Pour bien comprendre l’intérêt de la surveillance de l’intégrité de son système, je vais prendre plusieurs exemples d’actions effectuées par un pirate informatique, lorsque ce dernier a réussi à s’introduire sur une machine, par le biais d’une faille de sécurité par exemple.

Exemple de modification du système

Pour chacun de ces cas, une surveillance de l’intégrité permettra de détecter très rapidement, les mouvements de l’intrus.

Cas n°1 : modification du fichier /etc/passwd

Notre pirate a réussi, par une méthode ou une autre, à accéder en écriture, au fichier /etc/passwd. Afin de pouvoir passer en root sur la machine, il y a ajouté la ligne suivante:

On notera ici, qu’il a simplement créé un utilisateur nommé système, sans mot de passe, qui a le même ID que root. L’intrus pourra ainsi, a tout moment passer root sur la machine, via un simple compte utilisateur, en utilisant la commande su – system

Ce type de backdoor est assez difficile à repérer, étant donné que l’on ne consulte pas le fichier /etc/passwd tous les jours et qu’en plus, le nom system pourrait paraître normal.

Cas n°2 : le bit SUID

Là encore, notre intrus à obtenu les droits root et il voudrait être sêr de pouvoir revenir sous cette identité, à sa guise et même après un changement du mot de passe de ce dernier par l’administrateur. Pour se faire, il pourra positionner un bit SUID, sur les commandes qu’il désire, afin de pouvoir les exécuter ensuite en tant que root:

Encore une fois, pour repérer ce genre de manipulation, cela reste difficile, car il faudra régulièrement regarder les bons droits sur les fichiers (avec la commande find / -perm +4000 par exemple).

La solution

Pour éviter ce genre d’action, on pourra mettre en place un logiciel comme Tripwire ou encore AIDE sur la machine. Ce dernier a pour but de s’assurer l’intégrité des répertoires et des fichiers importants en identifiant tous changements apportés à ces derniers.

Pour ma part, je n’ai pas trouvé de version gratuite de Tripwire et je me suis donc rabattu sur AIDE (Advanced Intrusion Detection Environment). Voici la commande à lancer pour l’installer sur une Debian:

On initialisera ensuite la base de données (environ 15 minutes de traitement) :

On devra ensuite placer la base de données dans un lieu sur (media accessible quand lecture, DVD par exemple). Pour faire simple ici, je vais laisser la base dans le dossier où elle se trouve initialement, en la renommant afin d’être exploitable par la commande aide:

On pourra ainsi vérifier l’intégrité du système via la commande suivante (environ 10 minutes de traitement pour 160Go de disque):

Dans notre cas ici, j’avais pris le soin de construire une base, avant la mis en pratique des différents cas cités plus haut. Et voici ce que donne la commande aide –check après vérification:

Les modifications système ont donc bien été détectées. On pourra bien sûr rendre ce genre de procédure automatique, en ajoutant cette commande à une crontab et lui faisant retourner le résultat par mail.

Dans le cas d’une mise à jour du système, ou de changement de configuration, l’administrateur pourra a tout moment mettre lui même AIDE à jour, en utilisant le paramètre update:

Conclusion

On pourra aller beaucoup plus loin dans la configuration AIDE, en modifiant le fichier /etc/aide.conf. On pourra par exemple, rajouter la surveillance des fichiers de son site web, afin d’être prévenu rapidement en cas de « défaçage « .

Aller plus loin

* Site officiel de AIDE
* Manuel de AIDE

Stragus> qui a internet ici?

+tchot6> au fait comment on fait pr changer son pseudo?
@[3RTy]bAmbOo> /nick pseudo
* tchot6 is now known as pseudo

+Scar> t’as essayé Xandros ?
@Samva> no
@Samva> c’est de la compote p0rno ?

Gilus> va y avoir du zombie demain au boulot
+Arsiesys> Je suis chômeur.
DarkFalz> je suis en vacances
Gilus> je suis dégouté :’(

Marco> je t’ai dis que j’avais changer de boulot?
Cassie> Ouais, j’en ai entendu parler.
Cassie> T’es au Micromedia, ou un truc du genre, c’est ça ?
Marco> un truc du genre
Marco> aujourd’hui une fille vient acheter wow
Marco> et moi, pas drôle pour un sou, je lui sort le célèbre ‘dites adieu à votre vie sociale’
Cassie> Trèèèèès original…
Marco> mais attend, tu sais ce qu’elle me répond?
Marco> ‘c’est pour mon petit ami. je part pour deux mois aux U.S., je tient à se qu’il reste fidèle’
Cassie> Ah ouais… c’est clair qu’il restera fidèle…
Cassie> Mais j’suis pas sûre qu’elle puisse pour autant le récupérer, après ça, son copain :/

Lanfeust2_3> Je me souviendrai toujours du jour où ma mère m’a traité de fils de pute.

Santa_Evil> et, a ton avis, quel est le plus grand mal de notre époque, l’ignorance ou l’indifférence?
Bloody> JE SAIS PAS ET J’M'EN FOUS
Santa_Evil> …

ALu21> je crois que Ze_PilOt_ est décédé
ALu21> il ne parle plus ce con
ALu21> j’ai beau le stimuler, il est inerte
Moa2020> Palette !
* Moa2020 défibrile
ALu21> 220 !
ALu21> 3
ALu21> 2
ALu21> 1
ALu21> gziiIIIIIIIIIIIIIIIIIII
Moa2020> … /\__/\__/\__/\____________________________
ALu21> \o/
ALu21> 350 !
ALu21> 3
ALu21> 2
ALu21> 1
ALu21> gziiIIIIIIIIIIIIIIIIIII
Moa2020>_____________________________
ALu21> ok on laisse tomber
*** Ze_PilOt has quit IRC (Ping timeout)
ALu21> heure constaté du ping timeout : 12:12
ALu21> prévenez la famille

IceTea> tain je déprime là…
IceTea> c demain que je vais faire mon test de dépistage du sida… je stress trop
Gourou> on te soutient tous… courage vieux, ça va aller
TK> il a raison, sois positif !

Vous en voulez encore ?

Encore ? Ici une version anglophone !