Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - IDS bas�s sur l'h�te

9.2. IDS bas�s sur l'h�te

Un IDS bas� sur l'h�te analyse plusieurs domaines pour d�terminer le mauvais usage (activit� malveillante ou abusive � l'int�rieur du r�seau) ou des intrusions (br�ches de l'ext�rieur). Les IDS bas�s sur l'h�te consultent plusieurs types de fichiers journaux (noyau, syst�me, serveur, r�seau, pare-feu et autres) et comparent les journaux � une base de donn�es interne de signatures courantes d'attaques connues. Les IDS UNIX et Linux bas�s sur l'h�te utilisent �norm�ment la commande syslog et sa capacit� � s�parer les �v�nements enregistr�s selon leur s�v�rit� (par exemple, des messages d'imprimante mineurs contre des avertissements du noyau majeurs). La commande syslog est disponible lors de l'installation du paquetage sysklogd, inclus avec Red Hat Enterprise Linux. Ce paquetage offre une journalisation du syst�me et la capture de messages du noyau. Les IDS bas�s sur l'h�te filtrent les journaux (qui, dans le cas de journaux d'�v�nements de noyau ou de r�seau, peuvent �tre tr�s comment�s), les analysent, marquent � nouveau les messages avec leur propre syst�me d'�valuation de s�v�rit� et les rassemblent dans leur propre journal sp�cialis� pour �tre analys� par les administrateurs.

Les IDS bas�s sur l'h�te peuvent �galement v�rifier l'int�grit� de donn�es de fichiers et d'ex�cutables importants. Ils v�rifient une base de donn�es de fichiers confidentiels (et tout fichier ajout� par l'administrateur) et cr�ent une somme de contr�le de chaque fichier avec un utilitaire d'analyse de fichiers messages comme la commande md5sum (algorithme 128-bit) ou la commande sha1sum (algorithme 160-bit). Les IDS bas�s sur l'h�te sauvegardent alors les sommes dans un fichier en texte clair et, de temps en temps, comparent les sommes de contr�le de fichiers avec les valeurs dans le fichier texte. Si l'une des sommes ne correspond pas, alors les IDS avertissent l'administrateur par courrier �lectronique ou pager. Ce processus est utilis� par Tripwire, qui est expliqu� dans la Section 9.2.1.

9.2.1. Tripwire

Tripwire est l'IDS bas� sur l'h�te le plus populaire pour Linux. Tripwire, Inc., les d�veloppeurs de Tripwire, ont r�cemment ouvert le code source du logiciel pour la version Linux et l'ont mis sous licence sous les termes de la licence � grand public GNU. Tripwire est disponible � l'adresse suivante https://www.tripwire.org/.

NoteRemarque
 

Tripwire n'est pas inclus dans Red Hat Enterprise Linux et n'est pas support�. Il a �t� inclus dans ce document en tant que r�f�rence pour les utilisateurs int�ress�s.

9.2.2. RPM en tant qu'un IDS

Le gestionnaire de paquetages RPM (RPM) est un autre programme qui peut �tre utilis� comme un IDS bas� sur l'h�te. RPM contient de nombreuses options pour interroger les paquetages et leurs contenus. Ces options de v�rification peuvent �tre d'une valeur inestimable pour un administrateur qui soup�onne que des fichiers syst�mes et des ex�cutables critiques ont �t� modifi�s.

La liste suivante d�taille certaines options pour RPM que vous pouvez utiliser pour v�rifier l'int�grit� de fichiers sur un syst�me Red Hat Enterprise Linux. Veuillez consulter le Guide d'administration syst�me de Red Hat Enterprise Linux pour des informations compl�tes sur l'utilisation de RPM.

ImportantImportant
 

Pour certaines commandes de la liste suivante, vous devez importer la cl� publique GPG de Red Hat dans le porte-cl�s RPM de votre syst�me. Cette cl� v�rifie que les paquetages install�s sur votre syst�me contiennent une signature de paquetages Red Hat, assurant que vos paquetages proviennent bien de Red Hat. La cl� peut �tre import�e en ex�cutant la commande suivante en tant que super-utilisateur (substituant <version> avec la version du RPM install�e sur votre syst�me)�:

rpm --import /usr/share/doc/rpm-<version>/RPM-GPG-KEY

rpm -V nom_de_paquetage

L'option -V v�rifie les fichiers dans le paquetage install�, appel� nom_de_paquetage. Si elle ne produit pas de sortie et quitte, cela signifie qu'aucun fichier n'a �t� modifi� depuis la derni�re fois que la base de donn�es RPM fut mise � jour. Si une erreur se produit, comme l'exemple suivant

S.5....T c /bin/ps

alors le fichier a �t� modifi� d'une mani�re ou d'une autre et vous devez d�cider si vous souhaitez garder le fichier (il en est le cas pour les fichiers de configuration modifi�s dans le r�pertoire /etc/) ou supprimer le fichier et reinstaller le paquetage qui le contient. La liste suivante d�finit les �l�ments de la cha�ne � 8 caract�res (S.5....T dans l'exemple ci-dessus) qui annonce l'�chec d'une v�rification.

  • . — Le test a pass� cette �tape de v�rification

  • ? — Le test a trouv� un fichier qui ne peut pas �tre lu, venant probablement d'un probl�me de permissions de fichier

  • S — Le test a trouv� un fichier qui est plus petit ou plus grand que lorsqu'il a �t� install� sur le syst�me

  • 5 — Le test a trouv� un fichier dont la somme de contr�le md5 ne correspond pas � sa somme de contr�le originale lors de sa premi�re installation

  • M — Le test a d�tect� une erreur de permissions de fichier ou de type de fichier sur le fichier

  • D — Le test a trouv� une discordance de fichiers des p�riph�riques dans les num�ros majeurs / mineurs

  • L — Le test a trouv� un lien symbolique qui a �t� modifi� par un autre chemin de fichier

  • U — Le test a trouv� un fichier dont le propri�taire utilisateur a �t� modifi�

  • G — Le test a trouv� un fichier dont le propri�taire de groupe a �t� modifi�

  • T — Le test a trouv� des erreurs de v�rification mtime sur le fichier

rpm -Va

L'option -Va v�rifie tous les paquetages install�s et trouve tout �chec dans ses tests de v�rification (tout comme l'option -V, mais avec plus de commentaires dans sa sortie puisqu'elle v�rifie chaque paquetage install�).

rpm -Vf /bin/ls

L'option -Vf v�rifie les fichiers individuels dans un paquetage install�. Cela peut s'av�rer utile si vous souhaitez effectuer la v�rification rapide d'un fichier suspect.

rpm -K application-1.0.i386.rpm

L'option -K est utile pour v�rifier la somme de contr�le md5 et la signature GPG d'un fichier de paquetage RPM. Cela s'av�re utile pour v�rifier si un paquetage que vous souhaitez installer est sign� par Red Hat ou toute organisation pour laquelle vous poss�dez la cl� publique GPG dans votre porte-cl�s GPG. Un paquetage qui n'a pas �t� sign� correctement �mettra un message d'erreur semblable � l'exemple suivant�:

application-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK
		  (MISSING KEYS: GPG#897da07a)

Faites attention lors de l'installation de paquetages qui ne sont pas sign�s vu qu'ils ne sont pas approuv�s par Red Hat, Inc. et peuvent contenir du code malveillant.

RPM peut �tre un outil puissant, comme d�montr� par ses nombreux outils de v�rification pour les paquetages et les fichiers de paquetage RPM install�s. Il est fortement recommand� de sauvegarder le contenu de votre r�pertoire de base de donn�es RPM (/var/lib/rpm/) sur un m�dia en lecture seule, tel qu'un CD-ROM, apr�s avoir install� Red Hat Enterprise Linux. De cette mani�re, vous pouvez comparer en toute s�curit� des fichiers et des paquetages � la base de donn�es en lecture seule, plut�t que � la base de donn�es sur le syst�me, vu que des utilisateurs malveillants peuvent corrompre la base de donn�es et d�former vos r�sultats.

9.2.3. Autres IDS bas�s sur l'h�te

La liste suivante examine quelques syst�mes de d�tection d'intrusions bas�s sur l'h�te populaires et disponibles. Consultez les sites Web des utilitaires correspondants pour de plus amples informations sur leur installation et leur configuration.

NoteRemarque
 

Ces applications ne sont pas incluses avec Red Hat Enterprise Linux et ne sont pas support�es. Elles sont incluses dans ce document en tant que r�f�rence pour les utilisateurs qui peuvent �tre int�ress�s � �valuer de telles applications.

  • SWATCH https://sourceforge.net/projects/swatch/ — SWATCH (de l'anglais, Simple WATCHer) utilise les fichiers journaux produits par la commande syslog pour pr�venir les administrateurs d'anomalies bas�es sur les fichiers de configuration des utilisateurs. SWATCH a �t� con�u pour enregistrer tout �v�nement que l'utilisateur souhaite ajouter dans le fichier de configuration�; il a cependant �t� largement adopt� en tant que IDS bas� sur l'h�te.

  • LIDS https://www.lids.org/ — Le syst�me de d�tection d'intrusions Linux (LIDS) est un correctif de noyau et un outil d'administration qui peut �galement contr�ler les modifications de fichiers avec des listes de contr�le d'acc�s (LCA) et prot�ger les fichiers et les processus, m�me ceux du super-utilisateur.

 
 
  Published under the terms of the GNU General Public License Design by Interspire