Catégorie : Sécurité
11 avril 2017 /

Auditer son système

Lynis vérifie quasiment tous les paramètres de votre système Linux puis en fait une synthèse complète avec des suggestions pour combler les différents points faibles remontés.

Installation pour Red Hat/CentoS:

yum install lynis -y

Installation pour Ubuntu:

apt-get install lynis -y

Pour afficher les options de Lynis :

lynis

Pour mettre à jour Lynis :

lynis update release

Pour lancer un scan complet sur son système:

lynis audit system

Pour lancer un scan complet sur un système distant:

lynis audit system remote adresse_ip

Une fois l’execution terminée, le rapport généré ce trouve à cet emplacement :

vi /var/log/lynis-report.dat
5 mars 2017 /

Connexion Openvpn via HideMyAss!

Un petit mémo pour mettre en place une connexion Openvpn, avec reconnexion auto.

On commence par stocker ses identifiants de connexion ici:

vi /etc/openvpn/starmate.pass

login
passwd

On sécurise le fichier:

chmod 700 /etc/openvpn/starmate.pass

On télécharge les fichiers de configuration de HMA:

mkdir /etc/openvpn/hma
wget -t 3 -T 20 -r -A.ovpn -nd --no-parent -e robots=off https://vpn.hidemyass.com/vpn-config/UDP/ -P /etc/openvpn/hma

On declare où se trouve le couple login/passwd dans les fichiers de configuration openvpn :

sed -i 's/auth-user-pass/auth-user-pass \/etc\/openvpn\/starmate.pass/g' /etc/openvpn/hma/*ovpn

On relance le service

service openvpn stop
service openvpn start

On peut tester la connexion avec cette commande

openvpn /etc/openvpn/hma/Netherlands.Amsterdam.UDP.ovpn

Pour automatiser cela, nous allons faire un petit script pour cron:

vi /etc/openvpn/vpn.sh

#!/bin/bash
VPN=`ifconfig | grep tun0 > /dev/null 2>&1 ; echo $?`
if [ "$VPN" -eq "1" ];
then
openvpn /etc/openvpn/hma/Netherlands.Amsterdam_LOC2S5.UDP.ovpn
fi

chmod +x /etc/openvpn/vpn.sh

Et la ligne crontab pour une exécution toutes les minutes:

vi /etc/crontab

* * * * * root /etc/openvpn/vpn.sh > /dev/null 2>&1

Ou alors, encore mieux, créer un service:

On commence par copier le fichier de connexion désiré dans /etc/openvpn :

cd /etc/openvpn/hma
cp -p /etc/openvpn/hma/Netherlands.Amsterdam.UDP.ovpn /etc/openvpn/Netherlands.conf

Puis on créer le service.

systemctl enable openvpn@Netherlands.service
systemctl start openvpn@Netherlands.service

La partie suivant directement le @, « Netherlands« , est le nom du fichier de connexion que l’on à copié précédemment.

On peut vérifier son adresse publique:

dig +short myip.opendns.com @resolver1.opendns.com
19 octobre 2016 /

Écraser un mot de passe perdu sur CentOS7/RedHat7

Voici méthode qui consiste à démarrer non pas init comme premier processus, mais un shell.

Tout d’abord, au démarrage, quand le menu de grub apparaît (appuyez sur echap si il n’apparaît pas), sélectionnez la ligne de boot sur lequel le système démarre habituellement:

screenshot_centos7-0_starmate_2016-10-15_191840

On va maintenant modifier la ligne de démarrage du système en appuyant sur la touche « e« :

screenshot_centos7-0_starmate_2016-10-15_192623

Sur la ligne commençant par « linux16 /vmlinux….. », nous allons ajouter à la fin « init=/bin/sh » et supprimer « rhgb quiet » :

screenshot_centos7-0_starmate_2016-10-15_194047

On valide les paramètres et on boot en appuyant sur les touches « Ctrl-x » ou bien avec la touche F10.

On arrive très vite dans un shell simple sans mot de passe et avec les droits root:

screenshot_centos7-0_starmate_2016-10-15_193200

On va tout d’abord charger la politique SELinux existante avec cette commande (le -i correspond à « initial policy load ») :

/usr/sbin/load_policy -i

Ensuite, on va remonter « / » en lecture-écriture car il est monté en lecture seule :

mount -o remount,rw /

On peut maintenant passer à la modification du mot de passe root :

passwd root

On ré-étiquette le système (SELinux) pour le prochain redémarrage :

touch /.autorelabel

Il ne reste plus qu’a redémarrer votre CentOS7/RedHat7 pour avoir vous connecter avec le nouveau mot de passe:

exec /sbin/init
1 juillet 2016 /

setenforce: SELinux is disabled

Lors de l’exécution de la commande « setenforce 1 », vous pouvez recevoir en retour ce message:

setenforce 1

setenforce: SELinux is disabled

Cette erreur « setenforce: SELinux est désactivé » apparaît parce que vous avez désactivé définitivement SELinux sur votre serveur.

Cela peut ce vérifier via cette commande:

sestatus

setenforce command has no effect if you have selinux disabled permanently in the main configuration file.

Pour activer SELinux, éditez le fichier /etc/sysconfig/selinux :

vi /etc/sysconfig/selinux

Et définissez le paramètre SELinux sur la valeur « enforcing »:

SELINUX=enforcing
SELINUXTYPE=targeted

Si le fichier n’existe pas, créer le!
10 mai 2016 /

Utilisation de SSHGate

SSHGate est un proxy qui redirige de manière transparente les paquets à travers des tunnels chiffrés SSH, en dissimulant les éléments d’authentification aux utilisateurs.

Reposant entièrement sur le projet OpenSSH, communautaire et non modifié, cet outil propose une CLI d’administration, la gestion d’ACL, gestion de groupe, ainsi que l’enregistrement des sessions utilisateurs, qui peuvent être rejouées ultérieurement à des fins d’analyse.

Un petit mémo des commandes SSHGate

Se connecter:

sshgate-cli -u <login>

 

1 – Gestion des utilisateurs

Lister tous les utilisateurs:

user list

Ajouter un nouvel utilisateur:

user add <user> mail <email>

Supprimer un utilisateur:

user del <user>

Reconstruire le fichier authorized_keys

user build auth_keys

Afficher de la configuration d’un utilisateur:

user <user> display conf

Définir une variables/valeur dans la configuration de l’utilisateur:

user <user> set conf <variable>

Supprimer une variables/valeur dans la configuration de l’utilisateur:

user <user> del conf <variable>

Lister les machines auquels l’utilisateur a accès:

user <user> list targets

Lister les groupes d’utilisateurs de l’utilisateur:

user <user> list usergroups

Lister les groupes de machines auquel l’utilisateur a accès:

user <user> list targetgroups

Savoir si un utilisateur a accès à une machine:

user <user> has access [<login>@]<target>

Lister tous les accès de l’utilisateur, et comment les accès lui sont accordés:

user <user> access info

Envoyer un mail à l’utilisateur pour l’informer de ses accès:

user <user> access notify

Modifier la clef ssh publique d’un utilisateur:

user <user> edit sshkey

Afficher la clef ssh publique d’un utilisateur:

user <user> display sshkey

Mettre à jour la clef ssh Publique d’un utilisateur dans le fichier authorized_keys:

user <user> update auth_keys

 

2 – Gestion des groupes d’utilisateurs

Liste de tous les groupes d’utilisateurs:

usergroup list

Créer un groupe d’utilisateurs:                                             

usergroup add <group>

Supprimer un groupe d’utilisateurs:

usergroup del <group>

Liste des utilisateurs d’un groupe:

usergroup <user-group> list users

Liste les groupes machines qui sont accessible par  un groupe d’utilisateurs:

usergroup <user-group> list targetgroups

Ajouter un utilisateur dans un groupe:

usergroup <user-group> add user <user>

Supprimer un utilisateur d’un groupe:

usergroup <user-group> del user <user>

Liste les cibles qui sont accessibles par un groupe d’utilisateurs:

usergroup <user-group> list targets

Liste toutes les machines accessibles par un groupe d’utilisateurs:

usergroup <user-group> access info

 

3 – Gestion des machines

Liste toutes la machines enregistrées dans SSHgate:

target list

Ajoute une machine:

target add [<login>@]<target>

Ajoute une machine derriere un proxy:

target add [<login>@]<target> with proxy [<login>@]<target>

Ajoute une machine en passant par un rebond:

target add [<login>@]<target> via [<login>@]<target>

Supprime une machine:

target del <target>

Liste tous les alias:

target alias list

liste les alias d’une machine:

target <target> list alias

Obtenez le vrai nom d’une machine:

target <target> realname

Ajouter un nom d’alias pour la machine:

target <target> add alias <alias>

Supprime un nom d’alias pour la machine:

target <target> del alias <alias>

Renommer une machine:

target <target> rename <new-name>

 Afficher le fichier de configuration de la machine:

target <target> display conf

Définir une variables/valeur dans le fichier de configuration de la machine:

target <target> set conf <variable> <value>

Supprimer une variables/valeur dans le fichier de configuration de la machine:

target <target> del conf <variable>

Liste de tous les utilisateurs ayant accès à la machine , et comment:

target [<login>@]<target> access info

Liste des utilisateurs qui ont accès à la machine:

target [<login>@]<target> access list users

Permet à l’utilisateur d’accéder à la machine:

target [<login>@]<target> access add user <user>

Supprime à l’utilisateur l’accès à la machine:

target [<login>@]<target> access del user <user>

Liste tous les groupes qui ont accès à la machine:

target [<login>@]<target> access list usergroups

Permet au groupe d’utilisateur d’accéder à la machine:

target [<login>@]<target> access add usergroup <group>

Supprime au groupe d’utilisateur l’accès à la machine:

target [<login>@]<target> access del usergroup <group>

 

4 – Gestion des clef SSH

Edite le fichier de configuration SSH d’une machine ou d’un login:

target <target> ssh edit config

Afficher le fichier de configuration de SSH d’une machine:

target <target> ssh display config

Affiche entièrement le fichier de configuration SSH d’un login sur une machine:

target [<login>@]<target> ssh display full config

Mise à jour du fichier « known_hosts » pour toutes les machines:

target ssh update known_hosts

Test pour se connecter sur une machine:

target <target> ssh test

Test pour se connecter à toutes les machines:

target <target> ssh test all

Liste tous les logins SSH valident sur une machine:

target <target> ssh list logins

Ajoute un login SSH sur une machine:

target <target> ssh add login <login>

Enleve un login SSH sur une machine:

target <target> ssh del login <login>

Affiche la clef publique de la machine:

target <target> ssh display key

Edite la clef privée de la machine:

target <target> ssh edit key

Tente d’installer la clef publique sur une machine:

target <target> ssh install key

Installe toute les clef SSH publique sur la cible:

target <target> ssh install all key

Mets une clef SSH par défaut pour une machine:

target <target> ssh use default key

 

5 – Gestion des groupe de machines

Liste de tous les groupes de machines:

targetgroup list

Création d’un groupe de machines:

targetgroup add <target-group>

Suppression d’un groupe de machines:

targetgroup del <target-group>

Liste les utilisateurs qui ont accès au groupe de machines:

targetgroup <target-group> list targets

Ajoute une machine dans un  groupe de machine:

targetgroup <target-group> add target [<login>@]<target>

Supprime une machine d’un groupe de machines:

targetgroup <target-group> del target [<login>@]<target>

Liste les utilisateurs ayant accès au groupe de machines:

targetgroup <target-group> access list users

Donne à l’utilisateur l’accès à toutes les machines du groupe de machines:

targetgroup <target-group> access add user <user>

Révoquer l’accès des utilisateurs à cibler l’hôte du groupe de machines:

targetgroup <target-group> access del user <user>

Liste les machines du groupe de machines accessible par le groupe d’utilisateur:

targetgroup <target-group> access list usergroups

Donne au groupe d’utilisateurs l’accès au groupe de machines:

targetgroup <target-group> access add usergroup <user-group>

Enlève au groupe d’utilisateurs l’accès au groupe de machines:

targetgroup <target-group> access del usergroup <user-group>

 

6 – Gestion des sessions

Liste les sessions en cours:

session list current

Liste les dernières sessions connectées:

session list last

Liste les sessions en cours sur une machine:

session target <target> list

Liste les sessions en cours d’un utilisateur:

session user <user> list

Tue une session SSHGate:

session kill <pid>

Debug de SSHgate (équivalent « set -x » en bash):

debug

Plus d’information ici.