Forum

Bonjour,
J'ai quitté mon domicile, ce midi, en lançant la procédure d'arrêt de mon ordinateur, sans m'assurer qu'il s'était effectivement éteint.
En rentrant chez moi, il était toujours en marche, bloqué sur une demande de localhost login.
J'ai jeté un coup d'oeil sur Htop et le Moniteur système: processeur à 100%, sans que je puisse voir quel processus "consommait" autant.
Le processus le plus actif correspondait tantôt explicitement à l'antivirus (clamav, installé hier et mis à jour aujourd'hui) tantôt à PID: 822 (avec les mêmes commandes) mais seulement pour 20 à 30%. En ajoutant Htop et le Moniteur système, ça ne "faisait pas le compte", loin de là.
Admettons qu'il s'agisse d'un problème d'arrondis.

Mais pourquoi n'a-je pas été en mesure d'éteindre mon ordinateur autrement qu'au bouton (triste solution)?

Je suis le seul utilisateur, hormis xguest que m'a attribué l'installation de base de Mageia.
J'ai supprimé, il y a quelques semaines, la demande de mot de passe au démarrage: cela crée-t-il une faille de sécurité?

Comment savoir si mon ordinateur a fait l'objet d'une intrusion ou d'une tentative d'intrusion?

Question subsidiaire: comment faire pour que le mot de passe su ou d'autres infos ne soient pas accessible tout simplement dans bash_history, en affichant les fichiers cachés?

Merci d'avance.

Ton mot de passe est présent dans .bash_history ?

Bonsoir,
Il était présent puisque j'avais tapé des commandes en root quelques minutes avant.
J'ai lu que c'était normal, mais je trouve étonnant de ne pas en avoir été au moins prévenu.
Je suis tombé sur cet article intéressant (malheureusement en anglais):
http://answers.oreilly.com/topic/276-redacting-accidental-passwords-in-your-bash-history-file/

(suite, quelques minutes + tard)
J'ai essayé de reproduire le scénario de tout à l'heure: mon mot de passe n'est plus enregistré dans ce dossier (à moins que quelque chose m'ait échappé). Je comprends de moins en moins. J'ai même fait volontairement l'erreur de taper mon mot de passe en tant que commande et obtenu logiquement un message d'erreur... sans qu'il soit inscrit dans bash_history.
Pareil avec whoami.
Je suis perdu. Je n'ai pas rêvé, puisque d'autres linuxiens s'en inquiètent...
Et tout ceci ne me dit pas si j'ai été victime d'une intrusion, MAIS (et j'ai omis de le dire tout à l'heure dans un but de simplification) ... Il m'a semblé lire, durant un très court instant, un message inquiétant concernant les backports dans un processus visualisé par Htop. Impossible de me rappeler les termes (en anglais).

(suite, encore, car mon édition précédente ne semble pas avoir été enregistrée)
Si l'auteur (du message placé en lien) évoque l'erreur consistant à écrire directement dans bash_history, je n'ai pas pu me tromper ainsi car je ne connaissais tout simplement pas l'existence de ce fichier ni son usage.
Dois-je en déduire que c'est bel et bien un intrus qui y a écrit (lui-même involontairement, en "bidouillant")?

suite, encore et encore...
J'ai écrit tout à l'heure: "J'ai même fait volontairement l'erreur de taper mon mot de passe en tant que commande et obtenu logiquement un message d'erreur... sans qu'il soit inscrit dans bash_history". A l'occasion du changement de mon mot de passe, je viens de voir que c'est possible. Donc, si cela n'est pas rassurant sur la sécurité (à moins d'utiliser une des recettes citées), je suis un peu moins sûr d'avoir été "visité".

Édité par laotseu63 Le 08/12/2011 à 00h46

xguest tu peu meme le supprimer via le ccm dans utilisateur et groupe car c'est l'utilisateur invité comme sous windows donc generalement on se sert pas de ça si personne ne touche a ton pc, sinon non tu risque rien avec le login auto c'est ce que je fais sur les ordis qui ont qu'un seul compte, et sur ceux qui en ont plusieur la je laisse active le login.

Je pense que je vais supprimer le xguest, en effet.
Une amie s'en sert, parfois, mais on peut faire autrement.
Merci pour cette suggestion qui confirme mon idée.

Salut,

si quelqu'un c'est introduit dans ton pc! (ce dont je doute, je pense plus à un bug) as tu était voir dans les fichiers /var/log ?

tu aura la date et l'heure et qui c'est connecté ou a essayé !

c'est le fichier auth.log (pour les connexions) et dans user.log aussi.

errors.log peut fournir les erreurs qui ont pu se produire etc...

Bonjour PaLmAs,
"de la lecture pour les longues soirées d'hiver", comme disait Francis Blanche à Pierre Dac dans un sketch, il y a 40 ans.
Une ligne m'interpelle, qui apparaît à plusieurs reprises dans user.log.1:
Dec 4 13:29:07 localhost polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.16, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.utf8) (disconnected from bus)

P.S: A tout hasard, je t'envoie, en M.P.*, un lien vers les fichiers auth.log.1 et user.log.1, que j'ai compressés pour l'occasion (avec cette répétition des lignes, la compression est spectaculaire, surtout pour user.log.1).
Je pense avoir d'autres problèmes, mais qui ne perturbent pas ma machine de manière perceptible (sauf avec le son, mais j'ai compris: j'ai deux cartes et Mageia sélectionne parfois celle qui n'est pas branchée (en entrées/sorties): il suffit de re-sélectionner l'autre).
Si tu as la patience de lire, garde à l'esprit que j'ai commis un grand nombre de maladresses et de manip inutiles ou redondantes. Mon ordinateur fonctionne "normalement" depuis 2 jours.
*Je ne pense pas qu'ils contiennent des données sensibles. Tu peux placer les liens ici si ça ne pose pas de problème.

re-P.S: J'ai replacé le sujet en non-résolu car il semble que Mageia n'avertisse plus par mail des nouvelles réponses lorsqu'il est en "résolu" (?).

Édité par laotseu63 Le 11/12/2011 à 11h15

je me rappel aussi que tas parler de msec, or msec peut t'alerter d'intrusion qui sont seulement par exemple une connexion amule, ou p2p, par exemple si tas mis en place un serveur ftp.

il faut dans msec decocher alerter intrusion sur les ports autorisé, c'est dans le parefeu tas une ligne qui dit a peu pres ça. jessaye de etrouver ca sur le wiki

tien la tas la doc sur msec:
http://wiki.mandriva.com/fr/Msec

la le parefeu mais pas tres complet:
http://wiki.mandriva.com/fr/Drakfirewall

Salut

Waow passionlinux ! tu reviens en force ça roule mec ?

alors aprés avoir jeté un oeil rapide sur tes log (auth et user) je vois pas le signe d'une intrusion mais par contre 2 bug!

le premier :



là on voit que gdm-session-worker n'arrive pas à ce connecter ! une fois avec a, une fois avec "user" et ensuite ça passe ! je peux pas t'en dire plus !

le deuxième dans user.log



la y a un problème avec pulse-audio et alsa ? peut être une piste par là :

http://lists.freedesktop.org/archives/pulseaudio-commits/2010-September/003388.html

Donc je pense bien à des bugs de gdm et pulseaudio !

Ton parfeu shorewall se lance bien et lance bien les différents réglages de sécurité. Msec peut en effet envoyer des messages d'intrusion mais ce n'est pas ce que tu as eu ?

Salut Enzo, tranquille, au faite je voulais te le dire mais c'est pas moi qui navigue sur facebook c'est ma femme, et moi de temps en temps je regarde les message et vu le tiens dernierement, hihi.

Bonsoir passionlinux,
Pas de serveur ni de p2p.
Merci pour les infos.
Bonne soirée.

15/12: Je replace le sujet en "résolu" (donc, MLO ne préviendra pas en cas de nouveau message).

Édité par laotseu63 Le 15/12/2011 à 09h45