mettre un gros message de warning avant de laisser les gens faire
un "install everything". Ce n'est vraiment pas une facon securitaire
de proceder.

-Julie