Durcissement d’un socle Linux Ubuntu – Installation de contre mesure pour les rootkit

ubuntuDans la suite de notre durcissement, nous allons installer des mesures (Composants techniques) qui vont nous permettre de savoir si notre serveur dispose d’un rootkit malveillant. On n’apprécie pas particulièrement que notre plateforme héberge des accès non autorisés dans notre approche PCI DSS.

Je vous propose de voir les outils suivants qui peuvent répondre à nos attentes sur les plates formes Linux.

Je ne m’attarderait pas sur le choix ou non d’installer ce type d’outils mais dans notre approche de durcissement et de maitrise de notre système d’information dans une bulle PCI DSS. Il me semble normal de prouver à nos auditeurs QSA que nous sommes en phase avec les différents moyens sécuritaire que nous disposons au sein d’un SI maitrisé.

 

 

 

CHKROOTKIT

Un composant qui permet rapidement de savoir si nos fichiers BIN n’ont pas été modifiés ainsi que des vers ne soient pas dans le système. Il regarde aussi le status de la carte réseau.

Il suffit ensuite lancer le composant et de vérifier les status.

chkrootkit

Lynis

Ce composant  surveille le pare-feu, la validité des certificats SSL.  Le rapport est vraiment complet dans la validation d’un hardening. Attention la version installée par le repository d’Ubuntu est outdated depuis 2009 !!!. On installe la dernière version 154 à ce jour au lieu de la 129…La version pro est vivement recommandée pour $50 par an.

Lynis_1

On met à jour la base de connaissances et on lance le scan

lynis_3

RKHUNTER

Ce composant permet le contrôle des fichiers au niveau du hash et le compare avec une base de données en ligne.

rkhunter1

Installation du composant sous Ubuntu 12.04 LTS

Mise à jour de la base de données de Rickhunter

Mise à jour de la base de données de Rkhunter

On lance le scan...

On lance le scan…

 

On pourrait encore parler d’outils comme TIGER mais les dates de mises à jour me semblent inappropriées par rapport à nos contraintes PCI DSS. J’ai aussi omis de parler de la solution OSSEC. Un autre billet peut être…