[Résolu] Changer tous mes mots de passe

tiare · 23-12-2015 22:22:25

Bonsoir,

Victime d'une violation de la vie privée, je souhaite changer tous les mots de passe : root, nom utilisateur et le mot de passe.
Et au vu de mes recherches j'ai tapé

uname -a

pour vous faire part de mon système :

Linux tiare 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1+deb8u6 (2015-11-09) x86_64 GNU/Linux

Merci de m'éclairer de la marche à suivre.
Je sais me mettre en root et utiliser le gestionnaire de paquets Synaptic pour mettre à jour les logiciels.

Tiare

Edit à toto
Tatouillage des balises pour la commande user et de son retour en Autre code.

Dernière modification par tiare (25-12-2015 10:31:21)

Mercredi · 23-12-2015 22:35:08

La page du wiki pour changer de mot de passe : https://debian-facile.org/doc:systeme:passwd

Et pour ne pas avoir besoin de ré-écrire la configuration de ta machine sur chaque post, c'est mieux de le renseigner dans le profil, Voir le tuto : Trop cool d'indiquer son installation dans son profil !

captnfab · 23-12-2015 22:42:45

Bonsoir,

Changer les mots de passe, c'est une chose, mais ça ne suffira pas forcément à empêcher l'accès à ta machine, en particulier si celle-ci est configurée pour permettre un accès distant.

Pour aller dans ce sens, je te propose de taper la commande suivante pour obtenir la liste des ports à l'écoute sur ta machine (et donc des points d'entrée potentiels.) La commande est à taper en root dans un terminal :

netstat -plantue

En particulier, li faudra que nous regardions si ssh est présent, et que nous supprimions les éventuelles clés auxquelles l'accès est autorisé.

Nous regarderons ensuite les divers moyens de connexion entrante, donc nous regarderons les connexions distantes et les redirections de port sur la box (Livebox/Freebox/etc.)

Je ne te cache pas que la seule méthode pour être 100% sûr que le système ne possède pas une porte dérobée est de le ré-installer. Mais sans aller jusque là, on peut déjà écarter les voies d'accès les plus évidentes.

Commencer par les mots de passe est une bonne chose. Pour la suite, nous reprendrons petit à petit

tiare · 23-12-2015 22:57:54

Merci beaucoup de votre réactivité. J'ai de la lecture...

Pour Admin-Girafe, oui vérifions tout cela :

netstat -plantue

Connexions Internet actives (serveurs et établies)

Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        User       Inode       PID/Program name

tcp        0      0 127.0.0.1:7634          0.0.0.0:*               LISTEN      0          11628       955/hddtemp     

tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      0          11707       991/unbound     

tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          882541      19804/cupsd     

tcp        0      0 0.0.0.0:4280            0.0.0.0:*               LISTEN      0          13723       803/sshd        

tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          14744       1254/exim4      

tcp        0      0 127.0.0.1:8953          0.0.0.0:*               LISTEN      0          11709       991/unbound     

tcp        0      0 127.0.0.1:7634          127.0.0.1:56315         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56325         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56317         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56318         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56326         TIME_WAIT   0          0           -               

tcp        0      0 192.168.0.250:44103     173.203.187.10:993      ESTABLISHED 5002       1731348     1764/icedove    

tcp        0      0 127.0.0.1:7634          127.0.0.1:56323         TIME_WAIT   0          0           -               

tcp        1      0 192.168.0.250:35749     157.249.32.164:80       CLOSE_WAIT  5002       2541913     1626/wrapper    

tcp        0      0 192.168.0.250:44871     89.234.156.228:443      ESTABLISHED 5002       2556136     1764/icedove    

tcp        0      0 127.0.0.1:7634          127.0.0.1:56321         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56324         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56314         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56316         TIME_WAIT   0          0           -               

tcp        0      0 127.0.0.1:7634          127.0.0.1:56320         TIME_WAIT   0          0           -               

tcp        0      0 192.168.0.250:58024     188.125.68.154:993      ESTABLISHED 5002       2554971     1764/icedove    

tcp6       0      0 ::1:53                  :::*                    LISTEN      0          11705       991/unbound     

tcp6       0      0 ::1:631                 :::*                    LISTEN      0          882540      19804/cupsd     

tcp6       0      0 :::4280                 :::*                    LISTEN      0          13725       803/sshd        

tcp6       0      0 ::1:25                  :::*                    LISTEN      0          14745       1254/exim4      

tcp6       0      0 ::1:8953                :::*                    LISTEN      0          11708       991/unbound     

tcp6       0      0 :::6600                 :::*                    LISTEN      0          11528       1/init          

tcp6       1      0 ::1:54563               ::1:631                 CLOSE_WAIT  0          14797       966/cups-browsed

tcp6       0      0 2a01:e35:3994:905:40177 2a00:1450:400c:c0a::443 ESTABLISHED 5002       2546560     29528/iceweasel 

tcp6       0      0 2a01:e35:3994:905:44930 2a00:1450:4007:805::443 ESTABLISHED 5002       2557301     29528/iceweasel 

tcp6       0      0 2a01:e35:3994:905:43131 2a03:b0c0:2:d0::4d:5222 ESTABLISHED 5002       1731565     1533/pidgin     

tcp6       0      0 2a01:e35:3994:905:39451 2a00:1450:400c:c04::993 ESTABLISHED 5002       1730309     1764/icedove    

tcp6       0      0 2a01:e35:3994:905:54378 2a00:1450:4007:805::443 ESTABLISHED 5002       2556401     29528/iceweasel 

udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          14146       966/cups-browsed

udp        0      0 0.0.0.0:1900            0.0.0.0:*                           0          11032       884/minissdpd   

udp        0      0 127.0.0.1:53            0.0.0.0:*                           0          11706       991/unbound     

udp6       0      0 ::1:53                  :::*                                0          11704       991/unbound

... je vous laisse à votre diagnostic....

captnfab · 23-12-2015 23:11:38

Bien

Donc, les serveurs, c'est à dire les programmes qui attendent des connexions depuis l'extérieur, sont les programmes dans l'état LISTEN, qui écoutent sur 0.0.0.0 ou sur 192.168.0.250 ou encore sur 2a01:e35:3994:905. Soit :

sshd
init
cups-browsed
minissdpd

Et je ne vois pas a première vue de porte dérobée, on doit donc avoir à faire à une simple redirection de port.

La liste est courte, cependant elle montre que le serveur ssh a été configuré et donc utilisé, vu qu'il ne fonctionne pas sur le port habituel (22)

Si tu n'utilises pas ssh, tu peux le désinstaller.

apt-get remove openssh-server

Sinon, si tu l'utilises (c'est pratique dès que l'on a plusieurs PC en réseau), il faut changer les mots-de-passe (root et de chaque utilisateur ayant un mot de passe) et supprimer les clés publiques autorisées (fichiers ~/.ssh/authorized_keys) autres que les tiennes.

Si tu veux plus de précisions sur une partie de mes indications, n'hésite pas.

tiare · 23-12-2015 23:34:33

Merci pour cette bonne nouvelle

Ouiiii j'ai un ordinateur portable (c'est celui de mes enfants) qui est en réseau.
Nous avons une tour qui fait fonction de "serveur" et ils peuvent accéder uniquement leur répertoire "enfants".
Le fait qu'elle puisse imprimer à distance, c'est aussi "en réseau" ??
Ok, je changerai aussi leur mot de passe et supprimer les clés publiques autorisées.
A très bientôt !!

tiare · 24-12-2015 10:23:05

Bonjour,

La commande passwd marche

Par contre, quelle est la procédure pour changer le nom d'utilisateur ainsi que le mot de passe de l'administrateur ??
Merci.

captnfab · 24-12-2015 11:10:53

Tu ne peux pas changer le nom d'utilisateur de l'administrateur, c'est toujours « root. »
Pour changer son mot de passe, il suffit de devenir administrateur dans un terminal (avec « su » ou « sudo -s ») puis d'utiliser « passwd »

tiare · 24-12-2015 11:26:19

c'est génial, ça marche !!! soulagée !

Je reviens vers toi : que signifie les clés publiques autorisées ??
je dois être en root pour taper la commande (fichiers ~/.ssh/authorized_keys) ?

Merci de m'éclairer sur la signification de init, minissdpd ?
Si j'ai bien suivie, sshd est lié à la connexion à distance ?
Je pense que "cups-browsed" c'est lié à la gestion de mes 2 imprimantes....(?!)

captnfab · 24-12-2015 11:39:24

Cool

Pour les clés publiques autorisées, dans chaque répertoire personnel (par exemple, /home/captnfab) il y a (ou pas) un dossier caché .ssh (il est caché parce qu'il commence par un point, tu peux le lister avec « ls -A » ou via l'explorateur de fichier en demandant d'afficher les fichiers cachés), qui contient (ou pas) un fichier authorized_keys. Ce fichier permet l'authentification via paire de clés RSA plutôt que par mot de passe.
Si tu n'utilises pas ce genre de connexion, tu peux tout simplement supprimer ces fichiers s'ils existent.

Il faut donc le faire pour tous les utilisateurs.
(De même, le mot de passe doit être changé pour tous les utilisateurs et pas seulement pour l'utilisateur principal et l'administrateur.)

init, c'est le programme principal qui est lancé au démarrage et s'occupe d'amorcer tout le système. Son petit nom sous Jessie est systemd, et c'est normal qu'il écoute sur le port 6600.

cups et cupds-browserd sont effectivement des serveurs liés à l'impression.

minissdpd, je ne connais pas trop, d'après la description c'est un serveur UPnP, c'est à dire qu'il repère sur ton réseau les services proposés par les différents PC. Par exemple, il détecte le serveur qui propose de partager ses dossiers, le routeur qui propose ses services multimédia, les téléphones, etc.

Je n'utilise pas, mais a priori ce n'est pas un logiciel malveillant.

tiare · 25-12-2015 00:43:47

Merci pour tes explications

les fichiers ssh n'existent pas :

bash: fichiers : commande introuvable

Ai-je terminé la sécurité de mon pc ?

PS : comment mettre en [résolu] mon article ?!

captnfab · 25-12-2015 00:47:40

Pour savoir si les fichiers existent, tu peux faire

ls -lh ~/.ssh/

« fichiers » n'est pas une commande bash.

(Pour mettre en résolu, il suffit d'éditer le premier post et de changer le titre.)

tiare · 25-12-2015 00:58:15

Ah ok, alors voici le résultat :

total 12K

-rw-r--r-- 1 tiare tiare 1,3K mai    8  2015 known_hosts

C'est le fichier known_hosts que je dois supprimer ?

captnfab · 25-12-2015 09:44:03

Non, ce fichier là est ok.

Par contre, il faudrait que tu lances la commande en tant que root également, pour voir s'il n'y a pas de clé autorisée pour root.

tiare · 25-12-2015 09:56:31

Ok, alors en root, ça donne ceci :

ls: impossible d'accéder à /root/.ssh/: Aucun fichier ou dossier de ce type

 

captnfab · 25-12-2015 09:58:53

Très bien, ça veut dire qu'il n'y a pas de dossier .ssh pour root.

Il y a d'autres utilisateurs que root et tiare qui sont utilisés ?

tiare · 25-12-2015 10:09:42

A ma connaissance, il n'y a que moi en utilisateur...

captnfab · 25-12-2015 10:14:03

Ok, tu peux lancer cette commande qui va te lister les utilisateurs dont le numéro est supérieur ou égal à 1000, ce sont les utilisateurs humains en principe (par opposition aux utilisateurs système qui ont un identifiant inférieur) :

grep ':1[0-9][0-9][0-9]:' /etc/passwd

tiare · 25-12-2015 10:21:13

ah super, j'ai lancé et pas de résultat, c'est revenu à ma commande initiale tiare@mulan:~$....

captnfab · 25-12-2015 10:29:05

Alors c'est tout bon pour les mot-de-passes et clés ssh

Tu peux faire les mêmes manips sur les autres ordis sous Linux de chez toi.

Je ne dis pas que nous avons éliminé tout risque d'intrusion, mais au moins les plus classiques.

Edit: ah, c'est quand même bizarre, il aurait du te lister tiare.

grep tiare /etc/passwd

Te donne qqch ?

tiare · 25-12-2015 10:30:50

C'est génial ! merci merci ! ça me rassure déjà beaucoup !
je note je note tout ça.

paskal · 25-12-2015 10:54:10

captnfab a écrit :

... lister les utilisateurs dont le numéro est supérieur ou égal à 1000, ce sont les utilisateurs humains en principe

Ne peut-on envisager qu'un compte entre 500 et 1000 existe ?
Il me semble que c'était possible (ou alors sur Mandrake )

captnfab · 25-12-2015 10:56:30

Ce n'est qu'une convention le coup des < 1000 et ≥ 1000, A priori, tu peux faire un peu ce que tu veux avec les uid.

paskal · 25-12-2015 11:17:16

Oui, et un utilisateur peut avoir son "home" ailleurs que dans /home, je suppose ...

tiare · 25-12-2015 11:24:48

captnfab a écrit :

Edit: ah, c'est quand même bizarre, il aurait du te lister tiare.

grep tiare /etc/passwd

Te donne qqch ?

Voilà :

tiare:x:5002:5003:,,,:/home/tiare:/bin/bash

 

Debian-facile

#1 23-12-2015 22:22:25

[Résolu] Changer tous mes mots de passe

#2 23-12-2015 22:35:08

Re : [Résolu] Changer tous mes mots de passe

#3 23-12-2015 22:42:45

Re : [Résolu] Changer tous mes mots de passe

#4 23-12-2015 22:57:54

Re : [Résolu] Changer tous mes mots de passe

#5 23-12-2015 23:11:38

Re : [Résolu] Changer tous mes mots de passe

#6 23-12-2015 23:34:33

Re : [Résolu] Changer tous mes mots de passe

#7 24-12-2015 10:23:05

Re : [Résolu] Changer tous mes mots de passe

#8 24-12-2015 11:10:53

Re : [Résolu] Changer tous mes mots de passe

#9 24-12-2015 11:26:19

Re : [Résolu] Changer tous mes mots de passe

#10 24-12-2015 11:39:24

Re : [Résolu] Changer tous mes mots de passe

#11 25-12-2015 00:43:47

Re : [Résolu] Changer tous mes mots de passe

#12 25-12-2015 00:47:40

Re : [Résolu] Changer tous mes mots de passe

#13 25-12-2015 00:58:15

Re : [Résolu] Changer tous mes mots de passe

#14 25-12-2015 09:44:03

Re : [Résolu] Changer tous mes mots de passe

#15 25-12-2015 09:56:31

Re : [Résolu] Changer tous mes mots de passe

#16 25-12-2015 09:58:53

Re : [Résolu] Changer tous mes mots de passe

#17 25-12-2015 10:09:42

Re : [Résolu] Changer tous mes mots de passe

#18 25-12-2015 10:14:03

Re : [Résolu] Changer tous mes mots de passe

#19 25-12-2015 10:21:13

Re : [Résolu] Changer tous mes mots de passe

#20 25-12-2015 10:29:05

Re : [Résolu] Changer tous mes mots de passe

#21 25-12-2015 10:30:50

Re : [Résolu] Changer tous mes mots de passe

#22 25-12-2015 10:54:10

Re : [Résolu] Changer tous mes mots de passe

#23 25-12-2015 10:56:30

Re : [Résolu] Changer tous mes mots de passe

#24 25-12-2015 11:17:16

Re : [Résolu] Changer tous mes mots de passe

#25 25-12-2015 11:24:48

Re : [Résolu] Changer tous mes mots de passe

Pied de page des forums