Dans la suite de notre durcissement, nous allons installer des mesures (Composants techniques) qui vont nous permettre de savoir si notre serveur dispose d’un rootkit malveillant. On n’apprécie pas particulièrement que notre plateforme héberge des accès non autorisés dans notre approche PCI DSS.
Je vous propose de voir les outils suivants qui peuvent répondre à nos attentes sur les plates formes Linux.
Je ne m’attarderait pas sur le choix ou non d’installer ce type d’outils mais dans notre approche de durcissement et de maitrise de notre système d’information dans une bulle PCI DSS. Il me semble normal de prouver à nos auditeurs QSA que nous sommes en phase avec les différents moyens sécuritaire que nous disposons au sein d’un SI maitrisé.
CHKROOTKIT
Un composant qui permet rapidement de savoir si nos fichiers BIN n’ont pas été modifiés ainsi que des vers ne soient pas dans le système. Il regarde aussi le status de la carte réseau.
Il suffit ensuite lancer le composant et de vérifier les status.
Lynis
Ce composant surveille le pare-feu, la validité des certificats SSL. Le rapport est vraiment complet dans la validation d’un hardening. Attention la version installée par le repository d’Ubuntu est outdated depuis 2009 !!!. On installe la dernière version 154 à ce jour au lieu de la 129…La version pro est vivement recommandée pour $50 par an.
On met à jour la base de connaissances et on lance le scan
RKHUNTER
Ce composant permet le contrôle des fichiers au niveau du hash et le compare avec une base de données en ligne.
Installation du composant sous Ubuntu 12.04 LTS
Mise à jour de la base de données de Rkhunter
On lance le scan…
On pourrait encore parler d’outils comme TIGER mais les dates de mises à jour me semblent inappropriées par rapport à nos contraintes PCI DSS. J’ai aussi omis de parler de la solution OSSEC. Un autre billet peut être…
