Catégorie : Sécurité

28 juillet 2020 /

On commence par placer nos documents à chiffrer dans une archive, nommée par exemple repertoire.tar.

Puis pour chiffrer l’archive on tape la commande suivante:

[pastacode lang= »bash » manual= »openssl%20aes-256-cbc%20-salt%20-pbkdf2%20-in%20repertoire.tar-out%20repertoire.tar.enc » message= » » highlight= » » provider= »manual »/]

Cela va chiffrer l’archive avec openssl en AES-256.
Un mot de passe sera demandé.

Pour effectuer l’opération inverse :

[pastacode lang= »bash » manual= »openssl%20aes-256-cbc%20-d%20-salt%20-pbkdf2%20-in%20AES-256%20repertoire.tar.enc%20-out%20AES-256%20repertoire.tar » message= » » highlight= » » provider= »manual »/]

24 janvier 2019 /

Le 22 janvier 2019, Debian a publié un avis de sécurité (Référence: CERTFR-2019-ALE-001) indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.

Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l’intégrité des fichiers récupérés.

Un attaquant en position d’intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n’est présente que dans le cadre de l’utilisation de redirections par APT.

Le logiciel APT s’exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l’attaquant une compromission totale du système.

Il s’agit donc d’une vulnérabilité sérieuse, d’autant plus qu’elle impacte directement le mécanisme de mise à jour. Il est nécessaire d’appliquer le correctif tout en minimisant les risques d’exploitation.

[pastacode lang= »bash » manual= »%0Aapt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20update%3B%0Aapt%20-o%20Acquire%3A%3Ahttp%3A%3AAllowRedirect%3Dfalse%20upgrade » message= »Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes » highlight= » » provider= »manual »/]

Toutefois, cela peut ne pas fonctionner lorsque l’on est placé derrière un proxy et que l’on cherche à atteindre le miroir security.debian.org.

Dans ce cas, il est possible d’utiliser la source suivante : http://security-cdn.debian.org/debian-security/

Si la mise à jour d’APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d’effectuer la vérification d’intégrité avant de l’installer.

Source

22 janvier 2019 /

[pastacode lang= »bash » manual= »%E2%80%94-%20BEGIN%20SSH2%20PUBLIC%20KEY%20%E2%80%94-%0A%0AComment%3A%20%22rsa-key-20160402%22%0AAAAAB3NzaC1yc2EAAAABJQAAAgEAiL0jjDdFqK%2FkYThqKt7THrjABTPWvXmB3URI%0ApGKCP%2FjZlSuCUP3Oc%2BIxuFeXSIMvVIYeW2PZAjXQGTn60XzPHr%2BM0NoGcPAvzZf2%0Au57aX3YKaL93cZSBHR97H%2BXhcYdrm7ATwfjMDgfgj7%2BVTvW4nI46Z%2BqjxmYifc8u%0AVELolg1TDHWY789ggcdvy92oGjB0VUgMEywrOP%2BLS0DgG4dmkoUBWGP9dvYcPZDU%0AF4q0XY9ZHhvyPWEZ3o2vETTrEJr9QHYwgjmFfJn2VFNnD%2F4qeDDHOmSlDgEOfQcZ%0AIm%2BXUOn9eVsv%2F%2FdAPSY%2FyMJXf8d0ZSm%2BVS29QShMjA4R%2B7yh5WhsIhouBRno2PpE%0AVVb37Xwe3V6U3o9UnQ3ADtL75DbrZ5beNWcmKzlJ7jVX5QzHSBAnePbBx%2FfyeP%2Ff%0A144xPtJWB3jW%2FkXjtPyWjpzGndaPQ0WgXkbf8fvIuB3NJTTcZ7PeIKnLaMIzT5XN%0ACR%2BxobvdC8J9d6k84%2Fq%2FlaJKF3G8KbRGPNwnoVg1cwWFez%2Bdzqo2ypcTtv%2F20yAm%0Az86EvuohZoWrtoWvkZLCoyxdqO93ymEjgHAn2bsIWyOODtXovxAJqPgk3dxM1f9P%0AAEQwc1bG%2BZ%2FGc1Fd8DncgxyhKSQzLsfWroTnIn8wsnmhPJtaZWNuT5BJa8GhnzX0%0A9g6nhbk%3D%0A—-%20END%20SSH2%20PUBLIC%20KEY%20—- » message= »Format SSH2″ highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »ssh-rsa%20AAAAB3NzaC1yc2EAAAABJQAAAgEAiL0jjDdFqK%2FkYThqKt7THrjABTPWvXmB3URIpGKCP%2FjZlSuCUP3Oc%2BIxuFeXSIMvVIYeW2PZAjXQGTn60XzPHr%2BM0NoGcPAvzZf2u57aX3YKaL93cZSBHR97H%2BXhcYdrm7ATwfjMDgfgj7%2BVTvW4nI46Z%2BqjxmYifc8uVELolg1TDHWY789ggcdvy92oGjB0VUgMEywrOP%2BLS0DgG4dmkoUBWGP9dvYcPZDUF4q0XY9ZHhvyPWEZ3o2vETTrEJr9QHYwgjmFfJn2VFNnD%2F4qeDDHOmSlDgEOfQcZIm%2BXUOn9eVsv%2F%2FdAPSY%2FyMJXf8d0ZSm%2BVS29QShMjA4R%2B7yh5WhsIhouBRno2PpEVVb37Xwe3V6U3o9UnQ3ADtL75DbrZ5beNWcmKzlJ7jVX5QzHSBAnePbBx%2FfyeP%2Ff144xPtJWB3jW%2FkXjtPyWjpzGndaPQ0WgXkbf8fvIuB3NJTTcZ7PeIKnLaMIzT5XNCR%2BxobvdC8J9d6k84%2Fq%2FlaJKF3G8KbRGPNwnoVg1cwWFez%2Bdzqo2ypcTtv%2F20yAmz86EvuohZoWrtoWvkZLCoyxdqO93ymEjgHAn2bsIWyOODtXovxAJqPgk3dxM1f9PAEQwc1bG%2BZ%2FGc1Fd8DncgxyhKSQzLsfWroTnIn8wsnmhPJtaZWNuT5BJa8GhnzX09g6nhbk%3D » message= »Format OpenSSH » highlight= » » provider= »manual »/]

Les deux formats sont plutôt similaires.
Pour obtenir une clé au format OpenSSH depuis une clé au format SSH2, il suffit de supprimer la première et dernière ligne  » —- **** SSH2 PUBLIC KEY —-  » et la ligne  » Comment: « .
Puis de retirer les sauts de ligne pour tout mettre sur une seule ligne par clé.
Chaque clefs devra commencer par (à modifier suivant le type de clef) « ssh-rsa ».

[pastacode lang= »bash » manual= »ssh-keygen%20-i%20-f%20clef_ssh2.pub » message= »Convertir une clef SSH2 vers OpenSSH » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »for%20i%20in%20%60ls%20-1%20*pub%60%3B%20do%20echo%20%22%24(ssh-keygen%20-i%20-f%20%24i)%20%24i%22%3B%20done » message= »Pour convertir toute les clefs (*.pub) SSH2 d’un repertoire en OpenSSH » highlight= » » provider= »manual »/]

[pastacode lang= »bash » manual= »for%20i%20in%20%60ls%20-1%20*pub%60%3B%20do%20echo%20%22%24(ssh-keygen%20-i%20-f%20%24i)%20%24i%20%3E%3E%20~%2F.ssh%2Fauthorized_keys%22%3B%20done » message= »Pour convertir toute les clefs SSH2 d’un repertoire et les mettre directement en OpenSSH dans ~/.ssh/authorized_keys » highlight= » » provider= »manual »/]

19 août 2018 /

Pour sécuriser l’accès à l’édition du Grub et le démarrage de la distribution GNU/linux, nous allons voir comment paramétrer Grub pour qu’un login et un mot de passe soit systématiquement demandé au démarrage.

[pastacode lang= »bash » manual= »grub-mkpasswd-pbkdf2″ message= »Création d’un mot de passe chiffré » highlight= » » provider= »manual »/]

Après vous avoir demandé un mot de passe, il vous retournera son hachage:

Le hachage PBKDF2 du mot de passe est grub.pbkdf2.sha512.10000.3B267CE5F2E6451530863695C434B6388DE36E5FBDB7619F21A956F4ED98D907A082306EDC6FD56CF7B879BBA86BE03F141723579ABC9F4D3CF2C39265D1B81A.757509B33EC2C5F693C674FB9420360597B2736730CE9EE008A71BABC32A920950DA15A27C2FE96E1F950CC65E7A75B2636F92059F70EA5F0ADB4FBB15935AC8

[pastacode lang= »bash » manual= »sudo%20vi%20%2Fetc%2Fgrub.d%2F00_header » message= »Édition du fichier /etc/grub.d/00_header » highlight= » » provider= »manual »/]

On ajoute à la fin du fichier ces 4 lignes, en déclarant le login que l’on souhaite ainsi que le hachage généré au début:

cat << EOF
set superusers="starmate"
password_pbkdf2 starmate grub.pbkdf2.sha512.10000.3B267C5F2C39265D1B81A57509B33EC2C5F...
EOF

[pastacode lang= »bash » manual= »sudo%20update-grub » message= »Recontruction du grub.cfg » highlight= » » provider= »manual »/]

Il n’y a plus qu’a redémarrer (attention, votre clavier sera probablement en QWERTY lors de la demande du mot de passe)!

4 février 2018 /

Pour voir si la version actuelle, et si une mise à jour est disponible:

sudo rkhunter --versioncheck

[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter version...
This version : 1.4.2
Latest version: 1.4.4
Update available

La commande « rkhunter –update » met uniquement à jour les fichiers pour la version actuelle mais ne met pas à jour vers la version plus récente.

Donc pour mettre à jour rkhunter, il nous faut télécharger la dernière version (ici la 1.4.4), puis:

tar xvfz rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
sudo ./installer.sh --install

Après cela, vous pouvez vérifier la version:

sudo rkhunter --versioncheck

[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter version...
This version : 1.4.4
Latest version: 1.4.4

On met à jour le fichier de ressources:

sudo rkhunter --update --propupd

Puis on lance un scan complet:

sudo rkhunter --checkall

Si vous avez une erreur  » Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/sbin/prelink« .
Il faut soit installer prelink (sudo apt-get install prelink), soit commenter dans /etc/rkhunter.conf la ligne « SCRIPTWHITELIST=/usr/sbin/prelink«