Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
doc:systeme:securite:les-logiciels-malveillants-sous-linux [18/10/2015 19:09] paskal [Un anti-virus sous Linux ?] |
doc:systeme:securite:les-logiciels-malveillants-sous-linux [16/07/2021 06:01] (Version actuelle) smolski [Introduction] |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| * Objet : Les logiciels malveillants (malwares) sous Linux | * Objet : Les logiciels malveillants (malwares) sous Linux | ||
| - | * Suivi : {{tag>en-chantier}} | + | * Suivi : {{tag>à-compléter}} |
| * Création par [[user>milou]] 14/10/2015 | * Création par [[user>milou]] 14/10/2015 | ||
| - | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=12398 | c'est ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | + | * Tatouillé par [[user>paskal]] le 18/10/2015 |
| + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?pid=142588#p142588 | c'est ici]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| - | Voir aussi [[atelier:chantier:les-malwares | Les malwares - Généralités]] | + | Voir aussi [[doc:systeme:securite:les-malwares | Les malwares - Généralités]] |
| ===== Introduction ===== | ===== Introduction ===== | ||
| + | |||
| + | {{/file-Rb342180673e91db1829ca958c75c5374.png}} | ||
| Les systèmes d'exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme peu ciblés par les virus informatiques. En effet, jusqu'ici, aucun virus opérant sous Linux n'a été répertorié comme étant très répandu, comme c'est parfois le cas avec Microsoft Windows. | Les systèmes d'exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme peu ciblés par les virus informatiques. En effet, jusqu'ici, aucun virus opérant sous Linux n'a été répertorié comme étant très répandu, comme c'est parfois le cas avec Microsoft Windows. | ||
| Ligne 45: | Ligne 48: | ||
| Bien entendu, ces attaques tirent parti d'étourderies : méconnaissances en administration, mauvaises configurations, absences de mises à jour de la part des administrateurs. À ce sujet, quelques règles de bonne pratique à respecter : | Bien entendu, ces attaques tirent parti d'étourderies : méconnaissances en administration, mauvaises configurations, absences de mises à jour de la part des administrateurs. À ce sujet, quelques règles de bonne pratique à respecter : | ||
| * utiliser des logiciels récents ou mis à jour : la plupart des logiciels présentent des failles de sécurité ; les logiciels anciens (ou non mis à jour) constituent l'une des faiblesses principales sur une machine et, sur ce point, Linux se comporte comme un logiciel. Une maintenance efficace du système passe par la mise à jour régulière de l'intégralité des logiciels, noyau Linux compris ; | * utiliser des logiciels récents ou mis à jour : la plupart des logiciels présentent des failles de sécurité ; les logiciels anciens (ou non mis à jour) constituent l'une des faiblesses principales sur une machine et, sur ce point, Linux se comporte comme un logiciel. Une maintenance efficace du système passe par la mise à jour régulière de l'intégralité des logiciels, noyau Linux compris ; | ||
| - | * sous Linux, on ne va pas chercher (ou peu) chercher les logiciels sur la toile. Nous utilisons un système de dépôts, où sont recensés tous les logiciels. Si les dépôts choisis sont sûrs, il y a peu de chance d'y rencontrer un virus. Ceci fait toute la différence car bon nombre de systèmes infectés par un virus le sont suite au téléchargement d'un fichier contaminé. | + | * sous Linux, on ne va pas, ou peu souvent, chercher les logiciels sur la toile. Nous utilisons un système de dépôts, où sont recensés tous les logiciels. Si les dépôts choisis sont sûrs, il y a peu de chance d'y rencontrer un virus. Ceci fait toute la différence car bon nombre de systèmes infectés par un virus le sont suite au téléchargement d'un fichier contaminé. |
| | | ||
| Face à la permissivité utilisée par défaut sous Windows, les variantes de l’architecture UNIX (Linux, BSD, Mac OS X) utilisent une gestion des droits extrêmement rigoureuse qui est un frein au développement de malwares sur ce type de plate-formes. | Face à la permissivité utilisée par défaut sous Windows, les variantes de l’architecture UNIX (Linux, BSD, Mac OS X) utilisent une gestion des droits extrêmement rigoureuse qui est un frein au développement de malwares sur ce type de plate-formes. | ||
| Ligne 89: | Ligne 92: | ||
| Autant vous dire qu'il n'y a pas beaucoup de place pour un antivirus sur votre système Linux : le seul cas où il est nécessaire de se doter d'un antivirus sous Linux concerne les situations où vous auriez des fichiers à transmettre vers des systèmes sous Windows et que vous êtes concernés par leur sécurité. | Autant vous dire qu'il n'y a pas beaucoup de place pour un antivirus sur votre système Linux : le seul cas où il est nécessaire de se doter d'un antivirus sous Linux concerne les situations où vous auriez des fichiers à transmettre vers des systèmes sous Windows et que vous êtes concernés par leur sécurité. | ||
| - | =====Les serveurs face aux menaces ===== | + | Voir [[doc:systeme:clamav | clamav]] |
| - | Souvent appelés Rootkits. Un Rootkit n'est pas un Virus à proprement parler, mais un logiciel injecté par un pirate dans un serveur ayant une faille de sécurité permettant d'exécuter du code non sollicité. | + | =====Les serveurs face aux menaces ... ===== |
| - | Un Rootkit permet de sécuriser le chemin permettant à un pirate de faire plus ou moins n'importe quoi avec votre serveur. | + | ... menaces souvent appelées rootkits.\\ |
| + | Un rootkit n'est pas un virus à proprement parler, mais un logiciel injecté par un pirate dans un serveur ayant une faille de sécurité permettant d'exécuter du code non sollicité. | ||
| - | Pour être infecté par un Rootkit il ne faut pas obligatoirement être un gros serveur, mais il faut attirer l'attention. De plus, il faut qu'on puisse y accéder de l'extérieur, ce qui n'est pas le cas si vous utilisez un Pare-feu et/ou n'avez aucun service réseau actif. | + | Un rootkit est capable de mettre en place un chemin permettant à un pirate d'effectuer des opérations sur votre serveur. |
| - | Bien entendu, si le but est de faire un serveur accessible de l'extérieur, il faudra ouvrir un port. Dans ce cas, il suffit simplement de n'ouvrir que le ou les ports qui vous intéressent et pas plus, et de suivre les mises à jour de sécurité avec attention. | + | Pour être infecté par un rootkit il ne faut pas obligatoirement être un gros serveur mais il faut avoir attiré l'attention.\\ |
| + | De plus, il faut qu'on puisse y accéder de l'extérieur, ce qui n'est pas le cas si vous utilisez un pare-feu et/ou n'avez aucun service réseau actif. | ||
| - | Des Anti Rootkits existent pour vérifier leur présence. | + | Bien entendu, si le but est de faire un serveur accessible de l'extérieur, il faudra ouvrir un port. Dans ce cas, il suffit simplement de n'ouvrir que le ou les ports qui vous intéressent et pas plus, et de suivre les mises à jour de sécurité avec attention. |
| + | |||
| + | Des anti-rootkits existent pour vérifier leur présence. | ||
| * [[doc:systeme:rkhunter | rkhunter]] | * [[doc:systeme:rkhunter | rkhunter]] | ||
| * [[doc:autres:chkrootkit | chkrootkit]] | * [[doc:autres:chkrootkit | chkrootkit]] | ||
| Les principaux objectifs des infections visant les serveurs sont en général : | Les principaux objectifs des infections visant les serveurs sont en général : | ||
| - | * Effectuer du SPAM | + | * effectuer du spam ; |
| - | * Effectuer des attaques [[atelier:chantier:les-malwares#Autres menaces | DdoS]] | + | * lancer des attaques [[doc:systeme:securite:les-malwares#Autres menaces | DDoS]] ; |
| - | * Infecter des utilisateurs Windows | + | * infecter des utilisateurs Windows. |
| - | Pour les détails sur les principales menaces recensées sous Linux, voir | + | Pour les détails sur les principales menaces recensées sous Linux, voir : |
| * http://forum.malekal.com/malwares-virus-linux-t52397.html, | * http://forum.malekal.com/malwares-virus-linux-t52397.html, | ||
| - | + | * Les liens suivants fournis par Severian sur le forum (Merci à lui) : | |
| - | * Liens suivants fournis par Severian sur le forum (Merci à lui) | + | * http://www.silicon.fr/xor-ddos-attaque-massive-botnet-linux-127751.html |
| - | * http://www.silicon.fr/xor-ddos-attaque-massive-botnet-linux-127751.html | + | * http://www.undernews.fr/malwares-virus-antivirus/xor-ddos-un-nouveau-botnet-linux-qui-fait-des-ravages-150-gbps.html |
| - | * http://www.undernews.fr/malwares-virus-antivirus/xor-ddos-un-nouveau-botnet-linux-qui-fait-des-ravages-150-gbps.html | + | * http://www.undernews.fr/reseau-securite/seclists/mumblehard-malware-targets-linux-and-freebsd-servers.html |
| - | * http://www.undernews.fr/reseau-securite/seclists/mumblehard-malware-targets-linux-and-freebsd-servers.html | + | * http://www.undernews.fr/malwares-virus-antivirus/turla-un-trojan-furtif-linux-ayant-fait-beaucoup-de-victimes.html |
| - | * http://www.undernews.fr/malwares-virus-antivirus/turla-un-trojan-furtif-linux-ayant-fait-beaucoup-de-victimes.html | + | * Celui-là à prendre avec des pincettes comme tous les tests qu'il a dit Severian :-) https://www.av-test.org/fr/nouvelles/news-single-view/linux-test-de-16-suites-de-protection-contre-les-programmes-malveillants-specifiques-a-windows-e/ |
| - | * Celui-là à prendre avec des pincettes comme tous les tests qu'il a dit Severian :-) https://www.av-test.org/fr/nouvelles/news-single-view/linux-test-de-16-suites-de-protection-contre-les-programmes-malveillants-specifiques-a-windows-e/ | + | |
| ==== Antivirus et serveurs GNU/Linux ==== | ==== Antivirus et serveurs GNU/Linux ==== | ||
| - | Si un antivirus n'est pas franchement utile sur un poste client (ordinateur personnel), il peut trouver son utilité sur un serveur ‒ par exemple un serveur mail connecté à des clients Windows : car si le serveur en question n'est pas lui-même en danger, l'anti-virus peut éviter des propagations et ainsi protéger les clients Windows. | + | Si un antivirus n'est pas franchement utile sur un poste client (ordinateur personnel), il peut trouver son utilité sur un serveur ‒ par exemple un serveur mail connecté à des clients Windows : car si le serveur en question n'est pas lui-même en danger, l'antivirus peut éviter des propagations et ainsi protéger les clients Windows. |
| - | <note tip>Attention toutefois aux faux-positifs que pourrait vous trouver votre antivirus. Regardez bien quel est le type d’infection présent, et n'hésitez pas à chercher des informations en tapant son nom dans votre moteur de recherche. Il y va de la stabilité de votre système ..</note> | + | <note tip>Attention toutefois aux faux-positifs que pourrait vous trouver votre antivirus. Regardez bien quel est le type d’infection présent, et n'hésitez pas à chercher des informations en tapant son nom dans votre moteur de recherche. Il y va de la stabilité de votre système.</note> |
| Ligne 128: | Ligne 134: | ||
| Les bons conseils de smolski ;-) | Les bons conseils de smolski ;-) | ||
| * Ne transigez pas avec les droits d'administration de votre système. | * Ne transigez pas avec les droits d'administration de votre système. | ||
| - | * Tout ce qui n'est pas nécessaire à l'user doit être réservé à root ! | + | * Tout ce qui n'est pas nécessaire au simple utilisateur doit être réservé à l'utilisateur //root// ! |
| - | * Ne vous baladez pas sur internet sous votre session root ! | + | * Ne vous baladez pas sur internet sous votre session //root// ! |
| - | * Composez des mots de passe root d'envergure et n'hésitez pas à les renouveler annuellement! Un bon mot de passe root se compose de 20 caractères alpha-numériques! | + | * Composez des mots de passe //root// robustes et n'hésitez pas à les renouveler périodiquement ! Un mot de passe robuste se compose d'au moins 20 caractères alpha-numériques ! |
| ===== Lien utile ===== | ===== Lien utile ===== | ||
| Ligne 139: | Ligne 145: | ||
| ===== Conclusion ===== | ===== Conclusion ===== | ||
| - | Dans le cas d’une utilisation habituelle d’un ordinateur sous linux (c’est-à-dire connecté avec des droits utilisateur et non administrateur, avec un bon mot de passe pour chaque compte, et des logiciels et un système à jour), le développement de virus infectant des programmes exécutables est fortement limité par le fait que les exécutables appartiennent à l’administrateur et qu’ils peuvent être lus ou exécutés par l’utilisateur mais jamais écrits (donc modifiés). | + | Dans le cas d’une utilisation habituelle d’un ordinateur sous Linux (c’est-à-dire connecté avec des droits utilisateur et non administrateur, avec un mot de passe robuste pour chaque compte, et des logiciels et un système à jour), le développement de virus infectant des programmes exécutables est fortement limité par le fait que les exécutables appartiennent à l’administrateur et qu’ils peuvent être lus ou exécutés par l’utilisateur mais jamais écrits, donc jamais modifiés. |
| - | Résultat : il est très difficile, voire impossible, pour un virus, de se reproduire sous linux en infectant des exécutables... Ce type de virus très courant sous windows ne peut que rester rarissime sous linux. | + | Par conséquent, il est très difficile, voire impossible, pour un virus, de se reproduire sous Linux en infectant des exécutables.\\ |
| - | + | Ce type de virus très courant sous Windows ne peut que rester rarissime sous Linux. | |
| - | De bons conseils ici [[doc:systeme:securite | Securiser sa Debian]] | + | |
| + | Un dernier conseil : [[doc:systeme:securite | sécurisez votre Debian !]] 8-) | ||
