Le fichier security.log?
gerard-ll Membre non connecté
-
- Voir le profil du membre gerard-ll
- Inscrit le : 09/12/2011
- Groupes :
C'est souvent que je vois dans le coin en bas à droite une explication sur la sécurité avec un rapport qu'on peut voir dans /var/log/security.log.
Si j'ouvre security.log je vois ça :
Code TEXT :
juil. 01 19:06:01 localhost info: Total of user files that should not be writable: 1 juil. 01 19:06:01 localhost info: Total of users whose home directories have unsafe permissions : 1 juil. 01 19:06:01 localhost info: Total of open network ports: 9 juil. 01 19:06:01 localhost info: Total of configured firewall rules: 67 juil. 01 19:06:01 localhost info: Total local users: 30 juil. 01 19:06:01 localhost info: Total local group: 61 juil. 01 19:06:01 localhost diff: *** Diff Check, juil. 01 19:06:01 *** juil. 01 19:06:01 localhost diff: juil. 01 19:06:01 localhost diff: Security Warning: change in processes with open network ports found : juil. 01 19:06:01 localhost diff: - Added processes with open network ports : udp 0 0 0.0.0.0:56365 0.0.0.0:* avahi-daemon: juil. 01 19:06:01 localhost diff: - Added processes with open network ports : udp6 0 0 [::]:44233 [::]:* avahi-daemon: juil. 01 19:06:01 localhost diff: - Removed processes with open network ports : udp 0 0 0.0.0.0:53645 0.0.0.0:* avahi-daemon: juil. 01 19:06:01 localhost diff: - Removed processes with open network ports : udp6 0 0 [::]:57866 [::]:* avahi-daemon:
En fait, je ne comprends pas de trop ces deux lignes :
Code TEXT :
juil. 01 19:06:01 localhost info: Total local users: 30 juil. 01 19:06:01 localhost info: Total local group: 61
Il y a 30 utilisateurs sur mon PC?!?
Si j'en crois la commande "w", je suis seul :
Code TEXT :
[gerard@localhost ~]$ w 22:31:13 up 4:04, 2 users, load average: 0,05, 0,14, 0,50 UTIL. TTY LOGIN@ IDLE JCPU PCPU QUOI gerard tty1 18:27 4:04m 5:48 0.01s /usr/bin/sh /usr/bin/startkde gerard pts/0 22:29 1.00s 0.01s 0.00s w
Bon, si vous avez cinq minutes pour m'expliquer les quelques lignes qu'on voit dans ce fichier /var/log/security.log.
gerard-ll Membre non connecté
-
- Voir le profil du membre gerard-ll
- Inscrit le : 09/12/2011
- Groupes :
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Citation :
juil. 01 19:06:01 localhost info: Total of user files that should not be writable: 1
juil. 01 19:06:01 localhost info: Total of users whose home directories have unsafe permissions : 1
juil. 01 19:06:01 localhost info: Total of users whose home directories have unsafe permissions : 1
Ici comme c' est indiqué, il y a des fichiers/répertoires qui ne satisfont pas aux règles de sécurité ( fichier accessible en écriture par tout le monde par exemple (je me demande s' ils ne sont d' ailleurs pas listés dans le rapport).
Citation :
juil. 01 19:06:01 localhost info: Total local users: 30
juil. 01 19:06:01 localhost info: Total local group: 61
juil. 01 19:06:01 localhost info: Total local group: 61
C' est probablement le nombre d' utilisateurs listés dans le fichier /etc/passwd ( que donne un "cat /etc/passwd | wc -l" ( je ne serais pas surpris que 30 soit le résultat ! ).
Il en est de même avec le fichier /etc/group ( en règle générale, l' utilisateur appartient au groupe du même nom (apache appartient au groupe apache par exemple)
En fait pour amoindrir les risques de sécurité, certains processus utilisent leur propre utilisateur avec des droits en principe plus restreint ( par exemple, je doute qu' Apache ou mysql/mariadb ou proftpd ( par exemple) tournent en root ! Il y a forcément un chroot ( un environnement différent du système actuel). Ainsi en cas de crash provoqué par exemple par un attaquant extérieur, les capacités d' attaque sont censées être limitées ( il me semble qu' il est possible de sortir de la cage du chroot), parce qu' il ne peut accèder qu' aux fichiers qui lui ont été assignés ou qu' il a un shell il ne peut accèder qu' au ressources de son bash ( avec son compte uniquement).
Par exemple ( l' utilisateur avec lequel lancé le processus est dans la première colonne. On voit donc que httpd est lancé sous l' utilisateur apache, mysqld par mysql, proftpd par nobody):
Code BASH :
[usertest@mageia7-test ~]$ ps aux | egrep -i "httpd|mysqld|proftpd" root 2420 0.1 0.7 50416 28636 ? Ss 22:57 0:00 /usr/sbin/httpd -DFOREGROUND apache 2424 0.0 0.2 50548 9624 ? S 22:57 0:00 /usr/sbin/httpd -DFOREGROUND apache 2425 0.0 0.2 50548 9624 ? S 22:57 0:00 /usr/sbin/httpd -DFOREGROUND apache 2426 0.0 0.2 50548 9624 ? S 22:57 0:00 /usr/sbin/httpd -DFOREGROUND apache 2427 0.0 0.2 50548 9624 ? S 22:57 0:00 /usr/sbin/httpd -DFOREGROUND apache 2428 0.0 0.2 50548 9624 ? S 22:57 0:00 /usr/sbin/httpd -DFOREGROUND mysql 2454 31.6 5.9 1159016 240164 ? Ssl 22:57 0:41 /usr/sbin/mysqld nobody 2502 0.0 0.0 8120 2588 ? Ss 22:58 0:00 proftpd: (accepting connections) usertest 2587 0.0 0.0 23456 808 pts/0 S+ 23:00 0:00 grep -E --color -i httpd|mysqld|proftpd [usertest@mageia7-test ~]$
Ci dessous le fichier /etc/passwd ( qui contient les utilisateurs du système ( qui ne sont donc pas forcément des utilisateurs physiques mais de service))
Code BASH :
[usertest@mageia7-test ~]$ cat /etc/passwd |egrep -i "apache|mysql|nobody|usertest" nobody:x:65534:65534:Nobody:/:/bin/sh mysql:x:988:986:system user for mariadb:/var/lib/mysql:/bin/bash apache:x:963:963:system user for webserver-base:/var/www:/bin/sh usertest:x:1002:1002::/home/usertest:/bin/bash
Je n' ai pas vérifie mais il me semble que la 4ième colonne est le groupe "primaire" de l' utilisateur ( par exemple apache à le numéro d' utilisateur 963 et il fait parti du groupe 963.
Ce que l' on voit dans le fichier /etc/group ( qui contient les groupes du système)
Code BASH :
[usertest@mageia7-test ~]$ cat /etc/group |egrep -i "apache|mysql|nobody|usertest" usb:x:43:usertest video:x:82:usertest nobody:x:993: mysql:x:986: apache:x:963: usertest:x:1002: docker:x:956:usertest [usertest@mageia7-test ~]$
Dans la sortie ci dessous, on voit que usertest à son groupe mais il fait aussi partie des groupes usb,video, et docker ( il aura donc potentiellement accès aux repertoires/fichiers qui ont comme groupe usb, video et docker.
Édité par nic80 Le 03/07/2020 à 00h00
gerard-ll Membre non connecté
-
- Voir le profil du membre gerard-ll
- Inscrit le : 09/12/2011
- Groupes :
Oui ça fait 30!
Code TEXT :
[gerard@localhost ~]$ cat /etc/passwd | wc -l 30
Ah oui, c'est assez compliqué ces histoires de droit et de sécurité, en fin de compte.
Bon, tout est normal sur mon système alors?
Donc dans les 30 users il y a des services et non des utilisateurs physiques?
C'est bon à savoir.
Edit : oui, je viens de voir qu'il y a 30 lignes d'utilisateurs quand je fais un cat /etc/passwd.
Donc c'est bon, rien d'anormal.
Édité par gerard-ll Le 02/07/2020 à 23h48
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
En fait pour chaque logiciel qui est susceptible d' interagir avec le système de manière importante (ou des capacités particulière (écoute sur un port <1024 , normalement reservé à root) , un compte est potentiellement crée ( par exemple cups, avahi, ntp, etc...). Le nombre d' utilisateur ( et par conséquent de groupes) peut être différent selon la configuration de la machine.
Le nombre d' utilisateur en soit ne veut rien dire, mais si par exemple un jour on s' aperçoit que l' on a 31 utilisateurs alors que la veille on en avait 30 et que l'on n' en a pas crée soit même ou installé un nouveau logiciel, c' est sensé attirer l' attention sur une possibilité d' infiltration du système. Pareil pour les ports en écoute .
Édité par nic80 Le 03/07/2020 à 00h24
gerard-ll Membre non connecté
-
- Voir le profil du membre gerard-ll
- Inscrit le : 09/12/2011
- Groupes :
nic80 :
Le nombre d' utilisateur en soit ne veut rien dire, mais si par exemple un jour on s' aperçoit que l' on a 31 utilisateurs alors que la veille on en avait 30 et que l'on n' en a pas crée soit même ou installé un nouveau logiciel, c' est sensé attirer l' attention sur une possibilité d' infiltration du système. Pareil pour les ports en écoute .
Ah oui, merci de l'info!
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie