#1 Le 23/10/2010, à 17:09
- Heliox
Venez tester la sécurité de votre système GNU/Linux !
Bonjour,
Aujourd'hui, on nous annonce toujours plus de mécanismes de sécurité au sein de nos systèmes. Avec toujours plus d'acronymes barbares comme SELinux, AppArmor, NX-bit, Exec-Shield, etc...
Mais profitons-nous réellement de ces protections dans nos systèmes ? Sont-elles actives sur votre système ?
Un petit script permet de vérifier tout cela, voila les commandes à suivre pour télécharger et exécuter ce script :
* Ouvrez un Terminal en tant qu'utilisateur normal (et maximisez la fenêtre pour afficher les résultats clairement) :
- Téléchargement du script :
wget http://trapkit.de/tools/checksec.sh
- On le rend exécutable :
chmod +x checksec.sh
- On l'exécute :
./checksec.sh --proc-all && ./checksec.sh --kernel
Venez poster et comparer vos résultats !
EDIT : Une fois le résultat obtenu, vous pouvez supprimer le script :
rm checksec.sh
Pour Debian Squeeze 64bits, voila ce que j'obtiens :
* Does the CPU support NX: Yes
COMMAND PID RELRO STACK CANARY NX/PaX PIE
gnome-keyring-d 25951 No RELRO No canary found NX enabled No PIE
gnome-session 25975 No RELRO No canary found NX enabled No PIE
dbus-launch 26012 No RELRO No canary found NX enabled No PIE
dbus-daemon 26013 Partial RELRO No canary found NX enabled PIE enabled
seahorse-agent 26023 No RELRO No canary found NX enabled No PIE
gvfsd 26025 No RELRO No canary found NX enabled No PIE
gconfd-2 26030 No RELRO No canary found NX enabled No PIE
gnome-power-man 26034 No RELRO No canary found NX enabled No PIE
gnome-settings- 26039 No RELRO No canary found NX enabled No PIE
gnome-panel 26043 No RELRO No canary found NX enabled No PIE
gvfs-gdu-volume 26045 No RELRO No canary found NX enabled No PIE
gvfs-afc-volume 26050 No RELRO No canary found NX enabled No PIE
gvfs-gphoto2-vo 26053 No RELRO No canary found NX enabled No PIE
nautilus 26054 No RELRO No canary found NX enabled No PIE
bonobo-activati 26056 No RELRO No canary found NX enabled No PIE
compiz 26058 No RELRO No canary found NX enabled No PIE
python 26059 No RELRO No canary found NX enabled No PIE
nm-applet 26063 No RELRO No canary found NX enabled No PIE
update-notifier 26064 No RELRO No canary found NX enabled No PIE
kerneloops-appl 26065 No RELRO Canary found NX enabled No PIE
polkit-gnome-au 26066 No RELRO No canary found NX enabled No PIE
gdu-notificatio 26068 No RELRO No canary found NX enabled No PIE
trashapplet 26079 No RELRO No canary found NX enabled No PIE
gvfsd-trash 26082 No RELRO No canary found NX enabled No PIE
gnome-screensav 26085 No RELRO No canary found NX enabled No PIE
redshift 26086 No RELRO No canary found NX enabled No PIE
mixer_applet2 26097 No RELRO No canary found NX enabled No PIE
gvfsd-metadata 26107 No RELRO No canary found NX enabled No PIE
sh 26108 No RELRO No canary found NX enabled No PIE
compiz-decorato 26109 No RELRO No canary found NX enabled No PIE
gvfsd-burn 26111 No RELRO No canary found NX enabled No PIE
icedove 26121 No RELRO No canary found NX enabled No PIE
run-mozilla.sh 26137 No RELRO No canary found NX enabled No PIE
icedove-bin 26141 No RELRO No canary found NX enabled No PIE
rhythmbox 26206 No RELRO No canary found NX enabled No PIE
firefox-bin 26288 No RELRO No canary found NX enabled No PIE
gvfsd-http 26312 No RELRO No canary found NX enabled No PIE
gnome-terminal 26597 No RELRO No canary found NX enabled No PIE
bash 26599 No RELRO No canary found NX enabled No PIE
bash 26712 No RELRO No canary found NX enabled No PIE
gnome-system-mo 28708 No RELRO No canary found NX enabled No PIE
notification-da 29700 No RELRO No canary found NX enabled No PIE
* Kernel protection information:
Description - List the status of kernel protection mechanisms. Rather than
inspect kernel mechanisms that may aid in the prevention of exploitation of
userspace processes, this option lists the status of kernel configuration
options that harden the kernel itself against attack.
Kernel config: /boot/config-2.6.32-5-amd64
Warning: The config on disk may not represent running kernel config!
GCC stack protector support: Enabled
Strict user copy checks: Disabled
Enforce read-only kernel data: Enabled
Restrict /dev/mem access: Enabled
Restrict /dev/kmem access: Enabled
* grsecurity / PaX: No GRKERNSEC
The grsecurity / PaX patchset is available here:
http://grsecurity.net/
* Kernel Heap Hardening: No KERNHEAP
The KERNHEAP hardening patchset is available here:
https://www.subreption.com/kernheap/
Niveau mécanismes de sécurité intégrés, Debian ne fait pas très bon élève
Bien évidemment on ne répétera jamais assez qu'une bonne sécurité ne repose pas que sur des mécanismes internes supplémentaires, bien que ceux-ci ajoutent un petit plus, ils sont inefficaces dans un système n'ayant pas le minimum de sécurité, à savoir un bon mot de passe, un pare-feu bien configuré.
Ce script est issu de cet article : http://linuxfr.org/2010/03/02/26532.html
Dernière modification par Heliox (Le 23/10/2010, à 18:09)
#2 Le 23/10/2010, à 19:29
- L00d0v1c
Re : Venez tester la sécurité de votre système GNU/Linux !
Sur ma Kubuntu 10.10 :
* Does the CPU support NX: Yes
COMMAND PID RELRO STACK CANARY NX/PaX PIE
x-session-manag 1254 Partial RELRO Canary found NX enabled No PIE
dbus-launch 1301 Partial RELRO Canary found NX enabled No PIE
dbus-daemon 1302 Partial RELRO Canary found NX enabled PIE enabled
start_kdeinit 1412 Partial RELRO Canary found NX enabled No PIE
kdeinit4 1413 Partial RELRO Canary found NX enabled No PIE
klauncher 1414 Partial RELRO No canary found NX enabled No PIE
kded4 1416 Partial RELRO Canary found NX enabled No PIE
kglobalaccel 1423 Partial RELRO No canary found NX enabled No PIE
bluedevil-monol 1424 Partial RELRO No canary found NX enabled No PIE
kwalletd 1426 Partial RELRO No canary found NX enabled No PIE
kwrapper4 1459 Partial RELRO Canary found NX enabled No PIE
ksmserver 1463 Partial RELRO No canary found NX enabled No PIE
kwin 1491 Partial RELRO No canary found NX enabled No PIE
knotify4 1511 Partial RELRO No canary found NX enabled No PIE
plasma-desktop 1513 Partial RELRO No canary found NX enabled No PIE
kuiserver 1518 Partial RELRO No canary found NX enabled No PIE
ksysguardd 1520 Partial RELRO Canary found NX enabled No PIE
akonadi_control 1522 Partial RELRO No canary found NX enabled No PIE
akonadiserver 1524 Partial RELRO No canary found NX enabled No PIE
mysqld-akonadi 1526 Full RELRO Canary found NX enabled PIE enabled
akonadi_contact 1559 Partial RELRO No canary found NX enabled No PIE
akonadi_contact 1560 Partial RELRO No canary found NX enabled No PIE
akonadi_contact 1561 Partial RELRO No canary found NX enabled No PIE
akonadi_contact 1562 Partial RELRO No canary found NX enabled No PIE
akonadi_ical_re 1563 Partial RELRO No canary found NX enabled No PIE
akonadi_maildir 1564 Partial RELRO No canary found NX enabled No PIE
akonadi_maildis 1565 Partial RELRO No canary found NX enabled No PIE
akonadi_nepomuk 1566 Partial RELRO No canary found NX enabled No PIE
nepomukserver 1587 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1590 Partial RELRO No canary found NX enabled No PIE
akonadi_contact 1593 Partial RELRO No canary found NX enabled No PIE
kaccess 1599 Partial RELRO No canary found NX enabled No PIE
pulseaudio 1620 Full RELRO Canary found NX enabled No PIE
krunner 1625 Partial RELRO No canary found NX enabled No PIE
virtuoso-t 1626 Partial RELRO Canary found NX enabled No PIE
kmix 1633 Partial RELRO No canary found NX enabled No PIE
polkit-kde-auth 1635 Partial RELRO No canary found NX enabled No PIE
python 1648 Partial RELRO Canary found NX enabled No PIE
klipper 1656 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1671 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1672 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1673 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1674 Partial RELRO No canary found NX enabled No PIE
nepomukservices 1675 Partial RELRO No canary found NX enabled No PIE
kpackagekitsmar 1847 Partial RELRO Canary found NX enabled No PIE
kio_http_cache_ 1863 Partial RELRO No canary found NX enabled No PIE
konsole 1979 Partial RELRO No canary found NX enabled No PIE
bash 1981 Partial RELRO Canary found NX enabled No PIE
firefox 3327 Partial RELRO Canary found NX enabled No PIE
run-mozilla.sh 3331 Partial RELRO Canary found NX enabled No PIE
firefox-bin 3335 Full RELRO Canary found NX enabled PIE enabled
kmozillahelper 3344 Partial RELRO No canary found NX enabled No PIE
plugin-containe 3382 Full RELRO No canary found NX enabled PIE enabled
amarok 4485 Partial RELRO No canary found NX enabled No PIE
qapt-batch 4501 Partial RELRO No canary found NX enabled No PIE
kio_desktop 4692 Partial RELRO Canary found NX enabled No PIE
kio_file 4693 Partial RELRO Canary found NX enabled No PIE
dolphin 4696 Partial RELRO No canary found NX enabled No PIE
kio_trash 4700 Partial RELRO Canary found NX enabled No PIE
kio_file 4701 Partial RELRO Canary found NX enabled No PIE
kio_file 4703 Partial RELRO Canary found NX enabled No PIE
kio_thumbnail 4704 Partial RELRO Canary found NX enabled No PIE
bash 4707 Partial RELRO Canary found NX enabled No PIE
Pour votre culture, chargez trois pages de Wikipédia par jour.
Hors ligne
#3 Le 23/10/2010, à 19:36
- billou
Re : Venez tester la sécurité de votre système GNU/Linux !
Sur mon serveur avec pour base Ubuntu 10.10
* Does the CPU support NX: No
COMMAND PID RELRO STACK CANARY NX/PaX PIE
bash 2496 Partial RELRO Canary found NX enabled No PIE
* Kernel protection information:
Kernel config: /boot/config-2.6.35-22-generic
Warning: The config on disk may not represent running kernel config!
GCC stack protector support: Enabled
Strict user copy checks: Disabled
Enforce read-only kernel data: Enabled
Restrict /dev/mem access: Enabled
Restrict /dev/kmem access: Enabled
* grsecurity / PaX: No GRKERNSEC
* Kernel Heap Hardening: No KERNHEAP
Hors ligne
#4 Le 23/10/2010, à 19:52
- cara
Re : Venez tester la sécurité de votre système GNU/Linux !
concrètement ça veut dire quoi tout ça ?
Hors ligne
#5 Le 23/10/2010, à 19:58
- Guitche
Re : Venez tester la sécurité de votre système GNU/Linux !
Tu peux expliquer les résultats parce que ça nous parle pas à nous humains
GNU/Linux - Ubuntu 11.04 Natty Narwhal
Bureau Unity
Hors ligne
#6 Le 23/10/2010, à 20:02
- Compte anonymisé
Re : Venez tester la sécurité de votre système GNU/Linux !
Effectivement : j'aimerais comprendre moi aussi pour pouvoir parer si nécessaire (d'autant plus que j'ai l'air d'avoir beaucoup de canaris !)
Je suis sur Lucid.
IE
gnome-keyring-d 1509 Partial RELRO Canary found NX enabled No PIE
gnome-session 1527 Partial RELRO Canary found NX enabled No PIE
dbus-launch 1564 Partial RELRO Canary found NX enabled No PIE
dbus-daemon 1565 Partial RELRO Canary found NX enabled PIE enabled
gconfd-2 1568 Partial RELRO Canary found NX enabled No PIE
gnome-settings- 1575 Partial RELRO No canary found NX enabled No PIE
gvfsd 1577 Partial RELRO Canary found NX enabled No PIE
compiz 1580 Partial RELRO Canary found NX enabled No PIE
gnome-volume-co 1590 Partial RELRO Canary found NX enabled No PIE
gnome-power-man 1592 Partial RELRO Canary found NX enabled No PIE
gnome-panel 1593 Partial RELRO Canary found NX enabled No PIE
nm-applet 1594 Partial RELRO Canary found NX enabled No PIE
nautilus 1595 Partial RELRO Canary found NX enabled No PIE
polkit-gnome-au 1597 Partial RELRO No canary found NX enabled No PIE
bluetooth-apple 1599 Partial RELRO No canary found NX enabled No PIE
pulseaudio 1602 Full RELRO Canary found NX enabled No PIE
gvfsd-trash 1612 Partial RELRO Canary found NX enabled No PIE
bonobo-activati 1614 Partial RELRO Canary found NX enabled No PIE
wnck-applet 1626 Partial RELRO No canary found NX enabled No PIE
trashapplet 1627 Partial RELRO No canary found NX enabled No PIE
gvfs-gdu-volume 1628 Partial RELRO Canary found NX enabled No PIE
sh 1632 Partial RELRO Canary found NX enabled No PIE
gtk-window-deco 1633 Partial RELRO Canary found NX enabled No PIE
gvfs-afc-volume 1636 Partial RELRO No canary found NX enabled No PIE
gvfs-gphoto2-vo 1639 Partial RELRO Canary found NX enabled No PIE
notification-ar 1644 Partial RELRO Canary found NX enabled No PIE
clock-applet 1645 Partial RELRO Canary found NX enabled No PIE
indicator-apple 1646 Partial RELRO No canary found NX enabled No PIE
indicator-apple 1647 Partial RELRO No canary found NX enabled No PIE
gvfsd-metadata 1652 Partial RELRO Canary found NX enabled No PIE
gconf-helper 1653 Partial RELRO Canary found NX enabled No PIE
indicator-me-se 1656 Partial RELRO No canary found NX enabled No PIE
indicator-appli 1659 Partial RELRO No canary found NX enabled No PIE
indicator-sound 1661 Partial RELRO No canary found NX enabled No PIE
indicator-sessi 1675 Partial RELRO No canary found NX enabled No PIE
gvfsd-burn 1678 Partial RELRO Canary found NX enabled No PIE
indicator-messa 1679 Partial RELRO No canary found NX enabled No PIE
gnome-screensav 1682 Partial RELRO Canary found NX enabled No PIE
gdu-notificatio 1688 Partial RELRO No canary found NX enabled No PIE
python 1726 Partial RELRO Canary found NX enabled No PIE
evolution-alarm 1728 Partial RELRO Canary found NX enabled No PIE
evolution-excha 1736 Partial RELRO Canary found NX enabled No PIE
evolution-data- 1740 Partial RELRO No canary found NX enabled No PIE
ubuntuone-syncd 1783 Partial RELRO Canary found NX enabled No PIE
update-notifier 1828 Partial RELRO Canary found NX enabled No PIE
firefox 1919 Partial RELRO Canary found NX enabled No PIE
run-mozilla.sh 1924 Partial RELRO Canary found NX enabled No PIE
firefox-bin 1928 Full RELRO Canary found NX enabled PIE enabled
gnome-terminal 1958 Partial RELRO Canary found NX enabled No PIE
bash 1960 Partial RELRO Canary found NX enabled No PIE
* Kernel protection information:
Description - List the status of kernel protection mechanisms. Rather than
inspect kernel mechanisms that may aid in the prevention of exploitation of
userspace processes, this option lists the status of kernel configuration
options that harden the kernel itself against attack.
Kernel config: /boot/config-2.6.32-25-generic
Warning: The config on disk may not represent running kernel config!
GCC stack protector support: Enabled
Strict user copy checks: Disabled
Enforce read-only kernel data: Enabled
Restrict /dev/mem access: Enabled
Restrict /dev/kmem access: Enabled
* grsecurity / PaX: No GRKERNSEC
The grsecurity / PaX patchset is available here:
http://grsecurity.net/
* Kernel Heap Hardening: No KERNHEAP
Dernière modification par Checky (Le 23/10/2010, à 20:07)
#7 Le 23/10/2010, à 20:45
- Heliox
Re : Venez tester la sécurité de votre système GNU/Linux !
Première chose : je ne suis pas expert dans le domaine, je suis un humain aussi
De ce que j'ai compris, la première commande : ./checksec.sh --proc-all, liste l'ensemble des processus lancés actuellement sur le système avec leur ID (les mêmes que ceux que vous pouvez voir dans le gnome-system-monitor). Il semblerait (au conditionnel hein) que RELRO, Stack Canary, NX, PIE soient des mécanismes de protections destinés à prévenir des bugs de programmation dans les programmes lancés (attaques de type dépassement de pile selon Wikipédia), et donc l'éventuelle exploitation de ces failles par un programme ou une personne mal attentionné. Ces protections peuvent être logicielles (Canaries) ou matérielles (NX via le processeur de l'ordinateur).
Et donc ce script résume l'état de chaque type de protection pour chaque processus lancé. Si je prends le résultat de Checky, le processus bluetooth-applet, ne bénéficie que d'une protection RELRO partielle, d'aucun "Canary", d'une protection NX, et d'aucun PIE. Ce qui semble moyen comparé à firefox-bin qui bénéfice d'une protection RELRO totale, de "canaries", de la protection NX mais d'aucun PIE. En même temps comparé les risques de sécurité entre l'applet Bluetooth et Firefox...
La seconde commande : ./checksec.sh --kernel, donne des informations quant aux mécanismes de protection internes concernant non pas les processus mais le noyau Linux lui-même.
Donc il semblerait logique de penser que plus le système a de protections (aka lignes vertes dans le résultat renvoyé par votre console), plus le système est protégé contre ce genre d'attaque.
Maintenant je m'arrête, c'est un sujet que je ne connais pas du tout (bon ça va j'ai utilisé le conditionnel). Mais il semblerait que l'on ne puisse rien faire (en tant qu'utilisateur final) pour modifier ces options, ces protections sembleraient être à configurer lors de compilation du programme avant que celui-ci ne soit mis en paquet dans un dépôt.
Donc ça peut quand même être intéressant de comparer les différences entre les principales distributions.
Vous savez c'est comme les voitures qu'on veut nous vendre, les vendeurs nous sortent toujours plein d'acronymes tous plus barbares les uns que les autres pour vanter les avantages de leur voiture en matière de sécurité. Ben là c'est pareil mais c'est votre OS au lieu d'une voiture
Et bien sûr si un expert dans le domaine pouvait vulgariser et expliquer tout ça, ça serait sympa
Dernière modification par Heliox (Le 23/10/2010, à 23:02)
#8 Le 23/10/2010, à 21:53
- Sir Na Kraïou
Re : Venez tester la sécurité de votre système GNU/Linux !
Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…
Descendant de Charlemagne et de LUCA.
Bleu, en l'hommage d'un truc bleu. :'(
C'est pas du bleu.
C'est pas le lac de Genève, c'est le Lac Léman.
Hors ligne
#9 Le 23/10/2010, à 21:56
- billou
Re : Venez tester la sécurité de votre système GNU/Linux !
Bha, rien n'est exécuté en tant que Root, et personnellement dans mon /home, y'a que dalle, le serveur me sert à monter mes partitions sur d'autres PC sur le réseau via NFS, et les droits des dossiers et fichiers sont différents... ^^
Hors ligne
#10 Le 23/10/2010, à 22:57
- Heliox
Re : Venez tester la sécurité de votre système GNU/Linux !
Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…
Mouais, en attendant, ce n'est qu'un script, donc tu peux le lire comme tu veux, et puis il a fait l'objet d'une actualité sur Linuxfr, je pense que s'il y avait eu un problème ça aurait déja gueulé.
#11 Le 23/10/2010, à 23:09
- Sir Na Kraïou
Re : Venez tester la sécurité de votre système GNU/Linux !
Si tu ne le comprends pas, tu ne peux pas le lire, et entre le moment où il y a la new sur linuxfr et celui où tu le télécharges et exécutes, il peut avoir été modifié.
Descendant de Charlemagne et de LUCA.
Bleu, en l'hommage d'un truc bleu. :'(
C'est pas du bleu.
C'est pas le lac de Genève, c'est le Lac Léman.
Hors ligne
#12 Le 23/10/2010, à 23:18
- fabien26
Re : Venez tester la sécurité de votre système GNU/Linux !
Oui et puis de toute façon la meilleure des sécurités c'est les mises à jour fréquentes !
... et aussi le fait d'avoir un mot de passe aussi ... ça aide ...
Haiku - Un système totalement libre (MIT/BSD) inspiré par BeOS. Ce n'est pas Linux, ce n'est pas vraiment un Unix, c'est un Système d'exploitation Graphique. Un très bon projet que je vous conseil de tester dans Virtualbox ou sur un vieux PC.
Hors ligne
#13 Le 23/10/2010, à 23:23
- Heliox
Re : Venez tester la sécurité de votre système GNU/Linux !
Si tu ne le comprends pas, tu ne peux pas le lire, et entre le moment où il y a la new sur linuxfr et celui où tu le télécharges et exécutes, il peut avoir été modifié.
À ce moment, tu ne peux plus faire confiance à ton système, qui te prouve que les packageurs de ta distributions n'ont pas modifié les sources d'origines ?
À un moment faut accepter de faire confiance à autrui, c'est le principe du Libre. En utilisant Debian, tu acceptes de faire confiance, à l'auteur du logiciel, à son packageur Debian, à celui qui mettra les copies des binaires sur ton miroir, qui à tout moment peut modifier le binaire et rajouter des saloperies.
Alors effectivement oui, il y a toujours un risque, mais on ne pourra jamais l'enlever; à moins que tu ne restes barricadée chez toi et que tu ne développes ton propre système toi-même...
Dernière modification par Heliox (Le 23/10/2010, à 23:25)
#14 Le 23/10/2010, à 23:44
- kimented
Re : Venez tester la sécurité de votre système GNU/Linux !
Faire confiance aux développeurs Debian (qui doivent respecter des règles strictes, ont une période d'essai avant d'intégrer l'équipe, font des paquets signés (personne d'autre ne peut les modifier)), ce n'est pas encore pareil que faire confiance à un script téléchargé sur un site inconnu, écrit par un inconnu, et éventuellement modifiable par un autre inconnu.
Donc moi j'attendrai encore un peu avant de tester ça
Hors ligne
#15 Le 23/10/2010, à 23:49
- Grünt
Re : Venez tester la sécurité de votre système GNU/Linux !
Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…
Ouf, quelqu'un de censé.
Y'en a même qui exécutent tout le code Flash et javascript qui se trouve derrière un lien, suffit de leur faire cliquer dessus
Red flashing lights. I bet they mean something.
Hors ligne
#16 Le 24/10/2010, à 00:43
- tooguy66
Re : Venez tester la sécurité de votre système GNU/Linux !
Pour les plus paranos restent toujours le live cd.....
Dualboot Windows seven & ubuntu 14.04 64bit
gigabyte M720-US3 athlon II x4 620 6gb ram GeForce 520 1gio
Hors ligne
#17 Le 24/10/2010, à 02:09
- Koshie-2.0
Re : Venez tester la sécurité de votre système GNU/Linux !
Salut,
Ne comprenant pas ton script et vu que tu n'es pas à priori quelqu'un de connu (j'entends par là un dev de renoms, car oui ça existe, un gros contributeur à ce que je sache ou ce genre de chose) je n'ai pas envie d'exécuter ton script avant que quelques personnes que je connaisse ici ne me garantissent (car je leur fait à priori confiance) que ton script n'est pas mauvais.
Quand à faire confiance aux autres, justement, je ne le fais pas à n'importe qui. Je fais confiance à l'équipe des différentes distributions GNU/Linux que j'utilise (et encore), aux amis et aux connaissances de confiances et ce sont mes seuls limitations.
Pourquoi tu t'étonnes qu'on puisse trouver ça douteux d'exécuter un script de provenance douteuse (comprend non garantie) sur son système ? La confiance qu'on peut avoir dans la communauté peut être une gigantesque faille puisque ça affaiblit les soupçons et permet une attaque de ce genre, le virus belge.
#18 Le 24/10/2010, à 04:46
- love2hate
Re : Venez tester la sécurité de votre système GNU/Linux !
Heu ça deja etait dit mais le script demande pas de droit root et truc de fou inimaginable voir incroyable ont peut lire le contenu du script ....Apres si vous comprenez pas le script ok , mais stop la parano il y a tout sous les yeux .
1984 was not supposed to be an instruction manual
Some "poor" wine screencast http://www.youtube.com/user/2m42hy/videos?view=0
Hors ligne
#19 Le 24/10/2010, à 12:30
- Koshie-2.0
Re : Venez tester la sécurité de votre système GNU/Linux !
.Apres si vous comprenez pas le script ok , mais stop la parano il y a tout sous les yeux .
Paradoxale comme phrase…
#20 Le 24/10/2010, à 12:42
- Compte anonymisé
Re : Venez tester la sécurité de votre système GNU/Linux !
Affaire à suivre
Dernière modification par Checky (Le 24/10/2010, à 12:42)
#21 Le 24/10/2010, à 12:43
- Sir Na Kraïou
Re : Venez tester la sécurité de votre système GNU/Linux !
Heu ça deja etait dit mais le script demande pas de droit root et truc de fou inimaginable voir incroyable ont peut lire le contenu du script ....Apres si vous comprenez pas le script ok , mais stop la parano il y a tout sous les yeux .
Bah, je me moquais justement des gens qui exécutent un script sans le comprendre… Moi j'sais pas, j'ai la flemme de le télécharger et de le lire.
Descendant de Charlemagne et de LUCA.
Bleu, en l'hommage d'un truc bleu. :'(
C'est pas du bleu.
C'est pas le lac de Genève, c'est le Lac Léman.
Hors ligne
#22 Le 24/10/2010, à 12:48
- GentooUser
Re : Venez tester la sécurité de votre système GNU/Linux !
Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…
J'ai un peu zieuté de script avant de le lancer, franchement c'est pas très difficile à comprendre, ça cherche les options de sécurité du noyau à coup de grep dans le fichier de config, pareil pour les exécutables avec grep + readelf, quelques fonctions pour lister les processus actifs, localiser la config du noyau, formater la sortie... rien de méchant !
Mon résultat :
* System-wide ASLR (kernel.randomize_va_space): On (Setting: 2)
Description - Make the addresses of mmap base, heap, stack and VDSO page randomized.
This, among other things, implies that shared libraries will be loaded to random
addresses. Also for PIE-linked binaries, the location of code start is randomized.
See the kernel file 'Documentation/sysctl/kernel.txt' for more details.
* Does the CPU support NX: Yes
COMMAND PID RELRO STACK CANARY NX/PaX PIE
zsh 10690 Partial RELRO No canary found NX enabled No PIE
zsh 11423 Partial RELRO No canary found NX enabled No PIE
kwalletmanager 30110 Partial RELRO No canary found NX enabled No PIE
startkde 5202 Partial RELRO No canary found NX enabled No PIE
dbus-launch 5254 Partial RELRO No canary found NX enabled No PIE
dbus-daemon 5294 Partial RELRO No canary found NX enabled PIE enabled
kdeinit4 5392 Partial RELRO No canary found NX enabled No PIE
klauncher 5393 Partial RELRO No canary found NX enabled No PIE
kded4 5395 Partial RELRO No canary found NX enabled No PIE
gam_server 5397 Partial RELRO No canary found NX enabled No PIE
kglobalaccel 5431 Partial RELRO No canary found NX enabled No PIE
kwrapper4 5455 Partial RELRO No canary found NX enabled No PIE
ksmserver 5456 Partial RELRO No canary found NX enabled No PIE
kwin 5469 Partial RELRO No canary found NX enabled No PIE
uim-helper-serv 5498 Partial RELRO No canary found NX enabled No PIE
knotify4 5503 Partial RELRO No canary found NX enabled No PIE
kuiserver 5520 Partial RELRO No canary found NX enabled No PIE
akonadi_control 5525 Partial RELRO No canary found NX enabled No PIE
akonadiserver 5527 Partial RELRO No canary found NX enabled No PIE
mysqld 5529 Partial RELRO No canary found NX enabled No PIE
kaccess 5564 Partial RELRO No canary found NX enabled No PIE
nepomukserver 5578 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5590 Partial RELRO No canary found NX enabled No PIE
klipper 5593 Partial RELRO No canary found NX enabled No PIE
polkit-kde-auth 5596 Partial RELRO No canary found NX enabled No PIE
wicd-client-kde 5597 Partial RELRO No canary found NX enabled No PIE
kmix 5601 Partial RELRO No canary found NX enabled No PIE
korgac 5606 Partial RELRO No canary found NX enabled No PIE
akonadi_contact 5621 Partial RELRO No canary found NX enabled No PIE
akonadi_ical_re 5622 Partial RELRO No canary found NX enabled No PIE
akonadi_maildir 5623 Partial RELRO No canary found NX enabled No PIE
akonadi_maildis 5624 Partial RELRO No canary found NX enabled No PIE
akonadi_nepomuk 5625 Partial RELRO No canary found NX enabled No PIE
virtuoso-t 5655 Partial RELRO No canary found NX enabled No PIE
kwalletd 5658 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5670 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5671 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5672 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5673 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5674 Partial RELRO No canary found NX enabled No PIE
nepomukservices 5675 Partial RELRO No canary found NX enabled No PIE
konsole 5693 Partial RELRO No canary found NX enabled No PIE
zsh 5695 Partial RELRO No canary found NX enabled No PIE
plasma-desktop 6873 Partial RELRO No canary found NX enabled No PIE
krunner 6874 Partial RELRO No canary found NX enabled No PIE
kio_http_cache_ 6939 Partial RELRO No canary found NX enabled No PIE
rekonq 7323 Partial RELRO No canary found NX enabled No PIE
jd.sh 8648 Partial RELRO No canary found NX enabled No PIE
java 8649 Partial RELRO No canary found NX enabled No PIE
* Kernel protection information:
Description - List the status of kernel protection mechanisms. Rather than
inspect kernel mechanisms that may aid in the prevention of exploitation of
userspace processes, this option lists the status of kernel configuration
options that harden the kernel itself against attack.
Kernel config: /proc/config.gz
GCC stack protector support: Enabled
Strict user copy checks: Enabled
Enforce read-only kernel data: Enabled
Restrict /dev/mem access: Enabled
Restrict /dev/kmem access: Enabled
* grsecurity / PaX: No GRKERNSEC
The grsecurity / PaX patchset is available here:
http://grsecurity.net/
* Kernel Heap Hardening: No KERNHEAP
The KERNHEAP hardening patchset is available here:
https://www.subreption.com/kernheap/
Là je recompile world pour rajouter des canaris à mes exécutables, les autres options de securités manquantes sont soit trop contraignantes pour un desktop (grsec) ou trop pénalisantes en termes de performances (PIE)
Hors ligne
#23 Le 24/10/2010, à 12:53
- The Uploader
Re : Venez tester la sécurité de votre système GNU/Linux !
$ wget http://trapkit.de/tools/checksec.sh && chmod +x checksec.sh && ./checksec.sh --proc-all && ./checksec.sh --kernel && rm checksec.sh
--2010-10-24 12:50:50-- http://trapkit.de/tools/checksec.sh
Résolution de trapkit.de... 81.169.145.67
Connexion vers trapkit.de|81.169.145.67|:80... connecté.
requête HTTP transmise, en attente de la réponse... 200 OK
Longueur: 16935 (17K) [application/x-sh]
Sauvegarde en : «checksec.sh»100%[======================================>] 16 935 93,2K/s ds 0,2s
2010-10-24 12:50:51 (93,2 KB/s) - «checksec.sh» sauvegardé [16935/16935]
* System-wide ASLR (kernel.randomize_va_space): On (Setting: 2)
Description - Make the addresses of mmap base, heap, stack and VDSO page randomized.
This, among other things, implies that shared libraries will be loaded to random
addresses. Also for PIE-linked binaries, the location of code start is randomized.See the kernel file 'Documentation/sysctl/kernel.txt' for more details.
* Does the CPU support NX: Yes
COMMAND PID RELRO STACK CANARY NX/PaX PIE sh 1366 Partial RELRO Canary found NX enabled No PIE dbus-launch 1404 Partial RELRO Canary found NX enabled No PIE dbus-daemon 1405 Partial RELRO Canary found NX enabled PIE enabled xscreensaver 1414 Partial RELRO Canary found NX enabled No PIE xfce4-session 1418 Partial RELRO Canary found NX enabled No PIE xfconfd 1420 Partial RELRO Canary found NX enabled No PIE xfsettingsd 1425 Partial RELRO Canary found NX enabled No PIE kdeinit 1427 Partial RELRO Canary found NX enabled No PIE dcopserver 1432 Partial RELRO Canary found NX enabled No PIE klauncher 1435 Partial RELRO Canary found NX enabled No PIE kded 1437 Partial RELRO Canary found NX enabled No PIE gnome-keyring-d 1491 Partial RELRO Canary found NX enabled No PIE gconfd-2 1496 Partial RELRO Canary found NX enabled No PIE Thunar 1499 Partial RELRO Canary found NX enabled No PIE gam_server 1501 Partial RELRO Canary found NX enabled No PIE xfce4-panel 1556 Partial RELRO Canary found NX enabled No PIE xfce4-settings- 1558 Partial RELRO Canary found NX enabled No PIE xfce4-menu-plug 1563 Partial RELRO Canary found NX enabled No PIE pidgin 1564 Partial RELRO Canary found NX enabled No PIE xfdesktop 1576 Partial RELRO Canary found NX enabled No PIE xfce4-power-man 1583 Partial RELRO No canary found NX enabled No PIE gvfsd 1587 Partial RELRO Canary found NX enabled No PIE xfce4-places-pl 1593 Partial RELRO Canary found NX enabled No PIE xfce4-fsguard-p 1598 Partial RELRO Canary found NX enabled No PIE xfce4-cpugraph- 1599 Partial RELRO Canary found NX enabled No PIE gvfs-fuse-daemo 1601 Partial RELRO No canary found NX enabled No PIE sh 1610 Partial RELRO Canary found NX enabled No PIE emerald 1611 Partial RELRO Canary found NX enabled No PIE notify-osd 1614 Partial RELRO Canary found NX enabled No PIE xfce4-clipman 1618 Partial RELRO Canary found NX enabled No PIE kupfer 1620 Partial RELRO Canary found NX enabled No PIE kupfer 1624 Partial RELRO Canary found NX enabled No PIE compiz 1627 Partial RELRO Canary found NX enabled No PIE gnome-volume-co 1667 Partial RELRO Canary found NX enabled No PIE pulseaudio 1678 Full RELRO Canary found NX enabled No PIE nm-applet 1690 Partial RELRO Canary found NX enabled No PIE polkit-gnome-au 1694 Partial RELRO No canary found NX enabled No PIE xfce4-volumed 1695 Partial RELRO No canary found NX enabled No PIE update-notifier 1698 Partial RELRO Canary found NX enabled No PIE applet.py 1702 Partial RELRO Canary found NX enabled No PIE gvfs-gdu-volume 1727 Partial RELRO Canary found NX enabled No PIE gvfs-gphoto2-vo 1729 Partial RELRO Canary found NX enabled No PIE gvfs-afc-volume 1731 Partial RELRO No canary found NX enabled No PIE firefox 1739 Partial RELRO Canary found NX enabled No PIE run-mozilla.sh 1743 Partial RELRO Canary found NX enabled No PIE firefox-bin 1747 Full RELRO Canary found NX enabled PIE enabled VBoxXPCOMIPCD 1802 Partial RELRO Canary found NX enabled No PIE VBoxSVC 1818 Partial RELRO Canary found NX enabled No PIE gvfsd-trash 1863 Partial RELRO Canary found NX enabled No PIE npviewer.bin 1973 Partial RELRO Canary found NX enabled No PIE xfce4-terminal 2430 Partial RELRO Canary found NX enabled No PIE bash 2432 Partial RELRO Canary found NX enabled No PIE
* Kernel protection information:Description - List the status of kernel protection mechanisms. Rather than
inspect kernel mechanisms that may aid in the prevention of exploitation of
userspace processes, this option lists the status of kernel configuration
options that harden the kernel itself against attack.Kernel config: /boot/config-2.6.32-22-generic
Warning: The config on disk may not represent running kernel config!
GCC stack protector support: Enabled
Strict user copy checks: Disabled
Enforce read-only kernel data: Enabled
Restrict /dev/mem access: Enabled
Restrict /dev/kmem access: Enabled* grsecurity / PaX: No GRKERNSEC
The grsecurity / PaX patchset is available here:
http://grsecurity.net/* Kernel Heap Hardening: No KERNHEAP
The KERNHEAP hardening patchset is available here:
https://www.subreption.com/kernheap/
Dernière modification par The Uploader (Le 24/10/2010, à 12:56)
- Oldies PC : Intel Pentium 3 @ 800 Mhz sur CM ASUS P2B-F, GeForce 4 Ti4800 SE, Disque Dur Hitachi 160 Go, 512 Mo de RAM, 3DFX Voodoo 2, Sound Blaster 16 ISA PnP, Windows 98 SE / XP)
- Desktop : Intel Core i7 6700K @ 4 GHz sur CM ASUS Z170-P, GeForce GTX 1070, SSD Samsung 850 EVO 1 To, 16 Go de RAM, Disque Dur Seagate Barracuda 3 To, Windows 10
Hors ligne
#24 Le 24/10/2010, à 13:46
- helly
Re : Venez tester la sécurité de votre système GNU/Linux !
Р☢w ! ✰ ✰ (эй !) a écrit :Euh… Y a des gens, ici, qui téléchargent et exécutent un script qu'ils ne comprennent pas, pour vérifier la sécurité de leur système ? Oo' J'sais où est la plus grosse faille, moua…
Ouf, quelqu'un de censé.
Y'en a même qui exécutent tout le code Flash et javascript qui se trouve derrière un lien, suffit de leur faire cliquer dessus
On sais où ce situe la plus grosse faille de sécurité, c'est dommage que ce script ne le mette pas en évidence !
Archlinux-wmii-dwb.
Un problème résolu ? Faites le savoir en mettant [résolu] à côté du titre de votre topic.
Un problème non résolu ? Faites le savoir en insultant ceux qui cherchent à vous aider.
Un site bleu super remasterised©, un wiki cherchant des volontaires pour traduire un site.
Hors ligne
#25 Le 24/10/2010, à 13:53
- Sakaime
Re : Venez tester la sécurité de votre système GNU/Linux !
heureusement qu'il y ait OpenBSD
Hors ligne